パッチ管理

Ivanti Neurons for Patch Management は、クラウドのパッチ適用ソリューションです。 Ivanti Neurons プラットフォームのリアルタイムインサイトを、Ivanti Neurons for Discovery の資産情報、およびリスクベースの優先順位付けを可能にするアクショナブルインテリジェンスと結合させることで、適応力のあるセキュリティ戦略を推進します。 Windows、macOS、および Linux のデバイス向けの包括的なパッチ管理機能が提供され、Microsoft、Apple、およびサードパーティベンダ製の製品にパッチを適用する機能が含まれています。

Ivanti Neurons for Patch Management にアクセスするには、Ivanti Neurons プラットフォームで [パッチ管理] に移動します。

Ivanti Neurons for Patch Management は、ライセンスに応じて次のコンポーネントで構成されます。

準拠レポート: 現在の準拠ステータスや経時的な傾向を判別できます。
配布履歴: 最近の配布操作のステータスが表示されます。例外に焦点を絞り、問題をすばやくトラブルシューティングできます。
エンドポイントの脆弱性: デバイスの正常性とリスクベースのメトリクスにより、環境のデバイスへのパッチ適用について、一元的な表示が得られます。
Patch Intelligence: 環境におけるパッチ適用の管理、優先順位付け、合理化を支援するためのデータを収集、集計します。優先順位付けされた、リスクベースのメトリクスにより、脅威ランドスケープの全容が提供されます。
パッチ設定: クラウドパッチ管理ワークフロー用のパッチ構成とパッチグループを構成できます。重要なすべてのセキュリティパッチを修復する既定の構成を使用して迅速に着手することも、組織における準拠のための固有のしきい値に合致したカスタムのパッチ構成を作成することもできます。
リング配布: 少数のテストデバイスでパッチの配布をテストしてから、すべてのデバイスへの配布を続行できるように、リング配布を管理できます。
Patch for Intune: Microsoft Intune の実装を拡張して、サードパーティの製品管理機能を組み込みます。
レポート: Ivanti Neurons から取得されたデータを含んだ、PDF ファイル、CSV ファイル、または Excel ファイルとして使用できる、あるいはシステムにアクセスできないユーザに配布できるレポートを作成できます。

パッチ管理を使用するために必要なアクセスコントロールがあることを確認してください。

必要条件

パッチ管理を使用するには、さまざまな必要条件があります。

必須の URL、IP アドレス、ポート

ファイアウォール、プロキシ、 Web フィルタといった例外リストに、多数の Web URL を追加する必要があります。それらの URL は、サードパーティベンダからパッチコンテンツをダウンロードするために使用されます。

追加する必要がある URL の完全なリストについては、「必須の URL、IP アドレス、ポート」をご参照ください。

Microsoft Windows と Microsoft Office

Ivanti Neurons エージェントを使用した Windows デバイスへのパッチの配布を成功させるには、Windows Update サービスを無効にするのではなく、[手動] または [自動] のいずれかに設定します。加えて、各ターゲットデバイスの Windows Update の設定 ([コントロールパネル] > [システムとセキュリティ] > [Windows Update] > [設定の変更]) を [更新プログラムを確認しない] に設定します。詳細については、Ivanti コミュニティの「この記事」をご参照ください。

クイック実行テクノロジーを使用する Office 2019または Office 365にパッチを適用する場合、Patch for Neurons がこれらのインストールにどのようにパッチを適用するかについては、Ivanti コミュニティ (別のウィンドウで開きます) の「Ivanti では Office クイック実行インストールにどのようにパッチを適用するか」をご参照ください。

Windows 11 IoT Enterprise LTSC でパッチ管理が利用できるようになりました。

MacOS

Apple Silicon Mac と Apple T2チップ搭載 Intel Mac の場合は、Ivanti Neurons for Patch Management には、デバイス上のオペレーティングシステムパッチを管理するための専用のロールアカウントが必要です。

Ivanti Neurons for Patch Management が初めて OS パッチの配布を開始すると、システムダイアログが表示され、ローカル管理者にロールアカウントを作成するように指示します。画面上には、管理者向けにプロセスを完了するための手順が示されます。アカウントの作成を承認するには、管理者認証資格情報が必要です。

管理者がフォームを完了すると、_ivantiNeuronsMacPatchAgent という名前の新しいユーザアカウントが作成されます。デバイス固有の、ランダムに生成されたパスワードが、アカウントに割り当てられています。認証資格情報は macOS キーチェーンに安全に保存されます。

macOS パッチが必要な場合、Ivanti Neurons は _ivantiNeuronsMacPatchAgent アカウントを使用してシステム更新ユーティリティを実行します。このユーティリティは、Apple のコンテンツ配信ネットワーク (CDN) から取得した InstallAssist.pkg パッケージを使用して、最新の OS 更新を適用します。

MDM で管理される macOS デバイス

ボリューム所有者権限とセキュアトークンの両方を持つローカル管理者は、デバイス上で同じ権限を持つ追加のユーザを作成できます。ただし、Entra ID またはその他の Active Directory サービス経由でプロビジョニングされたアカウントについては、この限りではありません。これらのアカウントは、コンピュータに対してローカルとは見なされません。セキュアトークンがある場合もありますが、通常、ボリューム所有者権限はありません。

MDM 管理対象デバイスの場合、ユーザ作成や OS パッチ適用などの管理タスクを実行するために、ボリューム所有者権限は必要ありません。代わりに、これらのデバイスは、ボリューム所有者権限に依存することなく安全な操作を促進するために設計されたメカニズムである Bootstrap トークンを活用します。

詳細については、「配布でのセキュアトークン、Bootstrap トークン、およびボリューム所有権の使用」をご参照ください。

MDM 管理対象管理アカウントはボリューム所有者権限を割り当てることができないため、macOS 更新の配布と管理には MDM を使用することをお勧めします。

実装の詳細は MDM プロバイダによって異なる場合がありますが、Ivanti Neurons for MDM はこのワークフローをサポートしています。詳細については、最新バージョンの Ivanti Neurons for MDM ドキュメントをご参照ください。