パッチ管理
Ivanti Neurons for Patch Management は、クラウドのパッチ適用ソリューションです。 Ivanti Neurons プラットフォームのリアルタイム インサイトを、Ivanti Neurons for Discovery の資産情報、およびリスクベースの優先順位付けを可能にするアクショナブル インテリジェンスと結合させることで、適応力のあるセキュリティ戦略を推進します。 Windows、macOS、および Linux のデバイス向けの包括的なパッチ管理機能が提供され、Microsoft、Apple、およびサードパーティ ベンダ製の製品にパッチを適用する機能が含まれています。
Ivanti Neurons for Patch Management にアクセスするには、Ivanti Neurons プラットフォームで [パッチ管理] に移動します。
Ivanti Neurons for Patch Management は、ライセンスに応じて次のコンポーネントで構成されます。
- 準拠レポート: 現在の準拠ステータスや経時的な傾向を判別できます。
- 配布履歴: 最近の配布操作のステータスが表示されます。 例外に焦点を絞り、問題をすばやくトラブルシューティングできます。
- エンドポイントの脆弱性: デバイスの正常性とリスクベースのメトリクスにより、環境のデバイスへのパッチ適用について、一元的な表示が得られます。
- Patch Intelligence: 環境におけるパッチ適用の管理、優先順位付け、合理化を支援するためのデータを収集、集計します。 優先順位付けされた、リスクベースのメトリクスにより、脅威ランドスケープの全容が提供されます。
- パッチ設定: クラウド パッチ管理ワークフロー用のパッチ構成とパッチ グループを構成できます。 重要なすべてのセキュリティ パッチを修復する既定の構成を使用して迅速に着手することも、組織における準拠のための固有のしきい値に合致したカスタムのパッチ構成を作成することもできます。
- リング配布: 少数のテスト デバイスでパッチの配布をテストしてから、すべてのデバイスへの配布を続行できるように、リング配布を管理できます。
- Patch for Intune: Microsoft Intune の実装を拡張して、サードパーティの製品管理機能を組み込みます。
- レポート: Ivanti Neurons から取得されたデータを含んだ、PDF ファイル、CSV ファイル、または Excel ファイルとして使用できる、あるいはシステムにアクセスできないユーザに配布できるレポートを作成できます。
パッチ管理を使用するために必要なアクセス コントロールがあることを確認してください。
必要条件
パッチ管理を使用するには、さまざまな必要条件があります。
必須の URL、IP アドレス、ポート
ファイアウォール、プロキシ、 Web フィルタといった例外リストに、多数の Web URL を追加する必要があります。 それらの URL は、サードパーティ ベンダからパッチ コンテンツをダウンロードするために使用されます。
追加する必要がある URL の完全なリストについては、「必須の URL、IP アドレス、ポート」をご参照ください。
Microsoft Windows と Microsoft Office
Ivanti Neurons エージェントを使用した Windows デバイスへのパッチの配布を成功させるには、Windows Update サービスを無効にするのではなく、[手動] または [自動] のいずれかに設定します。 加えて、各ターゲット デバイスの Windows Update の設定 ([コントロール パネル] > [システムとセキュリティ] > [Windows Update] > [設定の変更]) を [更新プログラムを確認しない] に設定します。 詳細については、Ivanti コミュニティの「この記事」をご参照ください。
クイック実行テクノロジーを使用する Office 2019または Office 365にパッチを適用する場合、Patch for Neurons がこれらのインストールにどのようにパッチを適用するかについては、Ivanti コミュニティ (別のウィンドウで開きます) の「Ivanti では Office クイック実行インストールにどのようにパッチを適用するか」をご参照ください。
Windows 11 IoT Enterprise LTSC でパッチ管理が利用できるようになりました。
MacOS
Apple Silicon Mac と Apple T2チップ搭載 Intel Mac の場合は、Ivanti Neurons for Patch Management には、デバイス上のオペレーティング システム パッチを管理するための専用のロール アカウントが必要です。
Ivanti Neurons for Patch Management が初めて OS パッチの配布を開始すると、システム ダイアログが表示され、ローカル管理者にロール アカウントを作成するように指示します。 画面上には、管理者向けにプロセスを完了するための手順が示されます。 アカウントの作成を承認するには、管理者認証資格情報が必要です。
管理者がフォームを完了すると、_ivantiNeuronsMacPatchAgent という名前の新しいユーザ アカウントが作成されます。 デバイス固有の、ランダムに生成されたパスワードが、アカウントに割り当てられています。 認証資格情報は macOS キーチェーンに安全に保存されます。
macOS パッチが必要な場合、Ivanti Neurons は _ivantiNeuronsMacPatchAgent アカウントを使用してシステム更新ユーティリティを実行します。 このユーティリティは、Apple のコンテンツ配信ネットワーク (CDN) から取得した InstallAssist.pkg パッケージを使用して、最新の OS 更新を適用します。
MDM で管理される macOS デバイス
ボリューム所有者権限とセキュア トークンの両方を持つローカル管理者は、デバイス上で同じ権限を持つ追加のユーザを作成できます。 ただし、Entra ID またはその他の Active Directory サービス経由でプロビジョニングされたアカウントについては、この限りではありません。 これらのアカウントは、コンピュータに対してローカルとは見なされません。 セキュア トークンがある場合もありますが、通常、ボリューム所有者権限はありません。
MDM 管理対象デバイスの場合、ユーザ作成や OS パッチ適用などの管理タスクを実行するために、ボリューム所有者権限は必要ありません。 代わりに、これらのデバイスは、ボリューム所有者権限に依存することなく安全な操作を促進するために設計されたメカニズムである Bootstrap トークンを活用します。
詳細については、「配布でのセキュア トークン、Bootstrap トークン、およびボリューム所有権の使用」をご参照ください。
MDM 管理対象管理アカウントはボリューム所有者権限を割り当てることができないため、macOS 更新の配布と管理には MDM を使用することをお勧めします。
実装の詳細は MDM プロバイダによって異なる場合がありますが、Ivanti Neurons for MDM はこのワークフローをサポートしています。 詳細については、最新バージョンの Ivanti Neurons for MDM ドキュメントをご参照ください。
macOS FAQ

デバイスで FileVault が有効になっている場合、再起動後のログイン画面に _ivantiNeuronsMacPatchAgent ロール アカウントが表示されます。 これは、FileVault の起動時の認証処理方法によるものです。
FileVault が有効になっていない場合、アカウントは非表示のままであり、[システム設定] > [ユーザとグループ] には表示されません。 非対話型ロール アカウントであり、つまりデスクトップ環境へのログインには使用できません。
ロール アカウントの詳細については、ターミナルで sysadminctl -h を実行します。

ロール アカウントとは、Windows システムでサービス アカウントなどのバックグラウンド サービスを認証および実行するために使用される、非表示の、非対話型ユーザ アカウントです。
macOS では、セキュア トークンとボリューム所有者権限の両方を持つユーザのみが、ディスクの保護領域の変更や管理タスクの実行など、システムレベルの操作を実行できます。 これらの権限は通常、最初の macOS セットアップ中に作成された最初のユーザに付与されます。
OS パッチ適用には昇格された権限が必要なため、ロール アカウントは、セキュア トークンとボリューム所有者権限の両方を持つ既存のユーザによって作成される必要があります。
詳細については、「配布でのセキュア トークン、Bootstrap トークン、およびボリューム所有権の使用」をご参照ください。

macOS デバイスがモバイル デバイス管理 (MDM) で管理されている場合は、MDM ソリューションを使用して OS 更新を配布することをお勧めします。 Ivanti Neurons for Patch Management を使用して、サードパーティのアプリケーション パッチをスキャンし、配布します。

このアカウントは自動的に Ivanti Neurons によって管理されるため、変更も削除もしないでください。 アカウントを変更または削除すると、パッチ配布が失敗し、パッチ管理機能が中断する可能性があります。
認証資格情報が無効の場合、またはアカウントが削除されている場合は、次回 OS パッチが配布されたときにシステム プロンプトが表示されます。