リング配布
リング配布は、制御された段階的な方法で更新プログラムやパッチをロールアウトするために使用される戦略的な方法です。 パッチのロールアウトは順次行われ、最初に、選択された内部テスト デバイスに配布されます。 成功率に応じて、パッチはターゲット デバイスに完全に配布されるまで、追加のリングに配布されます。 このアプローチは、実稼働環境の多数のエンドポイントに配布する前にパッチの問題を特定して対処することで、リスクを最小限に抑えます。 問題が見つかった場合は、どの段階でも一時停止、またはパッチをロールバックできます。
この方法により、広範囲にわたる中断の可能性を減らしながら、更新の品質向上、ユーザ エクスペリエンスの改善、および信頼性が保証されます。
手動および自動化された昇格のためのオプションと、ロールアウトを継続的に追跡する機能も含め、定期メンテナンス下にあるパッチ構成を、リング配布用に有効にすることができます。
このトピックでは、デバイスをリングに割り当てる方法と、ロールアウトの進行状況を追跡する方法について説明します。 パッチ構成のリング配布の有効化については、「構成動作」をご参照ください。
[リング配布] ページには、メイン メニューから [パッチ管理] > [リング配布] を選択してアクセスします。 このページには、関連付けられているパッチ構成、そのバージョン、リングの数、最終更新日時、現在のステータスを示すリング配布の表が含まれています。 表内のリング配布は、リングの数、最終更新日、現在のステータスに基づいてフィルタリングできます。 次のリストは、表示される現在のステータスについて説明しています。
•構成されていない: パッチ構成は、リング配布構成が関連付けられずに作成されています。
•実行中: リング配布構成はスケジュール済みまたは実行中の状態です。 どちらの状態も、リング配布構成がアクティブであることを示します。
•一時停止: リング配布構成にリンクされたロールアウト用のパッチ昇格が一時停止しています。
•アーカイブ済み: リング配布構成に関連付けられたパッチ構成は、必要なアクションまたは手順に従ってアーカイブされています。
•削除済み: リング配布構成に関連付けられたパッチ構成は削除されました。
表の上部には、選択したロールアウトに対して自動昇格を一時停止および 自動昇格を再開できるボタンがあります。
リングの表示と構成
各リング内のデバイスを構成し、ロールアウト内のパッチの配布を監視するには、[パッチ管理] > [リング配布] に移動し、[構成] 列で必要な名前をクリックします。 リングの配布ページが表示されます。 メイン ページを表示するには、[閉じる] をクリックします。 リングの配布ページには、次のセクションがあります。
ロールアウト
ページ上部のロールアウト ドロップダウン メニューでは、ステータスの可視性と管理アクションのパフォーマンスのためにリング配布実行インスタンスを選択できます。 ロールアウトは、それぞれに定義された実行枠によって識別されます。 いつでも複数のロールアウトがアクティブになる可能性があるため、適切なロールアウトを選択してください。 ロールアウトごとに、ステータス情報も表示され、次のいずれかを示します。
- 中止: ユーザがアクティブなパッチ構成のスケジュールを変更すると、その調整はエージェントを通じてパッチ エンジンに伝播され、進行中の (実行中の) ロールアウトの一貫性が損なわれる可能性があります。
- 完了: 次のいずれかのアクションが実行された場合:
- ロールアウトが連続したリングを通過してエンドポイントに到達したとき。
手動による一時停止と再開: ユーザがパッチの昇格を手動で一時停止し、数日以内に再開すると、ロールアウトは中断したところから再開され、ターゲット タイムライン内で完了するまで続行されます。
制限時間に達した場合の無期限の一時停止: ユーザがロールアウトを無期限に一時停止し、目標の完了時間が過ぎると、システムは自動的にロールアウトを「完了」状態に遷移させ、一時停止にもかかわらずロールアウトがアクティブではなくなったことを反映します。
- 一時停止: ユーザがパッチの昇格を手動で一時停止した場合。 このステータスは、手動昇格と自動昇格の両方に適用されます。
- 実行中: ロールアウトが実行中のときは、目標の完了日数に達するまで、連続したリングを通じて継続されます。
- スケジュール: 遅延を考慮して、その月の構成済みの日の、指定された現地時間に開始されるように、ロールアウトがスケジュールされている場合。
-
リング配布無効: ユーザがパッチ構成を作成したが、リング配布構成が無効になっている場合。
リング配布が無期限に一時停止された場合:
•すでに完了しているロールアウトは、一時停止状態から完了状態に移行します。
•開始がスケジュールされていたロールアウトは、実行中状態ではなく一時停止状態に移行します。
•新しくスケジュールされたロールアウトは、通常どおりリング配布に組み込まれます。
デバイス グループ
ページ上部の [デバイス グループ] フィールドでは、ページ ビューに特定のデバイス グループを選択または省略できます。 適用すると、チャートと表は選択条件に合わせてフィルタリングされます。
デバイス グループ バーをクリックし、パネルで [この選択をすべての Neurons Patch Management に適用します] オプションを選択して、Neurons Patch Management 全体に同じデバイス グループ セットを適用します。 適用すると、[デバイス グループ] バーが表示され 
、選択したグループ数がリストされます。 アイコンを直接クリックし、
に変更することで、フィルタリングされたデバイス グループをオフに切り替えることができます。
リストからデバイス グループを選択してページ ビューをフィルタリングすると、[デバイス グループ] バーに 
が表示されます。 デバイス グループで 
をクリックして、デバイス グループ フィルタをローカルでクリアします。
デバイス グループの管理については、「デバイス」をご参照ください。
リング割り当て
ページの上部で、[リング割り当て] をクリックすると、デバイス グループをリング構成に割り当てることができるページが開きます。 デバイス グループのリングへの動的割り当てを有効または無効にするには、[デバイス グループの割り当て]を切り替えます。
デバイス グループをターゲット リングに追加することで、そのグループ内のすべてのデバイスがそのリングに直ちに追加されます。 そのデバイス グループに追加される将来のデバイスは、関連するリングに自動的に追加されます。 ただし、デバイス グループからデバイスを削除しても、割り当てられたリングからそのデバイスが自動的に削除されることはありません。
1つ以上のデバイス グループをリングに追加するには、テーブルでそれらを選択し、[デバイス グループを移動] を選択して適切なリングを特定します。 [リング割り振りをクリア] を選択して、リング割り当てからデバイス グループを削除します。 [適用] をクリックして、デバイス グループ割り当てをアクティブにします。
デバイス グループ割り当てがアクティブ化されると、デバイス グループに割り当てられていないデバイスは自動的にシーケンスの最終リング (たとえば、プロダクション リング) に割り当てられます。 デバイスが複数のグループのメンバーである場合、デバイスはシーケンスで最も遠い関連リングに割り当てられます。 たとえば、デバイスがテスト リングに割り当てられたパッチ グループとプロダクション リングに割り当てられたパッチ グループに属している場合、そのデバイスはプロダクション リングに追加されます。
動的リング割り当てが有効になっている場合は、次のルールが適用されます。
•手動で割り当てられたデバイスは、定義されたデバイス グループ ルールに基づいて変更されることはありません。 ただし、それらのデバイスをデバイス グループに手動で割り当てることができます。
•デバイスがどのデバイス グループの一部でもない場合、そのデバイスはプロダクション リングに割り当てられます。
•デバイスが複数のデバイス グループと一致する場合、そのデバイスはそれらのデバイス グループの中で最も遠いリングに割り当てられます。
•デバイスが1つのデバイス グループにしか属していない場合、そのデバイスはそのデバイス グループによって指定されるリングに割り当てられます。
動的リング割り当てが無効になっていて、デバイスがパッチ構成に追加されている場合、既定ではそのデバイスはプロダクション リングに割り当てられます。
リング配布の分析
リング構成ページの上部にあるタイルには、現在割り当てられているデバイスの数と、各リングに割り当てられているデバイスの割合が表示されます。 デバイスの1%はテスト リングで、9%はアーリーアダプター リングで、90%はプロダクション リングで維持管理することが推奨されます。 これらのタイルは、リング デバイス割り当ての適切なバランス調整に役立ちます。
構成の概要
[構成の概要] セクションには、ロールアウト内の各リングに関する情報が提供されます。これには、各リングの成功率、ソークタイム、遅延時間、予定開始日時と終了日時、およびコンテンツの昇格が自動であるか手動であるかが含まれます。 日付と時刻は、エンドポイントの現地時間を反映します。
ロールアウトの場合、概要には [配布者] および [パッチ構成] の詳細が含まれます。
調査概要
調査概要セクションには、各リングの [ユーザ調査が有効]、[結果によって昇格させる]、[調査名]、[調査への応答]、[最小応答]、[センチメントのしきい値]など、ロールアウトの各リングに関する情報が表示されます。
リング フィルタ
•フィルタを使用すると、「テスト」、「早期利用者」、または「プロダクション」リング内のデバイスまたはパッチのみを表示する、あるいはロールアウトに適用可能なすべてのリングを表示することができます。 選択したフィルタはフィルタ バーに表示されます。 必要に応じてフィルタをクリアできます。
•パッチの状態とデバイスの状態の切り替えを使用すると、配布中のパッチという観点、または配布中のパッチの配布先であるデバイスという観点から、配布の現在の状態を確認できます。
•既定では、[デバイスの状態] に [すべてのリング] フィルタが適用された表が表示されます。
パッチ状態とデバイス状態の切り替え
[パッチの状態] と [デバイスの状態] を切り替えると、ページ下部の表も、各パッチに関する情報の表示と、各デバイスに関する情報の表示との間で切り替わります。
デバイス状態
表には、ロールアウトが適用されるデバイスのリストが表示されます。 検索は、リストからデバイスを見つけるのに役立ちます。 
を使用して、表に必要な列を表示します。 [列の選択] を使用すると、表にリストされているデバイスに関して、[デバイス]、[リング]、および [ユーザ調査] の詳細のさまざまな列を含めることができます。
[割り当て方法をクリア] を使用して、デバイスから手動リング割り当てを削除します。 動的リング割り当てが無効になっている場合、デバイスは現在のリングに残ります。 動的リング割り当てが有効になっている場合、システムは定義されたデバイス グループ ルールに基づいてデバイスを自動的に再割り当てします。 詳細については、「リング割り当て」をご参照ください。
デバイスを選択し、調査ユーザを使用して、ユーザ調査にデバイスを追加または削除できます。
デバイスのリストは、管理者によってメンバーに割り当てられた範囲によって決定されます。 範囲割り当ての詳細については、「アクセス コントロール: 範囲」をご参照ください。
リング ロールアウト中にデバイスがパッチ スキャンされると、システムは [デバイスの状態] ビューに既存のリング ステータスを表示し続けます。 これは、現在のロールアウトのリング ペアに関連付けられたステータスが表示されるためです。 バックエンドは更新されたリング ステータスを尊重しますが、テーブルにすぐには表示されません。 デバイス ビューに新しいリング ステータスを反映するには、再割り当て後にデバイスでスキャンまたは配布を実行します。 列には、ターゲット リングのロールアウトが完了していない限り、割り当てのステータスが表示されます。
パッチ リングの再割り当ての場合は、いかなる場合でも、デバイスは新たに割り当てられたリングの一部であると即座に見なされます。 このデバイスは、Ivanti Neurons パッチエンジンによるエンドポイント上の後続のすべてのパッチ配布操作に参加します。 テスト リングまたアーリーアダプター リングでデバイスを再割り当てすると、次の条件下における自動パッチ昇格プロセスに影響します。
- 自動昇格前にデバイス リングが変更された場合: システムは、元のリング昇格からデバイス結果を除外し、新しいリング昇格プロセスに結果を含めます。
- 自動昇格後にデバイス リングが変更された場合: デバイスを除外すると結果が変わっていたであろう場合であっても、以前の昇格結果は変更されません。 新しいリングが昇格を完了しない場合、システムはデバイス結果を2回カウントすることがあります。
デバイス状態の表は、デバイスの現在のリング、配布開始タイムライン、および現在のデバイス ステータスに基づいてフィルタリングできます。 次のリストは、表示されるステータスについて説明しています。
- 未開始: 関連付けられているリングとロールアウトのパッチ構成に従ってパッチ適用のアクティビティを表示していないデバイス。
- 評価済み: 関連付けられているリングとロールアウトのパッチ構成に従って (配布前に) パッチのステージングを開始したデバイス。
- 最新: 関連付けられているリングとロールアウトのパッチ構成に基づいてパッチの配布を開始したデバイス。
- 失敗: 関連付けられているリングとロールアウトのパッチ構成に従ってパッチを配布できなかったデバイス。
- 成功: 関連付けられているリングとロールアウトのパッチ構成に従って、パッチの配布を正常に完了したデバイス。
パッチの状態
[パッチの状態] 表を使用すると、ロールアウトの進行状況を表示できます。 表には、パッチの現在のリング内にあるすべてのパッチ、プラットフォーム、成功率、現在のパッチのステータスなどがリストされます。
特定のパッチを次のリングに昇格させるには、そのパッチの横にあるチェック ボックスをオンにして、[昇格] をクリックします。 パッチの詳細については、[パッチ名] 列のエントリをクリックして、対応するパッチ ページを Patch Intelligence で開きます。 [CVE 件数] 列の値をクリックすると、Patch Intelligence でパッチ ページが開き、[CVE] タブが表示されます。
Patch Intelligence の詳細については、「Patch Intelligence」をご参照ください。
を使用して、表に必要な列を表示します。 [列の選択] を使用すると、表にリストされているパッチに関して、[概要]、[脅威とリスク]、および [ユーザ調査] の詳細のさまざまな列を含めることができます。
成功率フィルタを使用して、ロールアウトのすべてのパッチ、リング成功率より上のパッチ (設定された成功率を超えるパッチ)、またはリング成功率より下のパッチ (設定された成功率を下回るパッチ) を表示します。
次のリストは、ロールアウトについて表示されるステータスを示しています。
- 評価予定
- 以前のリングから昇格
- 以前のリングから昇格していない
- 以前のリングにはない
- ソーク中
- 昇格を待機中
- 手動で昇格された
- 推進
- 未昇格
- 降格
- 配布中
リング間でのデバイスの切り替え
リングのセットを作成すると、それらのリングは空になります。 IT 資産内のデバイスを、次の3つの個別のリングに割り当てることができます。
- テスト リング
- 早期利用者リング
- プロダクション
パッチ構成の一部として、早期利用者リングとプロダクションを1つのリングにマージすることもできます。
新しいリングを追加すると、そのリングは空になります。 デバイスを初めて割り当てた場合、既定ではデバイスはプロダクション リングにあります。 他のリングに切り替えるには、デバイスを手動で選択します。
通常、デバイスの 1% をテスト リングに、9% を早期利用者リングに、残りの 90% をプロダクション リングに追加できます。 新しいデバイスが検出されると、それらはプロダクション リングに追加されます。
Ivanti では、ビジネスに不可欠なデバイスと組織の上級メンバーに割り当てられたデバイスをプロダクション リングに追加することを推奨しています。 テスト リング 内のデバイスは、テスト デバイスと、テスト リング内にデバイスがあることを認識しており、ロールアウトのこの段階に参加することに抵抗がないユーザに割り当てられたデバイスに限定する必要があります。
パッチ構成で [コンテンツを昇格] の下の [自動] を選択すると (「リング配布」参照)、パッチ構成で指定した [ソークタイム] の終了時に成功しきい値 (%) を満たしたパッチのみが、次のリングに自動的に昇格されます。 このため、パッチを適用したい各アプリケーションのパッチがロールアウトによって適切にテストされるように、これらの各アプリケーションを実行する十分な数のデバイスが各リングに含まれていることを確認してください。 パッチを適用するアプリケーションがインストールされているデバイスがリングに含まれていない場合、そのパッチは成功しきい値 (%) を満たすことができないため、次のリングに自動的に昇格されることはありません。 ただし、任意のパッチを手動で次のリングに昇格させることは可能です。
リング間でデバイスを移動するには:
- [リング配布] ページで、更新するリング配布の名前をクリックします。
適切なリング配布のページが表示されます。 - リング チャートの上で、[デバイスの状態] を選択します。
ページが更新され、パッチではなくデバイスが表示されます。 チャートの下の表には、システム内のすべての既知のデバイスがリストされ、デバイスが割り当てられているリングなどの情報が表示されます。 - 表の列の上部にあるフィルタ () および並べ替え (
) コントロールと [検索] フィールドを使用して、別のリングに移動するデバイスを見つけます。 - 必要なデバイスの横にあるチェックボックスをオンにし、必要に応じて表の上で [テスト]、[早期利用者]、または [プロダクション] をクリックします。
デバイスは選択したリングに移動されます。