パッチ自動化 (2020.1 SU1)

Ivanti® Endpoint Manager 2020.1 SU1には、毎月のパッチ キャンペーンを大幅に簡素化、自動化する新しい「パッチ自動化」ツールが追加されています。パッチ自動化では、パッチ キャンペーンの作成プロセスをガイドに従って進めることができます。誰がいつパッチを受け取るのかを決めます。パッチが蓄積されていくのと並行して、何にパッチが適用されるのかをリアルタイムで、簡単にモニターできます。

キャンペーンによるパッチ適用のステップが始まると、パッチ成功率がリアルタイムで表示されますので、引き続きキャンペーン ステップをより広範囲なテスト グループへと進めるタイミングを決めてください。一度、組織のニーズやリスク許容度に応じたパッチ自動化キャンペーン プロセスを作成しておけば、毎月自動化して、監視の労力を低減できます。

IMPORTANT: このツールを初めて使う場合は、「パッチ自動化を使用する前に」の構成ステップに従ってください。

一度パッチ キャンペーンを構成すると、毎月自動的に繰り返されます。パッチ キャンペーンをいつ開始するかを構成します。たとえば、月例パッチ (Patch Tuesday) の2日後にキャンペーンが始まるように構成した場合、パッチ自動化は、その選択された日付まで、すべてのパッチを蓄積します。パッチ キャンペーンは、必要な数だけ作成できます。各キャンペーンは独立しています。

Endpoint Manager 2021.1 SU2では、オンデマンドで実行できるスタンドアロン型の単一のパッチ キャンペーンのサポートが追加されます。これらのキャンペーンは自動的に繰り返されません。

Endpoint Manager 2022 SU1では、一度だけ実行されるカスタムのパッチ キャンペーンのサポートが追加されています。これらのキャンペーンは、すでに作成済みの (つまりキャンペーンで選択できる) 脆弱性グループに基づいて行われます。ベンダのセキュリティに重点が置かれていないキャンペーンを実行する必要がある場合は、カスタム キャンペーンが有益である可能性があります。

毎月のキャンペーンは、脆弱性ダウンロードのフェーズで始まります。このフェーズでは、そのキャンペーン月でカバーされる脆弱性が識別され、ダウンロードされます。キャンペーン作成前に発見された脆弱性を最初のキャンペーン月でカバーする必要がある可能性があるため、最初のキャンペーンの最初のステップでは、追加で何日分の脆弱性を考慮するかを構成できます。

パッチ バイナリは、エンドポイント マネージャ で構成されているポリシーに基づいてダウンロードされます。推奨設定によりすべての脆弱性を毎日スキャンすることで、パッチ バイナリがダウンロードされてからパッチがエンドポイントに配布されることが保証されます。自動ダウンロードをサポートしていないパッチについては、引き続き手動でのダウンロードが必要になる場合があります。

毎月の配布フェーズが開始されると、キャンペーンの一連のステップが [パッチ ステップ] ページに表示されている順序で実行されます。キャンペーンのステップは、必要な数だけ構成できます。ステップごとに独自のターゲットとパッチ受け入れ基準を設定できます。受け入れ条件が満たされた場合に自動的にステップを進めるのか、右クリックで手動で進めるのかを制御してください。

キャンペーンごとに、最低でも次のステップを構成することが推奨されます。

  • 大きな破損を避けるための、小さなパイロット グループ。
  • まれな問題を識別するための拡張パイロット グループ。
  • 全員に配布する実稼働グループ。

キャンペーンごとに、以下の手順を行います。

  1. [一般] ページで、キャンペーンの名前をして、各 patch Tuesday に基づいて毎月パッチ キャンペーンが開始するタイミングを定義します。バージョン2021.1 SU2以降では、[単一のパッチ キャンペーン] オプションを選択できます。
  2. [製品] ページで、キャンペーン中のパッチ収集の対象となる製品を選択します。特定の製品をすばやく見つけるには、[製品を検索] ボックスを使用します。
  3. [重要度:] ページで、重要度がどの程度の脆弱性にパッチを適用するかを選択します。特定の重要度をすばやく見つけるには、[重要度を検索] ボックスを使用します。
  4. [パッチ ステップ] ページで、テスト グループ ステップ (パイロット、拡張パイロット、実稼働など) を追加して構成します。キャンペーンのステップの詳細については、次のセクションをお読みください。
  5. バージョン2021.1 SU2には [自動修正] ページが追加されます。 ここでは、自動修正をグローバルに設定し、自動修正するデバイスが含まれる範囲を選択できます。サーバなどのデバイスで自動修正を使用しない場合は、このオプションが便利です。
  6. [脆弱性] ページで、最初の月のコンテンツ ダウンロードをどのように処理するかを構成します。キャンペーン開始前に利用可能になったパッチを追加する場合は、このオプションを使用します。次の月からは、月ごとのコンテンツが自動的にダウンロードされます。
  7. [概要] ページで、キャンペーンの概要を検討して、希望どおりの構成になっているかを確認します。

[パッチ ステップ] ページのキャンペーン ステップごとに、次の手順を行います。

  1. [ステップを追加] ボタンをクリックして新しいステップを追加します。最初にパッチを受け取るパイロット グループから開始します。最初の小規模な配布ステップが正常に完了した場合にそのキャンペーンが全デバイスに適用されるようにするには、最後のステップで [グローバル自動修正を有効にする] オプションを使用できます。このオプションを使用する場合は、配布する [配布とパッチ] エージェント設定で [自動修正を有効にする] を有効にする必要があります。
  2. [詳細] タブで、ステップに名前を付け、ステップの配布対象となるターゲットを追加します。
  3. [受け入れ条件] タブで、そのステップにかける時間の長さを選択します。ステップが開始されると、そのステップのターゲット デバイスでスケジュール済みの修復タスクが実行されます。そのタスクは、指定された時間だけ待機します。その時間が過ぎると、成功率が計算されます。テスト成功の条件を定義します。成功すると、次のグループへの移動 (パイロット グループから拡張パイロット グループへの移動など) がトリガされます。
  4. [承認とアップデート] タブで、利用可能な次のステップに自動的に進めるのか、概要ビューでステップごとに右クリックで手動で確認するのかを選択します。ステップ完了時の電子メール通知を構成することもできます。

受け入れ条件について

キャンペーン ステップごとに、[受け入れ条件] タブに次の2つのオプションがあります。

  • 配布成功率: このキャンペーンに含まれる各パッチが、割り当てられたデバイスに正常に配布される必要があります。パッチが正常に適用 (インストール) されない場合、それは失敗と見なされます。ただし、あるステップの期間全体にわたりオフラインであったエンドポイントがあっても、それは失敗としてカウントされません。

  • 報告された良品パッチ率: 「良品パッチに関するデータを収集」機能を要求して使用します。アプリケーションのクラッシュまたはフリーズを検出し、そのデータをコア サーバに報告します。この良品率は、パッチが正常にインストールされたエンドポイントのみに適用されます。たとえば、50% のエンドポイントにしか正常にインストールされなかったパッチがあっても、そのパッチについて検出されたクラッシュや手動レポートがない場合は、そのパッチの良品パッチ率は100% になる可能性があります。

    「良品パッチに関するデータを収集」機能は、サードパーティ (Microsoft 以外で、.msu 形式以外) の Windows アプリケーション パッチに対してのみ機能します。Microsoft Windows Update の .msu ファイルの場合や、別のオペレーティング システムを対象とするバッチは、良品パッチとしてのカウントに含まれません。

受け入れ条件が満たされていれば次のステップに自動で進むように設定するか、または結果を確認してから次に進めるかどうかを決定する場合は手動に設定できます。

パッチ キャンペーンの進行状況とステータスの表示

初めて作成したキャンペーンの状態は「スケジュール済み」であり、この時点から、キャンペーンの一部となるパッチの蓄積が始まります。次の定例パッチ期間 (指定したオフセット日数で調整されます) まで、キャンペーンのステップは開始されません。毎月キャンペーンが完了すると、翌月用にツールが自動的に「スケジュール済み」状態の新しいキャンペーンを作成します。「スケジュール済み」状態には、アクティブ、スケジュール済み、一時停止中、一時停止、完了、失敗の6つの状態があります。

キャンペーンの状態を表示するときのヒントをいくつか以下に示します。

  • メイン キャンペーンをクリックすると、キャンペーン全体のステータスが表示されます。
  • キャンペーンの下にある毎月のキャンペーン項目をクリックすると、クリックした月のステータスが表示されます。
  • 各キャンペーンの下には、そのキャンペーンの脆弱性とターゲット デバイスも表示されます。
  • [脆弱性] ビューを使用して、承認状態として [承認][拒否]、または [リセット] を右クリックします。承認スタータスの変更は、多くの場合、手動承認のステップで役立ちます。配布の成功率が計算されるのは、ステップが完了したときだけです。
  • ステップを手動で一時停止した場合、あるいは手動承認待ちになっているためにステップが一時停止されている場合は、[脆弱性] ビューを使用して、脆弱性を個別に [承認] または [拒否] できます。承認した脆弱性は、成功率の計算に組み込まれます。拒否した脆弱性は、成功率の計算から除かれ、そのキャンペーンの配布からも除かれます。
  • [脆弱性] ビューを使用して、パッチの影響分析や修復タスクの作成を行うこともできます。
  • 2020.1 SU3では、[脆弱性] ビューにある [ステップで影響を受けたコンピュータ] を右クリックすると、選択した脆弱性の影響を受けたコンピュータを確認できます。これは、各ステップの終了時に作成されるスナップショットです。
  • [デバイス] ビューを使用して、合計パッチ数、配布済みパッチ数、失敗したパッチ数を、デバイスごとに確認します。

フィードバックをお寄せください

この機能についての皆様のご意見をお聞かせください。パッチ自動化ツールで[どのようなことが行われるとパッチ自動化が改善されるか] ツールバー ボタンをクリックしてフィードバック フォームを開きます。ぜひご意見をお聞かせください。