Windows Server で Microsoft がリリースしたアプリケーションのパッチ適用について - AWS Systems Manager

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Windows Server で Microsoft がリリースしたアプリケーションのパッチ適用について

このトピックの情報は、AWS Systems Manager の一機能である Patch Manager を使用して Windows Server のアプリケーションにパッチを適用する準備を行う場合に役立ちます。

Microsoft アプリケーションのパッチ適用

Windows Server マネージドノードのアプリケーションのパッチ適用のサポートは、Microsoft がリリースしたアプリケーションに限定されます。

注記

場合によっては、更新日時を指定しないアプリケーションのパッチを Microsoft がリリースします。このような場合、デフォルトでは 01/01/1970 の更新日時が指定されています。

Microsoft がリリースしたパッチ適用アプリケーションのパッチベースライン

Windows Server では、3 つの事前に定義されたパッチベースラインが提供されます。パッチベースラインの AWS-DefaultPatchBaselineAWS-WindowsPredefinedPatchBaseline-OS は、Windows オペレーティングシステム自体のオペレーティングシステム更新プログラムのみをサポートしています。AWS-DefaultPatchBaseline は、別のパッチベースラインを指定しない限り、Windows Server マネージドノードのデフォルトのパッチベースラインとして使用されます。これら 2 つのパッチベースラインの構成設定は同じです。2 つのうち新しい方である AWS-WindowsPredefinedPatchBaseline-OS は、Windows Server 用の 3 つ目の事前定義されたパッチベースラインと区別するために作成されました。そのパッチベースライン AWS-WindowsPredefinedPatchBaseline-OS-Applications を使用して、Windows Server オペレーティングシステムおよびサポートされている Microsoft リリースのアプリケーションの両方にパッチを適用できます。

Windows Server マシンの Microsoft リリースのアプリケーションを更新するカスタムパッチベースラインを作成することもできます。

オンプレミスサーバー、エッジデバイス、VM、その他の EC2 以外のノードでの Microsoft がリリースしたアプリケーションへのパッチ適用のサポート

仮想マシン (VM) およびその他の EC2 以外のマネージドノードで Microsoft がリリースしたアプリケーションにパッチを適用するには、アドバンストインスタンス層を有効にする必要があります。アドバンストインスタンス層の使用には料金が発生します。ただし、Amazon Elastic Compute Cloud (Amazon EC2) インスタンスで Microsoft がリリースしたアプリケーションにパッチを適用する場合、追加料金はかかりません。詳細については、「インスタンス層の設定」を参照してください。

「他の Microsoft 製品」の Windows 更新オプション

Patch Manager が Windows Server マネージドノードで Microsoft リリースのアプリケーションにパッチを適用できるようにするには マネージドノードで Windows Update オプションの [Give me updates for other Microsoft products when I update Windows] (Windows を更新するときに他の Microsoft 製品の更新を提供する) が有効になっている必要があります。

単一マネージドノードでこのオプションを有効にする方法の詳細については、Microsoft Support ウェブサイトの 「Update Office with Microsoft Update」 をご参照ください。

Windows Server 2016 以降を実行しているマネージドノードのフリートでは、グループ ポリシーオブジェクト (GPO) を使用して設定を有効にできます。グループポリシー管理エディターで、[Computer Configuration] (コンピューターの構成)、[Administrative Templates] (管理用テンプレート)、[Windows Components] (Windows コンポーネント)、[Windows Updates] (Windows の更新プログラム) にアクセスして、[Install updates for other Microsoft products] (他の Microsoft 製品の更新プログラムのインストール) を選択します。また、予定外の自動更新や Patch Manager 外部での再起動を防止する追加のパラメーターを使用して GPO を構成することをお勧めします。詳細については、Microsoft の技術文書ウェブサイトで公開されている「Configuring Automatic Updates in a Non-Active Directory Environment」(非 Active Directory 環境での自動更新の構成)を参照してください。

Windows Server 2012 または 2012 R2 を実行しているマネージドノードのフリートの場合、スクリプトを使用してオプションを有効にできます。詳細については、Microsoft ドキュメント ブログのウェブサイトの「Enabling and Disabling Microsoft Update in Windows 7 via Script」を参照してください。例えば、次の操作を実行できます。

  1. ブログ投稿のスクリプトをファイルに保存します。

  2. ファイルを Amazon Simple Storage Service (Amazon S3) バケットまたはその他のアクセス可能な場所にアップロードします。

  3. AWS Systems Manager の一機能である Run Command を使用して、次のようなコマンドを実行して、Systems Manager ドキュメント (SSM ドキュメント) AWS-RunPowerShellScript を使ってマネージドノードでスクリプトを実行します。

    Invoke-WebRequest ` -Uri "https://s3.aws-api-domain/DOC-EXAMPLE-BUCKET/script.vbs" ` -Outfile "C:\script.vbs" cscript c:\script.vbs
パラメータの最小要件

カスタムパッチベースラインに Microsoft がリリースしたアプリケーションを含めるには、少なくとも、パッチを適用する製品を指定する必要があります。次の AWS Command Line Interface ( AWS CLI )コマンドは、Microsoft Office 2016 などの製品にパッチを適用する最小限の要件を示します。

Linux & macOS
aws ssm create-patch-baseline \ --name "My-Windows-App-Baseline" \ --approval-rules "PatchRules=[{PatchFilterGroup={PatchFilters=[{Key=PRODUCT,Values='Office 2016'},{Key=PATCH_SET,Values='APPLICATION'}]},ApproveAfterDays=5}]"
Windows Server
aws ssm create-patch-baseline ^ --name "My-Windows-App-Baseline" ^ --approval-rules "PatchRules=[{PatchFilterGroup={PatchFilters=[{Key=PRODUCT,Values='Office 2016'},{Key=PATCH_SET,Values='APPLICATION'}]},ApproveAfterDays=5}]"

Microsoft アプリケーション製品ファミリーを指定した場合、指定する各製品は、選択した製品ファミリーのサポートされたメンバーである必要があります。たとえば、「Active Directory Rights Management Services Client 2.0」という製品にパッチを適用する場合、「Office」や「SQL Server」などではなく、「Active Directory」を製品ファミリーに指定する必要があります。次の AWS CLI コマンドは、製品ファミリーと製品の一致したペアを示します。

Linux & macOS
aws ssm create-patch-baseline \ --name "My-Windows-App-Baseline" \ --approval-rules "PatchRules=[{PatchFilterGroup={PatchFilters=[{Key=PRODUCT_FAMILY,Values='Active Directory'},{Key=PRODUCT,Values='Active Directory Rights Management Services Client 2.0'},{Key=PATCH_SET,Values='APPLICATION'}]},ApproveAfterDays=5}]"
Windows Server
aws ssm create-patch-baseline ^ --name "My-Windows-App-Baseline" ^ --approval-rules "PatchRules=[{PatchFilterGroup={PatchFilters=[{Key=PRODUCT_FAMILY,Values='Active Directory'},{Key=PRODUCT,Values='Active Directory Rights Management Services Client 2.0'},{Key=PATCH_SET,Values='APPLICATION'}]},ApproveAfterDays=5}]"
注記

商品とファミリーのペアリングのミスマッチに関するエラーメッセージが表示される場合は、「問題:製品ファミリ/製品ペアの不一致」を参照すると問題解決に役立ちます。