1. はじめに
SMAのパッチ管理機能を使用するとMicrosoft製品, Adobe 製品など、WindowsおよびMacで利用可能なパッチをSMAから検出(適用済み・未適用の調査)、展開(配布)を行うことができます。
SMAのパッチ管理機能では、Microsoft, Adobe等ベンダーがリリースしているパッチ情報 などをまとめたパッチのリスト(パッチカタログ)をSMAサーバーが取り込み、その情報を元にSMAサーバーは クライアント向けのパッチをSMA自身にダウンロードして、管理下の端末(エージェント)へ配布する機能を実現しています。
(重要: SMA v10.0以上ではカタログとパッチエンジンが内製化されてLumensionのコンポーネントは使用されなくなりました)
展開のためのパッチデータはパッチファイル本体についてはKACEのサイトあるいはベンダーのサイトからSMAサーバー上にダウンロードされます。カタログ署名のデータはKACEのURLからダウンロードされます。
検出・展開するパッチの指定はパッチラベルで行い、パッチスケジュールを実行して検出・展開を行います。
2. 通信要件
KACE SMAサーバーはインターネットにアクセスできる必要があります(HTTP Proxy経由でも可)。
システム管理アプライアンスを機能させるために必要なネットワークポートおよびURL (4211365)
' SMAを適切に機能させるために必要なURL'
3. SMAサーバーの設定
・パッチサブスクリプション と カタログおよびパッチのダウンロード
KACE SMAのパッチカタログに登録されているパッチのうち、利用可能なパッチとしてマークするためには、サブスクリプションの設定とカタログのダウンロードを行う必要があります。
サブスクリプション設定 では利用可能にするパッチの範囲を定義します。
ダウンロードの設定 では パッチ署名のダウンロードと、パッチ本体ダウンロードのタイミング、方式を選択します。
サブスクリプションとダウンロードの詳細は以下のナレッジベース記事をご参照ください。
パッチ管理機能のサブスクリプション設定およびダウンロードの設定について (4257196)
以下はパッチアイテムについてのナレッジベース記事です。あわせてお読みください。
パッチ管理機能がサポートするアプリケーションとオペレーティングシステムについて (4293783)
パッチのステータスについて (4265143)
パッチカタログにおけるソフトウェアインストーラータイプのアイテムついて (4252831)
パッチカタログにおけるアンチウイルス定義(パターンファイル)について (4260625)
4. パッチラベル
パッチラベル は検出および展開を行う対象パッチのリストとして使用できます。後述のサブスクリプションのためにも使用できます。
たとえば、特定のKB番号パッチを含むラベルの作成には以下のような条件でフィルタしてSmartLabelあるいは手動ラベルを作成できます。
[名前] [次の正規表現にマッチする] 3097989|3100773|3081320....
パッチSmartLabelでは入力したフィルタパターンに基づいて動的にパッチを選択できます。
パッチラベル作成のサンプルを以下のナレッジベースにてご紹介しております。
SMA v10.0以上でのパッチスマートラベル と作成例 (4257254)
パッチカタログからセキュリティ更新パッチを絞り込む
最小限のWindows更新パッチを選択するパッチラベル
5. パッチスケジュール
パッチスケジュールではクライアントデバイス上でのパッチの検出(インストール有無のチェック)および配布(展開)、実行日時の定義を作成します。
パッチラベルが示すパッチについて各デバイスに対してどのようなアクション(検出、展開、検出と展開、ロールバック、検出とロールバック)を行うか、いつ、どのデバイスについて実行するかを設定します。
たとえばWindows OS のパッチはWSUSで運用しているのでOSパッチについてはKACEでは検出のみ行い、サードパーティアプリケーションだけKACEで更新したい、というような運用もパッチスケジュールと指定するパッチラベルの組み合わせにより可能です。
すべてのパッチは検出を含むアクションが指定された検出タスク によって、そのデバイスシステム上でパッチが [NOTPATCHED] (未適用、不在 = 適用可能だが未インストール)と判定されることで、はじめて展開タスクによるパッチのインストールが可能になります。
この仕組みによってパッチラベルの指定するパッチが多少あいまいでもパッチのインストールが間違った環境で実行される事態は生じません。
- あるデバイスに最初から [展開](のみ) のスケジュールを作成して展開スケジュールの実行を行っても配布は行われません。
- インストールされていないアプリケーションのパッチについての検出結果は「適用可能なパッチがない」(Not Applicable)と判定され完了する結果となり、展開タスクを行う条件を満たしません。
- あるパッチラベルに同じKB番号を持つWindows更新パッチがOS別に複数含まれていても、間違ったパッチが配
布されることはないためパッチラベルの指定をOS別に厳密に作成しなくとも問題はありません。
パッチスケジュール作成の詳細について以下の記事をご参照ください。
パッチ検出展開スケジュールの作成について (4252954)
パッチスケジュールの[検出と展開] と [展開] の違いについて (4314965)
6. 展開結果の確認
パッチの適用状況は 導入ステータス表 を確認することで確認できます。
導入ステータス表 は パッチ詳細 あるいは 各デバイスインベントリ詳細 の セキュリティ | パッチ適用の検出/デプロイのステータス に表示されます。
正しくパッチの適用が行われたかどうかを判断するには、 検出日(時)が 展開日(時) よりも後になっていることを確認してください。
検出日時のほうが古い場合、システム再起動後が必要なパッチのインストールと再起動後の検出処理(検証) が行われていない可能性があるためPCの再起動後の検出の結果をご確認ください。(展開後に再起動するスケジュール設定で実際に再起動が行われれば通常は自動で検証処理が行われます)
検出ステータス
PATCHED[パッチが適用されました]: (SMAによるインストールかどうかに依存せず)パッチ/後継パッチがインストール済みです。インストールは行えません。
NOTPATCHED[パッチ未適用]: パッチが適用できる状態であり、未適用です。インストールが可能な状態です。
表示なし: パッチの適用対象ではありません。インストールは行えません。
展開ステータス
正常終了 ( 展開終了コード 0 あるいは3010)
エラー (展開終了コード)
展開終了コード が0以外の場合、インストールに成功しましたが再起動が必要であるなど何かの条件が付いている場合があります。
レポート機能により各デバイス毎の結果を一括出力することもできます。
パッチ導入ステータス表のようなレポートの作成方法 (4260975)
7. その他
■ 新規パッチ取り込みまでの日数について
オリジナルのベンダーからのパッチリリース後、数日してKACEのカタログに追加されてダウンロード可能になります。
セキュリティパッチはリリースされてから少なくとも2営業日経過後の署名/カタログのダウンロードをお待ちください。
ベンダーパッチがリリースされた後、SMAからいつ展開できるようになりますか? (4294606)
Microsoftセキュリティパッチは約2営業日をターゲットとしています。
■ 配布したはずなのにPATCHED(インストール済み)と判断されていない場合どのようなことを調べればよいでしょうか。
以下の記事の手順をご確認ください。
KACE SMAによるパッチ展開が行われない場合に収集すべき情報(初期トリアージ) (4257173)
■ 間違って走らせたパッチスケジュールをとめたいのですがキャンセルする方法はありますか?
以下の記事の手順を実施ください。
予定外に実行してしまったパッチスケジュールを停止する手順 (4310976)
■ Windows Updateの動作と競合しないようにするにはどうすればよいですか?
基本的にGPO等Active Directoryの機能を使用して制御してください。
その他の Windows Update 設定の管理 - Windows Deployment | Microsoft Learn (microsoft.com)以下の記事の手順をご確認ください。
設定ポリシー Windows 自動更新 による Windows Updateの制御について(4257156)
SMAのパッチ管理機能は、通常購入時トレーニングにおいても時間をかけて説明が必要な機能となります。
読み進めるうえでご不明な点がございましたら、ご契約のサポート窓口へお問い合わせください。
当機能について全体の説明を受けたい場合、弊社営業へご相談いただき、レーニングの購入をご依頼ください。
