システム担当者にとって、高度・多様化するサイバー攻撃に対し、OSのアップデートを含めてIT資産の管理を行うことは必須の業務と言えます。
Windowsのアップデート管理を行う場合、「WSUS」や「Intune」、あるいはサードパーティー製の製品を使うことが多いと思いますが、Windows 10では、Microsoftが提供するクラウドベースのIT管理ソリューション「Microsoft Operations Management Suite(OMS)」の一機能である「Update Compliance」を使って、各端末に最新のパッチが当たっているかどうかを管理することができます。
- Dedicated drill-downs for devices that might need attention
- An inventory of devices, including the version of Windows they are running and their update status
- The ability to track protection and threat status for Windows Defender Antivirus-enabled devices
- An overview of WUfB deferral configurations (Windows 10 Anniversary Update [1607] and later)
- Powerful built-in log analytics to create useful custom queries
- Cloud-connected access utilizing Windows 10 diagnostic data means no need for new complex, customized infrastructure
https://docs.microsoft.com/ja-jp/windows/deployment/update/update-compliance-monitor より
Azureアカウントの準備
Update Complianceを利用するにあたり、まずはMicrosoft Azureのアカウントが必要になります。
アカウントを持っていない場合は、「Azure の無料アカウントを今すぐ作成しましょう」からアカウントを作成してください。
アカウント作成時にクレジットカードの入力が必要となりますが、Q&Aページに書いてある通り、無料で使用できるサービスを使っている限りは、料金が発生することはありません。
OMSのセットアップとUpdate Complianceの有効化
Azureアカウントの準備ができたら、次はOperations Management Suite(OMS)のセットアップを行い、Update Complianceを有効化します。
- https://portal.azure.com/ からAzureにログインします。
- 1.とは別のタブでOperations Management Suiteにサインインします。
- 「使用したアカウントは Microsoft Operations Management Suite ワークスペースに関連付けられていません…」画面が表示されたら、「OK」ボタンをクリックします。
- 新しいワークスペースの作成画面が表示されたら、ワークスペース名や電子メールといった必要事項を入力し、「作成」ボタンをクリックします。ここで決めたワークスペース名がOMSポータル(そのうちAzure ポータルに統合されるようです)のURL(https://〇〇〇〇.portal.mms.microsoft.com/)となります。
- Azure サブスクリプションのリンク画面が表示されたら、サブスクリプションを選択し、「リンク」ボタンをクリックします。
- OMSポータルが使えるようになるので、「ソリューション ギャラリー」を開きます。
- 「すべてのソリューション」から「更新プログラムのコンプライアンス」(Update Compliance)を選択します。
- 更新プログラムのコンプライアンス(Update Compliance)の詳細画面が表示されたら、「追加」ボタンをクリックします。
- しばらく待つと、ポータルにUpdate Complianceが追加され、機能を利用できるようになります。
管理端末の追加
Update Complianceが使えるようになったら、管理する端末を登録します。
- OMSポータル(https://〇〇〇〇.portal.mms.microsoft.com/)にアクセスします。
- 設定 → Connected Sources → Windows Telemetryを開き、「商用 ID キー」をメモ帳にコピーしておきます。
- Update Complianceで管理する端末でローカルグループポリシーエディター(gpedit.msc)を起動します。
- コンピューターの構成 → 管理用テンプレート → Windows コンポーネント → データの収集とプレビュー ビルド から「業務用 ID を構成します」を開きます。
- 「有効」にチェックを入れ、「業務用 ID」に手順2.でコピーした値を貼り付けた後、「OK」ボタンをクリックします。
- グループポリシーエディターではなく、下記レジストリの値を追加することでも、Update Complianceに端末を登録できます。
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\DataCollection] "AllowTelemetry"=dword:00000000 "CommercialId"="(商用 ID キー)" "AllowDeviceNameInTelemetry"=dword:00000000
以上で端末の登録作業は終了です。
2、3日で端末情報がUpdate Complianceに反映され、OMSポータルからアップデート状況を確認することができます。
おわりに
Update Complianceは、OMSに統合されたAzure Log Analytics上に構築されています。
Update Compliance is built upon the Log Analytics platform that is integrated into Operations Management Suite. All data within the workspace is the direct result of a query. Understanding the tools and features at your disposal, all integrated within OMS, can deeply enhance your experience and complement Update Compliance.
私はFreeプランで1日あたりのアップロード上限512MB、保有期間7日という制限下でUpdate Complianceを利用しているのですが、「Azure Log Analytics でデータのコストを管理する」ページに下記のような記述があり、2018年7月現在、新規でUpdate Complianceを使い始める場合、Freeプランが選べるのかどうかは未確認です。
マイクロソフト エンタープライズ契約の署名が 2018 年 7 月 1 日より前のお客様、またはサブスクリプションに Log Analytics ワークスペースを既に作成済みのお客様は、まだ Free レベルにアクセスすることができます。 サブスクリプションが既存の EA 加入契約に関連付けられていない場合、2018 年 4 月 2 日より後に新しいサブスクリプションでワークスペースを作成するときに、Free レベルは利用できません。 Free レベルを使っている場合は、データのリテンション期間は 7 日間に制限されます。 “スタンドアロン” レベルまたは “有料” レベルの場合は、収集されたデータは 31 日間利用できます。 Free レベルには 1 日当たり 500 MB のインジェスト制限があり、許可されているボリュームを常に超えることが確実な場合は、ワークスペースを有料プランに変更し、この制限を超えてデータを収集できます。
https://docs.microsoft.com/ja-jp/azure/log-analytics/log-analytics-manage-cost-storage より
ただ、Log Analyticsの料金ページを見る限り、「データ インジェスト:¥309.12/GB、データ保持:¥13.44/GB/月」となっているので、Update Complianceを利用する程度では大きなコストは掛からないでしょう。
若干のクセはあるものの、アップデート状況を視覚的に監視できるUpdate Complianceは非常に便利なサービスです。
Windows 10端末の管理でお困りの方は、是非一度試してみてください。
参考Webページ
- Monitor Windows Updates and Windows Defender Antivirus with Update Compliance
- https://docs.microsoft.com/ja-jp/windows/deployment/update/update-compliance-monitor
- Get started with Update Compliance
- https://docs.microsoft.com/ja-jp/windows/deployment/update/update-compliance-get-started
- Use Update Compliance
- https://docs.microsoft.com/ja-jp/windows/deployment/update/update-compliance-using
- Update Compliance
- https://blogs.msdn.microsoft.com/okemokoloebube/2017/04/23/updatecompliance/
- OMS ポータルの Azure への移行
- https://docs.microsoft.com/ja-jp/azure/log-analytics/log-analytics-oms-portal-transition
- Azure Log Analytics 管理ソリューションをワークスペースに追加する
- https://docs.microsoft.com/ja-jp/azure/log-analytics/log-analytics-add-solutions
- ワークスペースを管理する
- https://docs.microsoft.com/ja-jp/azure/log-analytics/log-analytics-manage-access
- Log Analytics についてよく寄せられる質問
- https://docs.microsoft.com/ja-jp/azure/log-analytics/log-analytics-faq
- Log Analytics でデータ ボリュームと保有期間を制御してコストを管理する
- https://docs.microsoft.com/ja-jp/azure/log-analytics/log-analytics-manage-cost-storage
- Windows update compliance – Querying Azure Log Analytics data using PowerShell
- https://blogs.technet.microsoft.com/cbernier/2018/02/15/windows-update-compliance-querying-azure-log-analytics-data-using-powershell/
この記事へのコメントはありません。