Next Topic

Previous Topic

Book Contents

ポリシーにより承認

パッチ管理 > ポリシーにより承認

ポリシーにより承認 ページは、パッチポリシーで、運営マシン上のマイクロソフトパッチのインストールを承認、または拒否します。承認がペンディングのパッチは、承認されるまで、拒否されていると解釈されます。これは、パッチが自動的に追い出される前に、あなたの環境でパッチをテストし照合するチャンスを与えます。パッチ管理の一般的な説明は、パッチの更新方法パッチ管理の構成パッチ処理パッチを置き換える更新分類およびパッチ不良を参照してください。

パッチ承認ポリシーを設定

パッチポリシーは、パッチを承認または拒否する目的で全アクティブパッチを含んでいます。アクティブパッチは、少なくともVSA内の1台のマシンでパッチスキャンで報告されたパッチとして定義されます。どのマシンも、1つないし複数のパッチポリシーに属することができます。

例えば、サーバーという名前のパッチポリシーを作成でき、あなたのサーバーをすべてこのパッチポリシーのメンバーとして指定し、 ワークステーションという名前の別のパッチポリシーを作成して、すべてのワークステーションをこのこのポリシーのメンバーとして指定します。  この方法で、サーバーとワークステーションにパッチ承認を別々に構成できるわけです。

  • どのパッチポリシーのメンバーでもないマシンのパッチは、自動的に承認されたかのように扱われます。
  • 新しいパッチポリシーが作成されると、デフォルトの承認状態は全パッチカテゴリーに対し承認がペンディングです。
  • パッチの各カテゴリと各製品のデフォルト承認状態は個々に設定できます。
  • マシンが複数のパッチポリシーのメンバーで、これらのポリシーが承認状態で相容れない場合は、最も制限がきつい承認状態が適用されます。
  • イニシャルアップデート自動アップデートは、パッチをインストールする前に承認が必要です。
  • ポリシーにより承認ポリシーでパッチを承認または拒否します。.
  • パッチにより承認パッチでパッチを承認または拒否し、全パッチポリシーでそのパッチの承認状態を設定します。
  • KBオーバーライドは、全パッチポリシーに対しデフォルト承認状態をKB項目 でオーバーライドし、全パッチポリシーの中でKB項目を伴うパッチの承認状態を設定します。
  • パッチアップデートマシンアップデートで拒否されたパッチをインストールすることができます。
  • マスター役ではないユーザーは、ユーザーがその範囲で見る権限を与えられている、作成した、あるいはマシンIDを持つパッチポリシーのみ見ることができます。

置き換わったパッチ

パッチは置き換わるので、インストールの必要はありません。詳しくは置き換わったパッチをご覧ください。

ポリシー

ドロップダウンリストから、名前でパッチポリシーを選択します。

名前を付けて保存

名前を付けて保存をクリックして、現在選択しているパッチポリシーを、同じ設定で新しいポリシーに保存します。全パッチ承認/拒否状態が、そのポリシーのデフォルトの承認状態として、コピーされます。マシンメンバーシップは、新しいポリシーにコピーされません

承認状態をコピー <Policy> / 今コピー

現在選択したポリシーから、承認状態をコピーされるポリシーを選択します。そして、今コピーをクリックします。これはテストマシンのグループに対して、テストポリシーを使って、パッチテストができます。テストが一旦完了し、パッチが承認あるいは拒否されると、コピー機能を使って、承認または拒否された状態のみを、テストポリシーから、制作ポリシーにコピーします。

ポリシーを見る / グループで

分類 または製品でパッチグループを表示します。

パッチ承認ポリシーステータス

この表は、分類をアップデートまたは製品グループで、パッチの承認状態を表示します。各分類をアップデートまたは製品グループには、承認, 拒否, 承認ペンディングそして総数統計があります。

このパッチポリシーのカテゴリーにデフォルト承認状態を選択します。パッチポリシーに新しく認識したパッチは、自動的にこのデフォルト値に設定されます。選択には以下があります:

- 承認

- 拒否

- 承認をペンディング

注: 同じパッチが違う2つの デフォルト承認ステータス設定に指定された場合(1つが分類をアップデート、そして もう1つが製品グループ)、二つのデフォルトのうち、より制限が厳しいものが優先されます:承認の上に承認をペンディング、その上に拒否という順番になります。

この表のリンクをどれかクリックして、個々のパッチとその承認状態をリストにしたパッチ承認ポリシー詳細ページを表示します。リストはクリックしたリンクのタイプでフィルタがかかります:

  • 分類または製品
  • 承認
  • 拒否
  • 承認をペンディング
  • 合計

パッチ承認ポリシー詳細ページでは、以下のことができます:

  • 個別にパッチを承認または拒否する。
  • パッチに関する詳細ページを表示するには、 KB項目 リンクをクリックします。詳細ページには、ナレッジベース項目を表示するリンクが含まれています。

    注: マイクロソフトは、パッチがリストに複数現れるように、複数のパッチに共有ナレッジベース項目を使っています。製品 名をチェックするか、KB 項目リンクをクリックして、共通ナレッジベース項目に付属のパッチ区別します。

  • もしあれば、セキュリティ報告リンクをクリックしてセキュリティ報告を見ます。セキュリティ更新として分類されたパッチは、 セキュリティ報告ID (MSyy-xxx)を含んでいます。
  • 製品欄は、特定のパッチに付随している製品カテゴリーを認識するのに役立ちます。Iパッチが複数のOSファミリーで使用される場合 (例えば Windows XP, Windows Server 2003, Vista等), 製品カテゴリーは共通のウインドウズコンポーネンとなります。例としては、インターネットエクスプローラ、ウインドウズメディアプレーヤ、MDAC, MSXML, 等です。
  • 分類タイプの説明に関して分類の更新をご覧ください。
  • 詳細を表示チェックボックスをクリックすると、もしあれば、各パッチの拡張したタイトル、パッチ状態注釈、そしてインストール警告を表示します。
  • 表示されるデータ量を制限するためフィルタ、、、をクリックします。表示されたデータの各欄に異なる優れたフィルタを指定することができます。
  • パッチステータス注釈を使って、注釈を、500文字まで加えます。この注釈は承認または拒否ボタンを選択すると加えられます。承認または拒否を選択した時に、テキストボックスが空の場合、注釈は選択されたパッチから外されます。

このポリシーの“手動インストールのみ”のデフォルトの承認ステータスを、拒否で書き換えます。

これをクリックすると、現存の、また将来の手動インストールのみのアップデートがすべて、このポリシーに対して拒否に設定されます。

このポリシーの“ウインドウズアップデートウェブサイト”のアップデートをのデフォルトの承認ステータスから拒否に書き換えます。

これをクリックすると、現存の、また将来のウインドウズアップデートウェブサイトのアップデートがすべて、このポリシーに対して拒否に設定されます。

注: これらの2つのオーバーライドチェックボックスをチェックすると、これらの2つのカテゴリのパッチに現存のパッチの一回だけの効果があります。これらのボックスにチェックを入れた現存のパッチをこれらの1つまたは2つのカテゴリに承認すると、これらの2つのチェックボックスの設定に関係なく承認されたままになります。将来のパッチは、デフォルトが拒否のままになります。