ポリシーによる承認

[パッチ管理] > [パッチポリシー] > [ポリシーによる承認]

ポリシーにより承認 ページは、パッチポリシーで、運営マシン上のマイクロソフトパッチのインストールを承認、または拒否します。承認がペンディングのパッチは、承認されるまで、拒否されていると解釈されます。これは、パッチが自動的に追い出される前に、あなたの環境でパッチをテストし照合するチャンスを与えます。パッチ管理の一般的な説明は、パッチの更新方法、パッチ管理の構成、パッチ処理、パッチを置き換える、更新分類およびパッチ不良を参照してください。

パッチ承認ポリシーを設定

パッチポリシーは、パッチを承認または拒否する目的で全アクティブパッチを含んでいます。アクティブなパッチは、パッチスキャンによりVSAの少なくとも1台のマシンでレポートされたパッチとして定義されます。どのマシンも、1つないし複数のパッチポリシーに属することができます。

たとえば、serversという名前のパッチポリシーを作成し、すべてのサーバーをこのパッチポリシーのメンバーとして指定できます。さらに、workstationsという名前の別のパッチポリシーを作成して、すべてのワークステーションをこのこのポリシーのメンバーとして指定できます。この方法で、サーバーとワークステーションのパッチ承認を異なる構成にすることができます。

• どのパッチポリシーのメンバーでもないマシンのパッチは、自動的に承認されたかのように扱われます。
• 新しいパッチポリシーが作成されると、デフォルトの承認状態は全パッチカテゴリーに対し承認がペンディングです。
• パッチの各カテゴリと各製品のデフォルト承認状態は個々に設定できます。
• マシンが複数のパッチポリシーのメンバーで、これらのポリシーが承認状態で相容れない場合は、最も制限がきつい承認状態が適用されます。
• イニシャルアップデートと自動アップデートは、パッチをインストールする前に承認が必要です。
• ポリシーにより承認はポリシーでパッチを承認または拒否します。.
• パッチにより承認は パッチでパッチを承認または拒否し、全パッチポリシーでそのパッチの承認状態を設定します。
• KBオーバーライドは、全パッチポリシーに対しデフォルト承認状態をKB項目 でオーバーライドし、全パッチポリシーの中でKB項目を伴うパッチの承認状態を設定します。
• パッチアップデート とマシンアップデートで拒否されたパッチをインストールすることができます。
• マスター役割以外のユーザーは、自分が作成したパッチポリシー、またはユーザーがそのスコープに基づいて表示可能なマシンIDをもつパッチポリシーのみを表示できます。

置き換わったパッチ

パッチは置き換わるので、インストールの必要はありません。詳しくは置き換わったパッチをご覧ください。

ポリシー

ドロップダウンリストから、名前でパッチポリシーを選択します。

注：標準の"ZZ"パッチポリシーの詳細については、「標準ソリューションパッケージ」の「パッチ/更新管理」の「パッチ承認/ポリシーの拒否」を参照してください。

名前を付けて保存...

名前を付けて保存をクリックして、現在選択しているパッチポリシーを、同じ設定で新しいポリシーに保存します。全パッチ承認/拒否状態が、そのポリシーのデフォルトの承認状態として、コピーされます。マシンメンバーシップは、新しいポリシーにコピーされません。

承認ステータスをポリシー<ポリシー>にコピー/今コピー

現在選択したポリシーから、承認状態をコピーされるポリシーを選択します。そして、今コピーをクリックします。これはテストマシンのグループに対して、テストポリシーを使って、パッチテストができます。テストが一旦完了し、パッチが承認あるいは拒否されると、コピー機能を使って、承認または拒否された状態のみを、テストポリシーから、制作ポリシーにコピーします。

ポリシーを見る / グループで

分類 または製品でパッチグループを表示します。

パッチ承認ポリシーステータス

この表は、分類をアップデートまたは製品グループで、パッチの承認状態を表示します。各分類をアップデートまたは製品グループには、承認, 拒否, 承認ペンディングそして総数統計があります。

このパッチポリシーのカテゴリーにデフォルト承認状態を選択します。パッチポリシーに新しく認識したパッチは、自動的にこのデフォルト値に設定されます。選択には以下があります：

- 承認

- 拒否

- 承認をペンディング

注：同じパッチに2つの異なる[デフォルトの承認ステータス]設定（1つがアップデートの分類に基づき、もう1つが製品グループに基づく）が割り当てられている場合、2つのデフォルトのうち、制限の厳しいステータスが優先されます。承認の上に承認をペンディング、その上に拒否という順番になります。

この表のリンクをどれかクリックして、個々のパッチとその承認状態をリストにしたパッチ承認ポリシー詳細ページを表示します。リストはクリックしたリンクのタイプでフィルタがかかります：

• 分類または製品
• 承認される
• 拒否
• 承認をペンディング
• 合計

パッチ承認ポリシー詳細ページでは、以下のことができます：

• 個別にパッチを承認または拒否する。
• パッチに関する詳細ページを表示するには、 KB項目 リンクをクリックします。詳細ページには、ナレッジベース項目を表示するリンクが含まれています。

  注：マイクロソフトが1つ以上のパッチに共通ナレッジベース項目を使用していることがあり、これにより、パッチがリストに複数回表示されることがあります。製品 名をチェックするか、KB 項目リンクをクリックして、共通ナレッジベース項目に付属のパッチ区別します。

• もしあれば、セキュリティ報告リンクをクリックしてセキュリティ報告を見ます。セキュリティアップデートとして分類されたパッチは、セキュリティ報告ID（MSyy-xxx）を含みます。
• 製品欄は、特定のパッチに付随している製品カテゴリーを認識するのに役立ちます。パッチが複数のOSファミリー（Windows XP、Windows Server 2003、Vistaなど）で使用される場合、その製品カテゴリーは共通のWindowsコンポーネントです。例としては、インターネットエクスプローラ、ウインドウズメディアプレーヤ、MDAC, MSXML, 等です。
• 分類とタイプの説明に関して分類の更新をご覧ください。
• 詳細を表示チェックボックスをクリックすると、もしあれば、各パッチの拡張したタイトル、パッチ状態注釈、そしてインストール警告を表示します。
• 表示されるデータ量を制限するためフィルタ、、、をクリックします。表示されたデータの各欄に異なる優れたフィルタを指定することができます。「詳細フィルタリング」を参照してください。
• パッチステータス注釈を使って、注釈を、500文字まで加えます。この注釈は承認または拒否ボタンを選択すると加えられます。承認または拒否を選択した時に、テキストボックスが空の場合、注釈は選択されたパッチから外されます。

このポリシーの｢手動インストールのみ｣のデフォルトの承認ステータスを、拒否で書き換えます。

これをチェックした場合、既存および将来の手動インストール専用のアップデートがすべて、このポリシーでは拒否に設定されます。

このポリシーの｢Windows Updateウェブサイト｣のアップデートのデフォルトの承認ステータスを｢拒否｣に書き換えます。

これをチェックした場合、既存および将来のWindows Updateのウェブサイトのアップデートがすべて、このポリシーでは拒否に設定されます。

このポリシーの置き換えられたアップデートのデフォルトの承認ステータスを｢拒否｣に書き換えます。

これをチェックした場合、既存および将来の置き換えられたパッチがすべて、このポリシーでは拒否に設定されます。

注：書き換えに関するチェックボックスをチェックすると、このカテゴリーに含まれる既存のパッチへの処理が1回のみ変更されます。これらの書き換えに関するチェックボックスをチェックした後で、書き換えカテゴリーに属する既存のパッチを承認した場合、書き換えの設定とは無関係にパッチが承認されます。将来のパッチは、デフォルトが拒否のままになります。

このポリシーで新しいパッチ製品のデフォルト承認ステータスを設定します。

パッチスキャン時に識別された新しいマイクロソフト製品に対して、最初のデフォルトの承認ステータスを選択します。これらの新しい製品は、[ポリシーのビュー/グループ別]]ドロップダウンリストが[製品]に設定されている場合に表示されます。