パッチ・ポリシーの作成

このページでは、パッチ・ポリシーを作成し、組み込むパッチを選択し、デプロイメント・オプションを設定し、対象を指定するための手順を詳しく示します。

このタスクについて

アプリケーションを開くには、WebUI の「アプリケーション」メニューで「パッチ・ポリシー」を選択します。パッチ・ポリシー・タスクの要約を確認するには、「パッチ・ポリシー運用」を確認します。

手順

  1. 「ポリシー」ページで、「ポリシーの追加」をクリックします。
    「ポリシーの追加」ページが表示されます。
    注: マスター以外のオペレーターがポリシーを追加、編集または削除するには、「ポリシーの作成/編集」および「ポリシーの削除」の権限が必要です。権限の詳細については、WebUI 権限サービスを参照してください。マスター以外のオペレーターは「ポリシーの作成/編集」の権限を持っていても、マスター・アクション・サイトに保存されたポリシーの定義を編集することはできません。現在、マスター以外のオペレーターはマスター・アクション・サイトにアクセスできず、自分のカスタム・サイトにのみアクセスできます。
  2. 「ポリシー基準」ページで、次の情報を入力します。
    ポリシー名
    新しいポリシー名を入力します。
    サイト
    ドロップダウンから「マスター・アクション・サイト」または「カスタム・サイト」を選択し、ポリシーとそのスケジュールを保存します。
    説明
    説明を入力します。
  3. 次の 2 種類のコンテンツを含めることができます。カスタム・コンテンツまたは外部コンテンツ
    カスタム・コンテンツ:
    1. カスタム・サイトの Fixlet を含めるには、このオプションをオンにします。
    2. 「カスタム・コンテンツ基準」で、ドロップダウンから、新しいポリシーに含める必要がある「カテゴリー」「サイト」「開始日/終了日」「ソース」日付を選択します。
      注: ポリシーに含めるには、カスタム Fixlet には、上記のフィールドを含める必要があります。
    外部コンテンツ:
    1. 外部サイトの Fixlet を含めるには、このオプションをオンにします。
    2. 「外部コンテンツ基準」で、「オペレーティング・システム」「カテゴリー」「重要度」「コンテンツ・タイプ」を選択します。
    • オペレーティング・システム (1 つ選択): Amazon Linux、CentOS、Mac OS X、Oracle Linux、Red Hat Enterprise Linux、SUSE Linux Enterprise、Ubuntu、Windows。
    • カテゴリー: バグ修正、機能拡張、セキュリティー。
    • 重大度: きわめて重要、重要、中、低、未指定。
    • コンテンツタイプ: OS の更新、OS アプリケーションの更新、サード・パーティーの更新。
    注: パッチ・ポリシーを作成するときには、次の点を確認してください。
    • Fixlet にはデフォルト・アクションが必要です。デフォルト・アクションがない場合、Fixlet はパッチ・ポリシーに含まれません。
    • パッチ・ポリシーは、デフォルト・アクションを持つ Fixlet のみを検出します。
    • タスクは検出されません。
  4. 必要に応じて、「除外するコンテンツ」で除外するパッチを指定します。パッチのタイトルから抜粋したキーワードまたはフレーズを入力し、Enter キーを押して追加します。「除外するコンテンツ」フィールドでは大文字と小文字が区別されないため、大文字と小文字の違いは無視できます。キーワードまたはフレーズを追加/削除するには、 アイコンと アイコンを使用します。
  5. 「次へ」 をクリックして、新規ポリシーの「パッチ前およびパッチ後」の動作を設定します。
    注: 「パッチ前およびパッチ後」コンテンツの設定は必須ではありません。パッチ前コンテンツとパッチ後コンテンツのいずれか、あるいはその両方を設定できます。新規パッチ・ポリシーで「パッチ前およびパッチ後」コンテンツが不要な場合は、「次へ」をクリックして、このステップをスキップできます。
    1. 切り替えスイッチをクリックして、「パッチ前」または「パッチ後」を有効化します。
      注: デフォルトでは「パッチ前」と「パッチ後」は無効になっています。
    2. ドロップダウン・メニューから「サイト」を選択します。
      注: カスタム・サイトのみを選択できます。
    3. 「コンテンツ ID」を入力します。Fixlet またはタスクの名前は、コンテンツ ID の下に表示されます。
      注: 「コンテンツ ID」フィールドに入力できるのは、単一の Fixlet またはタスクのみです。
    注:

    「パッチ前」または「パッチ後」を選択した場合、以下の動作が適用されます。

    • 結果として得られるポリシー・アクションに含まれる Fixlet が 200 以下の場合、デバイスがポリシー内の事前タスク、ポスト・タスク、またはパッチ Fixlet のいずれかに適用可能であれば、ポリシー・アクションは対象デバイスで実行されます。
    • 結果として得られるポリシー・アクションに含まれる Fixlet が 200 を超える場合、ポリシー・アクションは、ポリシー内のパッチ Fixlet に適用可能なデバイスだけでなく、すべての対象デバイスで実行されます。また、「提案」や「強制的に再起動」などの設定は、有効化されている場合、対象となるすべてのデバイスで実行されます。
  6. 「次へ」をクリックして、新規ポリシーの自動最新表示の動作を設定します。
  7. 新規パッチの内容をポリシーに自動的に組み込むには、オプションの自動最新表示機能を使用します。更新のタイミングと頻度を制御するには、更新間隔を設定します。自動最新表示はデフォルトで無効にされています。
    • 更新サイクル (毎日、毎週、毎月) または具体的な日付 (曜日または毎月何日) と時刻 (時間)。
    • 日のオフセット: オプションの「経過日数」コントロールを使用して、火曜日パッチのような月次イベントに対する自動最新表示の更新をスケジュールします。月の第 2 火曜日は第 2 週にあることが多いですが、いつもそうとは限りません。(例えば 2018 年 8 月の場合、火曜日パッチは 8 月 14 日になります)。「経過日数」オプションを使用して、日付が月によって異なるイベントの更新を調整します。
    • タイム・ゾーン: タイム・ゾーン (WebUI サーバー時間または UTC) を選択します。
  8. ポリシー設定を保存し、ポリシー文書を表示するには、「保存」をクリックします。
    左上のポリシー名の下に「スケジュール」タブと、「コンテンツ」(外部/カスタム) タブが表示されます。ポリシーの要約が右側に表示されます。確定したポリシー・スケジュールは、左側に表示されます。「ポリシーの編集」コントロールは右下に表示されます。「追加者」列には、スケジュールに対象を追加したオペレーターが表示されます。「プロパティー別にターゲット設定する」の場合は、条件を設定したオペレーターが表示されます。
    注: 「ポリシーの削除」アクションを使用して 、ポリシーを削除できます。ポリシーを削除するには「ポリシーの編集」をクリックし、「ポリシーの編集」ページで「ポリシーの削除」をクリックします。
  9. 「スケジュールの追加」ボタンをクリックして、ポリシーのデプロイメントのタイミング、動作、対象を設定します。1 つのポリシーは、それぞれ固有のデプロイメント・オプションと対象を持った、複数のスケジュールを保有できます。スケジュールのないポリシーは、デプロイされません。
    スケジューリングをすることでパッチの適用が予測でき、エラーを最小限にとどめるのに役立ちます。さらに、コンプライアンス監査時に、作業環境が会社のセキュリティー・ポリシーを確実に満たしているようにします。一部のベンダーは定期的なパッチ・リリース・スケジュールに従っており、このスケジュールに合わせてポリシー・スケジュールを調整できます。本番環境にデプロイする前にテスト環境にポリシーをロール・アウトすることをおすすめします。テスト、QA、実稼働の各ステージには、それぞれ独自のタイミングと所要時間を指定して別個のパッチ・ロールアウトを定義することを検討してください。
    注: マスター以外のオペレーターがスケジュールの追加や編集、削除を実行するには「スケジュールの作成/編集」および「スケジュールの削除」の権限が必要です。権限の詳細については、WebUI 権限サービスを参照してください。マスター以外のオペレーターがスケジュールの追加や編集、削除を実行するには、ポリシーを保存するサイトへの書き込みアクセス権も必要です。
    1. スケジュール名を入力して、デプロイメント間隔を設定します。「スケジュールの追加」ページの画像。
      1. これは繰り返しイベントです (毎日、毎週、毎月) の (曜日または各月の第何日)。
      2. 経過日数: オプションの「経過日数」コントロールを使用して、火曜日パッチのような月次イベントに対するパッチ適用をスケジュールします。月の第 2 火曜日は第 2 週にあることが多いですが、いつもそうとは限りません。(例えば 2018 年 8 月の場合、火曜日パッチは 8 月 14 日になります)。「経過日数」オプションを使用して、日付が月によって異なるイベントのパッチを調整します。
      3. 時刻 (開始時刻)
      4. タイム・ゾーン: プロセスを開始するときは、各エンドポイントが存在する場所の夜間メンテナンス期間にパッチの適用を開始するなど、各地のタイム・ゾーンに合わせたクライアント時刻を使用します。すべてのタイム・ゾーンのすべてのエンドポイントで同時に動作させる場合は、UTC 時刻を使用します。
        • クライアント時刻 - 各エンドポイントのローカル時刻。BigFix agent がインストールされたデバイスの時刻です。
        • 協定世界時 - 協定世界時 (UTC) は、時計と時刻を世界共通に調整するときに使用する世界標準時刻です。
        注: 「クライアント時刻」を指定すると、ポリシーの開始時刻は UTC+14 タイム・ゾーンで指定された時刻に開始されます。詳細。「デプロイメント時刻」を参照してください。
      5. パッチ所要時間 (分、時間、または日数。最大 30 日間)。ポリシーに沿って応答のない対象デバイスに対しパッチのインストールを試みる時間の長さ。
      6. 実行期間: メンテナンス・ウィンドウ - このオプションを使うと、保守作業中にパッチ・ポリシーを実行できます。メンテナンス・ウィンドウ・ダッシュボードを使って、BigFix で実行される保守作業をスケジュールできます。
        注: この機能を使用するには、メンテナンス・ウィンドウのグローバル・プロパティーが存在している必要があります。
        メンテナンス・ウィンドウのグローバル・プロパティーを作成するには、次の手順に従います。
        1. BigFix コンソールから、「ツール」 > 「プロパティーの管理」に移動します。
        2. BES サポート・サイトの「メンテナンス・ウィンドウ」プロパティーを選択し、「カスタム・コピーの作成」をクリックして、「OK」をクリックします。
  10. デプロイメントとデプロイメント後の動作を設定します。
    • 事前キャッシュ: パッチ適用の開始前に、必要なファイルをダウンロードするには、最大 5 日間の範囲で分数、時間数、または日数を指定します。
    • ネットワーク負荷を減らすなどの目的で、パッチ適用の開始時刻をずらします。分数または時間数を設定します (無制限)。
    • パッチ・エラーをバイパスしパッチ適用を続行します。パッチ・ポリシーは複数のアクション・グループ (MAG) となります。MAG は順番に実行され、最初にアクションに失敗した時点で停止します。失敗を無視して次のアクションに進めるには、「パッチ・エラーのバイパス」オプションを使用します。MAG のオプションが先行するアクションに依存しない場合は、このオプションを使用します。ポリシーと複数のアクション・グループ (MAG) のプロセスについて詳しくは、『デプロイ済みポリシーのモニタリング』を参照してください。
    • 最大 n 回再試行 (回数無制限)。ハードドライブのスペース不足などが原因でデバイスにパッチをインストールできない場合は、再試行の値と次の再試行までの待機期間を設定します。
      • 試行間隔 n (分数、時間数。最大 30 日間) でインストールを試行します。
      • インストールするには、デバイスのリブートが完了するまでお待ちください。
    • 強制的に再起動 - 完了時に再起動を強制します。再起動が必要になると、デバイス所有者に通知し、デバイス所有者にとって都合の良い時間に再起動するオプションを提供します (1 日、7 日、15 日)。デフォルトのメッセージを使用するか、独自のメッセージを入力します。
  11. スケジュールを提案として送信するには、提案機能を使用します。提案機能を使うと、オペレーターは、必要に応じてスケジュールを受け入れることができるようになります。
    1. 「これを提案として送信」にチェックを入れます。
    2. 必要に応じて「提案があることをユーザーに通知」にチェックを入れます。
    3. 「提案の説明」を入力します。
  12. 「保存」をクリックすると、スケジュールが保存され、ポリシー文書に戻ります。
  13. 新規スケジュールは、リスト一番上に表示されます。「ターゲットの追加」をクリックします。
    デバイス別にターゲット設定する
    パッチ適用中ロック状態になる制約をスキップ: この機能を使用して、デバイスのロックを解除することなく、ロックされたデバイスにパッチをデプロイします。このオプションは、コンソール・ロックまたはロック解除の権限を持つオペレーターのみが使用でき、そのオペレーターによって追加されたターゲットにのみ適用されます。ロック権限の詳細については、「 ロック可能 - ローカル・オペレーターの追加」を参照してください。
    注: マスター以外のオペレーターが自分で作成した対象を追加または削除するには「独自の対象の追加/削除」の権限が必要です。マスター以外のオペレーターが他のオペレーターが作成した対象を削除するには「他のオペレーターの対象の削除」の権限が必要です。マスター以外のオペレーターは許可された数のデバイスのみを対象とすることができ、制限を超えることはできません。違反した場合、WebUI アプリケーションはエラー・メッセージを表示し、マスター以外のオペレーターはそれ以上進めません。権限の詳細については、WebUI 権限サービスを参照してください。マスター以外のオペレーターが対象を追加/削除するには、ポリシーを保存するサイトへの読み取りアクセス権が必要です。
  14. 「デバイス別にターゲット設定する」タブまたは「グループ別にターゲット設定する」タブで、デバイスまたはコンピューター・グループを選択します。または「プロパティー別にターゲット設定する 」を使用してプロパティー条件のセットを定義できます。それらの条件に一致するデバイスにポリシーが発行されます。単一のスケジュールに複数のターゲット設定方法を混在させることはできません。対象のないスケジュールはデプロイされません。デバイスをチェックして選択または選択解除します。「適用可能なパッチ」「デプロイメント」列の数値は、そのデバイスに関連付けられたパッチとデプロイメント情報の数です。パッチ・ポリシー・アプリケーションに戻るには、ご使用のブラウザーの「戻る」ボタンを使用します。
    プロパティー別にターゲット設定する
    「プロパティー別にターゲット設定する」では、対象とするエンドポイントの必要条件を定義できます。「プロパティー別にターゲット設定する」 は、スケジュールごとに 1 人のオペレーターに制限されます。そのスケジュールでは、ポリシーが発行されるのはそのオペレーターが所有するエンドポイント だけです。
    「クライアントの関連度別にターゲット設定する 」では、ポリシーのターゲットを決定するカスタム関連度を作成できます。例えば、特定のファイルのバージョンを確認できます。ポリシー・アクションは動的にターゲット設定されます。複数のターゲット設定方法を同時に選択することはできません。「クライアントの関連度別にターゲット設定する 」 は、スケジュールごとに 1 人のオペレーターに制限されます。そのスケジュールでは、ポリシーが発行されるのはそのオペレーターが所有するエンドポイント だけです。クライアントの関連度別にターゲット設定する
    マスター以外のオペレーターが、特定のスケジュールに「プロパティー別にターゲット設定する」 または「クライアントの関連度別にターゲット設定する」 を設定した場合、 以下のオペレーターのみがターゲット設定方法を編集したり「デバイス別にターゲット設定する」または「グループ別にターゲット設定する」に変更したりできます。
    • 最初に「プロパティー別にターゲット設定する」または「クライアントの関連度別にターゲット設定する」を設定した、マスター以外のオペレーター
    • マスター・オペレーター
      注: 「プロパティー別にターゲット設定する」または「クライアントの関連度別にターゲット設定する」タブは、「デバイスの対象の上限」権限が 「無制限」に設定されている、マスター以外のオペレーターにのみ表示されます。マスター以外のオペレーターは「ターゲット設定に標準のクライアント関連度を使用します」をクリックすると、「クライアントの関連度別にターゲット設定する」タブを表示できます。権限の詳細については、WebUI 権限サービスを参照してください。
  15. 「保存」をクリックすると、対象が保存され、パッチ・ポリシー文書に戻ります。
  16. 「コンテンツ」 (外部/カスタム) タブをクリックすると、新規パッチをポリシーに含めたり追加したりできるほか、ポリシーから新規パッチを除外できます。
    パッチのリストページの画像
    1. 除外するパッチを選択します。
    2. 「除外」をクリックします。
  17. 準備ができたら、「アクティブ化」トグル・ボタンをクリックしてポリシーをアクティブに切り替え、パッチの適用を開始します。ポリシーをアクティブ化すると、ポリシーのスケジュールもそれぞれアクティブ化されます。パッチのデプロイメントを停止するには、随時アクティブなポリシーを中断します。ポリシーを更新するには、「ポリシーの更新」アイコンをクリックします。
    ポリシー・ベースのパッチ適用動作をモニターするには、WebUI の「デプロイメント」ビューを使用します。
    注:

    ポリシー・スケジュールで 「クライアント時刻」を指定した場合、ポリシーをアクティブ化すると、ポリシーの開始時刻は UTC+14 タイム・ゾーンで指定されたクライアント時刻になります。これは、すべてのタイム・ゾーンのクライアントが、指定された時刻にポリシーを受信できるようにするためです。

    WebUI では、ポリシーがアクティブ化されると、ブラウザー時刻に開始時刻が表示されます。

    • クライアント時刻 = ポリシーを受信するエンドポイントの時刻。
    • ブラウザー時刻 = ブラウザーが存在するマシン上の時刻。
    以下の計算で、UTC+14 時刻からブラウザーの時刻に変換できます。
    • (ブラウザー時刻での) Start_time = <specified_client_time> - 14 時間 + <utc_hour_offset_for_browser_timezone> 時間

    ポリシーを各エンドポイントのタイムゾーンで午前 5:00 (午前 5:00 PST、午前 5:00 EST、午前 5:00 IST など) に実行する必要があるため、「クライアント時刻」を午前 5:00 に指定しました。つまり、このポリシー・アクションは UTC+14 タイム・ゾーンの午前 5:00 に発行されますが、クライアントのローカル時間が午前 5:00 になるまで、ポリシーはクライアント・エンドポイントで実行されません。

    ブラウザーが太平洋夏時間 (PDT) にあるとします。PDT は UTC-7 であるため、UTC オフセットは -7 です。

    PDT の開始時刻 = 午前 5:00 - 14 時間 + (-7 時間) = 午前 5:00 - 21 時間 = 午前 8:00 PDT

    ブラウザーがインド標準時 (IST) にあるとします。IST は UTC+5:30 なので、UTC オフセットは +5:30 です。

    IST の開始時刻 = 午前 5:00 - 14 時間 + (5 時間 30 分) = 午前 5:00 – 8 時間 30 分 = 午後 8:30 IST