Azure VM も、Secure Boot を使用している場合、OS 側での Windows Update は必要ですか？

一般的に、Windows Update が有効な環境では、セキュア ブート証明書の更新は Windows OS の更新の一部として提供される場合が多く、通常は特別な操作を行わずに更新が進むことが想定されています。

ただし、以下のような IT 管理環境では、更新の適用状況を確認したり、追加の設定や対応が必要となる場合があります。

• WSUS / SCCM などにより Windows Update を制御している環境
• 組織ポリシーに基づき更新方法を限定している環境

該当する場合は、管理環境向けのガイダンスを確認のうえ対応をご検討ください。

セキュア ブート証明書の有効期限を迎えた場合でも、直ちに Windows や Azure VM が起動しなくなるわけではありません。

一方で、更新が行われていない状態では、起動前（ブート前）に適用される新しいセキュリティ更新を受け取れなくなり、ブート前の保護が最新の状態に保たれないいわゆる 「セキュリティが劣化した状態」とみなされる可能性があります。

有効期限後に更新を行うこと自体は可能とされているものの、環境によっては更新が適用しづらくなる可能性も指摘されています。
このため、業務影響や将来的なリスクを避ける観点から、有効期限前に更新が進んでいることを確認する運用が望ましいとされています。 

はい。Azure VM であっても、Secure Boot 証明書の更新はWindows OS の管理（OS 更新）の一部として扱われます。

そのため、Secure Boot を有効にしている構成では、Windows Update が適切に実行されていることを確認することが推奨されます。