Přehled Update Managementu

Update Management v Azure Automation můžete použít ke správě aktualizací operačního systému pro virtuální počítače s Windows a Linux v Azure, fyzických nebo virtuálních počítačích v místních prostředích a v dalších cloudových prostředích. Můžete rychle vyhodnotit stav dostupných aktualizací a spravovat proces instalace požadovaných aktualizací pro počítače, které se hlásí do Update Management.

Jako poskytovatel služeb můžete mít k Azure Lighthousek dispozici několik klientů pro zákazníky. Update Management můžete použít k vyhodnocení a naplánování nasazení aktualizací do počítačů ve více předplatných v rámci stejného tenanta Azure Active Directory (azure AD) nebo napříč klienty pomocí Azure Lighthouse.

Microsoft nabízí další možnosti, které vám pomůžou se správou aktualizací pro virtuální počítače Azure nebo služby Azure Virtual Machine Scale Sets, které byste měli zvážit v rámci celkové strategie správy aktualizací.

  • Pokud vás zajímá automatické vyhodnocení a aktualizace virtuálních počítačů Azure, aby se zajistila kompatibilita zabezpečení s kritickými a aktualizacemi zabezpečení vydaných každý měsíc, přečtěte si téma Automatické opravy hosta virtuálního počítače (Preview). Toto je alternativní řešení správy aktualizací pro virtuální počítače Azure, které se automaticky aktualizuje v době mimo špičku, včetně virtuálních počítačů v rámci skupiny dostupnosti, a to ve srovnání se správou nasazení aktualizací na tyto virtuální počítače z Update Management v Azure Automation.

  • Pokud spravujete službu Azure Virtual Machine Scale Sets, přečtěte si, jak provádět automatické upgrady IMAGÍ operačního systému pro bezpečnou a automatickou aktualizaci disku s operačním systémem pro všechny instance v sadě škálování.

Než nasadíte Update Management a povolíte správu vašich počítačů, ujistěte se, že rozumíte informacím v následujících částech.

O Update Management

následující diagram znázorňuje, jak Update Management vyhodnocuje a aplikuje aktualizace zabezpečení na všechny připojené servery Windows Server a Linux.

Update Management workflow

Update Management se integruje s protokoly Azure Monitor k ukládání posouzení aktualizací a výsledků nasazení aktualizací jako dat protokolu z přiřazených počítačů Azure a mimo Azure. aby bylo možné tato data shromažďovat, je účet služby Automation a pracovní prostor Log Analytics propojen dohromady a na počítači je vyžadován agent Log Analytics pro Windows a Linux a je nakonfigurován tak, aby hlásil do tohoto pracovního prostoru.

Update Management podporuje shromažďování informací o aktualizacích systému od agentů ve skupině pro správu Operations Manager System Center připojené k pracovnímu prostoru. Počítač zaregistrovaný pro Update Management ve více než jednom pracovním prostoru Log Analytics (označovaný také jako více domovských) se nepodporuje.

Následující tabulka shrnuje podporované připojené zdroje s Update Management.

Připojený zdroj Podporováno Popis
Windows Yes Update Management shromažďuje informace o aktualizacích systému z Windows počítačů pomocí agenta Log Analytics a instalaci požadovaných aktualizací.
počítače musí hlásit Microsoft Update nebo Windows Server Update Services (WSUS).
Linux Yes Update Management shromažďuje informace o aktualizacích systému z počítačů se systémem Linux pomocí agenta Log Analytics a instalaci požadovaných aktualizací v podporovaných distribucích.
Počítače musí podávat zprávy do místního nebo vzdáleného úložiště.
Skupina pro správu Operations Manageru Yes Update Management shromažďuje informace o aktualizacích softwaru od agentů v připojené skupině pro správu.

Přímé připojení od agenta Operations Manager do Azure Monitor protokolů není vyžadováno. Data protokolu se předávají ze skupiny pro správu do pracovního prostoru Log Analytics.

Počítače přiřazené k Update Management nahlásí, jak se na zdroji nakonfigurované pro synchronizaci s. Windows počítače je potřeba nakonfigurovat tak, aby nahlásily buď Windows Server Update Services nebo Microsoft Update, a počítače se systémem Linux musí být nakonfigurované tak, aby hlásily do místního nebo veřejného úložiště. můžete také použít Update Management s Microsoft Endpoint Configuration Manager a získat další informace v tématu věnovaném integraci Update Management s Windowsmi koncovými body Configuration Manager.

pokud je Agent web Windows Update (WUA) na Windows počítače nakonfigurovaný tak, aby hlásil službě wsus, v závislosti na tom, kdy se služba wsus naposledy synchronizuje s Microsoft Update, se výsledky můžou lišit od Microsoft Update. Toto chování je stejné pro počítače se systémem Linux, které jsou nakonfigurované tak, aby hlásily do místního úložiště místo veřejného úložiště. v Windows počítači se kontrola dodržování předpisů ve výchozím nastavení spouští každých 12 hodin. U počítače se systémem Linux se kontrola dodržování předpisů provádí ve výchozím nastavení každou hodinu. Pokud je agent Log Analytics restartován, spustí se kontrola kompatibility do 15 minut. Když počítač dokončí kontrolu kompatibility aktualizací, agent přepošle informace hromadně do Azure Monitor protokolů.

Aktualizace softwaru můžete nasadit a nainstalovat na počítačích, které vyžadují aktualizace, vytvořením plánovaného nasazení. aktualizace klasifikované jako volitelné nejsou zahrnuté do oboru nasazení pro Windows počítače. V rozsahu nasazení jsou zahrnuté jenom požadované aktualizace.

Plánované nasazení definuje, které cílové počítače obdrží příslušné aktualizace. K tomu slouží buď explicitním zadáním určitých počítačů, nebo výběrem skupiny počítačů , která je založena na hledání protokolu konkrétní sady počítačů (nebo na základě dotazu Azure , který dynamicky vybírá virtuální počítače Azure na základě zadaných kritérií). Tyto skupiny se liší od Konfigurace oboru, která se používá k řízení cíle počítačů, které přijmou konfiguraci pro povolení Update Management. Tím se zabrání v provádění a hlášení shody aktualizací a instalaci schválených požadovaných aktualizací.

Při definování nasazení také zadáte plán, který schválíte a nastavíte časové období, během kterého lze nainstalovat aktualizace. Toto období se nazývá časový interval pro správu a údržbu. Pro restartování je vyhrazeno 20 minut časového období údržby, za předpokladu, že je potřeba, a vybrali jste vhodnou možnost restartování. Pokud oprava trvá déle, než se čekalo a v časovém intervalu údržby je méně než 20 minut, neproběhne restart.

Po naplánování balíčku aktualizace na nasazení trvá 2 až 3 hodiny, než se aktualizace zobrazí pro počítače se systémem Linux pro posouzení. u Windows počítačů trvá 12 až 15 hodin, než se aktualizace zobrazí pro posouzení po jejím vydání. Před instalací aktualizací a po ní se provede kontrola shody aktualizací a výsledky dat protokolu se předají do pracovního prostoru.

Aktualizace se instalují po sadách runbook službou Azure Automation. Tyto Runbooky nemůžete zobrazit a nevyžadují žádnou konfiguraci. Při vytvoření nasazení aktualizace se vytvoří plán, který spustí sadu Runbook s aktualizací v zadaném čase pro zahrnuté počítače. hlavní runbook spouští podřízený runbook na každém agentovi, který iniciuje instalaci požadovaných aktualizací s agentem web Windows Update v Windows nebo v příslušném příkazu na podporovaném distribuce systému Linux.

V datu a čase zadaném v nasazení aktualizace spouštějí cílové počítače paralelně nasazení. Před instalací se spustí Kontrola, aby se ověřilo, že se aktualizace pořád vyžadují. V případě klientských počítačů služby WSUS, pokud aktualizace nejsou schváleny ve službě WSUS, nasazení aktualizace se nepovede.

Omezení

Omezení, která platí pro Update Management, najdete v tématu omezení služby Azure Automation.

Oprávnění

Chcete-li vytvořit a spravovat nasazení aktualizací, potřebujete specifická oprávnění. Další informace o těchto oprávněních najdete v tématu přístup na základě rolí – Update Management.

Update Management komponenty

Update Management používá prostředky popsané v této části. Tyto prostředky se automaticky přidají do vašeho účtu Automation, když povolíte Update Management.

Skupiny Hybrid Runbook Worker

po povolení Update Management se všechny Windows počítače, které jsou přímo připojené k vašemu Log Analytics pracovním prostoru, automaticky nakonfigurují jako systémové Hybrid Runbook Worker pro podporu runbooků, které podporují Update Management.

každý Windows počítač, který je spravovaný pomocí Update Management, je uvedený v podokně hybrid worker groups jako systémová skupina hybridních pracovních procesů pro účet Automation. Skupiny používají Hostname FQDN_GUID konvence vytváření názvů. Tyto skupiny nemůžete cílit na tyto sady Runbook ve vašem účtu. Pokud se pokusíte, pokus se nezdaří. Tyto skupiny jsou určené pouze pro podporu Update Management. další informace o zobrazení seznamu Windows počítačů nakonfigurovaných jako Hybrid Runbook Worker najdete v tématu zobrazení procesů Hybrid Runbook worker.

Windows počítač můžete přidat do skupiny uživatelů Hybrid Runbook Worker ve vašem účtu automation pro podporu runbooků Automation, pokud používáte stejný účet pro Update Management a členství v Hybrid Runbook Worker skupině. Tato funkce se přidala do 7.2.12024.0 verze Hybrid Runbook Worker.

Externí závislosti

Azure Automation Update Management závisí na následujících externích závislostech pro doručování aktualizací softwaru.

  • pro balíčky aktualizací softwaru a pro kontrolu použitelnosti aktualizací softwaru na počítačích se systémem Windows je potřeba Windows Server Update Services (WSUS) nebo Microsoft Update.
  • klient agenta web Windows Update (WUA) je vyžadován v počítačích s Windows, aby se mohl připojit k serveru WSUS nebo Microsoft Update.
  • Místní nebo vzdálené úložiště, které načte a nainstaluje aktualizace operačního systému na počítače se systémem Linux.

Sady Management Pack

V počítačích spravovaných pomocí Update Management jsou nainstalovány následující sady Management Pack. Pokud je vaše skupina pro správu Operations Manager připojená k pracovnímu prostoru Log Analytics, jsou sady Management Pack nainstalovány ve skupině pro správu Operations Manager. Sady Management Pack nemusíte konfigurovat ani spravovat:

  • Aktualizace Microsoft System Center Advisor Update Assessment Intelligence Pack (Microsoft.IntelligencePacks.UpdateAssessment)
  • Microsoft.IntelligencePack.UpdateAssessment.Configuration (Microsoft.IntelligencePack.UpdateAssessment.Configuration)
  • Update Deployment MP (Management Pack pro nasazení aktualizací)

Poznámka

Máte-li skupinu pro správu Operations Manager 1807 nebo 2019 připojenou k pracovnímu prostoru Log Analytics a agenty konfigurované ve skupině pro správu pro shromažďování dat protokolu, je nutné přepsat parametr IsAutoRegistrationEnabled a nastavit jej na True pravidlo IsAutoRegistrationEnabled .

další informace o aktualizacích sad management pack naleznete v tématu Připojení Operations Manager Azure Monitor protokolů.

Poznámka

pokud Update Management chcete plně spravovat počítače pomocí agenta Log Analytics, musíte aktualizovat agenta Log Analytics pro Windows nebo agenta Log Analytics pro Linux. Informace o aktualizaci agenta najdete v tématu Postup upgradu Operations Manager agenta. V prostředích, která Operations Manager, musíte mít System Center Operations Manager 2012 R2 UR 14 nebo novější.

Frekvence shromažďování dat

Update Management s využitím následujících pravidel vyhledává data ve spravovaných počítačích. Může trvat 30 minut až 6 hodin, než řídicí panel zobrazí aktualizovaná data ze spravovaných počítačů.

  • Každý Windows počítač – Update Management každý počítač dvakrát denně prohledá.

  • Každý počítač s Linuxem Update Management každou hodinu kontrolu.

Průměrné využití dat podle Azure Monitor pro počítač, který používá Update Management, je přibližně 25 MB za měsíc. Tato hodnota je pouze aproximace a může se změnit v závislosti na vašem prostředí. Doporučujeme monitorovat prostředí, abyste měli přehled o přesném využití. Další informace o analýze využití dat Azure Monitor protokolů najdete v tématu Správa využití a nákladů.

Update classifications

Následující tabulka definuje klasifikace, které Update Management podporuje pro Windows aktualizace.

Klasifikace Popis
Důležité aktualizace Aktualizace konkrétního problému, která řeší kritickou chybu nesouvisecí se zabezpečením
Aktualizace zabezpečení Aktualizace problému souvisejícího se zabezpečením určitého produktu
Kumulativní aktualizace Kumulativní sada oprav hotfix, které jsou zabalené společně pro snadné nasazení.
Balíčky funkcí Nové funkce produktu, které se distribuují mimo vydání produktu.
Aktualizace Service Pack Kumulativní sada oprav hotfix, které jsou použity pro aplikaci.
Aktualizace definic Aktualizace souborů definic virů nebo jiných definic
nástroje Nástroj nebo funkce, které pomáhají dokončit jednu nebo více úloh.
Aktualizace Aktualizace aplikace nebo souboru, který je aktuálně nainstalován.

Následující tabulka definuje podporované klasifikace pro aktualizace Linuxu.

Klasifikace Popis
Důležité aktualizace a aktualizace zabezpečení Aktualizace konkrétního problému nebo konkrétního problému souvisejícího se zabezpečením
Další aktualizace Všechny ostatní aktualizace, které nejsou ze povahy kritické nebo které nejsou aktualizacemi zabezpečení.

Poznámka

Klasifikace aktualizací pro počítače s Linuxem je dostupná jenom v případě, že se používá v podporovaných oblastech veřejného cloudu Azure. Při použití linuxových aktualizací v následujících národních cloudech Update Management klasifikace aktualizací:

  • Azure pro vládu USA
  • 21Vianet v Číně

Místo klasifikace se aktualizace hlásí v kategorii Jiné aktualizace.

Update Management používá data publikovaná podporovanými distribucemi, konkrétně vydané soubory OVAL (Open Vulnerability and Assessment Language). Vzhledem k tomu, že přístup k internetu je omezený z těchto národních cloudů, Update Management k souborům získat přístup.

V Případě Linuxu Update Management rozlišovat mezi důležitými aktualizacemi zabezpečení v cloudu v rámci klasifikace Zabezpečení a další při zobrazování dat posouzení z důvodu rozšiřování dat v cloudu. V případě oprav Update Management spoléhá na klasifikační data dostupná na počítači. Na rozdíl od jiných distribucí nemá CentOS tyto informace dostupné ve verzi RTM. Pokud máte počítače s CentOS nakonfigurované tak, aby vracely data zabezpečení pro následující příkaz, Update Management opravovat na základě klasifikací.

sudo yum -q --security check-update

V současné době neexistuje žádná podporovaná metoda povolení dostupnosti nativních klasifikačních dat v CentOS. V tuto chvíli se zákazníkům, kteří tuto funkci možná sami povolili, poskytuje omezená podpora.

Pokud chcete klasifikovat aktualizace Enterprise Red Hat verze 6, musíte nainstalovat modul plug-in yum-security. V Red Hat Enterprise Linuxu 7 je modul plug-in už součástí samotného yumu a není nutné nic instalovat. Další informace najdete v následujícím článku znalostní báze Red Hat.

Když naplánujete spuštění aktualizace na počítači s Linuxem, která je například nakonfigurovaná tak, aby instaloval jenom aktualizace odpovídající klasifikaci Zabezpečení, nainstalované aktualizace se můžou lišit od aktualizací odpovídajících této klasifikaci nebo se můžou lišit v jejich podmnožině. Po provedení posouzení aktualizací operačního systému čekajících na váš počítač s Linuxem se soubory OVAL (Open Vulnerability and Assessment Language) poskytované dodavatelem distribuce Linuxu používají Update Management klasifikace.

Kategorizace se provádí pro aktualizace Linuxu jako zabezpečení nebo jiné na základě souborů OVAL, což zahrnuje aktualizace řešící problémy se zabezpečením nebo ohrožení zabezpečení. Když je ale plán aktualizací spuštěný, provede se na počítači s Linuxem pomocí příslušného správce balíčků, jako je YUM, APT nebo ZYPPER, a nainstaluje je. Správce balíčků pro distribuci Linuxu může mít jiný mechanismus pro klasifikaci aktualizací, kdy se výsledky mohou lišit od výsledků získaných ze souborů OVAL pomocí Update Management. Pokud chcete ručně zkontrolovat počítač a zjistit, které aktualizace jsou pro vašeho správce balíčků relevantní, podívejte se na článek Řešení potíží s nasazením aktualizací pro Linux.

Poznámka

Během posuzování aktualizací nemusí klasifikace chybějících aktualizací jako Zabezpečení a Kritické fungovat správně u distribucí Linuxu podporovaných Update Management. Je to důsledek problému zjištěného se schématem pojmenování souborů OVAL, které služba Update Management používá ke klasifikaci aktualizací během hodnocení. To zabrání Update Management správně shodné klasifikace na základě pravidel filtrování během posuzování chybějících aktualizací.

. Vzhledem k tomu, že se při vyhodnocování aktualizací zabezpečení používá jiná logika, můžou se výsledky lišit od aktualizací zabezpečení použitých během nasazení. Pokud máte klasifikaci nastavenou na Kritickéa Zabezpečení,bude nasazení aktualizace fungovat podle očekávání. Ovlivněna je pouze klasifikace aktualizací během posouzení. Update Management pro Windows Server není ovlivněná; klasifikace aktualizací a nasazení se nemění.

Integrace Update Management s Správce konfigurace

Zákazníci, kteří investovali do Microsoft Endpoint Configuration Manager pro správu počítačů, serverů a mobilních zařízení, spoléhají také na sílu a vyspělost Správce konfigurace pomáhající se správou aktualizací softwaru. Informace o tom, jak integrovat Update Management s Správce konfigurace, najdete v tématu Integrace Update Management s Windows koncovým Správce konfigurace.

Aktualizace třetích stran v Windows

Update Management využívá místně nakonfigurované úložiště aktualizací k aktualizaci podporovaných Windows, a to buď WSUS, nebo Windows Update. Nástroje, jako System Center Aktualizace Publisher umožňují importovat a publikovat vlastní aktualizace pomocí služby WSUS. Tento scénář umožňuje Update Management počítače, které používají Správce konfigurace jako úložiště aktualizací, pomocí softwaru třetí strany. Informace o tom, jak nakonfigurovat aktualizace Publisher, najdete v tématu Instalace aktualizací Publisher.

Další kroky