Introducción a Update ManagementUpdate Management overview

Puede usar Update Management en Azure Automation para administrar las actualizaciones del sistema operativo de las máquinas virtuales Windows y Linux en Azure, en entornos locales y en otros entornos en la nube.You can use Update Management in Azure Automation to manage operating system updates for your Windows and Linux virtual machines in Azure, in on-premises environments, and in other cloud environments. Puede evaluar rápidamente el estado de las actualizaciones disponibles en todas las máquinas agente y administrar el proceso de instalación de las actualizaciones necesarias para los servidores.You can quickly assess the status of available updates on all agent machines and manage the process of installing required updates for servers.

Nota

No se puede usar una máquina configurada con Update Management para ejecutar scripts personalizados desde Azure Automation.You can't use a machine configured with Update Management to run custom scripts from Azure Automation. Esta máquina solo puede ejecutar el script de actualización con firma de Microsoft.This machine can only run the Microsoft-signed update script.

Nota

En este momento, no se admite la habilitación de Update Management directamente desde un servidor habilitado para Arc.At this time, enabling Update Management directly from an Arc enabled server is not supported. Consulte Habilitación de Update Management desde una cuenta de Automation para saber más sobre los requisitos y cómo habilitarlo para el servidor.See Enable Update Management from your Automation account to understand requirements and how to enable for your server.

Para descargar e instalar automáticamente las revisiones críticas y de seguridad disponibles en la máquina virtual de Azure, consulte Revisiones de invitado de máquina virtual automática para máquinas virtuales Windows.To download and install available Critical and Security patches automatically on your Azure VM, review Automatic VM guest patching for Windows VMs.

Antes de implementar Update Management y habilitar las máquinas para su administración, asegúrese de que comprende la información de las secciones siguientes.Before deploying Update Management and enabling your machines for management, make sure that you understand the information in the following sections.

Acerca de Update ManagementAbout Update Management

Las máquinas administradas por Update Management se basan en lo siguiente para realizar valoraciones y para implementar actualizaciones:Machines that are managed by Update Management rely on the following to perform assessment and to deploy updates:

  • Agente de Log Analytics para Windows o LinuxLog Analytics agent for Windows or Linux
  • Extensión DSC (configuración de estado deseado) de PowerShell para LinuxPowerShell Desired State Configuration (DSC) for Linux
  • Hybrid Runbook Worker de Automation (se instala automáticamente al habilitar Update Management en la máquina)Automation Hybrid Runbook Worker (automatically installed when you enable Update Management on the machine)
  • Microsoft Update o Windows Server Update Services (WSUS) para máquinas WindowsMicrosoft Update or Windows Server Update Services (WSUS) for Windows machines
  • Un repositorio de actualización privado o público para máquinas LinuxEither a private or public update repository for Linux machines

El siguiente diagrama muestra cómo Update Management evalúa y aplica las actualizaciones de seguridad a todos los servidores Windows Server y Linux conectados de un área de trabajo:The following diagram illustrates how Update Management assesses and applies security updates to all connected Windows Server and Linux servers in a workspace:

Flujo de trabajo de Update Management

Se puede utilizar Update Management para realizar la implementación de forma nativa en las máquinas de varias suscripciones del mismo inquilino.Update Management can be used to natively deploy to machines in multiple subscriptions in the same tenant.

Después de publicarse un paquete, la revisión tarda de 2 a 3 horas en aparecer en las máquinas Linux para su evaluación.After a package is released, it takes 2 to 3 hours for the patch to show up for Linux machines for assessment. Para las máquinas Windows, la revisión tarda de 12 a 15 horas en aparecer para su evaluación tras su publicación.For Windows machines, it takes 12 to 15 hours for the patch to show up for assessment after it's been released. Después de que una máquina finalice un examen de cumplimiento de actualizaciones, el agente reenvía la información de forma masiva a los registros de Azure Monitor.When a machine completes a scan for update compliance, the agent forwards the information in bulk to Azure Monitor logs. En una máquina Windows, el examen de cumplimiento se ejecuta cada 12 horas de forma predeterminada.On a Windows machine, the compliance scan is run every 12 hours by default. En una máquina Linux, el examen de cumplimiento se realiza cada hora de manera predeterminada.For a Linux machine, the compliance scan is performed every hour by default. Si se reinicia el agente de Log Analytics, se inicia un examen de cumplimiento al cabo de 15 minutos.If the Log Analytics agent is restarted, a compliance scan is started within 15 minutes.

Además del examen programado, el examen de cumplimiento de las actualizaciones se inicia a los 15 minutos del reinicio del agente de Log Analytics, así como antes y después de la instalación de actualizaciones.In addition to the scan schedule, the scan for update compliance is started within 15 minutes of the Log Analytics agent being restarted, before update installation, and after update installation.

Update Management informa del grado de actualización de la máquina en función del origen configurado para la sincronización.Update Management reports how up to date the machine is based on what source you're configured to sync with. Si la máquina Windows está configurada para informar a Windows Server Update Services (WSUS), en función de cuándo WSUS se sincronizó por última vez con Microsoft Update, los resultados pueden diferir de lo que se muestra en Microsoft Update.If the Windows machine is configured to report to Windows Server Update Services (WSUS), depending on when WSUS last synced with Microsoft Update, the results might differ from what Microsoft Update shows. Este comportamiento es el mismo para las máquinas Linux que están configuradas para informar a un repositorio local en lugar de a uno público.This behavior is the same for Linux machines that are configured to report to a local repo instead of to a public repo.

Nota

Para informar correctamente al servicio, Update Management requiere la habilitación de ciertas direcciones URL y puertos.To properly report to the service, Update Management requires certain URLs and ports to be enabled. Para más información sobre estos requisitos, consulte Configuración de red.To learn more about these requirements, see Network configuration.

Puede implementar e instalar las actualizaciones de software en las máquinas que requieren las actualizaciones mediante la creación de una implementación programada.You can deploy and install software updates on machines that require the updates by creating a scheduled deployment. Las actualizaciones clasificadas como opcionales no se incluyen en el ámbito de implementación en máquinas Windows.Updates classified as optional aren't included in the deployment scope for Windows machines. Solo se incluyen las actualizaciones necesarias.Only required updates are included in the deployment scope.

La implementación programada define qué máquina de destino reciben las actualizaciones aplicables.The scheduled deployment defines which target machines receive the applicable updates. Lo hace mediante la especificación explícita de determinadas máquinas o por medio de la selección de un grupo de equipos que se basa en las búsquedas de registros de un conjunto determinado de máquinas (o en una consulta de Azure que selecciona de forma dinámica las máquinas virtuales de Azure en función de los criterios especificados).It does so either by explicitly specifying certain machines or by selecting a computer group that's based on log searches of a specific set of machines (or on an Azure query that dynamically selects Azure VMs based on specified criteria). Estos grupos difieren de la configuración de ámbito, que se usa para controlar los destinos de las máquinas que reciben la configuración para habilitar Update Management.These groups differ from scope configuration, which is used to control the targeting of machines that receive the configuration to enable Update Management. Esto evita que realicen la comprobación de actualizaciones e informen sobre la misma, además de instalar las actualizaciones necesarias aprobadas.This prevents them from performing and reporting update compliance, and install approved required updates.

Al definir una implementación, también se especifica una programación para aprobar y establecer un período de tiempo durante el que se pueden instalar actualizaciones.While defining a deployment, you also specify a schedule to approve and set a time period during which updates can be installed. Este período se denomina ventana de mantenimiento.This period is called the maintenance window. Un intervalo de 20 minutos de la ventana de mantenimiento se reserva para los reinicios, suponiendo que sea necesario reiniciar y que haya seleccionado la opción de reinicio adecuada.A 20-minute span of the maintenance window is reserved for reboots, assuming one is needed and you selected the appropriate reboot option. Si la aplicación de revisiones tarda más de lo esperado y la ventana de mantenimiento dura menos de 20 minutos, no se producirá un reinicio.If patching takes longer than expected and there's less than 20 minutes in the maintenance window, a reboot won't occur.

Los Runbooks instalan las actualizaciones en Azure Automation.Updates are installed by runbooks in Azure Automation. No puede ver estos runbooks, que no requieren ninguna configuración.You can't view these runbooks, and they don't require any configuration. Cuando se crea una implementación de actualizaciones, esta crea una programación que inicia un runbook de actualización maestro a la hora especificada para las máquinas incluidas.When an update deployment is created, it creates a schedule that starts a master update runbook at the specified time for the included machines. El runbook maestro inicia un runbook secundario en cada agente para instalar las actualizaciones necesarias.The master runbook starts a child runbook on each agent to install the required updates.

En la fecha y hora especificadas en la implementación de actualizaciones, las máquinas de destino ejecutan la implementación en paralelo.At the date and time specified in the update deployment, the target machines execute the deployment in parallel. Antes de la instalación, se ejecuta un examen para comprobar que las actualizaciones siguen siendo necesarias.Before installation, a scan is run to verify that the updates are still required. En las máquinas cliente de WSUS, si no se aprueban las actualizaciones en WSUS, se produce un error en la implementación de actualizaciones.For WSUS client machines, if the updates aren't approved in WSUS, update deployment fails.

No se permite tener registrada una máquina para Update Management en más de un área de trabajo de Log Analytics (también conocido como hospedaje múltiple).Having a machine registered for Update Management in more than one Log Analytics workspace (also referred to as multihoming) isn't supported.

ClientesClients

Tipos de cliente admitidosSupported client types

En la tabla siguiente se muestra una lista de sistemas operativos compatibles para evaluaciones de actualizaciones y parches.The following table lists the supported operating systems for update assessments and patching. La aplicación de revisiones requiere Hybrid Runbook Worker, que se instala automáticamente al habilitar la máquina virtual o el servidor para la administración mediante Update Management.Patching requires a Hybrid Runbook Worker, which is automatically installed when you enable the virtual machine or server for management by Update Management. Para obtener información sobre los requisitos del sistema para Hybrid Runbook Worker, consulte Implementación de Hybrid Runbook Worker en Windows e Implementación de Hybrid Runbook Worker en Linux.For information on Hybrid Runbook Worker system requirements, see Deploy a Windows Hybrid Runbook Worker and a Deploy a Linux Hybrid Runbook Worker.

Nota

La evaluación de la actualización de máquinas Linux solo se admite en determinadas regiones tal como se muestra en la tabla de asignaciones del área de trabajo de Log Analytics y la cuenta de Automation.Update assessment of Linux machines is only supported in certain regions as listed in the Automation account and Log Analytics workspace mappings table.

Sistema operativoOperating system NotasNotes
Windows Server 2019 (Datacenter/Datacenter Core/Standard)Windows Server 2019 (Datacenter/Datacenter Core/Standard)

Windows Server 2016 (Datacenter/Datacenter Core/Standard)Windows Server 2016 (Datacenter/Datacenter Core/Standard)

Windows Server 2012 R2 (Datacenter/Standard)Windows Server 2012 R2(Datacenter/Standard)

Windows Server 2012Windows Server 2012
Windows Server 2008 R2 (RTM and SP1 Standard)Windows Server 2008 R2 (RTM and SP1 Standard) Update Management admite evaluaciones y parches para este sistema operativo.Update Management supports assessments and patching for this operating system. Hybrid Runbook Worker es compatible con Windows Server 2008 R2.The Hybrid Runbook Worker is supported for Windows Server 2008 R2.
CentOS 6 (x86/x64) y 7 (x64)CentOS 6 (x86/x64) and 7 (x64) Los agentes de Linux requieren acceso a un repositorio de actualización.Linux agents require access to an update repository. La aplicación de revisiones basada en la clasificación requiere yum para devolver los datos de seguridad que CentOS no tiene en sus versiones RTM.Classification-based patching requires yum to return security data that CentOS doesn't have in its RTM releases. Para más información sobre la aplicación de revisiones basadas en clasificaciones en CentOS, consulte Actualización de clasificaciones en Linux.For more information on classification-based patching on CentOS, see Update classifications on Linux.
Red Hat Enterprise (x86/x64) 6 y 7 (x64)Red Hat Enterprise 6 (x86/x64) and 7 (x64) Los agentes de Linux requieren acceso a un repositorio de actualización.Linux agents require access to an update repository.
SUSE Linux Enterprise Server 12 (x64)SUSE Linux Enterprise Server 12 (x64) Los agentes de Linux requieren acceso a un repositorio de actualización.Linux agents require access to an update repository.
Ubuntu 14.04 LTS, 16.04 LTS y 18.04 (x86/x64)Ubuntu 14.04 LTS, 16.04 LTS, and 18.04 (x86/x64) Los agentes de Linux requieren acceso a un repositorio de actualización.Linux agents require access to an update repository.

Nota

Los conjuntos de escalado de máquinas virtuales de Azure se pueden administrar a través de Update Management.Azure virtual machine scale sets can be managed through Update Management. Update Management funciona en las propias instancias y no en la imagen base.Update Management works on the instances themselves and not on the base image. Deberá programar las actualizaciones de forma incremental, de modo que no todas las instancias de VM se actualicen a la vez.You'll need to schedule the updates in an incremental way, so that not all the VM instances are updated at once. Puede agregar nodos para conjuntos de escalado de máquinas virtuales siguiendo los pasos que se describen en Incorporación de una máquina que no es de Azure a la característica Change Tracking e Inventario.You can add nodes for virtual machine scale sets by following the steps under Add a non-Azure machine to Change Tracking and Inventory.

Tipos de cliente no admitidosUnsupported client types

En la tabla siguiente se enumeran los sistemas operativos no admitidos:The following table lists unsupported operating systems:

Sistema operativoOperating system NotasNotes
Cliente WindowsWindows client No se admiten sistemas operativos cliente (por ejemplo, Windows 7 y Windows 10).Client operating systems (such as Windows 7 and Windows 10) aren't supported.
En el caso de Windows Virtual Desktop(WVD) de Azure, el método recomendadoFor Azure Windows Virtual Desktop (WVD), the recommended method
para administrar las actualizaciones es usar Microsoft Endpoint Configuration Manager para la administración de revisiones de máquinas cliente de Windows 10.to manage updates is Microsoft Endpoint Configuration Manager for Windows 10 client machine patch management.
Windows Server 2016 Nano ServerWindows Server 2016 Nano Server No compatible.Not supported.
Nodos de Azure Kubernetes ServiceAzure Kubernetes Service Nodes No compatible.Not supported. Use el proceso de aplicación de revisiones que se describe en Aplicación de actualizaciones de kernel y seguridad en los nodos de Linux en Azure Kubernetes Service (AKS)Use the patching process described in Apply security and kernel updates to Linux nodes in Azure Kubernetes Service (AKS)

Requisitos del clienteClient requirements

La información siguiente describe los requisitos del cliente específicos del sistema operativo.The following information describes operating system-specific client requirements. Para obtener más instrucciones, vea Planeamiento de red.For additional guidance, see Network planning. Para comprender los requisitos de cliente para TLS 1.2, consulte el artículo sobre el cumplimiento de TLS 1.2 para Azure Automation.To understand client requirements for TLS 1.2, see TLS 1.2 enforcement for Azure Automation.

WindowsWindows

Los agentes de Windows deben estar configurados para comunicarse con un servidor de WSUS o requieren acceso a Microsoft Update.Windows agents must be configured to communicate with a WSUS server, or they require access to Microsoft Update. Para las máquinas híbridas, se recomienda instalar el agente de Log Analytics para Windows; para ello, primero debe conectar la máquina a los servidores habilitados para Azure Arc y, después, use Azure Policy para asignar la directiva integrada Implementar el agente de Log Analytics en máquinas de Azure Arc con Windows.For hybrid machines, we recommend installing the Log Analytics agent for Windows by first connecting your machine to Azure Arc enabled servers, and then use Azure Policy to assign the Deploy Log Analytics agent to Windows Azure Arc machines built-in policy. Como alternativa, si planea supervisar las máquinas con Azure Monitor para VM, en su lugar, use la iniciativa Habilitar Azure Monitor para VM.Alternatively, if you plan to monitor the machines with Azure Monitor for VMs, instead use the Enable Azure Monitor for VMs initiative.

Puede usar Update Management con Microsoft Endpoint Configuration Manager.You can use Update Management with Microsoft Endpoint Configuration Manager. Para más información sobre escenarios de integración, consulte este artículo sobre la integración de Update Management con Endpoint Configuration Manager de Windows.To learn more about integration scenarios, see Integrate Update Management with Windows Endpoint Configuration Manager. El agente de Log Analytics para Windows es necesario para los servidores Windows administrados por sitios en su entorno de Configuration Manager.The Log Analytics agent for Windows is required for Windows servers managed by sites in your Configuration Manager environment.

De forma predeterminada, las máquinas virtuales Windows implementadas desde Azure Marketplace se establecen para recibir actualizaciones automáticas del servicio de Windows Update.By default, Windows VMs that are deployed from Azure Marketplace are set to receive automatic updates from Windows Update Service. Este comportamiento no cambia cuando se agregan VM Windows al área de trabajo.This behavior doesn't change when you add Windows VMs to your workspace. Si no administra activamente las actualizaciones mediante Update Management, se aplica el comportamiento predeterminado (las actualizaciones se aplican automáticamente).If you don't actively manage updates by using Update Management, the default behavior (to automatically apply updates) applies.

Nota

Puede modificar la directiva de grupo para que los reinicios de la máquina solo los pueda realizar el usuario, no el sistema.You can modify Group Policy so that machine reboots can be performed only by the user, not by the system. Es posible que las máquinas administradas se bloqueen si Update Management no tiene derechos para reiniciar la máquina sin la intervención manual del usuario.Managed machines can get stuck if Update Management doesn't have rights to reboot the machine without manual interaction from the user. Para obtener más información, consulte el tema sobre la configuración de la directiva de grupo para actualizaciones automáticas.For more information, see Configure Group Policy settings for Automatic Updates.

LinuxLinux

En Linux, la máquina requiere acceso a un repositorio de actualización, privado o público.For Linux, the machine requires access to an update repository, either private or public. Se requiere TLS 1.1 o TLS 1.2 para interactuar con Update Management.TLS 1.1 or TLS 1.2 is required to interact with Update Management. Update Management no admite un agente de Log Analytics para Linux que esté configurado para informar a varias áreas de trabajo de Log Analytics.Update Management doesn't support a Log Analytics agent for Linux that's configured to report to more than one Log Analytics workspace. La máquina también debe tener instalado Python 2.x.The machine must also have Python 2.x installed.

Nota

La evaluación de la actualización de máquinas Linux solo se admite en determinadas regiones.Update assessment of Linux machines is only supported in certain regions. Consulte la tabla de asignaciones del área de trabajo de Log Analytics y la cuenta de Automation.See the Automation account and Log Analytics workspace mappings table.

Para las máquinas híbridas, se recomienda instalar el agente de Log Analytics para Linux; para ello, primero debe conectar la máquina a los servidores habilitados para Azure Arc y, después, use Azure Policy para asignar la directiva integrada Implementar el agente de Log Analytics en máquinas de Azure Arc con Linux.For hybrid machines, we recommend installing the Log Analytics agent for Linux by first connecting your machine to Azure Arc enabled servers, and then use Azure Policy to assign the Deploy Log Analytics agent to Linux Azure Arc machines built-in policy. Como alternativa, si planea supervisar las máquinas con Azure Monitor para VM, en su lugar, use la iniciativa Habilitar Azure Monitor para VM.Alternatively, if you plan to monitor the machines with Azure Monitor for VMs, instead use the Enable Azure Monitor for VMs initiative.

Las máquinas virtuales que se crearon a partir de las imágenes a petición de Red Hat Enterprise Linux (RHEL) que están disponibles en Azure Marketplace están registradas para acceder a la instancia de Red Hat Update Infrastructure (RHUI) implementada en Azure.VMs created from the on-demand Red Hat Enterprise Linux (RHEL) images that are available in Azure Marketplace are registered to access the Red Hat Update Infrastructure (RHUI) that's deployed in Azure. Cualquier otra distribución de Linux se debe actualizar desde el repositorio de archivos en línea de la distribución mediante los métodos que admite esta.Any other Linux distribution must be updated from the distribution's online file repository by using methods supported by the distribution.

PermisosPermissions

Para crear y administrar implementaciones de actualizaciones, necesita permisos concretos.To create and manage update deployments, you need specific permissions. Para más información sobre estos permisos, consulte Acceso basado en rol: Update Management.To learn about these permissions, see Role-based access – Update Management.

Componentes de Update ManagementUpdate Management components

Update Management usa los recursos descritos en esta sección.Update Management uses the resources described in this section. Estos recursos se agregan automáticamente a la cuenta de Automation al habilitar Update Management.These resources are automatically added to your Automation account when you enable Update Management.

Grupos de Trabajos híbridos de runbookHybrid Runbook Worker groups

Después de habilitar Update Management, las máquinas Windows conectadas directamente al área de trabajo de Log Analytics se configuran automáticamente como Hybrid Runbook Worker para admitir los runbooks que admiten a su vez Update Management.After you enable Update Management, any Windows machine that's directly connected to your Log Analytics workspace is automatically configured as a Hybrid Runbook Worker to support the runbooks that support Update Management.

Cada máquina Windows administrada por Update Management se muestra en el panel Grupos de Hybrid Worker como un grupo Hybrid Worker del sistema para la cuenta de Automation.Each Windows machine that's managed by Update Management is listed in the Hybrid worker groups pane as a System hybrid worker group for the Automation account. Los grupos usan la convención de nomenclatura Hostname FQDN_GUID.The groups use the Hostname FQDN_GUID naming convention. No puede usar estos grupos como destino con runbooks de su cuenta.You can't target these groups with runbooks in your account. Si lo intenta, se producirá un error.If you try, the attempt fails. Estos grupos están diseñados únicamente para admitir Update Management.These groups are intended to support only Update Management. Para más información sobre la visualización de la lista de máquinas Windows configuradas como Hybrid Runbook Worker, consulte Hybrid Runbook Worker.To learn more about viewing the list of Windows machines configured as a Hybrid Runbook Worker, see view Hybrid Runbook Workers.

Puede agregar la máquina Windows a un grupo de Hybrid Runbook Worker en la cuenta de Automation para admitir runbooks de Automation si usa la misma cuenta para Update Management y la pertenencia a grupos de Hybrid Runbook Worker.You can add the Windows machine to a Hybrid Runbook Worker group in your Automation account to support Automation runbooks if you use the same account for Update Management and the Hybrid Runbook Worker group membership. Esta funcionalidad se agregó en la versión 7.2.12024.0 de Hybrid Runbook Worker.This functionality was added in version 7.2.12024.0 of the Hybrid Runbook Worker.

Módulos de administraciónManagement packs

Si el grupo de administración de Operations Manager está conectado a un área de trabajo de Log Analytics, se instalarán los siguientes módulos de administración en Operations Manager.If your Operations Manager management group is connected to a Log Analytics workspace, the following management packs are installed in Operations Manager. Estos módulos de administración también se instalan para Update Management en las máquinas Windows conectadas directamente.These management packs are also installed for Update Management on directly connected Windows machines. No es necesario configurar ni administrar dichos módulos.You don't need to configure or manage these management packs.

  • Intelligence Pack Update Assessment de Microsoft System Center Advisor (Microsoft.IntelligencePacks.UpdateAssessment)Microsoft System Center Advisor Update Assessment Intelligence Pack (Microsoft.IntelligencePacks.UpdateAssessment)
  • Microsoft.IntelligencePack.UpdateAssessment.Configuration (Microsoft.IntelligencePack.UpdateAssessment.Configuration)Microsoft.IntelligencePack.UpdateAssessment.Configuration (Microsoft.IntelligencePack.UpdateAssessment.Configuration)
  • Módulo de administración de Update DeploymentUpdate Deployment MP

Nota

Si tiene un grupo de administración de Operations Manager 1807 o 2019 conectado a un área de trabajo de Log Analytics con agentes configurados en el grupo de administración para recopilar los datos de registro, debe invalidar el parámetro IsAutoRegistrationEnabled y establecerlo en True en la regla Microsoft.IntelligencePacks.AzureAutomation.HybridAgent.Init.If you have an Operations Manager 1807 or 2019 management group connected to a Log Analytics workspace with agents configured in the management group to collect log data, you need to override the parameter IsAutoRegistrationEnabled and set it to True in the Microsoft.IntelligencePacks.AzureAutomation.HybridAgent.Init rule.

Para más información sobre las actualizaciones de los módulos de administración, consulte Conexión de Operations Manager con registros de Azure Monitor.For more information about updates to management packs, see Connect Operations Manager to Azure Monitor logs.

Nota

Para que Update Management administre totalmente las máquinas que tengan el agente de Log Analytics, debe actualizar al agente de Log Analytics para Windows o Linux.For Update Management to fully manage machines with the Log Analytics agent, you must update to the Log Analytics agent for Windows or the Log Analytics agent for Linux. Para aprender a actualizar el agente, consulte Actualización de Operations Manager Agent.To learn how to update the agent, see How to upgrade an Operations Manager agent. En entornos que usan Operations Manager, debe ejecutar System Center Operations Manager 2012 R2 UR 14 o posterior.In environments that use Operations Manager, you must be running System Center Operations Manager 2012 R2 UR 14 or later.

datos, recopilaciónData collection

Orígenes compatiblesSupported sources

En la tabla siguiente se describen los orígenes conectados compatibles con Update Management:The following table describes the connected sources that Update Management supports:

Origen conectadoConnected source CompatibleSupported DescripciónDescription
Agentes de WindowsWindows agents Yes Update Management recopila información sobre las actualizaciones del sistema de los agentes de Windows e inicia la instalación de las actualizaciones necesarias.Update Management collects information about system updates from Windows agents and then starts installation of required updates.
Agentes de LinuxLinux agents Yes Update Management recopila información sobre las actualizaciones del sistema de los agentes de Linux e inicia la instalación de las actualizaciones necesarias en las distribuciones admitidas.Update Management collects information about system updates from Linux agents and then starts installation of required updates on supported distributions.
Grupo de administración de Operations ManagerOperations Manager management group Yes Update Management recopila información sobre las actualizaciones del sistema de los agentes de un grupo de administración conectado.Update Management collects information about system updates from agents in a connected management group.

No se requiere ninguna conexión directa entre el agente de Operations Manager y los registros de Azure Monitor.A direct connection from the Operations Manager agent to Azure Monitor logs isn't required. Los datos se reenvían desde el grupo de administración al área de trabajo de Log Analytics.Data is forwarded from the management group to the Log Analytics workspace.

Frecuencia de recopilaciónCollection frequency

Update Management examina los datos de las máquinas administradas con las siguientes reglas.Update Management scans managed machines for data using the following rules. Puede que transcurran entre 30 minutos y 6 horas antes de que se muestren los datos actualizados de las máquinas administradas.It can take between 30 minutes and 6 hours for the dashboard to display updated data from managed machines.

  • Cada máquina Windows: Update Management realiza un examen dos veces al día de cada máquina.Each Windows machine - Update Management does a scan twice per day for each machine.

  • Cada máquina Linux: Update Management realiza un examen cada hora.Each Linux machine - Update Management does a scan every hour.

El uso medio de datos de los registros de Azure Monitor para una máquina que utiliza Update Management es aproximadamente de 25 MB al mes.The average data usage by Azure Monitor logs for a machine using Update Management is approximately 25 MB per month. Este valor es solo una aproximación y está sujeto a cambios en función de su entorno.This value is only an approximation and is subject to change, depending on your environment. Se recomienda supervisar el entorno para realizar un seguimiento del uso exacto.We recommend that you monitor your environment to keep track of your exact usage. Para obtener más información sobre cómo analizar el uso de los datos de los registros de Azure Monitor, consulte Administrar el uso y los costos.For more information about analyzing Azure Monitor Logs data usage, see Manage usage and cost.

Planeamiento de redNetwork planning

Las direcciones siguientes se requieren específicamente para Update Management.The following addresses are required specifically for Update Management. La comunicación con estas direcciones se realiza a través del puerto 443.Communication to these addresses occurs over port 443.

Azure PublicAzure Public Azure GovernmentAzure Government
*.ods.opinsights.azure.com *.ods.opinsights.azure.us
*.oms.opinsights.azure.com *.oms.opinsights.azure.us
*.blob.core.windows.net *.blob.core.usgovcloudapi.net
*.azure-automation.net *.azure-automation.us

Al crear reglas de seguridad de grupo de red o configurar Azure Firewall para permitir el tráfico en el servicio Automation y en el área de trabajo de Log Analytics, utilice la etiqueta de servicio GuestAndHybridManagement y AzureMonitor.When you create network group security rules or configure Azure Firewall to allow traffic to the Automation service and the Log Analytics workspace, use the service tag GuestAndHybridManagement and AzureMonitor. De esta forma, se simplifica la administración continua de las reglas de seguridad de red.This simplifies the ongoing management of your network security rules. Para conectarse al servicio Automation desde las máquinas virtuales de Azure de forma segura y privada, revise Uso de Azure Private Link.To connect to the Automation service from your Azure VMs securely and privately, review Use Azure Private Link. Para obtener información de intervalos y la etiqueta de servicio actual para incluirla como parte de las configuraciones del firewall local, consulte Archivos JSON descargables.To obtain the current service tag and range information to include as part of your on-premises firewall configurations, see downloadable JSON files.

En el caso de máquinas Windows, también debe permitir el tráfico a los puntos de conexión que necesita Windows Update.For Windows machines, you must also allow traffic to any endpoints required by Windows Update. Puede encontrar una lista actualizada de los puntos de conexión necesarios en Problemas relacionados con HTTP/Proxy.You can find an updated list of required endpoints in Issues related to HTTP/Proxy. Si tiene un servidor de Windows Update local, también debe permitir el tráfico al servidor especificado en la clave de WSUS.If you have a local Windows Update server, you must also allow traffic to the server specified in your WSUS key.

En el caso de máquinas de Red Hat Linux, consulte las direcciones IP de los servidores de entrega de contenido de RHUI de los puntos de conexión necesarios.For Red Hat Linux machines, see IPs for the RHUI content delivery servers for required endpoints. Para otras distribuciones de Linux, consulte la documentación del proveedor.For other Linux distributions, see your provider documentation.

Para más información sobre los puertos que Hybrid Runbook Worker requiere, consulte Direcciones de Update Management para Hybrid Runbook Worker.For more information about ports required for the Hybrid Runbook Worker, see Update Management addresses for Hybrid Runbook Worker.

Si las directivas de seguridad de TI no permiten que las máquinas de la red se conecten a Internet, puede configurar una puerta de enlace de Log Analytics y, luego, configurar la máquina para conectarse a Azure Monitor y a Azure Automation mediante la puerta de enlace.If your IT security policies do not allow machines on the network to connect to the internet, you can set up a Log Analytics gateway and then configure the machine to connect through the gateway to Azure Automation and Azure Monitor.

Clasificaciones de actualizacionesUpdate classifications

En la tabla siguiente se definen las clasificaciones que Update Management admite para las actualizaciones de Windows.The following table defines the classifications that Update Management supports for Windows updates.

clasificaciónClassification DescripciónDescription
Actualizaciones críticasCritical updates Actualización para un problema específico que resuelve un error crítico no relacionado con la seguridad.An update for a specific problem that addresses a critical, non-security-related bug.
Actualizaciones de seguridadSecurity updates Actualización para un problema específico del producto relacionado con la seguridad.An update for a product-specific, security-related issue.
Paquetes acumulativos de actualizacionesUpdate rollups Conjunto acumulativo de revisiones que se empaquetan para facilitar la implementación.A cumulative set of hotfixes that are packaged together for easy deployment.
Feature PacksFeature packs Nuevas características del producto que se distribuyen fuera de una versión del producto.New product features that are distributed outside a product release.
Service PacksService packs Un conjunto acumulativo de revisiones que se aplican a una aplicación.A cumulative set of hotfixes that are applied to an application.
Actualizaciones de definicionesDefinition updates Una actualización de archivos de definiciones de virus o de otra índole.An update to virus or other definition files.
HerramientasTools Utilidad o característica que ayuda a realizar una o más tareas.A utility or feature that helps complete one or more tasks.
ActualizacionesUpdates Actualización de una aplicación o archivo que están instalados actualmente.An update to an application or file that currently is installed.

En la tabla siguiente se definen las clasificaciones admitidas para las actualizaciones de Linux.The next table defines the supported classifications for Linux updates.

clasificaciónClassification DescripciónDescription
Actualizaciones críticas y de seguridadCritical and security updates Actualizaciones para un problema específico o un problema de un producto específico relacionado con la seguridad.Updates for a specific problem or a product-specific, security-related issue.
Otras actualizacionesOther updates Todas las demás actualizaciones que ni son críticas por naturaleza ni son actualizaciones de seguridad.All other updates that aren't critical in nature or that aren't security updates.

Nota

La clasificación de actualizaciones para máquinas Linux solo está disponible cuando se usa en las regiones de la nube pública de Azure admitidas.Update classification for Linux machines are only available when used in the supported Azure public cloud regions. Al usar Update Management en las siguientes regiones de la nube nacional:When using Update Management in the following national cloud regions:

  • Azure US GovernmentAzure US Government
  • 21Vianet en China21Vianet in China

No hay ninguna clasificación de las actualizaciones de Linux y se muestran en la categoría Otras actualizaciones.there are no classification of Linux updates and they are reported under the Other updates category. Update Management usa los datos publicados por las distribuciones admitidas, en concreto, sus archivos de OVAL (Open Vulnerability and Assessment Language).Update Management uses data published by the supported distributions, specifically their released OVAL (Open Vulnerability and Assessment Language) files. Dado que el acceso a Internet está restringido desde estas nubes nacionales, Update Management no puede tener acceso a estos archivos ni consumirlos.Because internet access is restricted from these national clouds, Update Management cannot access and consume these files.

En Linux, Update Management puede distinguir entre actualizaciones críticas y de seguridad en la nube y mostrar al mismo tiempo datos de evaluación debido al enriquecimiento de datos en la nube.For Linux, Update Management can distinguish between critical updates and security updates in the cloud while displaying assessment data due to data enrichment in the cloud. Para aplicar revisiones, Update Management se basa en los datos de clasificación disponibles en la máquina.For patching, Update Management relies on classification data available on the machine. A diferencia de otras distribuciones, CentOS no dispone de esta información en la versión RTM.Unlike other distributions, CentOS does not have this information available in the RTM version. Si tiene máquinas de CentOS configuradas para devolver datos de seguridad para el siguiente comando, Update Management puede aplicar revisiones basadas en clasificaciones.If you have CentOS machines configured to return security data for the following command, Update Management can patch based on classifications.

sudo yum -q --security check-update

Actualmente no hay ningún método compatible para habilitar la disponibilidad de datos de clasificación nativos en CentOS.There's currently no supported method to enable native classification-data availability on CentOS. En este momento, se proporciona soporte técnico limitado a clientes que puedan haber habilitado esta característica por su cuenta.At this time, limited support is provided to customers who might have enabled this feature on their own.

Para clasificar las actualizaciones de la versión 6 de Red Hat Enterprise, debe instalar el complemento de seguridad de yum.To classify updates on Red Hat Enterprise version 6, you need to install the yum-security plugin. En Red Hat Enterprise Linux 7, el complemento ya forma parte de yum y no es necesario instalar nada.On Red Hat Enterprise Linux 7, the plugin is already a part of yum itself and there's no need to install anything. Para más información, consulte el siguiente artículo de conocimientos de Red Hat.For more information, see the following Red Hat knowledge article.

Integración de Update Management con Configuration Manager.Integrate Update Management with Configuration Manager

Los clientes que han invertido en Microsoft Endpoint Configuration Manager para administrar equipos, servidores y dispositivos móviles también dependen de la fuerza y la madurez de Configuration Manager para que les ayude a administrar las actualizaciones de software.Customers who have invested in Microsoft Endpoint Configuration Manager for managing PCs, servers, and mobile devices also rely on the strength and maturity of Configuration Manager to help manage software updates. Para aprender a integrar Update Management con Configuration Manager, consulte este artículo sobre la integración de Update Management con Endpoint Configuration Manager de Windows.To learn how to integrate Update Management with Configuration Manager, see Integrate Update Management with Windows Endpoint Configuration Manager.

Actualizaciones de terceros en WindowsThird-party updates on Windows

Update Management se basa en el repositorio de actualización configurado localmente para actualizar los sistemas Windows compatibles, ya sea WSUS o Windows Update.Update Management relies on the locally configured update repository to update supported Windows systems, either WSUS or Windows Update. Herramientas como System Center Updates Publisher le permiten importar y publicar actualizaciones personalizadas con WSUS.Tools such as System Center Updates Publisher allow you to import and publish custom updates with WSUS. Este escenario permite que Update Management actualice las máquinas que usan Configuration Manager como repositorio de actualizaciones con software de terceros.This scenario allows Update Management to update machines that use Configuration Manager as their update repository with third-party software. Para obtener información sobre cómo configurar Updates Publisher, consulte Instalar Updates Publisher.To learn how to configure Updates Publisher, see Install Updates Publisher.

Habilitación de la Administración de actualizacionesEnable Update Management

Estas son las formas en que puede habilitar Update Management y seleccionar las máquinas que se van a administrar:Here are the ways that you can enable Update Management and select machines to be managed:

  • Use una plantilla de Azure Resource Manager para implementar Update Management en una cuenta de Automation nueva o existente, y el área de trabajo de Log Analytics de Azure Monitor en la suscripción.Using an Azure Resource Manager template to deploy Update Management to a new or existing Automation account and Azure Monitor Log Analytics workspace in your subscription. No configura el ámbito de las máquinas que deben administrarse; esto se realiza como un paso independiente después de usar la plantilla.It does not configure the scope of machines that should be managed, this is performed as a separate step after using the template.

  • Desde la cuenta de Automation para una o varias máquinas de Azure o que no sean de Azure, incluidos los servidores habilitados para Arc.From your Automation account for one or more Azure and non-Azure machines, including Arc enabled servers.

  • Use el método del runbook Enable-AutomationSolution.Using the Enable-AutomationSolution runbook method.

  • Para una VM de Azure concreta, desde la página Máquinas virtuales en Azure Portal.For a selected Azure VM from the Virtual machines page in the Azure portal. Este escenario está disponible para las VM Linux y Windows.This scenario is available for Linux and Windows VMs.

  • Para varias máquinas virtuales de Azure, selecciónelas en la página Máquinas virtuales de Azure Portal.For multiple Azure VMs by selecting them from the Virtual machines page in the Azure portal.

Nota

Update Management requiere vincular un área de trabajo de Log Analytics a la cuenta de Automation.Update Management requires linking a Log Analytics workspace to your Automation account. Para ver una lista definitiva de regiones admitidas, consulte Asignaciones de áreas de trabajo.For a definitive list of supported regions, see Azure Workspace mappings. Las asignaciones de regiones no afectan a la capacidad de administrar VM en una región independiente de la cuenta de Automation.The region mappings don't affect the ability to manage VMs in a separate region from your Automation account.

Pasos siguientesNext steps