Solution Update Management dans AzureUpdate Management solution in Azure

Vous pouvez utiliser la solution Update Management dans Azure Automation pour gérer les mises à jour du système d’exploitation de vos ordinateurs Windows et Linux dans Azure, des environnements locaux ou d’autres fournisseurs cloud.You can use the Update Management solution in Azure Automation to manage operating system updates for your Windows and Linux computers in Azure, in on-premises environments, or in other cloud providers. Vous pouvez rapidement évaluer l’état des mises à jour disponibles sur tous les ordinateurs d’agent et gérer le processus d’installation des mises à jour requises pour les serveurs.You can quickly assess the status of available updates on all agent computers and manage the process of installing required updates for servers.

Vous pouvez activer Update Management pour les machines virtuelles directement depuis votre compte Azure Automation.You can enable Update Management for virtual machines directly from your Azure Automation account. Pour découvrir comment activer Update Management pour les machines virtuelles depuis votre compte Automation, consultez l’article Gérer les mises à jour pour plusieurs machines virtuelles.To learn how to enable Update Management for virtual machines from your Automation account, see Manage updates for multiple virtual machines. Vous pouvez également activer Update Management pour une machine virtuelle à partir de sa page dans le Portail Azure.You can also enable Update Management for a virtual machine from the virtual machine page in the Azure portal. Ce scénario est disponible pour les machines virtuelles Linux et Windows.This scenario is available for Linux and Windows virtual machines.

Notes

Cet article a récemment été mis à jour pour utiliser le terme journaux d’activité Azure Monitor au lieu de Log Analytics.This article was recently updated to use the term Azure Monitor logs instead of Log Analytics. Les données de journal sont toujours stockées dans un espace de travail Log Analytics, et elles sont toujours collectées et analysées par le même service Log Analytics.Log data is still stored in a Log Analytics workspace and is still collected and analyzed by the same Log Analytics service. Nous mettons la terminologie à jour pour mieux refléter le rôle des journaux d’activité dans Azure Monitor.We are updating the terminology to better reflect the role of logs in Azure Monitor. Pour plus d'informations, consultez Modifications de la terminologie d'Azure Monitor.See Azure Monitor terminology changes for details.

Vue d’ensemble de la solutionSolution overview

Les ordinateurs gérés par Update Management utilisent les configurations suivantes pour effectuer l’évaluation et les déploiements de mises à jour :Computers that are managed by Update Management use the following configurations to perform assessment and update deployments:

  • Microsoft Monitoring Agent (MMA) pour Windows ou LinuxMicrosoft Monitoring Agent (MMA) for Windows or Linux
  • PowerShell DSC (Desired State Configuration, configuration d’état souhaité) pour LinuxPowerShell Desired State Configuration (DSC) for Linux
  • Runbook Worker hybride AutomationAutomation Hybrid Runbook Worker
  • Services Microsoft Update ou Windows Server Update (WSUS) pour ordinateurs WindowsMicrosoft Update or Windows Server Update Services (WSUS) for Windows computers

Le schéma suivant présente une vue conceptuelle du comportement et du flux de données liés à l’évaluation des mises à jour de sécurité par la solution et à leur application à tous les ordinateurs Windows Server et Linux connectés dans un espace de travail :The following diagram shows a conceptual view of the behavior and data flow with how the solution assesses and applies security updates to all connected Windows Server and Linux computers in a workspace:

Flux du processus Update Management

Update Management peut être utilisé pour intégrer des machines en mode natif dans plusieurs abonnements du même locataire.Update Management can be used to natively onboard machines in multiple subscriptions in the same tenant.

Après la publication d’un package, comptez un délai de deux à trois heures avant l’affichage du correctif pour l’évaluation sur des machines Linux.Once a package is released, it takes 2-3 hours for the patch to show up for Linux machines for assessment. Sur les machines Windows, ce délai est de 12 à 15 heures.For Windows machines, it takes 12-15 hours for the patch to show up for assessment after it has been released.

Après qu’une machine a terminé l’analyse de conformité de la mise à jour, l’agent transfère les informations en bloc aux journaux Azure Monitor.After a computer completes a scan for update compliance, the agent forwards the information in bulk to Azure Monitor logs. Sur une machine Windows, l’analyse de conformité est effectuée toutes les 12 heures par défaut.On a Windows computer, the compliance scan is run every 12 hours by default.

En plus de l’analyse planifiée, l’analyse de conformité de mise à jour est lancée dans les 15 minutes si MMA est redémarré, avant et après l’installation de la mise à jour.In addition to the scan schedule, the scan for update compliance is initiated within 15 minutes of the MMA being restarted, before update installation, and after update installation.

Sur un ordinateur Linux, l’analyse de conformité est effectuée toutes les heures par défaut.For a Linux computer, the compliance scan is performed every hour by default. Si l’agent MMA est redémarré, une analyse de conformité est lancée dans les 15 minutes.If the MMA agent is restarted, a compliance scan is initiated within 15 minutes.

La solution rapporte l’état de mise à jour de l’ordinateur en fonction de la source avec laquelle vous avez configuré la synchronisation.The solution reports how up-to-date the computer is based on what source you're configured to sync with. Si l’ordinateur Windows est configuré pour rapporter à WSUS, en fonction de la date de dernière synchronisation de WSUS avec Microsoft Update, les résultats peuvent être différents de ce que Microsoft Updates indique.If the Windows computer is configured to report to WSUS, depending on when WSUS last synced with Microsoft Update, the results might differ from what Microsoft Updates shows. Le comportement est le même pour les machines Linux qui sont configurées pour rapporter à un référentiel local et non pas à un référentiel public.This behavior is the same for Linux computers that are configured to report to a local repo instead of to a public repo.

Notes

Pour pouvoir rapporter au service, Update Management nécessite certaines URL et l’activation de ports.To properly report to the service, Update Management requires certain URLs and ports to be enabled. Pour en savoir plus sur la configuration requise, consultez la section Planification du réseau pour les Workers hybrides.To learn more about these requirements, see Network planning for Hybrid Workers.

Vous pouvez déployer et installer des mises à jour logicielles sur des ordinateurs qui nécessitent les mises à jour en créant un déploiement planifié.You can deploy and install software updates on computers that require the updates by creating a scheduled deployment. Les mises à jour considérées comme facultatives ne sont pas incluses dans le déploiement des ordinateurs Windows.Updates classified as Optional aren't included in the deployment scope for Windows computers. Seules les mises à jour nécessaires sont incluses dans le déploiement.Only required updates are included in the deployment scope.

Le déploiement planifié définit les ordinateurs cibles qui reçoivent les mises à jour applicables, en spécifiant explicitement les ordinateurs, en sélectionnant un groupe d’ordinateurs d’après des recherches dans les journaux d’un ensemble spécifique d’ordinateurs ou une requête Azure qui sélectionne des machines virtuelles Azure de manière dynamique selon des critères spécifiés.The scheduled deployment defines what target computers receive the applicable updates, either by explicitly specifying computers or by selecting a computer group that's based on log searches of a specific set of computers, or an Azure query that dynamically selects Azure VMs based on specified criteria. Ces groupes sont différents de la configuration de l’étendue, qui est utilisée uniquement pour déterminer quelles machines reçoivent les packs d’administration qui activent la solution.These groups are different from Scope Configuration, which is only used to determine what machines get the management packs that enable the solution.

Vous spécifiez également une planification pour approuver et définir la période pendant laquelle les mises à jour peuvent être installées.You also specify a schedule to approve and set a period of time during which updates can be installed. Cette période est appelée fenêtre de maintenance.This period of time is called the maintenance window. Dix minutes de la fenêtre de maintenance sont réservées aux redémarrages si un redémarrage est nécessaire et que vous avez sélectionné l’option de redémarrage approprié.Ten minutes of the maintenance window is reserved for reboots if a reboot is needed and you selected the appropriate reboot option. Si la mise à jour corrective prend plus longtemps que prévu et qu’il reste moins de dix minutes dans la fenêtre de maintenance, aucun redémarrage ne se produit.If patching takes longer than expected and there is less than ten minutes in the maintenance window, a reboot will not occur.

Les mises à jour sont installées par des Runbooks dans Azure Automation.Updates are installed by runbooks in Azure Automation. Vous ne pouvez pas visualiser ces Runbooks, qui ne nécessitent aucune configuration.You can't view these runbooks, and the runbooks don’t require any configuration. Lorsqu’un déploiement de mises à jour est créé, il génère une planification qui démarre un Runbook de mises à jour principal au moment indiqué pour les ordinateurs inclus.When an update deployment is created, the update deployment creates a schedule that starts a master update runbook at the specified time for the included computers. Ce runbook principal lance un runbook enfant sur chaque agent pour installer les mises à jour obligatoires.The master runbook starts a child runbook on each agent to install the required updates.

À la date et l’heure spécifiées dans le déploiement de mises à jour, les ordinateurs cibles exécutent le déploiement en parallèle.At the date and time specified in the update deployment, the target computers execute the deployment in parallel. Avant l’installation, une analyse est lancée pour vérifier que les mises à jour sont encore requises.Before installation, a scan is run to verify that the updates are still required. Pour les ordinateurs clients WSUS, si les mises à jour ne sont pas approuvées dans WSUS, leur déploiement échoue.For WSUS client computers, if the updates aren't approved in WSUS, the update deployment fails.

L’inscription d’une machine auprès du service Update Management dans plusieurs espaces de travail Log Analytics (multihébergement) n’est pas prise en charge.Having a machine registered for Update Management in more than one Log Analytics workspaces (multi-homing) isn't supported.

ClientsClients

Types de clients pris en chargeSupported client types

Le tableau suivant répertorie la liste des systèmes d’exploitation pris en charge :The following table shows a list of supported operating systems:

Système d’exploitationOperating system NotesNotes
Windows Server 2008, Windows Server 2008 R2 RTMWindows Server 2008, Windows Server 2008 R2 RTM Prend uniquement en charge les évaluations de mises à jour.Supports only update assessments.
Windows Server 2008 R2 SP1 et versions ultérieures (y compris Windows Server 2012 et 2016)Windows Server 2008 R2 SP1 and later (Including Windows Server 2012 and 2016) .NET Framework 4.5.1 ou version ultérieure est requis..NET Framework 4.5.1 or later is required. (Télécharger .NET Framework)(Download .NET Framework)
Windows PowerShell 4.0 ou une version ultérieure est nécessaire.Windows PowerShell 4.0 or later is required. (Télécharger WMF 4.0)(Download WMF 4.0)
Windows PowerShell 5.1 est recommandé pour accroître la fiabilité.Windows PowerShell 5.1 is recommended for increased reliability. (Télécharger WMF 5.1)(Download WMF 5.1)
CentOS 6 (x86/x64) et 7 (x64)CentOS 6 (x86/x64) and 7 (x64) Les agents Linux doivent avoir accès à un référentiel de mise à jour.Linux agents must have access to an update repository. La mise à jour corrective basée sur la classification nécessite que 'yum' retourne les données de sécurité que CentOS n’a pas directement.Classification-based patching requires 'yum' to return security data which CentOS doesn't have out of the box. Pour plus d’informations sur la mise à jour corrective basée sur des classifications sur CentOS, consultez Mettre à jour des classifications sur LinuxFor more information on classification-based patching on CentOS, see Update classifications on Linux
Red Hat Enterprise 6 (x86/x64) et 7 (x64)Red Hat Enterprise 6 (x86/x64) and 7 (x64) Les agents Linux doivent avoir accès à un référentiel de mise à jour.Linux agents must have access to an update repository.
SUSE Linux Enterprise Server 11 (x86/x64) et 12 (x64)SUSE Linux Enterprise Server 11 (x86/x64) and 12 (x64) Les agents Linux doivent avoir accès à un référentiel de mise à jour.Linux agents must have access to an update repository.
Ubuntu 14.04 LTS, 16.04 LTS et 18.04 (x86/x64)Ubuntu 14.04 LTS, 16.04 LTS, and 18.04 (x86/x64) Les agents Linux doivent avoir accès à un référentiel de mise à jour.Linux agents must have access to an update repository.

Types de clients non pris en chargeUnsupported client types

Le tableau suivant répertorie les systèmes d’exploitation qui ne sont pas pris en charge :The following table lists operating systems that aren't supported:

Système d’exploitationOperating system NotesNotes
Client WindowsWindows client Les systèmes d’exploitation client (par exemple, Windows 7 et Windows 10) ne sont pas pris en charge.Client operating systems (such as Windows 7 and Windows 10) aren't supported.
Windows Server 2016 Nano ServerWindows Server 2016 Nano Server Non pris en charge.Not supported.

Configuration requise des clientsClient requirements

WindowsWindows

Les agents Windows doivent être configurés pour communiquer avec un serveur WSUS ou avoir accès à Microsoft Update.Windows agents must be configured to communicate with a WSUS server or they must have access to Microsoft Update. Vous pouvez utiliser Update Management avec System Center Configuration Manager.You can use Update Management with System Center Configuration Manager. Pour en savoir plus sur les scénarios d’intégration, consultez la section Intégrer System Center Configuration Manager à Update Management.To learn more about integration scenarios, see Integrate System Center Configuration Manager with Update Management. L’agent Windows est obligatoire.The Windows agent is required. L’agent est automatiquement installé si vous intégrez une machine virtuelle Azure.The agent is installed automatically if you're onboarding an Azure virtual machine.

LinuxLinux

Pour Linux, la machine doit avoir accès à un référentiel de mises à jour,For Linux, the machine must have access to an update repository. qui peut être privé ou public.The update repository can be private or public. TLS 1.1 ou TLS 1.2 est exigé pour interagir avec Update Management.TLS 1.1 or TLS 1.2 is required to interact with Update Management. La configuration de Log Analytics Agent pour Linux afin d’envoyer des rapports à plusieurs espaces de travail Log Analytics n’est pas prise en charge avec cette solution.A Log Analytics Agent for Linux that's configured to report to more than one Log Analytics workspaces isn't supported with this solution.

Pour plus d’informations sur la manière d’installer Log Analytics Agent pour Linux et télécharger la dernière version, consultez Log Analytics Agent pour Linux.For information about how to install the Log Analytics Agent for Linux and to download the latest version, see Log Analytics Agent for Linux. Pour plus d’informations sur la manière d’installer Log Analytics Agent pour Windows et télécharger la dernière version, consultez Microsoft Monitoring Agent pour Windows.For information about how to install the Log Analytics Agent for Windows, see Microsoft Monitoring Agent for Windows.

AutorisationsPermissions

Pour créer et gérer des déploiements de mises à jour, vous devez disposer d’autorisations spécifiques.To create and manage update deployments, you need specific permissions. Pour en savoir plus sur ces autorisations, consultez Accès en fonction du rôle - Update Management.To learn about these permissions, see Role-based access - Update Management.

Composants de la solutionSolution components

La solution se compose des éléments suivants.The solution consists of the following resources. Les ressources sont ajoutées à votre compte Automation.The resources are added to your Automation account. Il s’agit soit d’agents connectés directement ou se trouvant dans un groupe d'administration connecté à Operations Manager.They're either directly connected agents or in an Operations Manager-connected management group.

Groupes de Workers hybridesHybrid Worker groups

Après avoir activé cette solution, tout ordinateur Windows directement connecté à votre espace de travail Log Analytics est automatiquement configuré comme un Runbook Worker hybride afin de prendre en charge les Runbooks inclus dans cette solution.After you enable this solution, any Windows computer that's directly connected to your Log Analytics workspace is automatically configured as a Hybrid Runbook Worker to support the runbooks that are included in this solution.

Chaque ordinateur Windows géré par la solution est répertorié dans le panneau Groupes de Workers hybrides en tant que Groupe de Workers hybrides système du compte Automation.Each Windows computer that's managed by the solution is listed in the Hybrid worker groups pane as a System hybrid worker group for the Automation account. Les solutions utilisent la convention d’affectation de noms Hostname FQDN_GUID.The solutions use the naming convention Hostname FQDN_GUID. Vous ne pouvez pas cibler ces groupes avec des Runbooks dans votre compte.You can't target these groups with runbooks in your account. Si vous essayez, l’opération échouera.They fail if you try. Ces groupes sont destinés à prendre en charge uniquement la solution de gestion.These groups are intended to support only the management solution.

Vous pouvez ajouter les ordinateurs Windows à un groupe de Runbooks Workers hybrides dans votre compte Automation pour prendre en charge des runbooks Automation à condition d’utiliser le même compte pour la solution et pour l’appartenance au groupe de Runbooks Workers hybrides.You can add the Windows computers to a Hybrid Runbook Worker group in your Automation account to support Automation runbooks if you use the same account for both the solution and the Hybrid Runbook Worker group membership. Cette fonctionnalité a été ajoutée à la version 7.2.12024.0 du Runbook Worker hybride.This functionality was added in version 7.2.12024.0 of the Hybrid Runbook Worker.

Packs d’administrationManagement packs

Si votre groupe d’administration System Center Operations Manager est connecté à un espace de travail Log Analytics, les packs d’administration suivants sont installés dans Operations Manager.If your System Center Operations Manager management group is connected to a Log Analytics workspace, the following management packs are installed in Operations Manager. Ces packs d’administration sont également installés sur des ordinateurs Windows directement connectés après l’ajout de la solution.These management packs are also installed on directly connected Windows computers after you add the solution. Il n’est pas nécessaire de les configurer ou de les gérer.You don't need to configure or manage these management packs.

  • Microsoft System Center Advisor Update Assessment Intelligence Pack (Microsoft.IntelligencePacks.UpdateAssessment)Microsoft System Center Advisor Update Assessment Intelligence Pack (Microsoft.IntelligencePacks.UpdateAssessment)
  • Microsoft.IntelligencePack.UpdateAssessment.Configuration (Microsoft.IntelligencePack.UpdateAssessment.Configuration)Microsoft.IntelligencePack.UpdateAssessment.Configuration (Microsoft.IntelligencePack.UpdateAssessment.Configuration)
  • Pack d’administration du déploiement des mises à jourUpdate Deployment MP

Notes

Si vous avez un groupe d’administration Operations Manager 1807 avec des agents configurés au niveau du groupe d’administration à associer à un espace de travail, la solution actuelle pour qu’ils s’affichent consiste à remplacer IsAutoRegistrationEnabled par True dans la règle Microsoft.IntelligencePacks.AzureAutomation.HybridAgent.Init.If you have an Operations Manager 1807 Management Group with agents configured at the Management Group level to be associated to a workspace, the current workaround to get them to show up is to override IsAutoRegistrationEnabled to True in the Microsoft.IntelligencePacks.AzureAutomation.HybridAgent.Init rule.

Pour plus d’informations sur la façon dont ces packs d’administration de solution sont mis à jour, consultez Connecter Operations Manager aux journaux Azure Monitor.For more information about how solution management packs are updated, see Connect Operations Manager to Azure Monitor logs.

Notes

Pour les systèmes dotés de l’agent Operations Manager, pour pouvoir être entièrement gérés par Update Management, l’agent doit être mis à jour vers Microsoft Monitoring Agent.For systems with the Operations Manger Agent, to be able to be fully managed by Update Management, the agent needs to be updated to the Microsoft Monitoring Agent. Pour savoir comment mettre à jour l’agent, consultez Guide pratique pour mettre à niveau un agent Operations Manager.To learn how to update the agent, see How to upgrade an Operations Manager agent. Pour les environnements qui utilisent Operations Manager, il est nécessaire d’exécuter System Center Operations Manager 2012 R2 UR 14 ou ultérieur.For environments using Operations Manager, it is required that you are running System Center Operations Manager 2012 R2 UR 14 or later.

Activer Update ManagementEnable Update Management

Pour commencer à appliquer des correctifs aux systèmes, vous devez activer la solution Update Management.To begin patching systems, you need to enable the Update Management solution. Vous pouvez intégrer des machines à Update Management de différentes manières.There are many ways to onboard machines to Update Management. Voici des méthodes recommandées et prises en charge pour intégrer la solution :The following are the recommended and supported ways to onboard the solution:

Vérifier que les ordinateurs non-Azure sont intégrésConfirm that non-Azure machines are onboarded

Pour confirmer que les ordinateurs directement connectés communiquent avec les journaux Azure Monitor, vous pouvez exécuter l’une des recherches suivantes dans les journaux au bout de quelques minutes.To confirm that directly connected machines are communicating with Azure Monitor logs, after a few minutes, you can run one the following log searches.

LinuxLinux

Heartbeat
| where OSType == "Linux" | summarize arg_max(TimeGenerated, *) by SourceComputerId | top 500000 by Computer asc | render table

WindowsWindows

Heartbeat
| where OSType == "Windows" | summarize arg_max(TimeGenerated, *) by SourceComputerId | top 500000 by Computer asc | render table

Sur un ordinateur Windows, vous pouvez vérifier les informations suivantes pour tester la connectivité de l’agent avec les journaux Azure Monitor :On a Windows computer, you can review the following information to verify agent connectivity with Azure Monitor logs:

  1. Dans le Panneau de configuration, ouvrez Microsoft Monitoring Agent.In Control Panel, open Microsoft Monitoring Agent. Sous l’onglet Azure Log Analytics, l’agent affiche le message suivant : Microsoft Monitoring Agent s’est correctement connecté à Log Analytics.On the Azure Log Analytics tab, the agent displays the following message: The Microsoft Monitoring Agent has successfully connected to Log Analytics.
  2. Ouvrez le journal des événements Windows.Open the Windows Event Log. Accédez à Application and Services Logs\Operations Manager, puis recherchez l’ID d’événement 3000 et 5002 à partir du connecteur de service source.Go to Application and Services Logs\Operations Manager and search for Event ID 3000 and Event ID 5002 from the source Service Connector. Ces événements indiquent que l’ordinateur est enregistré sur l’espace de travail Log Analytics et qu’il reçoit la configuration.These events indicate that the computer has registered with the Log Analytics workspace and is receiving configuration.

Si l’agent ne parvient pas à communiquer avec les journaux Azure Monitor et s’il est configuré pour communiquer avec Internet par le biais d’un pare-feu ou d’un serveur proxy, vérifiez que le pare-feu ou le serveur proxy est correctement configuré.If the agent can't communicate with Azure Monitor logs and the agent is configured to communicate with the internet through a firewall or proxy server, confirm the firewall or proxy server is properly configured. Pour savoir comment vérifier la configuration du pare-feu ou du serveur proxy, consultez Configuration réseau de l’agent Windows ou Configuration réseau de l’agent Linux.To learn how to verify the firewall or proxy server is properly configured, see Network configuration for Windows agent or Network configuration for Linux agent.

Notes

Si vos systèmes Linux sont configurés pour communiquer avec un proxy ou Log Analytics Gateway et que vous intégrez cette solution, vous devez mettre à jour les autorisations proxy.conf pour accorder au groupe omiuser une autorisation d’accès en lecture sur le fichier. Pour cela, exécutez les commandes suivantes :If your Linux systems are configured to communicate with a proxy or Log Analytics Gateway and you're onboarding this solution, update the proxy.conf permissions to grant the omiuser group read permission on the file by using the following commands:

sudo chown omsagent:omiusers /etc/opt/microsoft/omsagent/proxy.conf sudo chmod 644 /etc/opt/microsoft/omsagent/proxy.conf

Les nouveaux agents Linux ajoutés affichent l’état Mis à jour après l’exécution d’une évaluation.Newly added Linux agents show a status of Updated after an assessment has been performed. Ce processus peut prendre jusqu’à 6 heures.This process can take up to 6 hours.

Pour vérifier qu’un groupe d’administration Operations Manager communique avec les journaux Azure Monitor, consultez Valider l’intégration d’Operations Manager aux journaux Azure Monitor.To confirm that an Operations Manager management group is communicating with Azure Monitor logs, see Validate Operations Manager integration with Azure Monitor logs.

Collecte des donnéesData collection

Agents pris en chargeSupported agents

Le tableau suivant décrit les sources connectées qui sont prises en charge par cette solution :The following table describes the connected sources that are supported by this solution:

Source connectéeConnected source Prise en chargeSupported DescriptionDescription
Agents WindowsWindows agents OUIYes La solution collecte des informations sur les mises à jour système auprès des agents Windows et lance l’installation des mises à jour obligatoires.The solution collects information about system updates from Windows agents and then initiates installation of required updates.
Agents LinuxLinux agents OUIYes La solution collecte des informations sur les mises à jour système auprès des agents Linux et lance l’installation des mises à jour obligatoires sur les versions prises en charge.The solution collects information about system updates from Linux agents and then initiates installation of required updates on supported distributions.
Groupe d’administration d’Operations ManagerOperations Manager management group OUIYes La solution collecte des informations sur les mises à jour système des agents dans un groupe d’administration connecté.The solution collects information about system updates from agents in a connected management group.
Une connexion directe entre l’agent Operations Manager et les journaux Azure Monitor n’est pas obligatoire.A direct connection from the Operations Manager agent to Azure Monitor logs isn't required. Les données sont transférées du groupe d’administration à l’espace de travail Log Analytics.Data is forwarded from the management group to the Log Analytics workspace.

Fréquence de collecteCollection frequency

Une analyse est effectuée deux fois par jour sur chaque ordinateur Windows géré.A scan is performed twice per day for each managed Windows computer. Les API Windows sont appelées toutes les 15 minutes pour rechercher l’heure de la dernière mise à jour afin de déterminer si l’état a changé.Every 15 minutes, the Windows API is called to query for the last update time to determine whether the status has changed. Si l’état a changé, une analyse de conformité est lancée.If the status has changed, a compliance scan is initiated.

Une analyse est effectuée toutes les heures sur chaque ordinateur Linux géré.A scan is performed every hour for each managed Linux computer.

L’affichage sur le tableau de bord des données mises à jour provenant des ordinateurs gérés peut prendre entre 30 minutes et 6 heures.It can take between 30 minutes and 6 hours for the dashboard to display updated data from managed computers.

La consommation moyenne de données des journaux Azure Monitor pour une machine utilisant la solution Update Management est d’environ 25 Mo par mois.The average Azure Monitor logs data usage for a machine using Update Management is approximately 25MB per month. Cette valeur est approximative et sujette à modification en fonction de votre environnement.This value is only an approximation and is subject to change based on your environment. Nous vous recommandons de surveiller votre environnement pour connaître votre consommation exacte.It's recommended that you monitor your environment to see the exact usage that you have.

Afficher les évaluations des mises à jourView update assessments

Dans votre compte Automation, cliquez sur Update Management pour afficher l’état de vos ordinateurs.In your Automation account, select Update Management to view the status of your machines.

Cet affichage fournit des informations sur vos ordinateurs, les mises à jour manquantes, les déploiements de mises à jour et les déploiements de mises à jour planifiés.This view provides information about your machines, missing updates, update deployments, and scheduled update deployments. Dans la COLONNE CONFORMITÉ, vous pouvez voir à quel moment l’ordinateur a été évalué pour la dernière fois.In the COMPLIANCE COLUMN, you can see the last time the machine was assessed. Dans la colonne METTRE À JOUR LA DISPONIBILITÉ DE L’AGENT, vous pouvez voir l’intégrité de l’agent de mise à jour.In the UPDATE AGENT READINESS column, you can see if the health of the update agent. En cas de problème, sélectionnez le lien pour accéder à la documentation de résolution des problèmes qui vous expliquera les étapes à suivre pour corriger le problème.If there's an issue, select the link to go to troubleshooting documentation that can help you learn what steps to take to correct the problem.

Pour exécuter une recherche dans les journaux qui permet de retourner des informations sur l’ordinateur, la mise à jour ou le déploiement, sélectionnez l’élément dans la liste.To run a log search that returns information about the machine, update, or deployment, select the item in the list. Le volet Recherche dans les journaux s’ouvre avec une requête sur l’élément sélectionné :The Log Search pane opens with a query for the item selected:

Vue par défaut de Update Management

Installer les mises à jourInstall updates

Une fois les mises à jour évaluées pour tous les ordinateurs Linux et Windows dans votre espace de travail, vous pouvez installer les mises à jour obligatoires en créant une opération de déploiement de mises à jour.After updates are assessed for all the Linux and Windows computers in your workspace, you can install required updates by creating an update deployment. Pour créer un déploiement de mises à jour, vous devez disposer d’un accès en écriture au compte Automation et d’un accès en écriture aux machines virtuelles Azure ciblées dans le déploiement.To create an Update Deployment, you must have write access to the Automation Account and write access to the any Azure VMs that are targeted in the deployment. Un déploiement de mises à jour est une installation planifiée de mises à jour obligatoires pour un ou plusieurs ordinateurs.An update deployment is a scheduled installation of required updates for one or more computers. Vous pouvez spécifier la date et l’heure du déploiement ainsi qu’un ordinateur ou groupe d’ordinateurs à inclure dans un déploiement.You specify the date and time for the deployment and a computer or group of computers to include in the scope of a deployment. Pour en savoir plus sur les groupes d’ordinateurs, consultez Groupes d’ordinateurs dans les journaux Azure Monitor.To learn more about computer groups, see Computer groups in Azure Monitor logs.

Lorsque vous incluez des groupes d’ordinateurs dans votre déploiement de mises à jour, l’appartenance au groupe n’est évaluée qu’une seule fois au moment de la création de la planification.When you include computer groups in your update deployment, group membership is evaluated only once, at the time of schedule creation. Les modifications ultérieures apportées à un groupe ne sont pas répercutées.Subsequent changes to a group aren't reflected. Pour contourner ce problème, utilisez des groupes dynamiques, car ces groupes sont résolus au moment du déploiement et ils sont définis par une requête pour les machines virtuelles Azure ou par une recherche enregistrée pour les machines virtuelles non-Azure.To get around this use Dynamic groups, these groups are resolved at deployment time and are defined by a query for Azure VMs or a saved search for Non-Azure VMs.

Notes

Les machines virtuelles Windows déployées à partir de Place de marché Microsoft Azure sont configurées par défaut pour recevoir des mises à jour automatiques de Windows Update Service.Windows virtual machines that are deployed from the Azure Marketplace by default are set to receive automatic updates from Windows Update Service. Ce comportement ne change pas lorsque vous ajoutez cette solution ou des machines virtuelles Windows à votre espace de travail.This behavior doesn't change when you add this solution or add Windows virtual machines to your workspace. Si vous n’avez pas géré activement les mises à jour avec cette solution, le comportement par défaut (appliquer automatiquement les mises à jour) s’applique.If you don't actively manage updates by using this solution, the default behavior (to automatically apply updates) applies.

Pour éviter que les mises à jour soient appliquées en dehors d’une fenêtre de maintenance sur Ubuntu, reconfigurez le package Unattended-Upgrade pour désactiver les mises à jour automatiques.To avoid updates being applied outside of a maintenance window on Ubuntu, reconfigure the Unattended-Upgrade package to disable automatic updates. Pour plus d’informations sur la configuration du package, consultez la rubrique Mises à jour automatiques du Guide du serveur Ubuntu.For information about how to configure the package, see Automatic Updates topic in the Ubuntu Server Guide.

Les machines virtuelles créées à partir des images Red Hat Enterprise Linux (RHEL) à la demande disponibles dans le service Place de marché Azure sont inscrites pour accéder à l’infrastructure RHUI (Red Hat Update Infrastructure) déployée dans Azure.Virtual machines that were created from the on-demand Red Hat Enterprise Linux (RHEL) images that are available in the Azure Marketplace are registered to access the Red Hat Update Infrastructure (RHUI) that's deployed in Azure. Toute autre distribution Linux doit être mise à jour à partir du référentiel de fichiers de distribution en ligne en tenant compte de leurs méthodes de distribution prises en charge.Any other Linux distribution must be updated from the distribution's online file repository by following the distribution's supported methods.

Pour créer un déploiement de mises à jour, sélectionnez Planifier le déploiement de la mise à jour.To create a new update deployment, select Schedule update deployment. La page Nouveau déploiement de mises à jour s’ouvre.The New Update Deployment page opens. Entrez les valeurs des propriétés décrites dans le tableau suivant, puis cliquez sur Créer :Enter values for the properties described in the following table and then click Create:

PropriétéProperty DescriptionDescription
NomName Nom unique identifiant le déploiement de mises à jour.Unique name to identify the update deployment.
Système d’exploitationOperating System Linux ou WindowsLinux or Windows
Groupes à mettre à jourGroups to update Pour des machines Azure, définissez une requête basée sur une combinaison de l’abonnement, des groupes de ressources, des emplacements et des étiquettes pour créer un groupe dynamique de machines virtuelles Azure à inclure dans votre déploiement.For Azure machines, define a query based on a combination of subscription, resource groups, locations, and tags to build a dynamic group of Azure VMs to include in your deployment.
Pour les machines non-Azure, sélectionnez une recherche existante enregistrée pour sélectionner un groupe de machines non-Azure à inclure dans le déploiement.For Non-Azure machines, select an existing saved search to select a group of Non-Azure machines to include in the deployment.

Pour plus d’informations, consultez Groupes dynamiquesTo learn more, see Dynamic Groups
Ordinateurs à mettre à jourMachines to update Sélectionnez une recherche enregistrée, un groupe importé ou choisissez un ordinateur dans la liste déroulante, puis sélectionnez des ordinateurs individuels.Select a Saved search, Imported group, or pick Machine from the drop-down and select individual machines. Si vous choisissez Machines, l’état de préparation de la machine est indiqué dans la colonne PRÉPARATION À LA MISE À JOUR DE L’AGENT.If you choose Machines, the readiness of the machine is shown in the UPDATE AGENT READINESS column.
Pour en savoir plus sur les différentes méthodes de création de groupes d’ordinateurs dans les journaux Azure Monitor, consultez Groupes d’ordinateurs dans les journaux Azure Monitor.To learn about the different methods of creating computer groups in Azure Monitor logs, see Computer groups in Azure Monitor logs
Classifications des mises à jourUpdate classifications Sélectionnez toutes les classifications des mises à jour dont vous avez besoin.Select all the update classifications that you need
Inclure/exclure des mises à jourInclude/exclude updates La page Inclure/Exclure s’ouvre.This opens the Include/Exclude page. Les mises à jour à inclure ou à exclure sont sous des onglets distincts.Updates to be included or excluded are on separate tabs. Pour plus d’informations sur la façon dont l’inclusion est gérée, consultez Comportement d’inclusionFor more information on how inclusion is handled, see inclusion behavior
Paramètres de planificationSchedule settings Sélectionnez l’heure de début, puis la périodicité.Select the time to start, and select either Once or recurring for the recurrence
Préscripts + postscriptsPre-scripts + Post-scripts Sélectionnez les scripts à exécuter avant et après votre déploiementSelect the scripts to run before and after your deployment
Fenêtre de maintenanceMaintenance window Nombre de minutes défini pour les mises à jour.Number of minutes set for updates. La valeur ne peut pas être inférieure à 30 minutes ni supérieure à 6 heuresThe value can't be less than 30 minutes and no more than 6 hours
Contrôle du redémarrageReboot control Détermine la façon dont doivent être gérés les redémarrages.Determines how reboots should be handled. Options disponibles :Available options are:
Redémarrer si nécessaire (par défaut)Reboot if required (Default)
Toujours redémarrerAlways reboot
Ne jamais redémarrerNever reboot
Redémarrer uniquement : les mises à jour ne sont pas installéesOnly reboot - will not install updates

Vous pouvez également créer des déploiements de mises à jour par programmation.Update Deployments can also be created programmatically. Pour savoir comment créer un déploiement de mises à jour avec l’API REST, consultez Configurations des mises à jour logicielles - Créer.To learn how to create an Update Deployment with the REST API, see Software Update Configurations - Create. Vous pouvez également utiliser un exemple de runbook fourni pour créer un déploiement de mises à jour hebdomadaires.There is also a sample runbook that can be used to create a weekly Update Deployment. Pour en savoir plus sur ce runbook, consultez Créer un déploiement de mises à jour hebdomadaires pour une ou plusieurs machines virtuelles dans un groupe de ressources.To learn more about this runbook, see Create a weekly update deployment for one or more VMs in a resource group.

Déploiements de mise à jour inter-tenantsCross-tenant Update Deployments

Si des machines se trouvent dans un autre rapport de tenant Azure pour Update Management que vous devez corriger, vous devez utiliser la solution de contournement suivante pour planifier l’opération.If you have machines in another Azure tenant reporting to Update Management that you need to patch, you'll need to use the following workaround to get them scheduled. Vous pouvez utiliser la cmdlet New-AzureRmAutomationSchedule avec le commutateur -ForUpdate pour créer une planification, et utiliser la cmdlet New-AzureRmAutomationSoftwareUpdateConfiguration et faire passer les machines de l’autre tenant au paramètre -NonAzureComputer.You can use the New-AzureRmAutomationSchedule cmdlet with the switch -ForUpdate to create a schedule, and use the New-AzureRmAutomationSoftwareUpdateConfiguration cmdlet and pass the machines in the other tenant to the -NonAzureComputer parameter. L’exemple suivant vous montre comment procéder :The following example shows an example on how to do this:

$nonAzurecomputers = @("server-01", "server-02")

$startTime = ([DateTime]::Now).AddMinutes(10)

$sched = New-AzureRmAutomationSchedule -ResourceGroupName mygroup -AutomationAccountName myaccount -Name myupdateconfig -Description test-OneTime -OneTime -StartTime $startTime -ForUpdate

New-AzureRmAutomationSoftwareUpdateConfiguration  -ResourceGroupName $rg -AutomationAccountName <automationAccountName> -Schedule $sched -Windows -NonAzureComputer $nonAzurecomputers -Duration (New-TimeSpan -Hours 2) -IncludedUpdateClassification Security,UpdateRollup -ExcludedKbNumber KB01,KB02 -IncludedKbNumber KB100

Afficher les mises à jour manquantesView missing updates

Sélectionnez Mises à jour manquantes pour afficher la liste des mises à jour qui manquent à vos ordinateurs.Select Missing updates to view the list of updates that are missing from your machines. Chaque mise à jour est répertoriée et peut être sélectionnée.Each update is listed and can be selected. Les informations sur le nombre d’ordinateurs qui nécessitent la mise à jour, le système d’exploitation et le lien vers plus d’informations s’affichent.Information about the number of machines that require the update, the operating system, and a link for more information is shown. Le volet Recherche dans les journaux affiche plus d’informations sur les mises à jour.The Log search pane shows more details about the updates.

Afficher les déploiements de mises à jourView update deployments

Sélectionnez l’onglet Déploiements de mises à jour pour afficher la liste des déploiements de mises à jour existants.Select the Update Deployments tab to view the list of existing update deployments. Sélectionnez l’un des déploiements de mises à jour dans le tableau pour ouvrir le volet Exécution du déploiement des mises à jour de ce déploiement de mises à jour.Select any of the update deployments in the table to open the Update Deployment Run pane for that update deployment. Les journaux d’activité de travail sont stockés pendant 30 jours maximum.Job logs are stored for a max of 30 days.

Vue d’ensemble des résultats d’un déploiement de mises à jour

Pour afficher un déploiement de mises à jour à partir de l’API REST, consultez Exécutions de configurations de mises à jour logicielles.To view an update deployment from the REST API, see Software Update Configuration Runs.

Classifications des mises à jourUpdate classifications

Les tableaux suivants répertorient les classifications des mises à jour dans Update Management, avec une définition de chaque classification.The following tables list the update classifications in Update Management, with a definition for each classification.

WindowsWindows

classification ;Classification DescriptionDescription
Mises à jour critiquesCritical updates Mise à jour d’un problème spécifique qui concerne un bogue critique non lié à la sécurité.An update for a specific problem that addresses a critical, non-security-related bug.
Mises à jour de sécuritéSecurity updates Mise à jour pour un problème de sécurité propre à un produit.An update for a product-specific, security-related issue.
Correctifs cumulatifsUpdate rollups Cumul de correctifs logiciels regroupés pour faciliter leur déploiement.A cumulative set of hotfixes that are packaged together for easy deployment.
Packs de fonctionnalitésFeature packs Nouvelles fonctionnalités de produit distribuées en dehors d’une version de produit.New product features that are distributed outside a product release.
Service PacksService packs Cumul de correctifs logiciels appliqués à une application.A cumulative set of hotfixes that are applied to an application.
Mises à jour de définitionsDefinition updates Mise à jour de fichiers de virus ou d’autres définitions.An update to virus or other definition files.
OutilsTools Utilitaire ou fonctionnalité permettant d’effectuer une ou plusieurs tâches.A utility or feature that helps complete one or more tasks.
Mises à jourUpdates Mise à jour d’une application ou d’un fichier actuellement installé.An update to an application or file that currently is installed.

LinuxLinux

classification ;Classification DescriptionDescription
Mises à jour critiques et de sécuritéCritical and security updates Mises à jour pour un problème spécifique ou un problème de sécurité propre à un produit.Updates for a specific problem or a product-specific, security-related issue.
Autres mises à jourOther updates Toutes les autres mises à jour qui ne sont pas critiques par nature ni des mises à jour de sécurité.All other updates that aren't critical in nature or aren't security updates.

Pour Linux, Update Management peut faire la distinction entre les mises à jour de sécurité et critiques dans le cloud tout en affichant les données d’évaluation en raison de l’enrichissement des données dans le cloud.For Linux, Update Management can distinguish between critical and security updates in the cloud while displaying assessment data due to data enrichment in the cloud. Pour la mise à jour corrective, Update Management s’appuie sur les données de classification disponibles sur l’ordinateur.For patching, Update Management relies on classification data available on the machine. Contrairement à d’autres distributions, CentOS n’a pas directement accès à ces informations.Unlike other distributions, CentOS does not have this information available out of the box. Si vous disposez d’ordinateurs CentOS configurés de manière à retourner les données de sécurité pour la commande suivante, Update Management va pouvoir appliquer la mise à jour corrective en fonction des classifications.If you have CentOS machines configured in a way to return security data for the following command, Update Management will be able to patch based on classifications.

sudo yum -q --security check-update

Il n’existe actuellement aucune méthode prise en charge permettant d’activer la disponibilité des données de classification natives sur CentOS.There's currently no method supported method to enable native classification-data availability on CentOS. Pour le moment, seule une prise en charge au mieux est proposée aux clients l’ayant activé eux-mêmes.At this time, only best-effort support is provided to customers who may have enabled this on their own.

Paramètres avancésAdvanced settings

Update Management s’appuie sur Windows Update pour télécharger et installer les mises à jour de Windows.Update Management relies on Windows Update to download and install Windows Updates. Par conséquent, nous respectons la plupart des paramètres utilisés par Windows Update.As a result, we respect many of the settings used by Windows Update. Si vous utilisez des paramètres pour activer les mises à jour non-Windows, Update Management gérera également ces mises à jour.If you use settings to enable non-Windows updates, Update Management will manage those updates as well. Si vous souhaitez activer le téléchargement des mises à jour avant le déploiement de mises à jour, le déploiement des mise à jour peut être plus rapide et être moins susceptible de dépasser la fenêtre de maintenance.If you want to enable downloading updates before an update deployment occurs, update deployments can go faster and be less likely to exceed the maintenance window.

Prétélécharger les mises à jourPre download updates

Pour configurer automatiquement le téléchargement des mises à jour dans la stratégie de groupe, vous pouvez définir le paramètre Configurer les mises à jour automatiques sur 3.To configure automatically downloading updates in Group Policy, you can set the Configure Automatic Updates setting to 3. Cela télécharge les mises à jour nécessaires en arrière-plan, mais ne les installe pas.This downloads the updates needed in the background, but doesn't install them. Cela permet à Update Management de garder le contrôle de la planification, mais aussi d’autoriser les mises à jour à être téléchargées en dehors de la fenêtre de maintenance d’Update Management.This keeps Update Management in control of schedules but allow updates to download outside of the Update Management maintenance window. Ceci peut empêcher les erreurs de fenêtre de maintenance dépassée dans la Update Management.This can prevent Maintenance window exceeded errors in Update Management.

Vous pouvez également définir ce paramètre avec PowerShell. Exécutez la commande PowerShell suivante sur le système sur lequel vous souhaitez activer le téléchargement automatique des mises à jour.You can also set this with PowerShell, run the following PowerShell on a system that you want to auto-download updates.

$WUSettings = (New-Object -com "Microsoft.Update.AutoUpdate").Settings
$WUSettings.NotificationLevel = 3
$WUSettings.Save()

Désactiver l’installation automatiqueDisable automatic installation

Pour les machines virtuelles Azure, l’installation automatique des mises à jour est activée par défaut.Azure VMs have Automatic installation of updates enabled by default. Cela peut entraîner l’installation de mises à jour avant que vous n’en planifiez l’installation par Update Management.This can cause updates to be installed before you schedule them to be installed by Update Management. Vous pouvez désactiver ce comportement en définissant la clé de Registre NoAutoUpdate sur 1.You can disable this behavior by setting the NoAutoUpdate registry key to 1. L’extrait de code PowerShell suivant vous montre une façon de procéder.The following PowerShell snippet shows you one way to do this.

$AutoUpdatePath = "HKLM:SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU"
Set-ItemProperty -Path $AutoUpdatePath -Name NoAutoUpdate -Value 1

Activer les mises à jour pour d’autres produits MicrosoftEnable updates for other Microsoft products

Par défaut, Windows Update fournit uniquement des mises à jour pour Windows.By default, Windows Update only provides updates for Windows. Si vous activez l’option Me communiquer les mises à jour d’autres produits Microsoft lorsque je mets à jour Windows, les mises à jour des autres produits vous sont fournies, y compris les correctifs de sécurité pour SQL Server ou d’autres logiciels.If you enable Give me updates for other Microsoft products when I update Windows, you're provided with updates for other products, including security patches for SQL Server or other first party software. Cette option ne peut pas être configurée par la stratégie de groupe.This option can't be configured by Group Policy. Exécutez la commande PowerShell suivante sur les systèmes sur lesquels vous souhaitez activer d’autres correctifs tiers. Update Management appliquera ce paramètre.Run the following PowerShell on the systems that you wish to enable other first party patches on, and Update Management will honor this setting.

$ServiceManager = (New-Object -com "Microsoft.Update.ServiceManager")
$ServiceManager.Services
$ServiceID = "7971f918-a847-4430-9279-4a52d1efe18d"
$ServiceManager.AddService2($ServiceId,7,"")

Correctifs tiers sur WindowsThird-party patches on Windows

Update Management s’appuie sur le référentiel de mise à jour configuré localement pour corriger les systèmes Windows pris en charge.Update Management relies on the locally configured update repository to patch supported Windows systems. Il s’agit de WSUS ou de Windows Update.This is either WSUS or Windows Update. Des outils tels que l’éditeur de mise à jour System Center (Éditeur de mise à jour) vous permettent de publier des mises à jour personnalisées dans WSUS.Tools like System Center Updates Publisher (Updates Publisher) allow you to publish custom updates into WSUS. Ce scénario permet à Update Management de corriger les machines qui utilisent System Center Configuration Manager comme référentiel de mise à jour avec des logiciels tiers.This scenario allows Update Management to patch machines that use System Center Configuration Manager as their update repository with third-party software. Pour savoir comment configurer l’éditeur de mise à jour, consultez Installer l’éditeur de mise à jour.To learn how to configure Updates Publisher, see Install Updates Publisher.

Planification réseauNetwork Planning

Les adresses suivantes sont exigées particulièrement pour Update Management.The following addresses are required specifically for Update Management. La communication avec ces adresses s’effectue par le biais du port 443.Communication to these addresses occurs over port 443.

Azure (public)Azure Public Azure GovernmentAzure Government
*.ods.opinsights.azure.com*.ods.opinsights.azure.com *.ods.opinsights.azure.us*.ods.opinsights.azure.us
*.oms.opinsights.azure.com*.oms.opinsights.azure.com *.oms.opinsights.azure.us*.oms.opinsights.azure.us
*.blob.core.windows.net*.blob.core.windows.net *.blob.core.usgovcloudapi.net*.blob.core.usgovcloudapi.net
* .azure-automation.net*.azure-automation.net *.azure-automation.us*.azure-automation.us

Pour plus d’informations sur les ports exigés par le Runbook Worker hybride, consultez Ports du rôle de Worker hybride.For more information about ports that the Hybrid Runbook Worker requires, see Hybrid Worker role ports.

Il est recommandé d’utiliser les adresses répertoriées lors de la définition des exceptions.It's recommended to use the addresses listed when defining exceptions. Pour les adresses IP, vous pouvez télécharger les Plages d’adresses IP du centre de données Microsoft Azure.For IP addresses you can download the Microsoft Azure Datacenter IP Ranges. Ce fichier, qui est mis à jour chaque semaine, reflète les plages actuellement déployées et tous les changements à venir des plages d’adresses IP.This file is updated weekly, and reflects the currently deployed ranges and any upcoming changes to the IP ranges.

Rechercher des journaux d’activitéSearch logs

En plus des détails fournis dans le portail Azure, vous pouvez effectuer des recherches dans les journaux d’activité.In addition to the details that are provided in the Azure portal, you can do searches against the logs. Dans les pages de solutions, sélectionnez Log Analytics.On the solution pages, select Log Analytics. Le volet Recherche dans les journaux s’ouvre.The Log Search pane opens.

Vous pouvez également apprendre à personnaliser les requêtes ou les utiliser à partir de différents clients et plus en consultant : Documentation de l’API de recherche Log Analytics.You can also learn how to customize the queries or use them from different clients and more by visiting: Log Analytics search API documentation.

Exemples de requêtesSample queries

Les sections suivantes fournissent des exemples de requêtes de journal pour les enregistrements de mise à jour qui sont collectés par cette solution :The following sections provide sample log queries for update records that are collected by this solution:

Requêtes d’évaluation de la machine virtuelle Azure unique (Windows)Single Azure VM Assessment queries (Windows)

Remplacez la valeur VMUUID par le GUID VM de la machine virtuelle que vous interrogez.Replace the VMUUID value with the VM GUID of the virtual machine you're querying. Pour trouver le VMUUID à utiliser, exécutez la requête suivante dans les journaux Azure Monitor : Update | where Computer == "<machine name>" | summarize by Computer, VMUUIDYou can find the VMUUID that should be used by running the following query in Azure Monitor logs: Update | where Computer == "<machine name>" | summarize by Computer, VMUUID

Récapitulatif des mises à jour manquantesMissing updates summary
Update
| where TimeGenerated>ago(14h) and OSType!="Linux" and (Optional==false or Classification has "Critical" or Classification has "Security") and VMUUID=~"b08d5afa-1471-4b52-bd95-a44fea6e4ca8"
| summarize hint.strategy=partitioned arg_max(TimeGenerated, UpdateState, Classification, Approved) by Computer, SourceComputerId, UpdateID
| where UpdateState=~"Needed" and Approved!=false
| summarize by UpdateID, Classification
| summarize allUpdatesCount=count(), criticalUpdatesCount=countif(Classification has "Critical"), securityUpdatesCount=countif(Classification has "Security"), otherUpdatesCount=countif(Classification !has "Critical" and Classification !has "Security")
Liste des mises à jour manquantesMissing updates list
Update
| where TimeGenerated>ago(14h) and OSType!="Linux" and (Optional==false or Classification has "Critical" or Classification has "Security") and VMUUID=~"8bf1ccc6-b6d3-4a0b-a643-23f346dfdf82"
| summarize hint.strategy=partitioned arg_max(TimeGenerated, UpdateState, Classification, Title, KBID, PublishedDate, Approved) by Computer, SourceComputerId, UpdateID
| where UpdateState=~"Needed" and Approved!=false
| project-away UpdateState, Approved, TimeGenerated
| summarize computersCount=dcount(SourceComputerId, 2), displayName=any(Title), publishedDate=min(PublishedDate), ClassificationWeight=max(iff(Classification has "Critical", 4, iff(Classification has "Security", 2, 1))) by id=strcat(UpdateID, "_", KBID), classification=Classification, InformationId=strcat("KB", KBID), InformationUrl=iff(isnotempty(KBID), strcat("https://support.microsoft.com/kb/", KBID), ""), osType=2
| sort by ClassificationWeight desc, computersCount desc, displayName asc
| extend informationLink=(iff(isnotempty(InformationId) and isnotempty(InformationUrl), toobject(strcat('{ "uri": "', InformationUrl, '", "text": "', InformationId, '", "target": "blank" }')), toobject('')))
| project-away ClassificationWeight, InformationId, InformationUrl

Requêtes d’évaluation de la machine virtuelle Azure unique (Linux)Single Azure VM assessment queries (Linux)

Pour certaines distributions de Linux, il existe une incompatibilité de mode Endian entre la valeur VMUUID qui provient d’Azure Resource Manager, et ce qui est stocké dans les journaux Azure Monitor.For some Linux distros, there is a endianness mismatch with the VMUUID value that comes from Azure Resource Manager and what is stored in Azure Monitor logs. La requête suivante recherche une correspondance sur l’un des modes Endian.The following query checks for a match on either endianness. Remplacez les valeurs VMUUID avec le format big-endian et little-endian du GUID afin de retourner correctement les résultats.Replace the VMUUID values with the big-endian and little-endian format of the GUID to properly return the results. Pour trouver le VMUUID à utiliser, exécutez la requête suivante dans les journaux Azure Monitor : Update | where Computer == "<machine name>" | summarize by Computer, VMUUIDYou can find the VMUUID that should be used by running the following query in Azure Monitor logs: Update | where Computer == "<machine name>" | summarize by Computer, VMUUID

Récapitulatif des mises à jour manquantesMissing updates summary
Update
| where TimeGenerated>ago(5h) and OSType=="Linux" and (VMUUID=~"625686a0-6d08-4810-aae9-a089e68d4911" or VMUUID=~"a0865662-086d-1048-aae9-a089e68d4911")
| summarize hint.strategy=partitioned arg_max(TimeGenerated, UpdateState, Classification) by Computer, SourceComputerId, Product, ProductArch
| where UpdateState=~"Needed"
| summarize by Product, ProductArch, Classification
| summarize allUpdatesCount=count(), criticalUpdatesCount=countif(Classification has "Critical"), securityUpdatesCount=countif(Classification has "Security"), otherUpdatesCount=countif(Classification !has "Critical" and Classification !has "Security")
Liste des mises à jour manquantesMissing updates list
Update
| where TimeGenerated>ago(5h) and OSType=="Linux" and (VMUUID=~"625686a0-6d08-4810-aae9-a089e68d4911" or VMUUID=~"a0865662-086d-1048-aae9-a089e68d4911")
| summarize hint.strategy=partitioned arg_max(TimeGenerated, UpdateState, Classification, BulletinUrl, BulletinID) by Computer, SourceComputerId, Product, ProductArch
| where UpdateState=~"Needed"
| project-away UpdateState, TimeGenerated
| summarize computersCount=dcount(SourceComputerId, 2), ClassificationWeight=max(iff(Classification has "Critical", 4, iff(Classification has "Security", 2, 1))) by id=strcat(Product, "_", ProductArch), displayName=Product, productArch=ProductArch, classification=Classification, InformationId=BulletinID, InformationUrl=tostring(split(BulletinUrl, ";", 0)[0]), osType=1
| sort by ClassificationWeight desc, computersCount desc, displayName asc
| extend informationLink=(iff(isnotempty(InformationId) and isnotempty(InformationUrl), toobject(strcat('{ "uri": "', InformationUrl, '", "text": "', InformationId, '", "target": "blank" }')), toobject('')))
| project-away ClassificationWeight, InformationId, InformationUrl

Requêtes d’évaluation sur plusieurs VMMulti-VM assessment queries

Récapitulatif des ordinateursComputers summary
Heartbeat
| where TimeGenerated>ago(12h) and OSType=~"Windows" and notempty(Computer)
| summarize arg_max(TimeGenerated, Solutions) by SourceComputerId
| where Solutions has "updates"
| distinct SourceComputerId
| join kind=leftouter
(
    Update
    | where TimeGenerated>ago(14h) and OSType!="Linux"
    | summarize hint.strategy=partitioned arg_max(TimeGenerated, UpdateState, Approved, Optional, Classification) by SourceComputerId, UpdateID
    | distinct SourceComputerId, Classification, UpdateState, Approved, Optional
    | summarize WorstMissingUpdateSeverity=max(iff(UpdateState=~"Needed" and (Optional==false or Classification has "Critical" or Classification has "Security") and Approved!=false, iff(Classification has "Critical", 4, iff(Classification has "Security", 2, 1)), 0)) by SourceComputerId
)
on SourceComputerId
| extend WorstMissingUpdateSeverity=coalesce(WorstMissingUpdateSeverity, -1)
| summarize computersBySeverity=count() by WorstMissingUpdateSeverity
| union (Heartbeat
| where TimeGenerated>ago(12h) and OSType=="Linux" and notempty(Computer)
| summarize arg_max(TimeGenerated, Solutions) by SourceComputerId
| where Solutions has "updates"
| distinct SourceComputerId
| join kind=leftouter
(
    Update
    | where TimeGenerated>ago(5h) and OSType=="Linux"
    | summarize hint.strategy=partitioned arg_max(TimeGenerated, UpdateState, Classification) by SourceComputerId, Product, ProductArch
    | distinct SourceComputerId, Classification, UpdateState
    | summarize WorstMissingUpdateSeverity=max(iff(UpdateState=~"Needed", iff(Classification has "Critical", 4, iff(Classification has "Security", 2, 1)), 0)) by SourceComputerId
)
on SourceComputerId
| extend WorstMissingUpdateSeverity=coalesce(WorstMissingUpdateSeverity, -1)
| summarize computersBySeverity=count() by WorstMissingUpdateSeverity)
| summarize assessedComputersCount=sumif(computersBySeverity, WorstMissingUpdateSeverity>-1), notAssessedComputersCount=sumif(computersBySeverity, WorstMissingUpdateSeverity==-1), computersNeedCriticalUpdatesCount=sumif(computersBySeverity, WorstMissingUpdateSeverity==4), computersNeedSecurityUpdatesCount=sumif(computersBySeverity, WorstMissingUpdateSeverity==2), computersNeedOtherUpdatesCount=sumif(computersBySeverity, WorstMissingUpdateSeverity==1), upToDateComputersCount=sumif(computersBySeverity, WorstMissingUpdateSeverity==0)
| summarize assessedComputersCount=sum(assessedComputersCount), computersNeedCriticalUpdatesCount=sum(computersNeedCriticalUpdatesCount),  computersNeedSecurityUpdatesCount=sum(computersNeedSecurityUpdatesCount), computersNeedOtherUpdatesCount=sum(computersNeedOtherUpdatesCount), upToDateComputersCount=sum(upToDateComputersCount), notAssessedComputersCount=sum(notAssessedComputersCount)
| extend allComputersCount=assessedComputersCount+notAssessedComputersCount


Récapitulatif des mises à jour manquantesMissing updates summary
Update
| where TimeGenerated>ago(5h) and OSType=="Linux" and SourceComputerId in ((Heartbeat
| where TimeGenerated>ago(12h) and OSType=="Linux" and notempty(Computer)
| summarize arg_max(TimeGenerated, Solutions) by SourceComputerId
| where Solutions has "updates"
| distinct SourceComputerId))
| summarize hint.strategy=partitioned arg_max(TimeGenerated, UpdateState, Classification) by Computer, SourceComputerId, Product, ProductArch
| where UpdateState=~"Needed"
| summarize by Product, ProductArch, Classification
| union (Update
| where TimeGenerated>ago(14h) and OSType!="Linux" and (Optional==false or Classification has "Critical" or Classification has "Security") and SourceComputerId in ((Heartbeat
| where TimeGenerated>ago(12h) and OSType=~"Windows" and notempty(Computer)
| summarize arg_max(TimeGenerated, Solutions) by SourceComputerId
| where Solutions has "updates"
| distinct SourceComputerId))
| summarize hint.strategy=partitioned arg_max(TimeGenerated, UpdateState, Classification, Approved) by Computer, SourceComputerId, UpdateID
| where UpdateState=~"Needed" and Approved!=false
| summarize by UpdateID, Classification )
| summarize allUpdatesCount=count(), criticalUpdatesCount=countif(Classification has "Critical"), securityUpdatesCount=countif(Classification has "Security"), otherUpdatesCount=countif(Classification !has "Critical" and Classification !has "Security")
Liste des ordinateursComputers list
Heartbeat
| where TimeGenerated>ago(12h) and OSType=="Linux" and notempty(Computer)
| summarize arg_max(TimeGenerated, Solutions, Computer, ResourceId, ComputerEnvironment, VMUUID) by SourceComputerId
| where Solutions has "updates"
| extend vmuuId=VMUUID, azureResourceId=ResourceId, osType=1, environment=iff(ComputerEnvironment=~"Azure", 1, 2), scopedToUpdatesSolution=true, lastUpdateAgentSeenTime=""
| join kind=leftouter
(
    Update
    | where TimeGenerated>ago(5h) and OSType=="Linux" and SourceComputerId in ((Heartbeat
    | where TimeGenerated>ago(12h) and OSType=="Linux" and notempty(Computer)
    | summarize arg_max(TimeGenerated, Solutions) by SourceComputerId
    | where Solutions has "updates"
    | distinct SourceComputerId))
    | summarize hint.strategy=partitioned arg_max(TimeGenerated, UpdateState, Classification, Product, Computer, ComputerEnvironment) by SourceComputerId, Product, ProductArch
    | summarize Computer=any(Computer), ComputerEnvironment=any(ComputerEnvironment), missingCriticalUpdatesCount=countif(Classification has "Critical" and UpdateState=~"Needed"), missingSecurityUpdatesCount=countif(Classification has "Security" and UpdateState=~"Needed"), missingOtherUpdatesCount=countif(Classification !has "Critical" and Classification !has "Security" and UpdateState=~"Needed"), lastAssessedTime=max(TimeGenerated), lastUpdateAgentSeenTime="" by SourceComputerId
    | extend compliance=iff(missingCriticalUpdatesCount > 0 or missingSecurityUpdatesCount > 0, 2, 1)
    | extend ComplianceOrder=iff(missingCriticalUpdatesCount > 0 or missingSecurityUpdatesCount > 0 or missingOtherUpdatesCount > 0, 1, 3)
)
on SourceComputerId
| project id=SourceComputerId, displayName=Computer, sourceComputerId=SourceComputerId, scopedToUpdatesSolution=true, missingCriticalUpdatesCount=coalesce(missingCriticalUpdatesCount, -1), missingSecurityUpdatesCount=coalesce(missingSecurityUpdatesCount, -1), missingOtherUpdatesCount=coalesce(missingOtherUpdatesCount, -1), compliance=coalesce(compliance, 4), lastAssessedTime, lastUpdateAgentSeenTime, osType=1, environment=iff(ComputerEnvironment=~"Azure", 1, 2), ComplianceOrder=coalesce(ComplianceOrder, 2)
| union(Heartbeat
| where TimeGenerated>ago(12h) and OSType=~"Windows" and notempty(Computer)
| summarize arg_max(TimeGenerated, Solutions, Computer, ResourceId, ComputerEnvironment, VMUUID) by SourceComputerId
| where Solutions has "updates"
| extend vmuuId=VMUUID, azureResourceId=ResourceId, osType=2, environment=iff(ComputerEnvironment=~"Azure", 1, 2), scopedToUpdatesSolution=true, lastUpdateAgentSeenTime=""
| join kind=leftouter
(
    Update
    | where TimeGenerated>ago(14h) and OSType!="Linux" and SourceComputerId in ((Heartbeat
    | where TimeGenerated>ago(12h) and OSType=~"Windows" and notempty(Computer)
    | summarize arg_max(TimeGenerated, Solutions) by SourceComputerId
    | where Solutions has "updates"
    | distinct SourceComputerId))
    | summarize hint.strategy=partitioned arg_max(TimeGenerated, UpdateState, Classification, Title, Optional, Approved, Computer, ComputerEnvironment) by Computer, SourceComputerId, UpdateID
    | summarize Computer=any(Computer), ComputerEnvironment=any(ComputerEnvironment), missingCriticalUpdatesCount=countif(Classification has "Critical" and UpdateState=~"Needed" and Approved!=false), missingSecurityUpdatesCount=countif(Classification has "Security" and UpdateState=~"Needed" and Approved!=false), missingOtherUpdatesCount=countif(Classification !has "Critical" and Classification !has "Security" and UpdateState=~"Needed" and Optional==false and Approved!=false), lastAssessedTime=max(TimeGenerated), lastUpdateAgentSeenTime="" by SourceComputerId
    | extend compliance=iff(missingCriticalUpdatesCount > 0 or missingSecurityUpdatesCount > 0, 2, 1)
    | extend ComplianceOrder=iff(missingCriticalUpdatesCount > 0 or missingSecurityUpdatesCount > 0 or missingOtherUpdatesCount > 0, 1, 3)
)
on SourceComputerId
| project id=SourceComputerId, displayName=Computer, sourceComputerId=SourceComputerId, scopedToUpdatesSolution=true, missingCriticalUpdatesCount=coalesce(missingCriticalUpdatesCount, -1), missingSecurityUpdatesCount=coalesce(missingSecurityUpdatesCount, -1), missingOtherUpdatesCount=coalesce(missingOtherUpdatesCount, -1), compliance=coalesce(compliance, 4), lastAssessedTime, lastUpdateAgentSeenTime, osType=2, environment=iff(ComputerEnvironment=~"Azure", 1, 2), ComplianceOrder=coalesce(ComplianceOrder, 2) )
| order by ComplianceOrder asc, missingCriticalUpdatesCount desc, missingSecurityUpdatesCount desc, missingOtherUpdatesCount desc, displayName asc
| project-away ComplianceOrder
Liste des mises à jour manquantesMissing updates list
Update
| where TimeGenerated>ago(5h) and OSType=="Linux" and SourceComputerId in ((Heartbeat
| where TimeGenerated>ago(12h) and OSType=="Linux" and notempty(Computer)
| summarize arg_max(TimeGenerated, Solutions) by SourceComputerId
| where Solutions has "updates"
| distinct SourceComputerId))
| summarize hint.strategy=partitioned arg_max(TimeGenerated, UpdateState, Classification, BulletinUrl, BulletinID) by SourceComputerId, Product, ProductArch
| where UpdateState=~"Needed"
| project-away UpdateState, TimeGenerated
| summarize computersCount=dcount(SourceComputerId, 2), ClassificationWeight=max(iff(Classification has "Critical", 4, iff(Classification has "Security", 2, 1))) by id=strcat(Product, "_", ProductArch), displayName=Product, productArch=ProductArch, classification=Classification, InformationId=BulletinID, InformationUrl=tostring(split(BulletinUrl, ";", 0)[0]), osType=1
| union(Update
| where TimeGenerated>ago(14h) and OSType!="Linux" and (Optional==false or Classification has "Critical" or Classification has "Security") and SourceComputerId in ((Heartbeat
| where TimeGenerated>ago(12h) and OSType=~"Windows" and notempty(Computer)
| summarize arg_max(TimeGenerated, Solutions) by SourceComputerId
| where Solutions has "updates"
| distinct SourceComputerId))
| summarize hint.strategy=partitioned arg_max(TimeGenerated, UpdateState, Classification, Title, KBID, PublishedDate, Approved) by Computer, SourceComputerId, UpdateID
| where UpdateState=~"Needed" and Approved!=false
| project-away UpdateState, Approved, TimeGenerated
| summarize computersCount=dcount(SourceComputerId, 2), displayName=any(Title), publishedDate=min(PublishedDate), ClassificationWeight=max(iff(Classification has "Critical", 4, iff(Classification has "Security", 2, 1))) by id=strcat(UpdateID, "_", KBID), classification=Classification, InformationId=strcat("KB", KBID), InformationUrl=iff(isnotempty(KBID), strcat("https://support.microsoft.com/kb/", KBID), ""), osType=2)
| sort by ClassificationWeight desc, computersCount desc, displayName asc
| extend informationLink=(iff(isnotempty(InformationId) and isnotempty(InformationUrl), toobject(strcat('{ "uri": "', InformationUrl, '", "text": "', InformationId, '", "target": "blank" }')), toobject('')))
| project-away ClassificationWeight, InformationId, InformationUrl

Utilisation de groupes dynamiquesUsing dynamic groups

Update Management permet de cibler un groupe dynamique de machines virtuelles Azure ou non-Azure pour les déploiements de mises à jour.Update Management provides the ability to target a dynamic group of Azure or Non-Azure VMs for update deployments. Ces groupes sont évalués au moment du déploiement, donc vous n’êtes pas obligé de modifier votre déploiement pour ajouter des machines.These groups are evaluated at deployment time so you do not have to edit your deployment to add machines.

Notes

Vous devez disposer des autorisations appropriées lors de la création d’un déploiement de mises à jour.You must have the proper permissions when creating an update deployment. Pour plus d’informations, consultez Installer des mises à jour.To learn more, see Install Updates.

Machines AzureAzure machines

Ces groupes sont définis par une requête et, au démarrage d’un déploiement de mise à jour, les membres de ce groupe sont évalués.These groups are defined by a query, when an update deployment begins, the members of that group are evaluated. Les groupes dynamiques ne fonctionnent pas avec des machines virtuelles classiques.Dynamic groups do not work with classic VMs. Quand vous définissez votre requête, les éléments suivants peuvent être utilisés ensemble pour remplir le groupe dynamiqueWhen defining your query, the following items can be used together to populate the dynamic group

  • AbonnementSubscription
  • Groupes de ressourcesResource groups
  • EmplacementsLocations
  • BalisesTags

Sélection de groupes

Pour prévisualiser les résultats d’un groupe dynamique, cliquez sur le bouton Aperçu.To preview the results of a dynamic group, click the Preview button. Cet aperçu montre l’appartenance au groupe à ce moment-là. Dans cet exemple, nous recherchons les machines dont la balise Role (Rôle) est définie à BackendServer.This preview shows the group membership at that time, in this example, we are searching for machines with the tag Role is equal to BackendServer. Si plusieurs machines ont cette balise, elles seront ajoutées à tous les déploiements ultérieurs effectués pour ce groupe.If more machines have this tag added, they will be added to any future deployments against that group.

aperçu des groupes

Machines non-AzureNon-Azure machines

Pour les machines non-Azure, les recherches enregistrées également appelées groupes d’ordinateurs sont utilisées pour créer le groupe dynamique.For Non-Azure machines, saved searches also referred to as computer groups are used to create the dynamic group. Pour apprendre à créer une recherche enregistrée, consultez Création d’un groupe d’ordinateurs.To learn how to create a saved search, see Creating a computer group. Une fois que votre groupe est créé, vous pouvez le sélectionner dans la liste des recherches enregistrées.Once your group is created you can select it from the list of saved searches. Cliquez sur Aperçu pour afficher un aperçu des ordinateurs figurant dans la recherche enregistrée à ce moment-là.Click Preview to preview the computers in the saved search at that time.

Sélection de groupes

Intégrer avec System Center Configuration ManagerIntegrate with System Center Configuration Manager

Les clients qui ont investi dans System Center Configuration Manager pour gérer des PC, serveurs et appareils mobiles s’appuient aussi sur la puissance et la maturité de Configuration Manager pour les aider à gérer les mises à jour logicielles.Customers who have invested in System Center Configuration Manager for managing PCs, servers, and mobile devices also rely on the strength and maturity of Configuration Manager to help them manage software updates. Configuration Manager fait partie de leur cycle de gestion des mises à jour logicielles (SUM).Configuration Manager is part of their software update management (SUM) cycle.

Pour découvrir comment intégrer la solution de gestion à System Center Configuration Manager, consultez l’article Intégrer System Center Configuration Manager à Update Management.To learn how to integrate the management solution with System Center Configuration Manager, see Integrate System Center Configuration Manager with Update Management.

Comportement d’inclusionInclusion behavior

L’inclusion de mise à jour vous permet de spécifier des mises à jour spécifiques à appliquer.Update inclusion allows you to specify specific updates to apply. Tous les correctifs ou packages qui sont inclus sont installés.Patches or packages that are included are installed. Quand des correctifs ou des packages sont inclus et qu’une classification est également sélectionnée, les éléments inclus ainsi que les éléments qui remplissent les critères de la classification sont installés.When Patches or packages are included and a classification is selected as well, both the included items and items that meet the classification are installed.

Il est important de se souvenir que les exclusions sont prioritaires sur les inclusions.It is important to know that exclusions override inclusions. Par exemple, si vous définissez une règle d’exclusion de *, aucun correctif ou package n’est installé puisque cette règle les exclut tous.For instance, if you define an exclusion rule of *, then no patches or packages are installed as they are all excluded. Les correctifs exclus sont toujours affichés comme étant manquants sur l’ordinateur.Excluded patches still show as missing from the machine. Sur les machines Linux, si un package est inclus, mais qu’il a un package dépendant exclu, le package n’est pas installé.For Linux machines if a package is included but has a dependant package that was excluded, the package is not installed.

Appliquer une mise à jour corrective aux ordinateurs LinuxPatch Linux machines

Les sections suivantes décrivent les problèmes potentiels liés à la mise à jour corrective Linux.The following sections explain potential issues with Linux patching.

Mises à niveau inattendues au niveau du système d’exploitationUnexpected OS-level upgrades

Sur certaines variantes Linux, comme Red Hat Enterprise Linux, les mises à niveau du système d’exploitation peuvent se produire par le biais de packages.On some Linux variants, such as Red Hat Enterprise Linux, OS-level upgrades might occur via packages. Celles-ci peuvent alors entraîner des exécutions Update Management au cours desquelles le numéro de version du système d’exploitation change.This might lead to Update Management runs where the OS version number changes. Étant donné que la solution Update Management utilise les mêmes méthodes pour mettre à jour des packages qu’un administrateur sur l’ordinateur Linux local, ce comportement est volontaire.Because Update Management uses the same methods to update packages that an administrator would use locally on the Linux computer, this behavior is intentional.

Pour éviter de mettre à jour la version du système d’exploitation par le biais des exécutions Update Management, vous utilisez la fonctionnalité Exclusion.To avoid updating the OS version via Update Management runs, use the Exclusion feature.

Dans Red Hat Enterprise Linux, le nom du package à exclure est : redhat-release-server.x86_64.In Red Hat Enterprise Linux, the package name to exclude is redhat-release-server.x86_64.

Packages à exclure pour Linux

Les correctifs de sécurité/critiques ne sont pas appliquésCritical / security patches aren't applied

Lorsque vous déployez des mises à jour sur un ordinateur Linux, vous pouvez sélectionner des classifications.When you deploy updates to a Linux machine, you can select update classifications. Vous pouvez ainsi filtrer les mises à jour afin d’appliquer à la machine uniquement celles qui remplissent les critères de classification spécifiés.This filters the updates that are applied to the machine that meet the specified criteria. Ce filtre est appliqué localement sur l’ordinateur lorsque la mise à jour est déployée.This filter is applied locally on the machine when the update is deployed.

Comme Update Management enrichit les mises à jour dans le cloud, certaines mises à jour peuvent être signalées dans Update Management comme ayant un impact sur la sécurité quand bien même l’ordinateur local n’a pas ces informations.Because Update Management performs update enrichment in the cloud, some updates can be flagged in Update Management as having security impact, even though the local machine doesn't have that information. Ainsi, si vous appliquez des mises à jour critiques à un ordinateur Linux, certaines mises à jour, non signalées comme ayant un impact sur la sécurité pour cet ordinateur, peuvent ne pas être appliquées.As a result, if you apply critical updates to a Linux machine, there might be updates that aren't marked as having security impact on that machine and the updates aren't applied.

Toutefois, Update Management peut quand même signaler que cet ordinateur n’est pas conforme car il contient des informations supplémentaires sur la mise à jour concernée.However, Update Management might still report that machine as being non-compliant because it has additional information about the relevant update.

Le déploiement de mises à jour par classification ne fonctionne pas directement sur CentOS.Deploying updates by update classification doesn't work on CentOS out of the box. Pour déployer correctement les mises à jour pour CentOS, sélectionnez toutes les classifications pour garantir que les mises à jour sont appliquées.To properly deploy updates for CentOS, select all classifications to ensure updates are applied. Pour SUSE, sélectionner uniquement « Autres mises à jour » en tant que classification peut entraîner l’installation de certaines mises à jour de sécurité si les mises à jour de sécurité associées à zypper (gestionnaire de package) ou ses dépendances sont requises en premier.For SUSE, selecting only 'Other updates' as the classification may result in some security updates also being installed if security updates related to zypper (package manager) or its dependencies are required first. Il s’agit d’une limitation de zypper.This behavior is a limitation of zypper. Dans certains cas, vous devrez peut-être réexécuter le déploiement des mises à jour.In some cases, you may be required to rerun the update deployment. Pour savoir si cela est nécessaire, consultez le journal des mises à jour.To verify, check the update log.

Supprimer une machine virtuelle d’Update ManagementRemove a VM from Update Management

Pour supprimer une machine virtuelle de Update Management :To remove a VM from Update Management:

  • Dans votre espace de travail Log Analytics, supprimez la machine virtuelle de la rechercher enregistrée pour la configuration d’étendue MicrosoftDefaultScopeConfig-Updates.In your Log Analytics workspace, remove the VM from the saved search for the Scope Configuration MicrosoftDefaultScopeConfig-Updates. Les recherches enregistrées se trouvent sous la section Général de votre espace de travail.Saved searches can be found under General in your workspace.
  • Supprimez l’agent Microsoft Monitoring agent ou l’agent Log Analytics pour Linux.Remove the Microsoft Monitoring agent or the Log Analytics agent for Linux.

Étapes suivantesNext steps

Poursuivez avec le didacticiel pour apprendre à gérer les mises à jour de vos machines virtuelles Windows.Continue to the tutorial to learn how to manage updates for your Windows virtual machines.