Vue d’ensemble de Update ManagementUpdate Management overview

Vous pouvez utiliser Update Management dans Azure Automation pour gérer les mises à jour du système d’exploitation de vos machines virtuelles Windows et Linux dans Azure, dans des environnements locaux et dans d’autres environnements cloud.You can use Update Management in Azure Automation to manage operating system updates for your Windows and Linux virtual machines in Azure, in on-premises environments, and in other cloud environments. Vous pouvez rapidement évaluer l’état des mises à jour disponibles sur toutes les machines d’agent et gérer le processus d’installation des mises à jour nécessaires pour les serveurs.You can quickly assess the status of available updates on all agent machines and manage the process of installing required updates for servers.

Notes

Vous ne pouvez pas utiliser de machine configurée avec Update Management pour exécuter des scripts personnalisés à partir d’Azure Automation.You can't use a machine configured with Update Management to run custom scripts from Azure Automation. Cette machine ne peut exécuter que le script de mise à jour signé par Microsoft.This machine can only run the Microsoft-signed update script.

Notes

À ce stade, l’activation d’Update Management directement à partir d’un serveur Azure Arc n’est pas prise en charge.At this time, enabling Update Management directly from an Arc enabled server is not supported. Pour connaître les conditions requises et la façon de l’activer pour votre serveur, consultez Activer Update Management à partir de votre compte Automation.See Enable Update Management from your Automation account to understand requirements and how to enable for your server.

Pour télécharger et installer automatiquement des correctifs critiques et de sécurité sur votre machine virtuelle Azure, consultez Mise à jour corrective automatique de l’invité de machine virtuelle pour les machines virtuelles Windows.To download and install available Critical and Security patches automatically on your Azure VM, review Automatic VM guest patching for Windows VMs.

Avant de déployer Update Management et d’activer vos machines pour la gestion, assurez-vous de bien comprendre les informations contenues dans les sections suivantes.Before deploying Update Management and enabling your machines for management, make sure that you understand the information in the following sections.

À propos d’Update ManagementAbout Update Management

Les machines gérées par Update Management reposent sur les éléments suivants pour effectuer l’évaluation et déployer des mises à jour :Machines that are managed by Update Management rely on the following to perform assessment and to deploy updates:

  • Agent Log Analytics pour Windows ou LinuxLog Analytics agent for Windows or Linux
  • PowerShell DSC (Desired State Configuration, configuration d’état souhaité) pour LinuxPowerShell Desired State Configuration (DSC) for Linux
  • Runbook Worker hybride Automation (installé automatiquement quand vous activez Update Management sur la machine)Automation Hybrid Runbook Worker (automatically installed when you enable Update Management on the machine)
  • Microsoft Update ou Windows Server Update Services (WSUS) pour les machines WindowsMicrosoft Update or Windows Server Update Services (WSUS) for Windows machines
  • Un référentiel de mises à jour privé ou public pour les ordinateurs LinuxEither a private or public update repository for Linux machines

Le schéma suivant illustre la façon dont Update Management évalue les mises à jour de sécurité et les applique à tous les serveurs Windows Server et Linux connectés dans un espace de travail :The following diagram illustrates how Update Management assesses and applies security updates to all connected Windows Server and Linux servers in a workspace:

Workflow Update Management

Update Management peut être utilisé pour déployer en mode natif sur des machines dans plusieurs abonnements du même locataire.Update Management can be used to natively deploy to machines in multiple subscriptions in the same tenant.

Après la publication d’un package, comptez un délai de deux à trois heures avant l’affichage du correctif pour l’évaluation sur des machines Linux.After a package is released, it takes 2 to 3 hours for the patch to show up for Linux machines for assessment. Sur les machines Windows, ce délai est de 12 à 15 heures.For Windows machines, it takes 12 to 15 hours for the patch to show up for assessment after it's been released. Après qu’une machine a terminé l’analyse de conformité de la mise à jour, l’agent transfère les informations en bloc aux journaux Azure Monitor.When a machine completes a scan for update compliance, the agent forwards the information in bulk to Azure Monitor logs. Sur une machine Windows, l’analyse de conformité est effectuée toutes les 12 heures par défaut.On a Windows machine, the compliance scan is run every 12 hours by default. Sur une machine Linux, l’analyse de conformité est effectuée toutes les heures par défaut.For a Linux machine, the compliance scan is performed every hour by default. Si l’agent Log Analytics est redémarré, une analyse de conformité est démarrée dans les 15 minutes.If the Log Analytics agent is restarted, a compliance scan is started within 15 minutes.

En plus de l’analyse planifiée, l’analyse de conformité des mises à jour est démarrée dans les 15 minutes suivant le redémarrage de l’agent Log Analytics, avant et après l’installation de la mise à jour.In addition to the scan schedule, the scan for update compliance is started within 15 minutes of the Log Analytics agent being restarted, before update installation, and after update installation.

Update Management rapporte l’état de mise à jour de la machine en fonction de la source avec laquelle vous avez configuré la synchronisation.Update Management reports how up to date the machine is based on what source you're configured to sync with. Si la machine Windows est configurée pour rapporter aux Windows Server Update Services (WSUS), en fonction de la date de dernière synchronisation de WSUS avec Microsoft Update, les résultats peuvent être différents de ce qu’indique Microsoft Update.If the Windows machine is configured to report to Windows Server Update Services (WSUS), depending on when WSUS last synced with Microsoft Update, the results might differ from what Microsoft Update shows. Le comportement est le même pour les machines Linux configurées pour rapporter à un référentiel local et non pas à un référentiel public.This behavior is the same for Linux machines that are configured to report to a local repo instead of to a public repo.

Notes

Pour pouvoir rapporter au service, Update Management nécessite certaines URL et l’activation de ports.To properly report to the service, Update Management requires certain URLs and ports to be enabled. Pour en savoir plus sur la configuration demandée, consultez la section Configuration réseau.To learn more about these requirements, see Network configuration.

Vous pouvez déployer et installer des mises à jour logicielles sur des machines qui nécessitent les mises à jour en créant un déploiement planifié.You can deploy and install software updates on machines that require the updates by creating a scheduled deployment. Les mises à jour considérées comme facultatives ne sont pas incluses dans l’étendue du déploiement des machines Windows.Updates classified as optional aren't included in the deployment scope for Windows machines. Seules les mises à jour nécessaires sont incluses dans le déploiement.Only required updates are included in the deployment scope.

Le déploiement planifié définit quelles machines cibles reçoivent les mises à jour applicables.The scheduled deployment defines which target machines receive the applicable updates. Soit il désigne explicitement certaines machines, soit il sélectionne un groupe d’ordinateurs d’après des recherches dans les journaux d’un ensemble spécifique de machines (ou sur une requête Azure qui sélectionne des machines virtuelles Azure de manière dynamique selon des critères spécifiés).It does so either by explicitly specifying certain machines or by selecting a computer group that's based on log searches of a specific set of machines (or on an Azure query that dynamically selects Azure VMs based on specified criteria). Ces groupes diffèrent de la configuration d’étendue, utilisée pour contrôler le ciblage des machines qui reçoivent la configuration permettant d’activer Update Management.These groups differ from scope configuration, which is used to control the targeting of machines that receive the configuration to enable Update Management. Cela les empêche de procéder à la conformité des mises à jour et de créer des rapports, puis d’installer les mises à jour nécessaires approuvées.This prevents them from performing and reporting update compliance, and install approved required updates.

Lorsque vous définissez un déploiement, vous spécifiez également une planification pour approuver et définir la période pendant laquelle les mises à jour peuvent être installées.While defining a deployment, you also specify a schedule to approve and set a time period during which updates can be installed. Cette période est appelée fenêtre de maintenance.This period is called the maintenance window. Vingt minutes de la fenêtre de maintenance sont réservées aux redémarrages si un redémarrage est nécessaire et que vous avez sélectionné l’option de redémarrage appropriée.A 20-minute span of the maintenance window is reserved for reboots, assuming one is needed and you selected the appropriate reboot option. Si la mise à jour corrective prend plus longtemps que prévu et qu’il reste moins de vingt minutes dans la fenêtre de maintenance, il n’y aura pas de redémarrage.If patching takes longer than expected and there's less than 20 minutes in the maintenance window, a reboot won't occur.

Les mises à jour sont installées par des Runbooks dans Azure Automation.Updates are installed by runbooks in Azure Automation. Vous ne pouvez pas visualiser ces runbooks, ils ne nécessitent par ailleurs aucune configuration.You can't view these runbooks, and they don't require any configuration. Lorsqu’un déploiement de mises à jour est créé, il génère une planification qui démarre un runbook de mise à jour principal au moment indiqué pour les machines incluses.When an update deployment is created, it creates a schedule that starts a master update runbook at the specified time for the included machines. Ce runbook principal lance un runbook enfant sur chaque agent pour installer les mises à jour obligatoires.The master runbook starts a child runbook on each agent to install the required updates.

À la date et l’heure spécifiées dans le déploiement de mises à jour, les machines cibles exécutent le déploiement en parallèle.At the date and time specified in the update deployment, the target machines execute the deployment in parallel. Avant l’installation, une analyse est lancée pour vérifier que les mises à jour sont encore requises.Before installation, a scan is run to verify that the updates are still required. Pour les machines clientes WSUS, si les mises à jour ne sont pas approuvées dans WSUS, leur déploiement échoue.For WSUS client machines, if the updates aren't approved in WSUS, update deployment fails.

L’inscription d’une machine auprès du service Update Management dans plusieurs espaces de travail Log Analytics (également appelé multihébergement) n’est pas prise en charge.Having a machine registered for Update Management in more than one Log Analytics workspace (also referred to as multihoming) isn't supported.

ClientsClients

Types de clients pris en chargeSupported client types

Le tableau suivant liste les systèmes d’exploitation pris en charge pour les évaluations des mises à jour et les mises à jour correctives.The following table lists the supported operating systems for update assessments and patching. Une mise à jour corrective nécessite un runbook Worker hybride, qui est automatiquement installé quand vous activez la machine virtuelle ou le serveur pour la gestion par Update Management.Patching requires a Hybrid Runbook Worker, which is automatically installed when you enable the virtual machine or server for management by Update Management. Pour plus d’informations sur la configuration requise pour le runbook Worker hybride, consultez Déployer un runbook Worker hybride Windows et Déployer un runbook Worker hybride Linux.For information on Hybrid Runbook Worker system requirements, see Deploy a Windows Hybrid Runbook Worker and a Deploy a Linux Hybrid Runbook Worker.

Notes

L’évaluation des mises à jour des machines Linux est prise en charge uniquement dans certaines régions, comme listé dans la table de mappages du compte Automation et de l’espace de travail Log Analytics.Update assessment of Linux machines is only supported in certain regions as listed in the Automation account and Log Analytics workspace mappings table.

Système d’exploitationOperating system NotesNotes
Windows Server 2019 (Datacenter/Datacenter Core/Standard)Windows Server 2019 (Datacenter/Datacenter Core/Standard)

Windows Server 2016 (Datacenter/Datacenter Core/Standard)Windows Server 2016 (Datacenter/Datacenter Core/Standard)

Windows Server 2012 R2 (Datacenter/Standard)Windows Server 2012 R2(Datacenter/Standard)

Windows Server 2012Windows Server 2012
Windows Server 2008 R2 (RTM et SP1 Standard)Windows Server 2008 R2 (RTM and SP1 Standard) Update Management prend uniquement en charge les évaluations et les mises à jour correctives pour ce système d’exploitation.Update Management supports assessments and patching for this operating system. La fonctionnalité Runbook Worker hybride est prise en charge pour Windows Server 2008 R2.The Hybrid Runbook Worker is supported for Windows Server 2008 R2.
CentOS 6 (x86/x64) et 7 (x64)CentOS 6 (x86/x64) and 7 (x64) Les agents Linux nécessitent un accès à un référentiel de mise à jour.Linux agents require access to an update repository. La mise à jour corrective basée sur la classification nécessite que yum retourne les données de sécurité que CentOS n’a pas dans ses versions RTM.Classification-based patching requires yum to return security data that CentOS doesn't have in its RTM releases. Pour plus d’informations sur la mise à jour corrective basée sur des classifications sur CentOS, consultez Mettre à jour des classifications sur Linux.For more information on classification-based patching on CentOS, see Update classifications on Linux.
Red Hat Enterprise 6 (x86/x64) et 7 (x64)Red Hat Enterprise 6 (x86/x64) and 7 (x64) Les agents Linux nécessitent un accès à un référentiel de mise à jour.Linux agents require access to an update repository.
SUSE Linux Enterprise Server 12 (x64)SUSE Linux Enterprise Server 12 (x64) Les agents Linux nécessitent un accès à un référentiel de mise à jour.Linux agents require access to an update repository.
Ubuntu 14.04 LTS, 16.04 LTS et 18.04 (x86/x64)Ubuntu 14.04 LTS, 16.04 LTS, and 18.04 (x86/x64) Les agents Linux nécessitent un accès à un référentiel de mise à jour.Linux agents require access to an update repository.

Notes

Les groupes de machines virtuelles identiques Azure peuvent être gérés via Update Management.Azure virtual machine scale sets can be managed through Update Management. Update Management fonctionne sur les instances, mais pas sur l’image de base.Update Management works on the instances themselves and not on the base image. Vous devez planifier les mises à jour de façon incrémentielle, afin que toutes les instances de machines virtuelles ne soient pas mises à jour en même temps.You'll need to schedule the updates in an incremental way, so that not all the VM instances are updated at once. Vous pouvez ajouter des nœuds pour les groupes de machines virtuelles identiques en suivant la procédure décrite sous Ajouter une machine non-Azure à Change Tracking and Inventory.You can add nodes for virtual machine scale sets by following the steps under Add a non-Azure machine to Change Tracking and Inventory.

Types de clients non pris en chargeUnsupported client types

Le tableau suivant répertorie les systèmes d’exploitation qui ne sont pas pris en charge :The following table lists unsupported operating systems:

Système d’exploitationOperating system NotesNotes
Client WindowsWindows client Les systèmes d’exploitation client (par exemple, Windows 7 et Windows 10) ne sont pas pris en charge.Client operating systems (such as Windows 7 and Windows 10) aren't supported.
Pour Azure Windows Virtual Desktop (WVD), la méthode recommandéeFor Azure Windows Virtual Desktop (WVD), the recommended method
pour la gestion des mises à jour est Microsoft Endpoint Configuration Manager pour la gestion des correctifs pour les machines clientes Windows 10.to manage updates is Microsoft Endpoint Configuration Manager for Windows 10 client machine patch management.
Windows Server 2016 Nano ServerWindows Server 2016 Nano Server Non pris en charge.Not supported.
Nœuds Azure Kubernetes Service (AKS)Azure Kubernetes Service Nodes Non pris en charge.Not supported. Utilisez le processus de correction décrit dans Appliquer des mises à jour de sécurité et du noyau à des nœuds Linux dans Azure Kubernetes Service (AKS)Use the patching process described in Apply security and kernel updates to Linux nodes in Azure Kubernetes Service (AKS)

Configuration requise des clientsClient requirements

Les informations suivantes décrivent la configuration du client propre au système d’exploitation.The following information describes operating system-specific client requirements. Pour obtenir des conseils supplémentaires, consultez Planification réseau.For additional guidance, see Network planning. Pour comprendre la configuration requise du client pour le protocole TLS 1.2, consultez Application de TLS 1.2 pour Azure Automation.To understand client requirements for TLS 1.2, see TLS 1.2 enforcement for Azure Automation.

WindowsWindows

Les agents Windows doivent être configurés pour communiquer avec un serveur WSUS, ou ils nécessitent un accès à Microsoft Update.Windows agents must be configured to communicate with a WSUS server, or they require access to Microsoft Update. Pour les machines hybrides, nous vous recommandons d’installer l’agent Log Analytics pour Windows en connectant d’abord votre machine à Azure Arc enabled servers, puis d’utiliser Azure Policy pour affecter la stratégie intégrée Déployer l’agent Log Analytics sur des machines Azure Arc Windows.For hybrid machines, we recommend installing the Log Analytics agent for Windows by first connecting your machine to Azure Arc enabled servers, and then use Azure Policy to assign the Deploy Log Analytics agent to Windows Azure Arc machines built-in policy. Autrement, si vous envisagez de superviser les machines avec Azure Monitor pour machines virtuelles, utilisez plutôt l’initiative Activer Azure Monitor pour machines virtuelles.Alternatively, if you plan to monitor the machines with Azure Monitor for VMs, instead use the Enable Azure Monitor for VMs initiative.

Vous pouvez utiliser Update Management avec Microsoft Endpoint Configuration Manager.You can use Update Management with Microsoft Endpoint Configuration Manager. Pour en savoir plus sur les scénarios d’intégration, consultez Intégrer Update Management à Windows Endpoint Configuration Manager.To learn more about integration scenarios, see Integrate Update Management with Windows Endpoint Configuration Manager. L’agent Log Analytics pour Windows est nécessaire aux serveurs Windows gérés par les sites dans votre environnement Configuration Manager.The Log Analytics agent for Windows is required for Windows servers managed by sites in your Configuration Manager environment.

Par défaut, les machines virtuelles Windows déployées à partir de la Place de marché Azure sont configurées pour recevoir des mises à jour automatiques du service Windows Update.By default, Windows VMs that are deployed from Azure Marketplace are set to receive automatic updates from Windows Update Service. Ce comportement ne change pas lorsque vous ajoutez des machines virtuelles Windows à votre espace de travail.This behavior doesn't change when you add Windows VMs to your workspace. Si vous ne gérez pas activement les mises à jour avec Update Management, le comportement par défaut (pour effectuer automatiquement les mises à jour) s’applique.If you don't actively manage updates by using Update Management, the default behavior (to automatically apply updates) applies.

Notes

Vous pouvez modifier la stratégie de groupe afin que les redémarrages de la machine ne puissent être effectués que par l’utilisateur et non par le système.You can modify Group Policy so that machine reboots can be performed only by the user, not by the system. Les machines managées peuvent rester bloquées si Update Management ne dispose pas des droits nécessaires pour les redémarrer sans intervention manuelle de l'utilisateur.Managed machines can get stuck if Update Management doesn't have rights to reboot the machine without manual interaction from the user. Pour plus d'informations, consultez Configurer les paramètres de stratégie de groupe pour les mises à jour automatiques.For more information, see Configure Group Policy settings for Automatic Updates.

LinuxLinux

Pour Linux, la machine demande un accès à un référentiel de mise à jour, privé ou public.For Linux, the machine requires access to an update repository, either private or public. TLS 1.1 ou TLS 1.2 est exigé pour interagir avec Update Management.TLS 1.1 or TLS 1.2 is required to interact with Update Management. Update Management ne prend pas en charge les agents Log Analytics pour Linux qui sont configurés pour envoyer des rapports à plusieurs espaces de travail Log Analytics.Update Management doesn't support a Log Analytics agent for Linux that's configured to report to more than one Log Analytics workspace. Python 2.x doit également être installé sur la machine.The machine must also have Python 2.x installed.

Notes

L’évaluation des mises à jour des machines Linux est uniquement prise en charge dans certaines régions.Update assessment of Linux machines is only supported in certain regions. Consultez la table des mappages du compte Automation et de l’espace de travail Log Analytics.See the Automation account and Log Analytics workspace mappings table.

Pour les machines hybrides, nous vous recommandons d’installer l’agent Log Analytics pour Linux en connectant d’abord votre machine à Azure Arc enabled servers, puis d’utiliser Azure Policy pour affecter la stratégie intégrée Déployer l’agent Log Analytics sur des machines Azure Arc Linux.For hybrid machines, we recommend installing the Log Analytics agent for Linux by first connecting your machine to Azure Arc enabled servers, and then use Azure Policy to assign the Deploy Log Analytics agent to Linux Azure Arc machines built-in policy. Autrement, si vous envisagez de superviser les machines avec Azure Monitor pour machines virtuelles, utilisez plutôt l’initiative Activer Azure Monitor pour machines virtuelles.Alternatively, if you plan to monitor the machines with Azure Monitor for VMs, instead use the Enable Azure Monitor for VMs initiative.

Les machines virtuelles créées à partir des images Red Hat Enterprise Linux (RHEL) à la demande, disponibles sur la Place de marché Azure, sont inscrites pour accéder à l’infrastructure RHUI (Red Hat Update Infrastructure) déployée dans Azure.VMs created from the on-demand Red Hat Enterprise Linux (RHEL) images that are available in Azure Marketplace are registered to access the Red Hat Update Infrastructure (RHUI) that's deployed in Azure. Toute autre distribution Linux doit être mise à jour à partir du référentiel des fichiers en ligne de la distribution, au moyen des méthodes prises en charge par la distribution.Any other Linux distribution must be updated from the distribution's online file repository by using methods supported by the distribution.

AutorisationsPermissions

Pour créer et gérer des déploiements de mises à jour, vous devez disposer d’autorisations spécifiques.To create and manage update deployments, you need specific permissions. Pour en savoir plus sur ces autorisations, consultez Accès en fonction du rôle – Update Management.To learn about these permissions, see Role-based access – Update Management.

Composants Update ManagementUpdate Management components

Update Management utilise les ressources décrites dans cette section.Update Management uses the resources described in this section. Ces ressources sont automatiquement ajoutées à votre compte Automation quand vous activez Update Management.These resources are automatically added to your Automation account when you enable Update Management.

Groupes de Runbooks Workers hybridesHybrid Runbook Worker groups

Après avoir activé Update Management, toute machine Windows directement connectée à votre espace de travail Log Analytics est automatiquement configurée en tant que runbook Worker hybride, afin de gérer les runbooks qui prennent en charge Update Management.After you enable Update Management, any Windows machine that's directly connected to your Log Analytics workspace is automatically configured as a Hybrid Runbook Worker to support the runbooks that support Update Management.

Chaque machine Windows gérée par Update Management est répertoriée dans le volet Groupes de Workers hybrides en tant que Groupe de Workers hybrides système pour le compte Automation.Each Windows machine that's managed by Update Management is listed in the Hybrid worker groups pane as a System hybrid worker group for the Automation account. Les groupes utilisent la convention d’affectation de noms Hostname FQDN_GUID.The groups use the Hostname FQDN_GUID naming convention. Vous ne pouvez pas cibler ces groupes avec des Runbooks dans votre compte.You can't target these groups with runbooks in your account. Si vous essayez, la tentative échoue.If you try, the attempt fails. Ces groupes sont destinés à prendre uniquement en charge Update Management.These groups are intended to support only Update Management. Pour en savoir plus sur l’affichage de la liste des machines Windows configurées en tant que Runbook Worker hybride, consultez Afficher les Runbooks Workers hybrides.To learn more about viewing the list of Windows machines configured as a Hybrid Runbook Worker, see view Hybrid Runbook Workers.

Vous pouvez ajouter la machine Windows à un groupe de runbooks Workers hybrides dans votre compte Automation, afin de prendre en charge des runbooks Automation, à condition d’utiliser le même compte pour Update Management et pour l’appartenance au groupe de runbooks Workers hybrides.You can add the Windows machine to a Hybrid Runbook Worker group in your Automation account to support Automation runbooks if you use the same account for Update Management and the Hybrid Runbook Worker group membership. Cette fonctionnalité a été ajoutée à la version 7.2.12024.0 du Runbook Worker hybride.This functionality was added in version 7.2.12024.0 of the Hybrid Runbook Worker.

Packs d’administrationManagement packs

Si votre groupe d’administration Operations Manager est connecté à un espace de travail Log Analytics, les packs d’administration suivants sont installés dans Operations Manager.If your Operations Manager management group is connected to a Log Analytics workspace, the following management packs are installed in Operations Manager. Ces packs d’administration sont également installés pour Update Management sur des machines Windows directement connectées.These management packs are also installed for Update Management on directly connected Windows machines. Il n’est pas nécessaire de les configurer ou de les gérer.You don't need to configure or manage these management packs.

  • Microsoft System Center Advisor Update Assessment Intelligence Pack (Microsoft.IntelligencePacks.UpdateAssessment)Microsoft System Center Advisor Update Assessment Intelligence Pack (Microsoft.IntelligencePacks.UpdateAssessment)
  • Microsoft.IntelligencePack.UpdateAssessment.Configuration (Microsoft.IntelligencePack.UpdateAssessment.Configuration)Microsoft.IntelligencePack.UpdateAssessment.Configuration (Microsoft.IntelligencePack.UpdateAssessment.Configuration)
  • Pack d’administration du déploiement des mises à jourUpdate Deployment MP

Notes

Si vous avez un groupe d’administration Operations Manager 1807 ou 2019 connecté à un espace de travail Log Analytics avec des agents configurés dans le groupe d’administration pour collecter des données de journal, vous avez besoin de remplacer le paramètre IsAutoRegistrationEnabled et de le définir sur True dans la règle Microsoft.IntelligencePacks.AzureAutomation.HybridAgent.Init.If you have an Operations Manager 1807 or 2019 management group connected to a Log Analytics workspace with agents configured in the management group to collect log data, you need to override the parameter IsAutoRegistrationEnabled and set it to True in the Microsoft.IntelligencePacks.AzureAutomation.HybridAgent.Init rule.

Pour plus d’informations sur les mises à jour des packs d’administration, consultez Connecter Operations Manager aux journaux Azure Monitor.For more information about updates to management packs, see Connect Operations Manager to Azure Monitor logs.

Notes

Pour que Update Management gère entièrement les machines avec l’agent Log Analytics, vous devez mettre à jour l’agent Log Analytics pour Windows ou l’agent Log Analytics pour Linux.For Update Management to fully manage machines with the Log Analytics agent, you must update to the Log Analytics agent for Windows or the Log Analytics agent for Linux. Pour savoir comment mettre à jour l’agent, consultez Guide pratique pour mettre à niveau un agent Operations Manager.To learn how to update the agent, see How to upgrade an Operations Manager agent. Dans les environnements qui utilisent Operations Manager, vous devez exécuter System Center Operations Manager 2012 R2 UR 14 ou une version ultérieure.In environments that use Operations Manager, you must be running System Center Operations Manager 2012 R2 UR 14 or later.

Collecte de donnéesData collection

Sources prises en chargeSupported sources

Le tableau suivant décrit les sources connectées que Update Management prend en charge :The following table describes the connected sources that Update Management supports:

Source connectéeConnected source Prise en chargeSupported DescriptionDescription
Agents WindowsWindows agents OuiYes Update Management collecte des informations sur les mises à jour système à partir des agents Windows, puis démarre l’installation des mises à jour obligatoires.Update Management collects information about system updates from Windows agents and then starts installation of required updates.
Agents LinuxLinux agents OuiYes Update Management collecte des informations sur les mises à jour système à partir des agents Linux, puis démarre l’installation des mises à jour obligatoires sur les distributions prises en charge.Update Management collects information about system updates from Linux agents and then starts installation of required updates on supported distributions.
Groupe d’administration d’Operations ManagerOperations Manager management group OuiYes La gestion des mises à jour collecte des informations sur les mises à jour système des agents dans un groupe d’administration connecté.Update Management collects information about system updates from agents in a connected management group.

Une connexion directe entre l’agent Operations Manager et les journaux Azure Monitor n’est pas obligatoire.A direct connection from the Operations Manager agent to Azure Monitor logs isn't required. Les données sont transférées du groupe d’administration à l’espace de travail Log Analytics.Data is forwarded from the management group to the Log Analytics workspace.

Fréquence de collecteCollection frequency

Update Management analyse les données des machines gérées à l’aide des règles suivantes.Update Management scans managed machines for data using the following rules. L’affichage sur le tableau de bord des données mises à jour provenant des machines gérées peut prendre entre 30 minutes et 6 heures.It can take between 30 minutes and 6 hours for the dashboard to display updated data from managed machines.

  • Chaque machine Windows : Update Management effectue une analyse deux fois par jour pour chaque machine.Each Windows machine - Update Management does a scan twice per day for each machine.

  • Chaque machine Linux : Update Management effectue une analyse toutes les heures.Each Linux machine - Update Management does a scan every hour.

La consommation moyenne de données par les journaux Azure Monitor pour une machine utilisant Update Management est d’environ 25 Mo par mois.The average data usage by Azure Monitor logs for a machine using Update Management is approximately 25 MB per month. Cette valeur est approximative et sujette à modification en fonction de votre environnement.This value is only an approximation and is subject to change, depending on your environment. Nous vous recommandons de surveiller votre environnement pour assurer le suivi de votre consommation exacte.We recommend that you monitor your environment to keep track of your exact usage. Pour plus d'informations sur l'analyse de l'utilisation des données des journaux d'activité Azure Monitor, consultez Gérer l'utilisation et les coûts.For more information about analyzing Azure Monitor Logs data usage, see Manage usage and cost.

Planification réseauNetwork planning

Les adresses suivantes sont exigées particulièrement pour Update Management.The following addresses are required specifically for Update Management. La communication avec ces adresses s’effectue par le biais du port 443.Communication to these addresses occurs over port 443.

Azure (public)Azure Public Azure GovernmentAzure Government
*.ods.opinsights.azure.com *.ods.opinsights.azure.us
*.oms.opinsights.azure.com *.oms.opinsights.azure.us
*.blob.core.windows.net *.blob.core.usgovcloudapi.net
*.azure-automation.net *.azure-automation.us

Lorsque vous créez des règles de sécurité de groupe réseau ou configurez le pare-feu Azure pour autoriser le trafic vers le service Automation et l’espace de travail Log Analytics, utilisez la balise service GuestAndHybridManagement et AzureMonitor.When you create network group security rules or configure Azure Firewall to allow traffic to the Automation service and the Log Analytics workspace, use the service tag GuestAndHybridManagement and AzureMonitor. Cela simplifie la gestion continue de vos règles de sécurité réseau.This simplifies the ongoing management of your network security rules. Pour vous connecter au service Automation à partir de vos machines virtuelles Azure en toute sécurité et de façon privée, consultez Utiliser Azure Private Link.To connect to the Automation service from your Azure VMs securely and privately, review Use Azure Private Link. Pour obtenir la balise de service et les informations de plage actuelles à inclure dans le cadre de vos configurations du pare-feu local, consultez les fichiers JSON téléchargeables.To obtain the current service tag and range information to include as part of your on-premises firewall configurations, see downloadable JSON files.

Pour les machines Windows, vous devez également autoriser le trafic vers tous les points de terminaison requis par Windows Update.For Windows machines, you must also allow traffic to any endpoints required by Windows Update. Vous trouverez une liste actualisée des points de terminaison requis dans Problèmes liés à HTTP/au proxy.You can find an updated list of required endpoints in Issues related to HTTP/Proxy. Si vous disposez d’un serveur Windows Update local, vous devez également autoriser le trafic vers le serveur spécifié dans votre clé WSUS.If you have a local Windows Update server, you must also allow traffic to the server specified in your WSUS key.

Pour les machines Red Hat Linux, consultez Adresses IP des serveurs de distribution de contenu RHUI pour les points de terminaison requis.For Red Hat Linux machines, see IPs for the RHUI content delivery servers for required endpoints. Pour les autres distributions Linux, reportez-vous à la documentation du fournisseur.For other Linux distributions, see your provider documentation.

Pour plus d’informations sur les ports nécessaires pour le Runbook Worker hybride, consultez Adresses Update Management pour Runbook Worker hybride.For more information about ports required for the Hybrid Runbook Worker, see Update Management addresses for Hybrid Runbook Worker.

Si vos stratégies de sécurité informatique n’autorisent pas les machines du réseau à se connecter à Internet, vous pouvez configurer une passerelle Log Analytics, puis configurer la machine pour qu’elle se connecte à Azure Automation et Azure Monitor via la passerelle.If your IT security policies do not allow machines on the network to connect to the internet, you can set up a Log Analytics gateway and then configure the machine to connect through the gateway to Azure Automation and Azure Monitor.

Classifications des mises à jourUpdate classifications

Le tableau suivant définit les classifications que Update Management prend en charge pour les mises à jour Windows.The following table defines the classifications that Update Management supports for Windows updates.

classification ;Classification DescriptionDescription
Mises à jour critiquesCritical updates Mise à jour d’un problème spécifique qui concerne un bogue critique non lié à la sécurité.An update for a specific problem that addresses a critical, non-security-related bug.
Mises à jour de sécuritéSecurity updates Mise à jour pour un problème de sécurité propre à un produit.An update for a product-specific, security-related issue.
Correctifs cumulatifsUpdate rollups Cumul de correctifs logiciels regroupés pour faciliter leur déploiement.A cumulative set of hotfixes that are packaged together for easy deployment.
Packs de fonctionnalitésFeature packs Nouvelles fonctionnalités de produit distribuées en dehors d’une version de produit.New product features that are distributed outside a product release.
Service PacksService packs Cumul de correctifs logiciels appliqués à une application.A cumulative set of hotfixes that are applied to an application.
Mises à jour de définitionsDefinition updates Mise à jour de fichiers de virus ou d’autres définitions.An update to virus or other definition files.
OutilsTools Utilitaire ou fonctionnalité permettant d’effectuer une ou plusieurs tâches.A utility or feature that helps complete one or more tasks.
Mises à jourUpdates Mise à jour d’une application ou d’un fichier actuellement installé.An update to an application or file that currently is installed.

Le tableau suivant définit les classifications prises en charge pour les mises à jour Linux.The next table defines the supported classifications for Linux updates.

classification ;Classification DescriptionDescription
Mises à jour critiques et de sécuritéCritical and security updates Mises à jour pour un problème spécifique ou un problème de sécurité propre à un produit.Updates for a specific problem or a product-specific, security-related issue.
Autres mises à jourOther updates Toutes les autres mises à jour qui ne sont ni critiques par nature, ni des mises à jour de sécurité.All other updates that aren't critical in nature or that aren't security updates.

Notes

La classification des mises à jour pour les machines Linux n’est disponible que lorsqu’elle est utilisée dans les régions de cloud public Azure prises en charge.Update classification for Linux machines are only available when used in the supported Azure public cloud regions. Quand Update Management est utilisé dans les régions de cloud national suivantes :When using Update Management in the following national cloud regions:

  • Azure US GovernmentAzure US Government
  • 21Vianet en Chine21Vianet in China

il n’y a pas de classification de mises à jour Linux et elles sont signalées sous la catégorie Autres mises à jour.there are no classification of Linux updates and they are reported under the Other updates category. Update Management utilise les données publiées par les distributions prises en charge, en particulier leurs fichiers publiés OVAL (Open Vulnerability and Assessment Language).Update Management uses data published by the supported distributions, specifically their released OVAL (Open Vulnerability and Assessment Language) files. Étant donné que l’accès Internet à partir de ces clouds nationaux est limité, Update Management ne peut ni accéder à ces fichiers ni les utiliser.Because internet access is restricted from these national clouds, Update Management cannot access and consume these files.

Pour Linux, Update Management peut faire la différence entre les mises à jour critiques et les mises à jour de sécurité dans le cloud, tout en affichant les données d’évaluation en raison de l’enrichissement des données dans le cloud.For Linux, Update Management can distinguish between critical updates and security updates in the cloud while displaying assessment data due to data enrichment in the cloud. Pour la mise à jour corrective, Update Management s’appuie sur les données de classification disponibles sur l’ordinateur.For patching, Update Management relies on classification data available on the machine. Contrairement à d’autres distributions, CentOS n’a pas accès à ces informations dans la version RTM.Unlike other distributions, CentOS does not have this information available in the RTM version. Si vous disposez d’ordinateurs CentOS configurés pour retourner les données de sécurité pour la commande suivante, Update Management peut appliquer la mise à jour corrective en fonction des classifications.If you have CentOS machines configured to return security data for the following command, Update Management can patch based on classifications.

sudo yum -q --security check-update

Il n’existe actuellement aucune méthode prise en charge permettant d’activer la disponibilité des données de classification natives sur CentOS.There's currently no supported method to enable native classification-data availability on CentOS. Pour le moment, une prise en charge limitée est proposée aux clients qui pourraient avoir activé cette fonctionnalité eux-mêmes.At this time, limited support is provided to customers who might have enabled this feature on their own.

Pour classifier les mises à jour sur Red Hat Enterprise version 6, vous devez installer le plug-in yum-security.To classify updates on Red Hat Enterprise version 6, you need to install the yum-security plugin. Sur Red Hat Enterprise Linux 7, le plug-in faisant déjà partie de yum lui-même, il est inutile d’installer quoi que ce soit.On Red Hat Enterprise Linux 7, the plugin is already a part of yum itself and there's no need to install anything. Pour plus d’informations, consultez l’article de base de connaissances suivant sur Red Hat.For more information, see the following Red Hat knowledge article.

Intégrer Update Management à Configuration ManagerIntegrate Update Management with Configuration Manager

Les clients qui ont investi dans Microsoft Endpoint Configuration Manager pour gérer des PC, serveurs et appareils mobiles s’appuient aussi sur la puissance et la maturité de Configuration Manager pour gérer les mises à jour logicielles.Customers who have invested in Microsoft Endpoint Configuration Manager for managing PCs, servers, and mobile devices also rely on the strength and maturity of Configuration Manager to help manage software updates. Pour savoir comment intégrer Update Management à Configuration Manager, consultez Intégrer Update Management à Windows Endpoint Configuration Manager.To learn how to integrate Update Management with Configuration Manager, see Integrate Update Management with Windows Endpoint Configuration Manager.

Mises à jour tierces sur WindowsThird-party updates on Windows

Update Management s’appuie sur le référentiel de mise à jour configuré localement pour mettre à jour les systèmes Windows pris en charge : WSUS ou Windows Update.Update Management relies on the locally configured update repository to update supported Windows systems, either WSUS or Windows Update. Des outils, tels que l’éditeur de mise à jour System Center , vous permettent d’importer et de publier des mises à jour personnalisées avec WSUS.Tools such as System Center Updates Publisher allow you to import and publish custom updates with WSUS. Ce scénario permet à Update Management de mettre à jour des machines qui utilisent Configuration Manager comme référentiel de mise à jour avec des logiciels tiers.This scenario allows Update Management to update machines that use Configuration Manager as their update repository with third-party software. Pour savoir comment configurer l’éditeur de mise à jour, consultez Installer l’éditeur de mise à jour.To learn how to configure Updates Publisher, see Install Updates Publisher.

Activer Update ManagementEnable Update Management

Voici comment vous pouvez activer Update Management et sélectionner les machines à gérer :Here are the ways that you can enable Update Management and select machines to be managed:

  • Un modèle Azure Resource Manager est disponible pour déployer Update Management sur un compte Automation et un espace de travail Log Analytics Azure Monitor nouveaux ou existants dans votre abonnement.Using an Azure Resource Manager template to deploy Update Management to a new or existing Automation account and Azure Monitor Log Analytics workspace in your subscription. Il ne configure pas l’étendue des machines qui doivent être gérées ; cette opération fait l’objet d’une étape distincte après l’utilisation du modèle.It does not configure the scope of machines that should be managed, this is performed as a separate step after using the template.

  • À partir de votre compte Automation pour une ou plusieurs machines Azure et non-Azure, notamment des serveurs compatibles avec Arc.From your Automation account for one or more Azure and non-Azure machines, including Arc enabled servers.

  • Utilisation de la méthode de runbook Enable-AutomationSolution.Using the Enable-AutomationSolution runbook method.

  • Pour une machine virtuelle Azure sélectionnée dans la page Machine virtuelle du portail Azure.For a selected Azure VM from the Virtual machines page in the Azure portal. Ce scénario est disponible pour les machines virtuelles Linux et Windows.This scenario is available for Linux and Windows VMs.

  • Pour plusieurs machines virtuelles Azure, sélectionnez-les dans la page Machines virtuelles du portail Azure.For multiple Azure VMs by selecting them from the Virtual machines page in the Azure portal.

Notes

Update Management vous demande d’établir un lien entre l’espace de travail Log Analytics et votre compte Automation.Update Management requires linking a Log Analytics workspace to your Automation account. Pour obtenir la liste définitive des régions prises en charge, consultez Mappages Azure Workspace.For a definitive list of supported regions, see Azure Workspace mappings. Les mappages de région n’empêchent pas de gérer les machines virtuelles dans une autre région depuis votre compte Automation.The region mappings don't affect the ability to manage VMs in a separate region from your Automation account.

Étapes suivantesNext steps