Panoramica di Gestione aggiornamentiUpdate Management overview

È possibile usare Gestione aggiornamenti in automazione di Azure per gestire gli aggiornamenti del sistema operativo per le macchine virtuali Windows e Linux in Azure, negli ambienti locali e in altri ambienti cloud.You can use Update Management in Azure Automation to manage operating system updates for your Windows and Linux virtual machines in Azure, in on-premises environments, and in other cloud environments. È possibile valutare rapidamente lo stato degli aggiornamenti disponibili in tutti i computer agente e gestire il processo di installazione degli aggiornamenti necessari per i server.You can quickly assess the status of available updates on all agent machines and manage the process of installing required updates for servers.

Come provider di servizi, è possibile che siano stati caricati più tenant del cliente nel Faro di Azure.As a service provider, you may have onboarded multiple customer tenants to Azure Lighthouse. Azure Lighthouse consente di eseguire operazioni su larga scala tra più tenant di Azure Active Directory (Azure AD) contemporaneamente, rendendo le attività di gestione come Gestione aggiornamenti più efficienti tra i tenant di cui si è responsabili.Azure Lighthouse allows you to perform operations at scale across several Azure Active Directory (Azure AD) tenants at once, making management tasks like Update Management more efficient across those tenants you're responsible for.

Nota

Non è possibile usare un computer configurato con Gestione aggiornamenti per l'esecuzione di script personalizzati da Automazione di Azure.You can't use a machine configured with Update Management to run custom scripts from Azure Automation. Questo computer può eseguire solo lo script di aggiornamento firmato da Microsoft.This machine can only run the Microsoft-signed update script.

Nota

Al momento, l'abilitazione di Gestione aggiornamenti direttamente da un server con abilitazione di Arc non è supportata.At this time, enabling Update Management directly from an Arc enabled server is not supported. Per informazioni sui requisiti e su come eseguire l'abilitazione per il server, vedere Abilitare Gestione aggiornamenti dal proprio account di Automazione.See Enable Update Management from your Automation account to understand requirements and how to enable for your server.

Per scaricare e installare automaticamente le patch di sicurezza e critici disponibili nella macchina virtuale di Azure, vedere applicazione automatica delle patch Guest per VM Windows.To download and install available Critical and Security patches automatically on your Azure VM, review Automatic VM guest patching for Windows VMs.

Prima di distribuire Gestione aggiornamenti e abilitare i computer per la gestione, verificare di aver compreso le informazioni nelle sezioni riportate di seguito.Before deploying Update Management and enabling your machines for management, make sure that you understand the information in the following sections.

Informazioni su Gestione aggiornamentiAbout Update Management

Per eseguire la valutazione e distribuire gli aggiornamenti, i computer gestiti da Gestione aggiornamenti si basano sui seguenti elementi:Machines that are managed by Update Management rely on the following to perform assessment and to deploy updates:

  • Agente di log Analytics per Windows o LinuxLog Analytics agent for Windows or Linux
  • PowerShell DSC (Desired State Configuration) per LinuxPowerShell Desired State Configuration (DSC) for Linux
  • Ruolo di lavoro ibrido per Runbook di automazione (installato automaticamente quando si Abilita Gestione aggiornamenti nel computer)Automation Hybrid Runbook Worker (automatically installed when you enable Update Management on the machine)
  • Microsoft Update o Windows Server Update Services (WSUS) per computer WindowsMicrosoft Update or Windows Server Update Services (WSUS) for Windows machines
  • Repository di aggiornamenti privati o pubblici per computer LinuxEither a private or public update repository for Linux machines

Il diagramma seguente illustra il modo in cui Gestione aggiornamenti valuta e applica gli aggiornamenti della sicurezza a tutti i server Windows Server e Linux connessi in un'area di lavoro:The following diagram illustrates how Update Management assesses and applies security updates to all connected Windows Server and Linux servers in a workspace:

Flusso di lavoro di Gestione aggiornamenti

Gestione aggiornamenti può essere usato per distribuire in modo nativo a computer in più sottoscrizioni nello stesso tenant o tra tenant usando la gestione delle risorse delegata di Azure.Update Management can be used to natively deploy to machines in multiple subscriptions in the same tenant, or across tenants using Azure delegated resource management.

Dopo il rilascio di un pacchetto, la visualizzazione della patch per i computer Linux per la valutazione richiede tra 2 e 3 ore.After a package is released, it takes 2 to 3 hours for the patch to show up for Linux machines for assessment. Per i computer Windows, la visualizzazione della patch per la valutazione dopo il rilascio richiede tra 12 e 15 ore.For Windows machines, it takes 12 to 15 hours for the patch to show up for assessment after it's been released. Quando un computer completa un'analisi per la conformità degli aggiornamenti, l'agente trasmette le informazioni in blocco ai log di monitoraggio di Azure.When a machine completes a scan for update compliance, the agent forwards the information in bulk to Azure Monitor logs. In un computer Windows l'analisi della conformità viene eseguita ogni 12 ore per impostazione predefinita.On a Windows machine, the compliance scan is run every 12 hours by default. Per un computer Linux, l'analisi della conformità viene eseguita ogni ora per impostazione predefinita.For a Linux machine, the compliance scan is performed every hour by default. Se l'agente di Log Analytics viene riavviato, viene avviata un'analisi della conformità entro 15 minuti.If the Log Analytics agent is restarted, a compliance scan is started within 15 minutes.

Oltre all'analisi pianificata, l'analisi della conformità degli aggiornamenti viene avviata entro 15 minuti dal momento del riavvio dell'agente di Log Analytics e prima e dopo l'installazione degli aggiornamenti.In addition to the scan schedule, the scan for update compliance is started within 15 minutes of the Log Analytics agent being restarted, before update installation, and after update installation.

Gestione aggiornamenti genera report sullo stato di aggiornamento del computer in base all'origine configurata per la sincronizzazione.Update Management reports how up to date the machine is based on what source you're configured to sync with. Se il computer Windows è configurato per la segnalazione di Windows Server Update Services (WSUS), a seconda del momento in cui WSUS è stato sincronizzato con Microsoft Update, i risultati potrebbero essere diversi da quelli mostrati Microsoft Update.If the Windows machine is configured to report to Windows Server Update Services (WSUS), depending on when WSUS last synced with Microsoft Update, the results might differ from what Microsoft Update shows. Questo comportamento è lo stesso per i computer Linux configurati per l'invio di report a un repository locale anziché a un repository pubblico.This behavior is the same for Linux machines that are configured to report to a local repo instead of to a public repo.

Nota

Per inviare correttamente un report al servizio, Gestione aggiornamenti richiede l'abilitazione di determinati URL e porte.To properly report to the service, Update Management requires certain URLs and ports to be enabled. Per altre informazioni su questi requisiti, vedere Configurazione della rete.To learn more about these requirements, see Network configuration.

È possibile distribuire e installare gli aggiornamenti software nei computer che richiedono gli aggiornamenti creando una distribuzione pianificata.You can deploy and install software updates on machines that require the updates by creating a scheduled deployment. Gli aggiornamenti classificati come facoltativi non sono inclusi nell'ambito della distribuzione per i computer Windows.Updates classified as optional aren't included in the deployment scope for Windows machines. Nell'ambito della distribuzione vengono inclusi solo gli aggiornamenti obbligatori.Only required updates are included in the deployment scope.

La distribuzione pianificata definisce i computer di destinazione che ricevono gli aggiornamenti applicabili,The scheduled deployment defines which target machines receive the applicable updates. specificando in modo esplicito determinati computer o selezionando un gruppo di computer basato sulle ricerche log di un set specifico di computer oppure su una query di Azure che seleziona dinamicamente le VM di Azure in base ai criteri specificati.It does so either by explicitly specifying certain machines or by selecting a computer group that's based on log searches of a specific set of machines (or on an Azure query that dynamically selects Azure VMs based on specified criteria). Questi gruppi sono diversi dalla configurazione dell'ambito, che viene usata per controllare la selezione dei computer di destinazione che ricevono la configurazione per abilitare Gestione aggiornamenti.These groups differ from scope configuration, which is used to control the targeting of machines that receive the configuration to enable Update Management. Questo approccio impedisce ai computer di eseguire e segnalare la conformità degli aggiornamenti e di installare gli aggiornamenti obbligatori.This prevents them from performing and reporting update compliance, and install approved required updates.

Durante la definizione di una distribuzione, si specifica anche una pianificazione per approvare e impostare un periodo di tempo durante il quale è possibile installare gli aggiornamenti.While defining a deployment, you also specify a schedule to approve and set a time period during which updates can be installed. Questo periodo viene definito finestra di manutenzione.This period is called the maintenance window. Un intervallo di 20 minuti della finestra di manutenzione viene riservato per i riavvii, presupponendo che sia necessario un riavvio e che sia stata selezionata l'opzione di riavvio appropriata.A 20-minute span of the maintenance window is reserved for reboots, assuming one is needed and you selected the appropriate reboot option. Se l'applicazione di patch richiede più tempo del previsto e sono disponibili meno di 20 minuti nella finestra di manutenzione, non verrà eseguito il riavvio.If patching takes longer than expected and there's less than 20 minutes in the maintenance window, a reboot won't occur.

Gli aggiornamenti vengono installati da runbook in Automazione di Azure.Updates are installed by runbooks in Azure Automation. Questi runbook non richiedono alcuna configurazione e non possono essere visualizzati.You can't view these runbooks, and they don't require any configuration. Quando si crea una distribuzione degli aggiornamenti, viene creata una pianificazione che avvia un runbook di aggiornamento master alla data e ora specificata per i computer inclusi.When an update deployment is created, it creates a schedule that starts a master update runbook at the specified time for the included machines. Il runbook master avvia un runbook figlio in ogni agente per installare gli aggiornamenti necessari.The master runbook starts a child runbook on each agent to install the required updates.

Alla data e ora specificate nella distribuzione degli aggiornamenti, i computer di destinazione eseguono la distribuzione in parallelo.At the date and time specified in the update deployment, the target machines execute the deployment in parallel. Prima dell'installazione viene eseguita un'analisi per verificare che gli aggiornamenti siano ancora necessari.Before installation, a scan is run to verify that the updates are still required. Per i computer client WSUS, la distribuzione degli aggiornamenti ha esito negativo se gli aggiornamenti non sono approvati in WSUS.For WSUS client machines, if the updates aren't approved in WSUS, update deployment fails.

Non è consentito avere un computer registrato per Gestione aggiornamenti in più di un'area di lavoro Log Analytics (definito anche multihoming).Having a machine registered for Update Management in more than one Log Analytics workspace (also referred to as multihoming) isn't supported.

ClientClients

Sistemi operativi supportatiSupported operating systems

Nella tabella seguente sono elencati i sistemi operativi supportati per la valutazione degli aggiornamenti e l'applicazione di patch.The following table lists the supported operating systems for update assessments and patching. L'applicazione di patch richiede un ruolo di lavoro ibrido per Runbook di sistema, che viene installato automaticamente quando si Abilita la macchina virtuale o il server per la gestione tramite Gestione aggiornamenti.Patching requires a system Hybrid Runbook Worker, which is automatically installed when you enable the virtual machine or server for management by Update Management. Per informazioni sui requisiti di sistema del ruolo di lavoro ibrido per Runbook, vedere distribuire un ruolo di lavoro ibrido per Runbook Windows e distribuire unruolo di lavoro ibrido per RunbookFor information on Hybrid Runbook Worker system requirements, see Deploy a Windows Hybrid Runbook Worker and a Deploy a Linux Hybrid Runbook Worker.

Nota

La valutazione degli aggiornamenti dei computer Linux è supportata solo in determinate aree, come elencato nella tabella di mapping dell'account di Automazione e dell'area di lavoro Log Analytics.Update assessment of Linux machines is only supported in certain regions as listed in the Automation account and Log Analytics workspace mappings table.

Sistema operativoOperating system NoteNotes
Windows Server 2019 (Datacenter/standard, incluso Server Core)Windows Server 2019 (Datacenter/Standard including Server Core)

Windows Server 2016 (Datacenter/standard escluso Server Core)Windows Server 2016 (Datacenter/Standard excluding Server Core)

Windows Server 2012 R2(Data center/Standard)Windows Server 2012 R2(Datacenter/Standard)

Windows Server 2012Windows Server 2012
Windows Server 2008 R2 (RTM e SP1 Standard)Windows Server 2008 R2 (RTM and SP1 Standard) Gestione aggiornamenti supporta le valutazioni e l'applicazione di patch per questo sistema operativo.Update Management supports assessments and patching for this operating system. Il ruolo di lavoro ibrido per Runbook è supportato per Windows Server 2008 R2.The Hybrid Runbook Worker is supported for Windows Server 2008 R2.
CentOS 6, 7 e 8 (x64)CentOS 6, 7, and 8 (x64) Gli agenti Linux devono avere accesso a un repository degli aggiornamenti.Linux agents require access to an update repository. L'applicazione di patch basata sulla classificazione richiede yum per restituire i dati sulla sicurezza che non sono disponibili nelle release RTM di CentOS.Classification-based patching requires yum to return security data that CentOS doesn't have in its RTM releases. Per altre informazioni sull'applicazione di patch basata sulla classificazione in CentOS, vedere Classificazioni degli aggiornamenti in Linux.For more information on classification-based patching on CentOS, see Update classifications on Linux.
Red Hat Enterprise 6, 7 e 8 (x64)Red Hat Enterprise 6, 7, and 8 (x64) Gli agenti Linux devono avere accesso a un repository degli aggiornamenti.Linux agents require access to an update repository.
SUSE Linux Enterprise Server 12, 15 e 15,1 (x64)SUSE Linux Enterprise Server 12, 15, and 15.1 (x64) Gli agenti Linux devono avere accesso a un repository degli aggiornamenti.Linux agents require access to an update repository. Per SUSE 15. x, Python 3 è necessario nel computer.For SUSE 15.x, Python 3 is required on the machine.
Ubuntu 14,04 LTS, 16,04 LTS e 18,04 LTS (x64)Ubuntu 14.04 LTS, 16.04 LTS, and 18.04 LTS (x64) Gli agenti Linux devono avere accesso a un repository degli aggiornamenti.Linux agents require access to an update repository.

Nota

Gestione aggiornamenti non supporta l'automazione sicura della gestione degli aggiornamenti in tutte le istanze di un set di scalabilità di macchine virtuali di Azure.Update Management does not support safely automating update management across all instances in an Azure virtual machine scale set. Aggiornamenti automatici delle immagini del sistema operativo è il metodo consigliato per la gestione degli aggiornamenti delle immagini del sistema operativo nel set di scalabilità.Automatic OS image upgrades is the recommended method for managing OS image upgrades on your scale set.

Sistemi operativi non supportatiUnsupported operating systems

Nella tabella seguente sono elencati i sistemi operativi non supportati da Gestione aggiornamenti:The following table lists operating systems not supported by Update Management:

Sistema operativoOperating system NoteNotes
Client WindowsWindows client I sistemi operativi client, ad esempio Windows 7 e Windows 10, non sono supportati.Client operating systems (such as Windows 7 and Windows 10) aren't supported.
Per Desktop virtuale Windows di Azure il metodo consigliatoFor Azure Windows Virtual Desktop (WVD), the recommended method
per gestire gli aggiornamenti è Microsoft Endpoint Configuration Manager per gestione patch del computer client Windows 10.to manage updates is Microsoft Endpoint Configuration Manager for Windows 10 client machine patch management.
Windows Server 2016 Nano ServerWindows Server 2016 Nano Server Non supportato.Not supported.
Nodi del Servizio Azure KubernetesAzure Kubernetes Service Nodes Non supportato.Not supported. Usare il processo di applicazione di patch illustrato in Applicare gli aggiornamenti di sicurezza e kernel ai nodi Linux nel servizio Azure KubernetesUse the patching process described in Apply security and kernel updates to Linux nodes in Azure Kubernetes Service (AKS)

Requisiti di sistemaSystem requirements

Le informazioni seguenti descrivono i requisiti specifici del sistema operativo.The following information describes operating system-specific requirements. Per altro materiale sussidiario, vedere Pianificazione della rete.For additional guidance, see Network planning. Per informazioni sui requisiti per TLS 1,2, vedere tls 1,2 Enforcement for Azure Automation.To understand requirements for TLS 1.2, see TLS 1.2 enforcement for Azure Automation.

WindowsWindows

Requisiti software:Software Requirements:

Gli agenti Windows devono essere configurati per comunicare con un server WSUS o devono avere accesso a Microsoft Update.Windows agents must be configured to communicate with a WSUS server, or they require access to Microsoft Update. Per le macchine ibride, è consigliabile installare l'agente di Log Analytics per Windows connettendo il computer ai server abilitati per Azure Arce quindi usare i criteri di Azure per assegnare i criteri predefiniti distribuisci agente log Analytics a computer Windows Azure Arc .For hybrid machines, we recommend installing the Log Analytics agent for Windows by first connecting your machine to Azure Arc enabled servers, and then use Azure Policy to assign the Deploy Log Analytics agent to Windows Azure Arc machines built-in policy. In alternativa, se si prevede di monitorare i computer con Monitoraggio di Azure per le macchine virtuali, usare invece l'iniziativa abilita monitoraggio di Azure per le macchine virtuali .Alternatively, if you plan to monitor the machines with Azure Monitor for VMs, instead use the Enable Azure Monitor for VMs initiative.

Gestione aggiornamenti può essere usato con Microsoft Endpoint Configuration Manager.You can use Update Management with Microsoft Endpoint Configuration Manager. Per altre informazioni sugli scenari di integrazione, vedere Integrare Gestione aggiornamenti con Windows Endpoint Configuration Manager.To learn more about integration scenarios, see Integrate Update Management with Windows Endpoint Configuration Manager. L'agente di Log Analytics per Windows è necessario per i server Windows gestiti dai siti nell'ambiente di Configuration Manager.The Log Analytics agent for Windows is required for Windows servers managed by sites in your Configuration Manager environment.

Per impostazione predefinita, le macchine virtuali Windows distribuite da Azure Marketplace sono impostate per ricevere aggiornamenti automatici dal servizio Windows Update.By default, Windows VMs that are deployed from Azure Marketplace are set to receive automatic updates from Windows Update Service. Questo comportamento non cambia quando si aggiungono VM Windows all'area di lavoro.This behavior doesn't change when you add Windows VMs to your workspace. Se gli aggiornamenti non vengono gestiti attivamente con Gestione aggiornamenti, è applicabile il comportamento predefinito, ovvero gli aggiornamenti vengono applicati automaticamente.If you don't actively manage updates by using Update Management, the default behavior (to automatically apply updates) applies.

Nota

È possibile modificare Criteri di gruppo in modo che i riavvii del computer possano essere eseguiti solo dall'utente, non dal sistema.You can modify Group Policy so that machine reboots can be performed only by the user, not by the system. I computer gestiti possono rimanere bloccati se Gestione aggiornamenti non ha i diritti necessari per riavviare il computer senza l'interazione manuale da parte dell'utente.Managed machines can get stuck if Update Management doesn't have rights to reboot the machine without manual interaction from the user. Per altre informazioni, vedere Configurare le impostazioni di Criteri di gruppo per gli aggiornamenti automatici.For more information, see Configure Group Policy settings for Automatic Updates.

LinuxLinux

Requisiti software:Software Requirements:

  • Il computer richiede l'accesso a un repository di aggiornamento, privato o pubblico.The machine requires access to an update repository, either private or public.
  • Per interagire con Gestione aggiornamenti è necessario TLS 1.1 o TLS 1.2.TLS 1.1 or TLS 1.2 is required to interact with Update Management.
  • Python 2. x installato.Python 2.x installed.

Nota

La valutazione degli aggiornamenti dei computer Linux è supportata solo in alcune aree.Update assessment of Linux machines is only supported in certain regions. Vedere la tabella di mapping dell'account di Automazione e dell'area di lavoro Log Analytics.See the Automation account and Log Analytics workspace mappings table.

Per le macchine ibride, è consigliabile installare l'agente di Log Analytics per Linux connettendo prima il computer ai server abilitati per Azure Arce quindi usare i criteri di Azure per assegnare i criteri predefiniti Distribuisci agente di log Analytics a computer Azure Arc per Linux .For hybrid machines, we recommend installing the Log Analytics agent for Linux by first connecting your machine to Azure Arc enabled servers, and then use Azure Policy to assign the Deploy Log Analytics agent to Linux Azure Arc machines built-in policy. In alternativa, se si prevede di monitorare i computer con Monitoraggio di Azure per le macchine virtuali, usare invece l'iniziativa abilita monitoraggio di Azure per le macchine virtuali .Alternatively, if you plan to monitor the machines with Azure Monitor for VMs, instead use the Enable Azure Monitor for VMs initiative.

Le macchine virtuali create dalle immagini di Red Hat Enterprise Linux su richiesta (RHEL) disponibili in Azure Marketplace vengono registrate per accedere a Red Hat Update Infrastructure (RHUI) distribuito in Azure.VMs created from the on-demand Red Hat Enterprise Linux (RHEL) images that are available in Azure Marketplace are registered to access the Red Hat Update Infrastructure (RHUI) that's deployed in Azure. Altre distribuzioni di Linux devono essere aggiornate dal repository di file online della distribuzione mediante i metodi supportati della distribuzione.Any other Linux distribution must be updated from the distribution's online file repository by using methods supported by the distribution.

AutorizzazioniPermissions

Per creare e gestire le distribuzioni degli aggiornamenti, sono necessarie autorizzazioni specifiche.To create and manage update deployments, you need specific permissions. Per informazioni su queste autorizzazioni, vedere Gestione aggiornamenti di accesso basato sui ruoli.To learn about these permissions, see Role-based access - Update Management.

Componenti di Gestione aggiornamentiUpdate Management components

Gestione aggiornamenti usa le risorse descritte in questa sezione.Update Management uses the resources described in this section. Queste risorse vengono aggiunte automaticamente all'account di Automazione quando si abilita Gestione aggiornamenti.These resources are automatically added to your Automation account when you enable Update Management.

Gruppi di computer di lavoro runbook ibridiHybrid Runbook Worker groups

Dopo aver abilitato Gestione aggiornamenti, qualsiasi computer Windows direttamente connesso all'area di lavoro di Log Analytics viene configurato automaticamente come ruolo di lavoro ibrido per Runbook di sistema per supportare manuali operativi che supportano Gestione aggiornamenti.After you enable Update Management, any Windows machine that's directly connected to your Log Analytics workspace is automatically configured as a system Hybrid Runbook Worker to support the runbooks that support Update Management.

Ogni computer Windows gestito da Gestione aggiornamenti è elencato nella pagina dei gruppi di ruoli di lavoro ibridi come gruppo di ruoli di lavoro ibridi per il sistema per l'account di Automazione.Each Windows machine that's managed by Update Management is listed in the Hybrid worker groups pane as a System hybrid worker group for the Automation account. I gruppi usano la convenzione di denominazione Hostname FQDN_GUID.The groups use the Hostname FQDN_GUID naming convention. Non è possibile applicare runbook a questi gruppi nell'account.You can't target these groups with runbooks in your account. Se si prova, il tentativo avrà esito negativo.If you try, the attempt fails. Questi gruppi sono destinati solo al supporto di Gestione aggiornamenti.These groups are intended to support only Update Management. Per altre informazioni sulla visualizzazione dell'elenco dei computer Windows configurati come ruolo di lavoro ibrido per Runbook, vedere visualizzare i ruoli di lavoro ibridi per Runbook.To learn more about viewing the list of Windows machines configured as a Hybrid Runbook Worker, see view Hybrid Runbook Workers.

È possibile aggiungere il computer Windows a un gruppo di ruolo di lavoro ibrido per Runbook utente nell'account di automazione per supportare manuali operativi di automazione se si usa lo stesso account per Gestione aggiornamenti e l'appartenenza al gruppo di ruolo di lavoro ibrido per Runbook.You can add the Windows machine to a user Hybrid Runbook Worker group in your Automation account to support Automation runbooks if you use the same account for Update Management and the Hybrid Runbook Worker group membership. Questa funzionalità è stata aggiunta alla versione 7.2.12024.0 del ruolo di lavoro ibrido per runbook.This functionality was added in version 7.2.12024.0 of the Hybrid Runbook Worker.

Management PackManagement packs

Se il gruppo di gestione di Operations Manager è connesso all'area di lavoro Log Analytics, in Operations Manager verranno installati i Management Pack seguenti.If your Operations Manager management group is connected to a Log Analytics workspace, the following management packs are installed in Operations Manager. Questi Management Pack vengono installati anche per Gestione aggiornamenti nei computer Windows con connessione diretta.These management packs are also installed for Update Management on directly connected Windows machines. Non è necessario configurare o gestire questi Management Pack.You don't need to configure or manage these management packs.

  • Microsoft System Center Advisor Update Assessment Intelligence Pack (Microsoft.IntelligencePacks.UpdateAssessment)Microsoft System Center Advisor Update Assessment Intelligence Pack (Microsoft.IntelligencePacks.UpdateAssessment)
  • Microsoft.IntelligencePack.UpdateAssessment.Configuration (Microsoft.IntelligencePack.UpdateAssessment.Configuration)Microsoft.IntelligencePack.UpdateAssessment.Configuration (Microsoft.IntelligencePack.UpdateAssessment.Configuration)
  • Update Deployment MPUpdate Deployment MP

Nota

Se è presente un gruppo di gestione di Operations Manager 1807 o 2019 connesso a un'area di lavoro Log Analytics con agenti configurati nel gruppo di gestione per raccogliere dati di log, sarà necessario eseguire l'override del parametro IsAutoRegistrationEnabled e impostarlo su True nella regola Microsoft.IntelligencePacks.AzureAutomation.HybridAgent.Init.If you have an Operations Manager 1807 or 2019 management group connected to a Log Analytics workspace with agents configured in the management group to collect log data, you need to override the parameter IsAutoRegistrationEnabled and set it to True in the Microsoft.IntelligencePacks.AzureAutomation.HybridAgent.Init rule.

Per altre informazioni sugli aggiornamenti ai Management Pack, vedere Connettere Operations Manager ai log di Monitoraggio di Azure.For more information about updates to management packs, see Connect Operations Manager to Azure Monitor logs.

Nota

Per consentire a Gestione aggiornamenti di gestire completamente i computer con l'agente di Log Analytics, è necessario aggiornare l'agente di Log Analytics per Windows o l'agente di Log Analytics per Linux.For Update Management to fully manage machines with the Log Analytics agent, you must update to the Log Analytics agent for Windows or the Log Analytics agent for Linux. Per informazioni su come aggiornare l'agente, vedere How to upgrade an Operations Manager agent (Come aggiornare un agente di Operations Manager).To learn how to update the agent, see How to upgrade an Operations Manager agent. Negli ambienti che usano Operations Manager è necessario eseguire System Center Operations Manager 2012 R2 UR 14 o versioni successive.In environments that use Operations Manager, you must be running System Center Operations Manager 2012 R2 UR 14 or later.

Raccolta datiData collection

Origini supportateSupported sources

La tabella seguente descrive le origini connesse supportate da Gestione aggiornamenti:The following table describes the connected sources that Update Management supports:

Origine connessaConnected source SupportatoSupported DescrizioneDescription
Agenti di WindowsWindows agents Yes Gestione aggiornamenti raccoglie informazioni sugli aggiornamenti del sistema dagli agenti Windows e quindi avvia l'installazione degli aggiornamenti necessari.Update Management collects information about system updates from Windows agents and then starts installation of required updates.
Agenti LinuxLinux agents Yes Gestione aggiornamenti raccoglie informazioni sugli aggiornamenti del sistema dagli agenti Linux e quindi avvia l'installazione degli aggiornamenti necessari nelle distribuzioni supportate.Update Management collects information about system updates from Linux agents and then starts installation of required updates on supported distributions.
Gruppo di gestione di Operations ManagerOperations Manager management group Yes Gestione aggiornamenti raccoglie informazioni sugli aggiornamenti del sistema dagli agenti in un gruppo di gestione connesso.Update Management collects information about system updates from agents in a connected management group.

Non è necessaria una connessione diretta dall'agente Operations Manager ai log di Monitoraggio di Azure.A direct connection from the Operations Manager agent to Azure Monitor logs isn't required. I dati vengono inoltrati dal gruppo di gestione all'area di lavoro Log Analytics.Data is forwarded from the management group to the Log Analytics workspace.

Frequenza della raccoltaCollection frequency

Gestione aggiornamenti analizza i computer gestiti per individuare i dati usando le regole seguenti.Update Management scans managed machines for data using the following rules. La visualizzazione nel dashboard dei dati aggiornati dei computer gestiti può richiedere da 30 minuti a 6 ore.It can take between 30 minutes and 6 hours for the dashboard to display updated data from managed machines.

  • Ogni computer Windows - Gestione aggiornamenti esegue l'analisi due volte al giorno per ogni computer.Each Windows machine - Update Management does a scan twice per day for each machine.

  • Ogni computer Linux - Gestione aggiornamenti esegue un'analisi ogni ora.Each Linux machine - Update Management does a scan every hour.

L'utilizzo medio dei dati da parte dei log di Monitoraggio di Azure per un computer che usa Gestione aggiornamenti è di circa 25 MB al mese.The average data usage by Azure Monitor logs for a machine using Update Management is approximately 25 MB per month. Questo valore è solo un'approssimazione ed è soggetto a modifiche, in base all'ambiente in uso.This value is only an approximation and is subject to change, depending on your environment. È consigliabile monitorare l'ambiente per tenere traccia dell'utilizzo esatto.We recommend that you monitor your environment to keep track of your exact usage. Per altre informazioni sull'analisi dell'utilizzo dei dati dei log di monitoraggio di Azure, vedere gestire l'utilizzo e i costi.For more information about analyzing Azure Monitor Logs data usage, see Manage usage and cost.

Pianificazione della reteNetwork planning

Controllare la configurazione di rete di automazione di Azure per informazioni dettagliate su porte, URL e altri dettagli di rete necessari per gestione aggiornamenti.Check Azure Automation Network Configuration for detailed information on the ports, URLs, and other networking details required for Update Management.

Per i computer Windows è necessario consentire anche il traffico verso eventuali endpoint richiesti da Windows Update.For Windows machines, you must also allow traffic to any endpoints required by Windows Update. Un elenco aggiornato degli endpoint necessari è disponibile in Problemi correlati a HTTP/proxy.You can find an updated list of required endpoints in Issues related to HTTP/Proxy. Se si usa un server di Windows Update locale, è necessario consentire anche il traffico verso il server specificato nella chiave di WSUS.If you have a local Windows Update server, you must also allow traffic to the server specified in your WSUS key.

Per computer Red Hat Linux, vedere Gli indirizzi IP per i server di distribuzione di contenuti RHUI per informazioni sugli endpoint necessari.For Red Hat Linux machines, see IPs for the RHUI content delivery servers for required endpoints. Per altre distribuzioni di Linux, vedere la documentazione del provider.For other Linux distributions, see your provider documentation.

Per altre informazioni sulle porte necessarie per il ruolo di lavoro ibrido per runbook, vedere Indirizzi di Gestione aggiornamenti per il ruolo di lavoro ibrido per runbook.For more information about ports required for the Hybrid Runbook Worker, see Update Management addresses for Hybrid Runbook Worker.

Se i criteri di sicurezza IT non consentono ai computer della rete di connettersi a Internet, è possibile configurare un gateway log Analytics e quindi configurare il computer per la connessione tramite il gateway ad automazione di Azure e monitoraggio di Azure.If your IT security policies do not allow machines on the network to connect to the internet, you can set up a Log Analytics gateway and then configure the machine to connect through the gateway to Azure Automation and Azure Monitor.

Classificazioni degli aggiornamentiUpdate classifications

La tabella seguente definisce le classificazioni supportate da Gestione aggiornamenti per gli aggiornamenti di Windows.The following table defines the classifications that Update Management supports for Windows updates.

ClassificazioneClassification DescrizioneDescription
Aggiornamenti criticiCritical updates Un aggiornamento per un problema specifico che risolve un bug critico non correlato alla sicurezza.An update for a specific problem that addresses a critical, non-security-related bug.
Aggiornamenti per la sicurezzaSecurity updates Un aggiornamento per un problema specifico del prodotto correlato alla sicurezza.An update for a product-specific, security-related issue.
Aggiornamenti cumulativiUpdate rollups Un set cumulativo di aggiornamenti rapidi, contenuti nello stesso pacchetto per facilitarne la distribuzione.A cumulative set of hotfixes that are packaged together for easy deployment.
Feature PackFeature packs Nuove funzionalità del prodotto distribuite di fuori di una versione del prodotto.New product features that are distributed outside a product release.
Service PackService packs Un set cumulativo di aggiornamenti rapidi applicati a un'applicazione.A cumulative set of hotfixes that are applied to an application.
Aggiornamenti della definizioneDefinition updates Un aggiornamento per un virus o altri file di definizione.An update to virus or other definition files.
StrumentiTools Utilità o funzionalità che consente di completare una o più attività.A utility or feature that helps complete one or more tasks.
AggiornamentiUpdates Un aggiornamento di un'applicazione o un file attualmente installati.An update to an application or file that currently is installed.

La tabella seguente definisce le classificazioni supportate per gli aggiornamenti di Linux.The next table defines the supported classifications for Linux updates.

ClassificazioneClassification DescrizioneDescription
Aggiornamenti critici e della sicurezzaCritical and security updates Aggiornamenti per un problema specifico o specifico del prodotto, correlato alla sicurezza.Updates for a specific problem or a product-specific, security-related issue.
Altri aggiornamentiOther updates Tutti gli altri aggiornamenti non critici per loro natura o che non sono aggiornamenti della sicurezza.All other updates that aren't critical in nature or that aren't security updates.

Nota

La classificazione degli aggiornamenti per i computer Linux è disponibile solo se usata nelle aree del cloud pubblico di Azure supportate.Update classification for Linux machines is only available when used in supported Azure public cloud regions. Non esiste alcuna classificazione degli aggiornamenti di Linux quando si usa Gestione aggiornamenti nelle seguenti aree del cloud nazionale:There is no classification of Linux updates when using Update Management in the following national cloud regions:

  • Azure US GovernmentAzure US Government
  • 21Vianet in Cina21Vianet in China

Anziché essere classificati, gli aggiornamenti vengono segnalati nella categoria altri aggiornamenti .Instead of being classified, updates are reported under the Other updates category.

Gestione aggiornamenti usa i dati pubblicati dalle distribuzioni supportate, in particolare i file Oval (Open vulnerabili and Assessment Language) rilasciati.Update Management uses data published by the supported distributions, specifically their released OVAL (Open Vulnerability and Assessment Language) files. Poiché l'accesso a Internet è limitato da questi cloud nazionali, Gestione aggiornamenti non è in grado di accedere ai file.Because internet access is restricted from these national clouds, Update Management cannot access the files.

Per Linux, Gestione aggiornamenti possibile distinguere tra gli aggiornamenti critici e gli aggiornamenti della sicurezza nel cloud sotto la sicurezza di classificazione e altri, visualizzando i dati di valutazione a causa dell'arricchimento dei dati nel cloud.For Linux, Update Management can distinguish between critical updates and security updates in the cloud under classification Security and Others, while displaying assessment data due to data enrichment in the cloud. Per l'applicazione di patch, Gestione aggiornamenti si affida ai dati di classificazione disponibili nel computer.For patching, Update Management relies on classification data available on the machine. A differenza di altre distribuzioni, CentOS non mette a disposizione queste informazioni nella versione RTM.Unlike other distributions, CentOS does not have this information available in the RTM version. Se i computer CentOS sono configurati in modo da restituire dati sulla sicurezza per il comando seguente, Gestione aggiornamenti è in grado di applicare patch in base alle classificazioni.If you have CentOS machines configured to return security data for the following command, Update Management can patch based on classifications.

sudo yum -q --security check-update

Attualmente non è supportato alcun metodo per abilitare la disponibilità dei dati di classificazione nativi in CentOS.There's currently no supported method to enable native classification-data availability on CentOS. A questo punto, il supporto limitato viene fornito ai clienti che potrebbero avere abilitato questa funzionalità autonomamente.At this time, limited support is provided to customers who might have enabled this feature on their own.

Per classificare gli aggiornamenti in Red Hat Enterprise versione 6, è necessario installare il plug-in yum-security.To classify updates on Red Hat Enterprise version 6, you need to install the yum-security plugin. In Red Hat Enterprise Linux 7 il plug-in fa già parte di yum e non è necessario eseguire alcuna installazione supplementare.On Red Hat Enterprise Linux 7, the plugin is already a part of yum itself and there's no need to install anything. Per altre informazioni, vedere questo file di caratteristiche del caso su Red Hat.For more information, see the following Red Hat knowledge article.

Quando si pianifica l'esecuzione di un aggiornamento in un computer Linux, che, ad esempio, è configurato per installare solo gli aggiornamenti che corrispondono alla classificazione di sicurezza , gli aggiornamenti installati potrebbero essere diversi da o sono un subset degli aggiornamenti corrispondenti a questa classificazione.When you schedule an update to run on a Linux machine, that for example is configured to install only updates matching the Security classification, the updates installed might be different from, or are a subset of the updates matching this classification. Quando viene eseguita una valutazione degli aggiornamenti del sistema operativo in sospeso per il computer Linux, i file Oval ( Open vulnerabilità and Assessment Language ) forniti dal fornitore di distribuzioni Linux vengono usati da Gestione aggiornamenti per la classificazione.When an assessment of OS updates pending for your Linux machine is performed, Open Vulnerability and Assessment Language (OVAL) files provided by the Linux distro vendor is used by Update Management for classification.

La categorizzazione viene eseguita per gli aggiornamenti Linux come sicurezza o altri in base ai file Oval, che includono aggiornamenti che indirizzano problemi di sicurezza o vulnerabilità.Categorization is done for Linux updates as Security or Others based on the OVAL files, which includes updates addressing security issues or vulnerabilities. Tuttavia, quando viene eseguita, la pianificazione dell'aggiornamento viene eseguita nel computer Linux usando la gestione pacchetti appropriata, ad esempio YUM, APT o ZYPPER per installarli.But when the update schedule is run, it executes on the Linux machine using the appropriate package manager like YUM, APT or ZYPPER to install them. Gestione pacchetti per la distribuzione Linux può avere un meccanismo diverso per classificare gli aggiornamenti, in cui i risultati possono essere diversi da quelli ottenuti da file OVAL per Gestione aggiornamenti.The package manager for the Linux distro may have a different mechanism to classify updates, where the results may differ from the ones obtained from OVAL files by Update Management. Per controllare manualmente il computer e comprendere quali aggiornamenti sono correlati alla sicurezza da Gestione pacchetti, vedere risolvere i problemi di distribuzione degli aggiornamenti Linux.To manually check the machine and understand which updates are security relevant by your package manager, see Troubleshoot Linux update deployment.

Integrare Gestione aggiornamenti con Configuration ManagerIntegrate Update Management with Configuration Manager

I clienti che hanno investito in Microsoft Endpoint Configuration Manager per gestire PC, server e dispositivi mobili si affidano alle caratteristiche potenti e avanzate di questa soluzione anche per gestire gli aggiornamenti software.Customers who have invested in Microsoft Endpoint Configuration Manager for managing PCs, servers, and mobile devices also rely on the strength and maturity of Configuration Manager to help manage software updates. Per informazioni su come integrare Gestione aggiornamenti con Configuration Manager, vedere Integrare Gestione aggiornamenti con Windows Endpoint Configuration Manager.To learn how to integrate Update Management with Configuration Manager, see Integrate Update Management with Windows Endpoint Configuration Manager.

Aggiornamenti di terze parti in WindowsThird-party updates on Windows

Gestione aggiornamenti si basa sul repository di aggiornamento configurato in locale per aggiornare i sistemi di Windows supportati, ovvero WSUS o Windows Update.Update Management relies on the locally configured update repository to update supported Windows systems, either WSUS or Windows Update. Strumenti come System Center Updates Publisher consentono di importare e pubblicare aggiornamenti personalizzati con WSUS.Tools such as System Center Updates Publisher allow you to import and publish custom updates with WSUS. Questo scenario consente a Gestione aggiornamenti di aggiornare i computer che usano Configuration Manager come repository degli aggiornamenti del software di terze parti.This scenario allows Update Management to update machines that use Configuration Manager as their update repository with third-party software. Per informazioni su come configurare Updates Publisher, vedere Installare Updates Publisher.To learn how to configure Updates Publisher, see Install Updates Publisher.

Abilitare la gestione degli aggiornamentiEnable Update Management

Di seguito sono elencate le modalità per abilitare Gestione aggiornamenti e selezionare i computer da gestire:Here are the ways that you can enable Update Management and select machines to be managed:

  • Uso di un modello di gestione risorse di Azure per distribuire Gestione aggiornamenti a un account di automazione nuovo o esistente e a un'area di lavoro di monitoraggio di Azure log Analytics nella sottoscrizione.Using an Azure Resource Manager template to deploy Update Management to a new or existing Automation account and Azure Monitor Log Analytics workspace in your subscription. Non configura l'ambito dei computer che devono essere gestiti. Questa operazione viene eseguita come passaggio separato dopo l'uso del modello.It does not configure the scope of machines that should be managed, this is performed as a separate step after using the template.

  • Dall' account di automazione per uno o più computer Azure e non Azure, inclusi i server abilitati per Arc.From your Automation account for one or more Azure and non-Azure machines, including Arc enabled servers.

  • Utilizzando il metodo Enable-AutomationSolution Runbook .Using the Enable-AutomationSolution runbook method.

  • Per una VM di Azure selezionata dalla pagina macchine virtuali della portale di Azure.For a selected Azure VM from the Virtual machines page in the Azure portal. Questo scenario è disponibile per macchine virtuali Linux e Windows.This scenario is available for Linux and Windows VMs.

  • Per più macchine virtuali di Azure , selezionarle nella pagina macchine virtuali della portale di Azure.For multiple Azure VMs by selecting them from the Virtual machines page in the Azure portal.

Nota

Gestione aggiornamenti richiede il collegamento di un'area di lavoro Log Analytics all'account di Automazione.Update Management requires linking a Log Analytics workspace to your Automation account. Per un elenco completo delle aree supportate, vedere Mapping dell'area di lavoro di Azure.For a definitive list of supported regions, see Azure Workspace mappings. I mapping a livello di area non influiscono sulla possibilità di gestire le VM in un'area separata rispetto all'account di Automazione.The region mappings don't affect the ability to manage VMs in a separate region from your Automation account.

Passaggi successiviNext steps