Preparare la distribuzione di Aggiornamenti di sicurezza estesa per Windows Server 2012

Con Windows Server 2012 e Windows Server 2012 R2 dopo aver raggiunto la fine del supporto il 10 ottobre 2023, i server abilitati per Azure Arc consentono di registrare i computer Windows Server 2012/2012 R2 esistenti in ESU (Extended Security Aggiornamenti). Grazie sia alla flessibilità dei costi che a un'esperienza di distribuzione avanzata, Azure Arc offre posizioni migliori per la migrazione ad Azure.

Lo scopo di questo articolo è comprendere i vantaggi e come prepararsi all'uso di server abilitati per Arc per abilitare la distribuzione di ESU.

Nota

soluzione Azure VMware (AVS) i computer sono idonei per le ESU gratuite e non devono essere registrati in ESU abilitati tramite Azure Arc.

Vantaggi chiave

La distribuzione di ESU ai computer Windows Server 2012/2012 R2 offre i vantaggi principali seguenti:

• Pagamento in base al consumo: flessibilità per iscriversi a un servizio di sottoscrizione mensile con la possibilità di eseguire la migrazione a metà anno.

• Fatturazione di Azure: è possibile ricavare dall'impegno a consumo di Microsoft Azure (MACC) esistente e analizzare i costi usando Gestione costi e fatturazione Microsoft.

• Inventario predefinito: lo stato di copertura e registrazione di Windows Server 2012/2012 R2 ESU nei server abilitati per Arc idonei viene identificato nella portale di Azure, evidenziando le lacune e le modifiche dello stato.

• Recapito senza chiave: la registrazione di unità ESU nei computer Windows Server 2012/2012 R2 abilitati per Azure Arc non richiederà l'acquisizione o l'attivazione delle chiavi.

Accesso ai servizi di Azure

Per i server abilitati per Azure Arc registrati in WS2012 ESU abilitati da Azure Arc, l'accesso gratuito viene fornito a questi servizi di Azure dal 10 ottobre 2023:

• Gestione aggiornamenti di Azure - Gestione unificata e governance della conformità degli aggiornamenti che include non solo i computer Azure e ibridi, ma anche la conformità degli aggiornamenti ESU per tutti i computer Windows Server 2012/2012 R2. La registrazione in ESU non influisce su Azure Update Manager. Dopo la registrazione in ESU tramite Azure Arc, il server diventa idoneo per le patch ESU. Queste patch possono essere recapitate tramite Azure Update Manager o qualsiasi altra soluzione di applicazione di patch. Dovrai comunque configurare gli aggiornamenti da Microsoft Aggiornamenti o Windows Server Update Services.
• Automazione di Azure Rilevamento modifiche e inventario: tenere traccia delle modifiche apportate alle macchine virtuali ospitate in Azure, in locale e in altri ambienti cloud.
• Criteri di Azure Configurazione guest: controllare le impostazioni di configurazione in una macchina virtuale. La configurazione guest supporta macchine virtuali di Azure in modo nativo e non azure e server fisici e virtuali tramite server abilitati per Azure Arc.

Sono disponibili anche altri servizi di Azure tramite server abilitati per Azure Arc, con offerte come:

• Microsoft Defender per il cloud: nell'ambito del pilastro cspm (Cloud Security Posture Management), fornisce protezioni server tramite Microsoft Defender per server per proteggere l'utente da varie minacce informatiche e vulnerabilità.

• Microsoft Sentinel : raccogliere eventi correlati alla sicurezza e correlarli con altre origini dati.

  Nota

  L'attivazione dell'ESU è prevista per il terzo trimestre del 2023. L'uso di servizi di Azure, ad esempio Azure Update Manager e Criteri di Azure per supportare la gestione dei computer Windows Server 2012/2012 R2 idonei per la gestione dell'ESU, è previsto anche per il terzo trimestre.

Preparare il recapito di ESU

Pianificare e preparare l'onboarding dei computer nei server abilitati per Azure Arc tramite l'installazione dell'agente machine Connessione ed di Azure (versione 1.34 o successiva) per stabilire una connessione ad Azure. Windows Server 2012 Extended Security Aggiornamenti supporta le edizioni Standard e Datacenter di Windows Server 2012 e R2. Windows Server 2012 Archiviazione non è supportato.

È consigliabile distribuire i computer in Azure Arc in preparazione quando i servizi di Azure correlati offrono funzionalità supportate per gestire l'ESU. Dopo aver eseguito l'onboarding di questi computer nei server abilitati per Azure Arc, si avrà visibilità sulla copertura ESU e la registrazione tramite il portale di Azure o usando Criteri di Azure. La fatturazione per questo servizio inizia da ottobre 2023 (ad esempio, dopo la fine del supporto di Windows Server 2012).

Nota

Per acquistare ESU, è necessario disporre di Software Assurance tramite programmi multilicenza, ad esempio un Contratto Enterprise (EA), Contratto Enterprise Sottoscrizione (EAS), Enrollment for Education Solutions (edizione Enterprise S), Server and Cloud Enrollment (SCE) o tramite Programmi Microsoft Open Value. In alternativa, se i computer Windows Server 2012/2012 R2 sono concessi in licenza tramite SPLA o con una sottoscrizione server, Software Assurance non è necessario per acquistare ESU.

È anche necessario scaricare il pacchetto di licenza e l'aggiornamento dello stack di manutenzione (SSU) per il server abilitato per Azure Arc, come documentato in KB5031043: Procedura per continuare a ricevere gli aggiornamenti della sicurezza dopo che il supporto esteso è terminato il 10 ottobre 2023.

Opzioni di distribuzione

Sono disponibili diverse opzioni di onboarding su larga scala per i server abilitati per Azure Arc, tra cui l'esecuzione di una sequenza di attività personalizzata tramite Configuration Manager e la distribuzione di un'attività pianificata tramite Criteri di gruppo. Sono disponibili anche opzioni di distribuzione ESU su larga scala per le macchine virtuali gestite da VMware vCenter e le macchine virtuali gestite da SCVMM tramite Azure Arc.

Nota

La distribuzione di ESU tramite Azure Arc alle macchine virtuali in esecuzione nell'infrastruttura VDI (Virtual Desktop Infrastructure) non è consigliata. I sistemi VDI devono usare più chiavi di attivazione (MAK) per applicare le ESU. Per altre informazioni, vedere Accedere alla chiave di attivazione multipla dall'interfaccia di amministrazione di Microsoft 365.

Rete

le opzioni di Connessione ivity includono endpoint pubblico, server proxy e collegamento privato o Azure ExpressRoute. Esaminare i prerequisiti di rete per preparare gli ambienti non Azure per la distribuzione in Azure Arc.

Se si usano server abilitati per Azure Arc solo per i Aggiornamenti di sicurezza estesa per uno o entrambi i prodotti seguenti:

• Windows Server 2012
• SQL Server 2012

È possibile abilitare il sottoinsieme di endpoint seguente:

Azure Cloud

Risorsa dell'agente	Descrizione	Se necessario	Endpoint usato con collegamento privato
aka.ms	Usato per risolvere lo script di download durante l'installazione	Al momento dell'installazione, solo	Pubblico
download.microsoft.com	Usato per scaricare il pacchetto di installazione di Windows	Al momento dell'installazione, solo	Pubblico
login.windows.net	Microsoft Entra ID	Sempre	Pubblico
login.microsoftonline.com	Microsoft Entra ID	Sempre	Pubblico
management.azure.com	Azure Resource Manager: per creare o eliminare la risorsa server Arc	Quando ci si connette o si disconnette un server, solo	Pubblico, a meno che non sia configurato anche un collegamento privato di gestione delle risorse
*.his.arc.azure.com	Metadati e servizi di identità ibrida	Sempre	Privato
*.guestconfiguration.azure.com	Gestione delle estensioni e servizi di configurazione guest	Sempre	Privato
www.microsoft.com/pkiops/certs	Aggiornamenti intermedi dei certificati per le ESU (nota: usa HTTP/TCP 80 e HTTPS/TCP 443)	Sempre per gli aggiornamenti automatici o temporaneamente se si scaricano manualmente i certificati.	Pubblico
*.<region>.arcdataservices.com	Dati di telemetria del servizio e del servizio di elaborazione dati di Azure Arc.	ESU di SQL Server	Pubblico

Azure Government

Risorsa dell'agente	Descrizione	Se necessario	Endpoint usato con collegamento privato
aka.ms	Usato per risolvere lo script di download durante l'installazione	Al momento dell'installazione, solo	Pubblico
download.microsoft.com	Usato per scaricare il pacchetto di installazione di Windows	Al momento dell'installazione, solo	Pubblico
login.microsoftonline.us	Microsoft Entra ID	Sempre	Pubblico
management.usgovcloudapi.net	Azure Resource Manager: per creare o eliminare la risorsa server Arc	Quando ci si connette o si disconnette un server, solo	Pubblico, a meno che non sia configurato anche un collegamento privato di gestione delle risorse
*.his.arc.azure.us	Metadati e servizi di identità ibrida	Sempre	Privato
*.guestconfiguration.azure.us	Gestione delle estensioni e servizi di configurazione guest	Sempre	Privato
www.microsoft.com/pkiops/certs	Aggiornamenti intermedi dei certificati per le ESU (nota: usa HTTP/TCP 80 e HTTPS/TCP 443)	Sempre per gli aggiornamenti automatici o temporaneamente se si scaricano manualmente i certificati.	Pubblico

Microsoft Azure gestito da 21Vianet

Nota

I server abilitati per Azure Arc usati per la sicurezza estesa Aggiornamenti per Windows Server 2012 non sono attualmente disponibili in Microsoft Azure gestito da aree 21Vianet.

Suggerimento

Per sfruttare la gamma completa di offerte per i server con abilitazione di Arc, ad esempio le estensioni e la connettività remota, assicurarsi di consentire gli URL aggiuntivi applicabili allo scenario. Per altre informazioni, vedere requisiti di rete dell'agente computer Connessione ed.

Passaggi successivi

• Altre informazioni sulla pianificazione per la fine del supporto di Windows Server e SQL Server e sul recupero di Aggiornamenti sicurezza estesa.

• Informazioni sulle procedure consigliate e sui modelli di progettazione tramite l'acceleratore di zona di destinazione di Azure Arc per il cloud ibrido e multicloud.

• Altre informazioni sui server abilitati per Arc e su come funzionano con Azure tramite l'agente di Azure Connessione ed Machine.

• Esplorare le opzioni per l'onboarding dei computer nei server abilitati per Azure Arc.