Informazioni sul Gestore aggiornamenti di Azure
Importante
L'agente di Azure Log Analytics, noto anche come Microsoft Monitoring Agent (MMA) verrà ritirato nel mese di agosto 2024. Automazione di Azure soluzione Gestione aggiornamenti si basa su questo agente e può riscontrare problemi dopo che l'agente viene ritirato perché non funziona con l'agente di monitoraggio di Azure. Pertanto, se si usa la soluzione gestione aggiornamenti Automazione di Azure, è consigliabile passare ad Azure Update Manager per le esigenze di aggiornamento software. Tutte le funzionalità della soluzione di gestione degli aggiornamenti di Automazione di Azure saranno disponibili in Gestione aggiornamenti di Azure prima della data di ritiro. Seguire le indicazioni per spostare i computer e le pianificazioni da Gestione aggiornamenti di Automazione ad Azure Update Manager.
Gestore aggiornamenti di Azure è un servizio unificato che consente di gestire gli aggiornamenti per tutti i computer. È possibile monitorare da un'unica dashboard la conformità degli aggiornamenti di Windows e Linux nelle distribuzioni in Azure, in locale e su altre piattaforme cloud. Con il Gestore aggiornamenti di Azure è possibile installare aggiornamenti in tempo reale o pianificarli all'interno di una finestra di manutenzione definita.
È possibile usare Gestione aggiornamenti in Azure per:
- Supervisionare la conformità degli aggiornamenti per l'intera flotta di computer in Azure, in locale e in altri ambienti cloud.
- Distribuire immediatamente gli aggiornamenti critici per proteggere i computer.
- Usare opzioni di applicazione di patch flessibili, ad esempio l'applicazione automatica di patch guest alle macchine virtuali in Azure, il hotpatching e le pianificazioni di manutenzione definite dal cliente.
Sono disponibili anche altre funzionalità che consentono di gestire gli aggiornamenti per le macchine virtuali di Azure da considerare come parte della strategia generale di gestione degli aggiornamenti. Per altre informazioni sulle opzioni disponibili, vedere le opzioni di aggiornamento delle macchine virtuali di Azure.
Prima di abilitare i computer per Gestione aggiornamenti, assicurarsi di comprendere le informazioni nelle sezioni seguenti.
Vantaggi chiave
Gestione aggiornamenti è stato riprogettato e non dipende da Automazione di Azure o dai log di Monitoraggio di Azure, come richiesto dalla funzionalità gestione aggiornamenti Automazione di Azure. Gestione aggiornamenti offre molte nuove funzionalità e offre funzionalità avanzate rispetto alla versione originale disponibile con Automazione di Azure. Ecco alcuni di questi vantaggi:
- Offre un'esperienza nativa senza onboarding.
- Creata come funzionalità nativa nel calcolo di Azure e nella piattaforma Azure Arc per server per semplificare l'uso.
- Nessuna dipendenza da Log Analytics e Automazione di Azure.
- Criteri di Azure supporto.
- Disponibilità globale in tutte le aree di calcolo di Azure e Azure Arc.
- Funziona con i ruoli e l'identità di Azure.
- Controllo di accesso granulare a livello di risorsa anziché controllo di accesso a livello dell'account Automazione di Azure e dell'area di lavoro Log Analytics.
- Gestione aggiornamenti include ora operazioni basate su Azure Resource Manager. Consente il controllo degli accessi in base al ruolo e i ruoli basati su Azure Resource Manager in Azure.
- Offre una maggiore flessibilità.
- Possibilità di intervenire immediatamente installando gli aggiornamenti immediatamente o pianificandoli per una data successiva.
- Controllare gli aggiornamenti automaticamente o su richiesta.
- Consente di proteggere i computer con nuovi modi di applicazione di patch, ad esempio l'applicazione automatica di patch guest alle macchine virtuali in Azure, l'applicazione di patch ad accesso frequente o le pianificazioni di manutenzione personalizzate.
- Sincronizzare i cicli di patch in relazione al "patch tuesday", il termine non ufficiale per la versione pianificata della sicurezza di Microsoft ogni secondo martedì di ogni mese.
Il diagramma seguente illustra come Gestione aggiornamenti valuta e applica gli aggiornamenti a tutti i computer di Azure e ai server abilitati per Azure Arc per Windows e Linux.
Per supportare la gestione della macchina virtuale di Azure o del computer non Azure, Update Manager si basa su una nuova estensione di Azure progettata per fornire tutte le funzionalità necessarie per interagire con il sistema operativo per gestire la valutazione e l'applicazione degli aggiornamenti. Questa estensione viene installata automaticamente quando si avviano operazioni di Gestione aggiornamenti, ad esempio Verifica disponibilità aggiornamenti, Installa aggiornamento una tantum e Valutazione periodica nel computer. L'estensione supporta la distribuzione su macchine virtuali di Azure o su server abilitati per Azure Arc usando il framework di estensione. L'estensione Di Gestione aggiornamenti viene installata e gestita tramite:
- Agente Windows della macchina virtuale di Azure o agente Linux della macchina virtuale di Azure per le macchine virtuali di Azure.
- Agente di server abilitati per Azure Arc per computer Linux e Windows non Di Azure o server fisici.
Gestione aggiornamenti gestisce l'installazione e la configurazione dell'agente di estensione. L'intervento manuale non è necessario finché l'agente di macchine virtuali di Azure o l'agente server abilitato per Azure Arc è funzionale. L'estensione Gestione aggiornamenti esegue il codice in locale nel computer per interagire con il sistema operativo e include:
- Recupero delle informazioni di valutazione sullo stato degli aggiornamenti di sistema specificati dal client Windows Update o dallo strumento di gestione pacchetti Linux.
- Avvio del download e dell'installazione degli aggiornamenti approvati con il client Windows Update o lo strumento di gestione pacchetti Linux.
Tutte le informazioni di valutazione e i risultati dell'installazione degli aggiornamenti vengono segnalati a Update Manager dall'estensione ed è disponibile per l'analisi con Azure Resource Graph. È possibile visualizzare fino agli ultimi sette giorni di dati di valutazione e fino agli ultimi 30 giorni di risultati dell'installazione degli aggiornamenti.
I computer assegnati a Gestione aggiornamenti segnalano il modo in cui sono aggiornati in base all'origine con cui sono configurati per la sincronizzazione. È possibile configurare Windows Update Agent (WUA) nei computer Windows per segnalare a Windows Server Update Services o Microsoft Update, che è per impostazione predefinita. È possibile configurare i computer Linux per segnalare a un repository di pacchetti YUM o APT locale o pubblico. Se l'agente di Windows Update è configurato per segnalare a WSUS, a seconda dell'ultima sincronizzazione di WSUS con Microsoft Update, i risultati in Gestione aggiornamenti potrebbero differire da quelli visualizzati da Microsoft Update. Questo comportamento è lo stesso per i computer Linux configurati per segnalare a un repository locale anziché a un repository di pacchetti pubblici.
Nota
WSUS non è disponibile in Azure Cina gestito da 21 Vianet.
È possibile gestire le macchine virtuali di Azure o i server abilitati per Azure Arc direttamente o su larga scala con Gestione aggiornamenti.
Prerequisiti
Oltre ai prerequisiti seguenti, vedere Matrice di supporto per il Gestore aggiornamenti.
Ruolo
| Conto risorse | Ruolo |
|---|---|
| Macchina virtuale di Azure | Collaboratore macchina virtuale di Azure o proprietario di Azure |
| Server abilitato per Azure Arc | Amministratore delle risorse di Azure Connected Machine |
Autorizzazioni
Per creare e gestire le distribuzioni degli aggiornamenti, sono necessarie le seguenti autorizzazioni. La tabella mostra le autorizzazioni necessarie quando si usa il Gestore aggiornamenti.
| Azioni | Autorizzazione | Ambito |
|---|---|---|
| Leggere le proprietà della macchina virtuale di Azure | Microsoft.Compute/virtualMachines/read | |
| Aggiornare la valutazione nelle macchine virtuali di Azure | Microsoft.Compute/virtualMachines/assessPatches/action | |
| Leggere i dati di valutazione per le macchine virtuali di Azure | Microsoft.Compute/virtualMachines/patchAssessmentResults/latest Microsoft.Compute/virtualMachines/patchAssessmentResults/latest/softwarePatches |
|
| Installare l'aggiornamento nelle macchine virtuali di Azure | Microsoft.Compute/virtualMachines/installPatches/action | |
| Leggere i dati di installazione delle patch per le macchine virtuali di Azure | Microsoft.Compute/virtualMachines/patchInstallationResults Microsoft.Compute/virtualMachines/patchInstallationResults/softwarePatches |
|
| Leggere le proprietà del server abilitato per Azure Arc | Microsoft.HybridCompute/machines/read | |
| Aggiornare la valutazione sul server abilitato per Azure Arc | Microsoft.HybridCompute/machines/assessPatches/action | |
| Leggere i dati di valutazione per il server abilitato per Azure Arc | Microsoft.HybridCompute/machines/patchAssessmentResults Microsoft.HybridCompute/machines/patchAssessmentResults/softwarePatches |
|
| Installare l'aggiornamento sul server abilitato per Azure Arc | Microsoft.HybridCompute/machines/installPatches/action | |
| Leggere i dati di installazione delle patch per il server abilitato per Azure Arc | Microsoft.HybridCompute/machines/patchInstallationResults Microsoft.HybridCompute/machines/patchInstallationResults/softwarePatches |
|
| Registrare la sottoscrizione per il provider di risorse Microsoft.Maintenance | Microsoft.Maintenance/register/action | Subscription |
| Creare/modificare configurazione manutenzione | Microsoft.Maintenance/maintenanceConfigurations/write | Sottoscrizione/gruppo di risorse |
| Creare/modificare le assegnazioni di configurazione | Microsoft.Maintenance/configurationAssignments/write | Subscription |
| Autorizzazione di lettura per la risorsa aggiornamenti manutenzione | Microsoft.Maintenance/updates/read | Computer |
| Autorizzazione di lettura per la risorsa applicazione aggiornamenti | Microsoft.Maintenance/applyUpdates/read | Computer |
Immagini di macchine virtuali
Per altre informazioni, vedere l'elenco dei sistemi operativi supportati e delle immagini delle macchine virtuali.
Azure Update Manager supporta immagini specializzate, incluse le macchine virtuali create da Azure Migrate, Backup di Azure e Azure Site Recovery.
Estensioni delle macchine virtuali
Sono disponibili le estensioni della macchina virtuale di Azure e le estensioni vm abilitate per Azure Arc.
| Sistema operativo | Estensione |
|---|---|
| Windows | Microsoft.CPlat.Core.WindowsPatchExtension |
| Linux | Microsoft.CPlat.Core.LinuxPatchExtension |
Pianificazione della rete
Per preparare la rete a supportare il Gestore aggiornamenti, potrebbe essere necessario configurare alcuni componenti dell'infrastruttura.
Per i computer Windows è necessario consentire il traffico verso eventuali endpoint richiesti dall'agente di Windows Update. Un elenco aggiornato degli endpoint necessari è disponibile in Problemi correlati a HTTP/proxy. Se si dispone di una distribuzione WSUS locale, è necessario consentire anche il traffico verso il server specificato nella chiave WSUS.
Per computer Red Hat Linux, vedere Gli indirizzi IP per i server di distribuzione di contenuti RHUI per informazioni sugli endpoint necessari. Per altre distribuzioni di Linux, vedere la documentazione del provider.