Pianificare gli aggiornamenti ricorrenti per i computer usando il portale di Azure e Criteri di Azure

Si applica a: ✔️ macchine virtuali Linux vm ✔️ ✔️ Windows Server abilitati per Azure Arc nell'ambiente ✔️ locale.

Importante

• Per un'esperienza di applicazione di patch pianificata senza problemi, è consigliabile aggiornare l'orchestrazione delle patch alle pianificazioni gestite dal cliente entro il 30 giugno 2023. Se non si aggiorna l'orchestrazione patch entro il 30 giugno 2023, è possibile riscontrare un'interruzione della continuità aziendale perché le pianificazioni non riusciranno a applicare patch alle macchine virtuali. Altre informazioni.
• Pianificare gli aggiornamenti ricorrenti tramite Criteri di Azure non è disponibile in Azure US Government e Azure Cina gestito da 21 Vianet.

È possibile usare Gestione aggiornamenti di Azure per creare e salvare pianificazioni di distribuzione ricorrenti. È possibile creare una pianificazione in base a cadenza giornaliera, settimanale o oraria. È possibile specificare i computer che devono essere aggiornati come parte della pianificazione e gli aggiornamenti da installare.

Questa pianificazione installa quindi automaticamente gli aggiornamenti in base alla pianificazione creata per una singola macchina virtuale e su larga scala.

Gestione aggiornamenti usa una pianificazione del controllo di manutenzione invece di creare pianificazioni personalizzate. Il controllo della manutenzione consente ai clienti di gestire gli aggiornamenti della piattaforma. Per altre informazioni, vedere la documentazione relativa al controllo della gestione.

Prerequisiti per l'applicazione di patch pianificata

1. Vedere Prerequisiti per Gestione aggiornamenti.

2. L'orchestrazione delle patch dei computer di Azure deve essere impostata su Pianificazioni gestite dal cliente. Per altre informazioni, vedere Abilitare l'applicazione di patch di pianificazione nelle macchine virtuali esistenti. Requisiti di rete per i computer abilitati per Azure ARC.

   Nota

   Se si imposta la modalità patch su Azure orchestrata (AutomaticByPlatform) ma non si abilita il flag BypassPlatform Cassaforte tyChecksOnUserSchedule e non si collega una configurazione di manutenzione a un computer di Azure, viene considerata come un computer abilitato per l'applicazione automatica delle patch guest. La piattaforma Azure installa automaticamente gli aggiornamenti in base alla propria pianificazione. Altre informazioni.

Pianificare l'applicazione di patch in un set di disponibilità

Tutte le macchine virtuali in un set di disponibilità comune non vengono aggiornate contemporaneamente.

Le macchine virtuali in un set di disponibilità comune vengono aggiornate entro i limiti del dominio di aggiornamento. Le macchine virtuali tra più domini di aggiornamento non vengono aggiornate contemporaneamente.

Negli scenari in cui i computer dello stesso set di disponibilità vengono sottoposti a patch contemporaneamente in pianificazioni diverse, è probabile che non vengano applicate patch o che potrebbero non riuscire se la finestra di manutenzione supera. Per evitare questo problema, è consigliabile aumentare la finestra di manutenzione o dividere i computer appartenenti allo stesso set di disponibilità in più pianificazioni in momenti diversi.

Configurare le impostazioni di riavvio

Le chiavi del Registro di sistema elencate in Configura Aggiornamenti automatica modificando il Registro di sistema e le chiavi del Registro di sistema usate per gestire il riavvio possono causare il riavvio dei computer. Un riavvio può verificarsi anche se si specifica Non riavviare mai nelle impostazioni pianificazione . Configurare queste chiavi del registro di sistema per adattarle al proprio ambiente.

Limiti del servizio

È consigliabile usare i limiti seguenti per gli indicatori.

Indicatore	Limite
Numero di pianificazioni per sottoscrizione per area	250
Numero totale di associazioni di risorse a una pianificazione	3,000
Associazioni di risorse in ogni ambito dinamico	1.000
Numero di ambiti dinamici per gruppo di risorse o sottoscrizione per area	250
Numero di ambiti dinamici per pianificazione	30
Numero totale di sottoscrizioni associate a tutti gli ambiti dinamici per pianificazione	30

Per altre informazioni, vedere i limiti del servizio per l'ambito dinamico.

Pianificare gli aggiornamenti ricorrenti in una singola macchina virtuale

È possibile pianificare gli aggiornamenti dal riquadro Panoramica o computer nella pagina Gestione aggiornamenti o dalla macchina virtuale selezionata.

Per pianificare gli aggiornamenti ricorrenti in una singola macchina virtuale:

1. Accedere al portale di Azure.

2. Nella pagina Panoramica di Azure Update Manager | selezionare la sottoscrizione e quindi selezionare Pianifica aggiornamenti.

3. Nella pagina Crea nuova configurazione di manutenzione è possibile creare una pianificazione per una singola macchina virtuale.

   Attualmente sono supportate le macchine virtuali e la configurazione di manutenzione nella stessa sottoscrizione.

4. Nella pagina Informazioni di base selezionare Sottoscrizione, Gruppo di risorse e tutte le opzioni in Dettagli istanza.

   • Selezionare Ambito di manutenzione come guest (macchina virtuale di Azure, macchine virtuali/server abilitati per Azure Arc).

   • Selezionare Aggiungi pianificazione. In Aggiungi/Modifica pianificazione specificare i dettagli della pianificazione, ad esempio:

     • Data di inizio
     • Finestra di manutenzione (in ore). La finestra di manutenzione superiore è di 3 ore 55 minuti.
     • Ripetizioni (mensile, giornaliero o settimanale)
     • Aggiungi data di fine
     • Riepilogo pianificazione

   L'opzione oraria non è supportata nel portale, ma può essere usata tramite l'API.

   

   Per Le ripetizioni mensili sono disponibili due opzioni:

   • Ripetere in base a una data del calendario (facoltativamente eseguita nell'ultima data del mese).
   • Ripetere l'n° (primo, secondo e così via) x giorno (ad esempio lunedì, martedì) del mese. È anche possibile specificare un offset dal set di giorni. Potrebbe essere +6/-6. Ad esempio, se si vuole applicare patch il primo sabato dopo una patch il martedì, impostare la ricorrenza come secondo martedì del mese con un offset di +4 giorni. Facoltativamente, è anche possibile specificare una data di fine quando si desidera che la pianificazione scada.

5. Nella scheda Computer selezionare il computer e quindi selezionare Avanti.

   Gestione aggiornamenti non supporta gli aggiornamenti dei driver.

6. Nella scheda Tag assegnare tag alle configurazioni di manutenzione.

7. Nella scheda Rivedi e crea verificare le opzioni di distribuzione degli aggiornamenti e quindi selezionare Crea.

Dal riquadro Computer

1. Accedere al portale di Azure.

2. Nella pagina Computer di Azure Update Manager | selezionare la sottoscrizione, selezionare il computer e quindi selezionare Pianifica aggiornamenti.

3. In Creare una nuova configurazione di manutenzione è possibile creare una pianificazione per una singola macchina virtuale e assegnare un computer e tag. Seguire la procedura descritta nel passaggio 3 elencato nel riquadro Panoramica di Pianificare gli aggiornamenti ricorrenti in una singola macchina virtuale per creare una configurazione di manutenzione e assegnare una pianificazione.

Da una macchina virtuale selezionata

1. Selezionare la macchina virtuale per aprire le macchine virtuali | Aggiornamenti pagina.
2. In Operazioni selezionare Aggiornamenti.
3. Nella scheda Aggiornamenti selezionare Vai a Aggiornamenti usando Centro aggiornamenti.
4. In Aggiornamenti anteprima selezionare Pianifica aggiornamenti. In Creare una nuova configurazione di manutenzione è possibile creare una pianificazione per una singola macchina virtuale. Seguire la procedura descritta nel passaggio 3 elencato nel riquadro Panoramica di Pianificare gli aggiornamenti ricorrenti in una singola macchina virtuale per creare una configurazione di manutenzione e assegnare una pianificazione.

Una notifica conferma che la distribuzione è stata creata.

Pianificare gli aggiornamenti ricorrenti su larga scala

Per pianificare gli aggiornamenti ricorrenti su larga scala, seguire questa procedura.

È possibile pianificare gli aggiornamenti dal riquadro Panoramica o Computer .

Nel riquadro Panoramica

1. Accedere al portale di Azure.

2. Nella pagina Panoramica di Azure Update Manager | selezionare la sottoscrizione e quindi selezionare Pianifica aggiornamenti.

3. Nella pagina Crea nuova configurazione di manutenzione è possibile creare una pianificazione per più computer.

   Attualmente sono supportate le macchine virtuali e la configurazione di manutenzione nella stessa sottoscrizione.

4. Nella scheda Informazioni di base selezionare Sottoscrizione, Gruppo di risorse e tutte le opzioni in Dettagli istanza.

   • Selezionare Aggiungi pianificazione. In Aggiungi/Modifica pianificazione specificare i dettagli della pianificazione, ad esempio:

     • Data di inizio
     • Finestra di manutenzione (in ore)
     • Ripetizioni (mensile, giornaliero o settimanale)
     • Aggiungi data di fine
     • Riepilogo pianificazione

   L'opzione oraria non è supportata nel portale, ma può essere usata tramite l'API.

5. Nella scheda Computer verificare se i computer selezionati sono elencati. È possibile aggiungere o rimuovere computer dall'elenco. Selezionare Avanti.

6. Nella scheda Aggiornamenti specificare gli aggiornamenti da includere nella distribuzione, ad esempio classificazioni degli aggiornamenti o ID/pacchetti KB che devono essere installati quando si attiva la pianificazione.

   Gestione aggiornamenti non supporta gli aggiornamenti dei driver.

7. Nella scheda Tag assegnare tag alle configurazioni di manutenzione.

8. Nella scheda Rivedi e crea verificare le opzioni di distribuzione degli aggiornamenti e quindi selezionare Crea.

Dal riquadro Computer

1. Accedere al portale di Azure.

2. Nella pagina Computer di Azure Update Manager | selezionare la sottoscrizione, selezionare i computer e quindi selezionare Pianifica aggiornamenti.

Nella pagina Crea nuova configurazione di manutenzione è possibile creare una pianificazione per una singola macchina virtuale. Seguire la procedura descritta nel passaggio 3 elencato nel riquadro Panoramica di Pianificare gli aggiornamenti ricorrenti in una singola macchina virtuale per creare una configurazione di manutenzione e assegnare una pianificazione.

Una notifica conferma che la distribuzione è stata creata.

Collegare una configurazione di manutenzione

Una configurazione di manutenzione può essere collegata a più computer. Può essere collegato ai computer al momento della creazione di una nuova configurazione di manutenzione o anche dopo averlo creato.

1. Nella pagina Gestione aggiornamenti di Azure selezionare Computer e quindi selezionare la sottoscrizione.

2. Selezionare il computer e nel riquadro Aggiornamenti selezionare Aggiornamenti pianificati per creare una configurazione di manutenzione o collegare una configurazione di manutenzione esistente agli aggiornamenti ricorrenti pianificati.

3. Nella scheda Pianificazione selezionare Collega configurazione di manutenzione.

4. Selezionare la configurazione di manutenzione da collegare e quindi selezionare Connetti.

5. Nel riquadro Aggiornamenti selezionare Pianificazione Della configurazione di>manutenzione collegamento.

6. Nella pagina Collega configurazione di manutenzione esistente selezionare la configurazione di manutenzione da collegare e quindi selezionare Connetti.

   

Pianificare gli aggiornamenti ricorrenti dalla configurazione della manutenzione

È possibile esplorare e gestire tutte le configurazioni di manutenzione da un'unica posizione.

1. Eseguire ricerche nelle configurazioni di manutenzione nel portale di Azure. Mostra un elenco di tutte le configurazioni di manutenzione insieme all'ambito di manutenzione, al gruppo di risorse, alla posizione e alla sottoscrizione a cui appartiene.

2. È possibile filtrare le configurazioni di manutenzione usando filtri nella parte superiore. Le configurazioni di manutenzione correlate agli aggiornamenti del sistema operativo guest sono quelle con ambito di manutenzione come InGuestPatch.

È possibile creare una nuova configurazione di manutenzione degli aggiornamenti del sistema operativo guest o modificare una configurazione esistente.

Creare una nuova configurazione di manutenzione

1. Passare a Computer e selezionare computer dall'elenco.

2. Nel riquadro Aggiornamenti selezionare Aggiornamenti pianificati.

3. Nel riquadro Crea una configurazione di manutenzione seguire il passaggio 3 di questa procedura per creare una configurazione di manutenzione.

4. Nella scheda Informazioni di base selezionare l'ambitodi manutenzione come Guest (macchina virtuale di Azure, macchine virtuali/server abilitati per Arc).

   

Aggiungere o rimuovere computer dalla configurazione di manutenzione

1. Passare a Computer e selezionare i computer dall'elenco.

2. Nella pagina Aggiornamenti selezionare Aggiornamenti monouso.

3. Nel riquadro Installa aggiornamenti monouso selezionare Computer>aggiungi computer.

   

Modificare i criteri di selezione degli aggiornamenti

1. Nel riquadro Installa aggiornamenti monouso selezionare le risorse e i computer per installare gli aggiornamenti.

2. Nella scheda Computer selezionare Aggiungi computer per aggiungere computer non selezionati in precedenza e quindi selezionare Aggiungi.

3. Nella scheda Aggiornamenti specificare gli aggiornamenti da includere nella distribuzione.

4. Selezionare Includi ID KB/pacchetto ed Escludi ID KB/pacchetto, rispettivamente, per selezionare gli aggiornamenti come Critici, Sicurezza e Aggiornamenti delle funzionalità.

   

Eseguire l'onboarding per pianificare usando Criteri di Azure

Gestione aggiornamenti consente di specificare come destinazione un gruppo di macchine virtuali di Azure o non Azure per la distribuzione degli aggiornamenti tramite Criteri di Azure. Il raggruppamento con un criterio impedisce di dover modificare la distribuzione per aggiornare i computer. È possibile usare la sottoscrizione, il gruppo di risorse, i tag o le aree per definire l'ambito. È possibile usare questa funzionalità per i criteri predefiniti, che è possibile personalizzare in base al caso d'uso.

Nota

Questo criterio garantisce anche che la proprietà di orchestrazione patch per i computer di Azure sia impostata su Pianificazioni gestite dal cliente perché è un prerequisito per l'applicazione di patch pianificate.

Assegnare un criterio

Criteri di Azure consente di assegnare standard e valutare la conformità su larga scala. Per altre informazioni, vedere Panoramica di Criteri di Azure. Per assegnare un criterio all'ambito:

1. Accedere al portale di Azure e selezionare Criteri.

2. In Assegnazioni selezionare Assegna criterio.

3. Nella pagina Assegna criteri , nella scheda Informazioni di base :

   • In Ambito scegliere la sottoscrizione e il gruppo di risorse e scegliere Seleziona.

   • Selezionare Definizione criteri per visualizzare un elenco di criteri.

   • Nel riquadro Definizioni disponibili selezionare Predefinita per Tipo. In Cerca immettere Pianifica aggiornamenti ricorrenti con Gestione aggiornamenti di Azure e fare clic su Seleziona.

     

   • Assicurarsi che l'imposizione dei criteri sia impostata su Abilitato e quindi selezionare Avanti.

4. Nella scheda Parametri, per impostazione predefinita, è visibile solo l'IDARM della configurazione di manutenzione.

   Se non si specificano altri parametri, tutti i computer nella sottoscrizione e nel gruppo di risorse selezionati nella scheda Informazioni di base sono inclusi nell'ambito. Se si vuole definire un ambito più approfondito in base a gruppo di risorse, posizione, sistema operativo, tag e così via, deselezionare Mostra solo i parametri che richiedono input o revisione per visualizzare tutti i parametri:

   • ID ARM della configurazione della manutenzione: parametro obbligatorio da specificare. Indica l'ID di Azure Resource Manager (ARM) della pianificazione da assegnare ai computer.
   • Gruppi di risorse: facoltativamente, è possibile specificare un gruppo di risorse se si vuole definire l'ambito a un gruppo di risorse. Per impostazione predefinita, vengono selezionati tutti i gruppi di risorse all'interno della sottoscrizione.
   • Tipi di sistema operativo: è possibile selezionare Windows o Linux. Per impostazione predefinita, entrambi sono preseselezionati.
   • Località computer: facoltativamente è possibile specificare le aree da selezionare. Per impostazione predefinita, vengono selezionati tutti.
   • Tag nei computer: è possibile usare i tag per definire ulteriormente l'ambito. Per impostazione predefinita, vengono selezionati tutti.
   • Operatore Tag: se si selezionano più tag, è possibile specificare se si desidera che l'ambito sia computer con tutti i tag o i computer con uno di questi tag.

   

5. Nella scheda Correzione, in Tipo di identità>gestita dell'identità gestita selezionare Identità gestita assegnata dal sistema. Le autorizzazioni sono già impostate come Collaboratore in base alla definizione dei criteri.

   Se si seleziona Correzione, il criterio è attivo su tutti i computer esistenti nell'ambito oppure viene assegnato a qualsiasi nuovo computer aggiunto all'ambito.

6. Nella scheda Rivedi e crea verificare le selezioni e quindi selezionare Crea per identificare le risorse non conformi per comprendere lo stato di conformità dell'ambiente.

Visualizzare la conformità

Per visualizzare lo stato di conformità corrente delle risorse esistenti:

1. In Assegnazioni criteri selezionare Ambito per selezionare la sottoscrizione e il gruppo di risorse.

2. In Tipo di definizione selezionare il criterio. Nell'elenco selezionare il nome dell'assegnazione.

3. Selezionare Visualizza conformità. La conformità delle risorse elenca i computer e i motivi dell'errore.

   

Controllare l'esecuzione pianificata delle patch

È possibile controllare lo stato della distribuzione e la cronologia delle esecuzioni della configurazione di manutenzione dal portale di Gestione aggiornamenti. Per altre informazioni, vedere Aggiornare la cronologia di distribuzione in base all'ID esecuzione della manutenzione.

Sequenza temporale della finestra di manutenzione

La finestra di manutenzione controlla il numero di aggiornamenti che possono essere installati nella macchina virtuale e nei server abilitati per Arc. È consigliabile esaminare la tabella seguente per comprendere la sequenza temporale per una finestra di manutenzione durante l'installazione di un aggiornamento:

Ad esempio, se una finestra di manutenzione è di 3 ore e inizia alle 17:00, di seguito sono riportati i dettagli su come vengono installati gli aggiornamenti:

Windows

Tipo di aggiornamento	Dettagli
Service Pack	Se si installa un Service Pack, sono necessari 20 minuti rimanenti nella finestra di manutenzione per l'installazione degli aggiornamenti, altrimenti l'aggiornamento viene ignorato. In questo esempio è necessario completare l'installazione del Service Pack entro le 17:40.
Altri aggiornamenti	Se si installa un altro aggiornamento oltre al Service Pack, è necessario lasciare 15 minuti nella finestra di manutenzione, altrimenti viene ignorato. In questo esempio è necessario completare l'installazione degli altri aggiornamenti entro le 17:45.
Riavvio	Se il computer richiede un riavvio, è necessario lasciare 10 minuti nella finestra di manutenzione, altrimenti il riavvio viene ignorato. In questo esempio è necessario avviare il riavvio entro le 17:50. Nota: per le macchine virtuali di Azure e i server abilitati per Arc, Azure Update Manager attende un massimo di 15 minuti per le macchine virtuali di Azure e 25 minuti per i server Arc dopo un riavvio per completare l'operazione di riavvio prima di contrassegnarlo come non riuscito.

Linux

Tipo di aggiornamento	Dettagli
Riavvio	Se le macchine virtuali richiedono un riavvio, è necessario lasciare 15 minuti nella finestra di manutenzione, altrimenti il riavvio viene ignorato. Nota: questa opzione è applicabile solo per le macchine virtuali di Azure e non per i server abilitati per Arc. In questo esempio è necessario avviare il riavvio entro le 17:45.
Aggiornamenti installati in batch	Se le dimensioni del batch sono X, il tempo minimo necessario per aggiornare i pacchetti viene calcolato come segue : se X è minore o uguale a 3, il tempo minimo necessario = 5 x X minuti. - Se X è maggiore di 3, il tempo minimo necessario = 15+2 x (X-3) minuti. Nota: solo il servizio Azure Update Manager controlla le dimensioni batch (X) degli aggiornamenti.

Nota

• Gestione aggiornamenti di Azure non interrompe l'installazione dei nuovi aggiornamenti se si avvicina alla fine della finestra di manutenzione.
• Azure Update Manger non termina gli aggiornamenti in corso se la finestra di manutenzione viene superata e solo gli aggiornamenti rimanenti che devono essere installati non vengono tentati. È consigliabile valutare nuovamente la durata della finestra di manutenzione per assicurarsi che tutti gli aggiornamenti siano installati.
• Se la finestra di manutenzione viene superata in Windows, il motivo è in genere dovuto all'aggiornamento di un Service Pack la cui installazione impiega molto tempo.

Passaggi successivi

• Altre informazioni sull'ambito dinamico, una funzionalità avanzata della pianificazione dell'applicazione di patch.
• Altre informazioni su come configurare la pianificazione dell'applicazione di patch nelle macchine virtuali di Azure per la continuità aziendale.
• Seguire le istruzioni su come gestire varie operazioni dell'ambito dinamico
• Informazioni sugli eventi pre e post per eseguire automaticamente le attività prima e dopo una configurazione di manutenzione pianificata.