업데이트 관리 개요Update Management overview

Azure Automation의 업데이트 관리를 사용하여 Azure, 온-프레미스 환경 및 다른 클라우드 환경에서 Windows 및 Linux 가상 머신에 대한 운영 체제 업데이트를 관리할 수 있습니다.You can use Update Management in Azure Automation to manage operating system updates for your Windows and Linux virtual machines in Azure, in on-premises environments, and in other cloud environments. 모든 에이전트 머신에서 사용 가능한 업데이트의 상태를 신속하게 평가하고 서버의 필수 업데이트를 설치하는 프로세스를 관리할 수 있습니다.You can quickly assess the status of available updates on all agent machines and manage the process of installing required updates for servers.

참고

업데이트 관리로 구성한 머신은 Azure Automation에서 사용자 지정 스크립트를 실행하는 데 사용할 수 없습니다.You can't use a machine configured with Update Management to run custom scripts from Azure Automation. 이 머신은 Microsoft 서명 업데이트 스크립트만 실행할 수 있습니다.This machine can only run the Microsoft-signed update script.

참고

지금은 Arc 지원 서버에서 직접 업데이트 관리를 사용하도록 설정할 수 없습니다.At this time, enabling Update Management directly from an Arc enabled server is not supported. 요구 사항과 서버를 사용하도록 설정하는 방법에 대한 자세한 내용은 Automation 계정에서 업데이트 관리 사용을 참조하세요.See Enable Update Management from your Automation account to understand requirements and how to enable for your server.

Azure VM에서 사용 가능한 중요보안 패치를 자동으로 다운로드 하 여 설치 하려면 Windows Vm에 대 한 자동 VM 게스트 패치 를 검토 합니다.To download and install available Critical and Security patches automatically on your Azure VM, review Automatic VM guest patching for Windows VMs.

업데이트 관리를 배포 하 고 관리를 위해 컴퓨터를 사용 하도록 설정 하기 전에 다음 섹션의 정보를 이해 하 고 있어야 합니다.Before deploying Update Management and enabling your machines for management, make sure that you understand the information in the following sections.

업데이트 관리에 대해 자세히 알아보기About Update Management

업데이트 관리에서 관리 하는 컴퓨터는 다음을 사용 하 여 평가를 수행 하 고 업데이트를 배포 합니다.Machines that are managed by Update Management rely on the following to perform assessment and to deploy updates:

  • Windows 또는 Linux 용 Log Analytics 에이전트Log Analytics agent for Windows or Linux
  • Linux용 PowerShell DSC(필요한 상태 구성)PowerShell Desired State Configuration (DSC) for Linux
  • Automation Hybrid Runbook Worker (컴퓨터에서 업데이트 관리를 사용 하도록 설정할 때 자동으로 설치 됨)Automation Hybrid Runbook Worker (automatically installed when you enable Update Management on the machine)
  • Windows 컴퓨터용 WSUS (Microsoft 업데이트 또는 Windows Server Update Services )Microsoft Update or Windows Server Update Services (WSUS) for Windows machines
  • Linux 컴퓨터에 대 한 개인 또는 공용 업데이트 리포지토리입니다.Either a private or public update repository for Linux machines

다음 다이어그램은 업데이트 관리 작업 영역에서 연결 된 모든 Windows Server 및 Linux 서버에 보안 업데이트를 평가 하 고 적용 하는 방법을 보여 줍니다.The following diagram illustrates how Update Management assesses and applies security updates to all connected Windows Server and Linux servers in a workspace:

업데이트 관리 워크플로

업데이트 관리는 동일한 테 넌 트의 여러 구독에 있는 컴퓨터에 기본적으로 배포 하는 데 사용할 수 있습니다.Update Management can be used to natively deploy to machines in multiple subscriptions in the same tenant.

패키지가 릴리스되면 평가를 위해 Linux 머신의 패치가 나타날 때까지 2~3시간이 걸립니다.After a package is released, it takes 2 to 3 hours for the patch to show up for Linux machines for assessment. Windows 머신의 경우 릴리스된 후 평가를 위해 패치가 나타날 때까지 12~15시간이 걸립니다.For Windows machines, it takes 12 to 15 hours for the patch to show up for assessment after it's been released. 컴퓨터가 업데이트 준수에 대 한 검색을 완료 하면 에이전트는 Azure Monitor 로그에 정보를 대량으로 전달 합니다.When a machine completes a scan for update compliance, the agent forwards the information in bulk to Azure Monitor logs. Windows 머신에서는 기본적으로 12시간마다 준수 검사가 실행됩니다.On a Windows machine, the compliance scan is run every 12 hours by default. Linux 머신에서는 기본적으로 1시간마다 준수 검사가 이루어집니다.For a Linux machine, the compliance scan is performed every hour by default. Log Analytics 에이전트가 다시 시작되면 15분 이내에 준수 검사가 시작됩니다.If the Log Analytics agent is restarted, a compliance scan is started within 15 minutes.

검사 일정 외에도, Log Analytics 에이전트가 다시 시작된 지 15분 이내에, 업데이트 설치 전에, 그리고 업데이트 설치 후에 업데이트 준수 검사가 시작됩니다.In addition to the scan schedule, the scan for update compliance is started within 15 minutes of the Log Analytics agent being restarted, before update installation, and after update installation.

업데이트 관리는 동기화하도록 구성된 원본을 기반으로 머신이 얼마나 최신 상태인지를 보고합니다.Update Management reports how up to date the machine is based on what source you're configured to sync with. Windows 컴퓨터가 wsus ( Windows Server Update Services 에 보고 하도록 구성 된 경우 wsus가 Microsoft 업데이트와 마지막으로 동기화 된 시기에 따라 결과가 Microsoft 업데이트 표시 되는 내용과 다를 수 있습니다.If the Windows machine is configured to report to Windows Server Update Services (WSUS), depending on when WSUS last synced with Microsoft Update, the results might differ from what Microsoft Update shows. 이 동작은 공용 리포지토리 대신 로컬 리포지토리에 보고하도록 구성된 Linux 머신에서도 동일합니다.This behavior is the same for Linux machines that are configured to report to a local repo instead of to a public repo.

참고

서비스에 제대로 보고하려면 업데이트 관리를 수행할 때 특정 URL 및 포트가 사용되도록 설정되어야 합니다.To properly report to the service, Update Management requires certain URLs and ports to be enabled. 이러한 요구 사항에 대한 자세한 내용은 네트워크 구성을 참조하세요.To learn more about these requirements, see Network configuration.

예약 배포를 만들어서 업데이트가 필요한 머신에 소프트웨어 업데이트를 배포하고 설치할 수 있습니다.You can deploy and install software updates on machines that require the updates by creating a scheduled deployment. 선택 사항으로 분류된 업데이트는 Windows 머신의 배포 범위에 포함되지 않습니다.Updates classified as optional aren't included in the deployment scope for Windows machines. 배포 범위에는 필수 업데이트만 포함됩니다.Only required updates are included in the deployment scope.

예약 배포는The scheduled deployment defines which target machines receive the applicable updates. 머신을 명시적으로 지정하거나 특정 머신 집합의 로그 검색을 기반으로 하는(또는 지정된 기준에 따라 Azure VM을 동적으로 선택하는 Azure 쿼리를 기반으로 하는) 컴퓨터 그룹을 선택하여 해당 업데이트를 받을 대상 머신을 정의합니다.It does so either by explicitly specifying certain machines or by selecting a computer group that's based on log searches of a specific set of machines (or on an Azure query that dynamically selects Azure VMs based on specified criteria). 이 그룹은 업데이트 관리를 사용하도록 설정하기 위해 구성을 수신할 머신의 대상을 제어하는 데 사용되는 범위 구성과는 다릅니다.These groups differ from scope configuration, which is used to control the targeting of machines that receive the configuration to enable Update Management. 이 그룹은 업데이트 준수를 수행 및 보고하는 것을 방지하며, 승인된 필요한 업데이트를 설치합니다.This prevents them from performing and reporting update compliance, and install approved required updates.

배포를 정의할 때는 승인할 일정을 지정하고 업데이트가 설치될 수 있는 기간을 설정합니다.While defining a deployment, you also specify a schedule to approve and set a time period during which updates can be installed. 이 기간을 유지 관리 기간이라고 합니다.This period is called the maintenance window. 유지 관리 기간 중 20분은 재부팅이 필요하며 사용자가 적절한 재부팅 옵션을 선택했다고 가정한 상태로 재부팅을 위해 예약됩니다.A 20-minute span of the maintenance window is reserved for reboots, assuming one is needed and you selected the appropriate reboot option. 패치에 예상보다 시간이 오래 걸리고 유지 관리 기간이 20분 미만이라면 재부팅이 이루어지지 않습니다.If patching takes longer than expected and there's less than 20 minutes in the maintenance window, a reboot won't occur.

Azure Automation의 runbook에서 업데이트가 설치됩니다.Updates are installed by runbooks in Azure Automation. 이러한 Runbook은 볼 수 없고 Runbook에는 구성이 필요하지 않습니다.You can't view these runbooks, and they don't require any configuration. 업데이트 배포가 생성되면 업데이트 배포는 포함된 머신에 대해 지정된 시간에 마스터 업데이트 Runbook을 시작하는 일정을 만듭니다.When an update deployment is created, it creates a schedule that starts a master update runbook at the specified time for the included machines. 이 마스터 Runbook은 각 에이전트에서 하위 Runbook을 시작하여 필수 업데이트를 설치합니다.The master runbook starts a child runbook on each agent to install the required updates.

업데이트 배포에 지정된 날짜 및 시간에 대상 머신은 배포를 병렬로 실행합니다.At the date and time specified in the update deployment, the target machines execute the deployment in parallel. 설치 전에, 업데이트가 여전히 필요한지 확인하기 위한 검사가 수행됩니다.Before installation, a scan is run to verify that the updates are still required. WSUS 클라이언트 머신의 경우 업데이트가 WSUS에서 승인되지 않았으면 업데이트 배포가 실패합니다.For WSUS client machines, if the updates aren't approved in WSUS, update deployment fails.

머신 하나를 둘 이상의 Log Analytics 작업 영역에서 업데이트 관리에 등록(멀티 호밍)하는 것은 지원되지 않습니다.Having a machine registered for Update Management in more than one Log Analytics workspace (also referred to as multihoming) isn't supported.

클라이언트Clients

지원되는 운영 체제Supported operating systems

다음 표에는 업데이트 평가 및 패치를 위해 지원 되는 운영 체제가 나와 있습니다.The following table lists the supported operating systems for update assessments and patching. 패치를 적용 하려면 시스템 Hybrid Runbook Worker 필요 하며,이는 업데이트 관리에서 관리 하도록 가상 컴퓨터 또는 서버를 사용 하도록 설정할 때 자동으로 설치 됩니다.Patching requires a system Hybrid Runbook Worker, which is automatically installed when you enable the virtual machine or server for management by Update Management. Hybrid Runbook Worker 시스템 요구 사항에 대 한 자세한 내용은 Windows Hybrid Runbook Worker 배포Linux Hybrid Runbook Worker 배포를 참조 하세요.For information on Hybrid Runbook Worker system requirements, see Deploy a Windows Hybrid Runbook Worker and a Deploy a Linux Hybrid Runbook Worker.

참고

Linux 머신의 업데이트 평가는 Automation 계정 및 Log Analytics 작업 영역 매핑 테이블에 안내된 대로 특정 지역에서만 지원됩니다.Update assessment of Linux machines is only supported in certain regions as listed in the Automation account and Log Analytics workspace mappings table.

운영 체제Operating system 메모Notes
Windows Server 2019 (Server Core를 포함 하는 Datacenter/Standard)Windows Server 2019 (Datacenter/Standard including Server Core)

Windows Server 2016 (서버 코어를 제외 하 고 Datacenter/Standard)Windows Server 2016 (Datacenter/Standard excluding Server Core)

Windows Server 2012 R2(Datacenter/Standard)Windows Server 2012 R2(Datacenter/Standard)

Windows Server 2012Windows Server 2012
Windows Server 2008 R2(RTM 및 SP1 Standard)Windows Server 2008 R2 (RTM and SP1 Standard) 업데이트 관리은이 운영 체제에 대 한 평가 및 패치를 지원 합니다.Update Management supports assessments and patching for this operating system. Hybrid Runbook Worker 는 Windows Server 2008 r 2에서 지원 됩니다.The Hybrid Runbook Worker is supported for Windows Server 2008 R2.
CentOS 6, 7 및 8 (x64)CentOS 6, 7, and 8 (x64) Linux 에이전트를 사용하려면 업데이트 리포지토리에 대한 액세스 권한이 필요합니다.Linux agents require access to an update repository. 분류 기반 패치를 사용하려면 yum에서 CentOS가 RTM 릴리스에 없는 보안 데이터를 반환해야 합니다.Classification-based patching requires yum to return security data that CentOS doesn't have in its RTM releases. CentOS의 분류 기반 패치에 대한 자세한 내용은 Linux의 업데이트 분류를 참조하세요.For more information on classification-based patching on CentOS, see Update classifications on Linux.
Red Hat Enterprise 6, 7 및 8 (x64)Red Hat Enterprise 6, 7, and 8 (x64) Linux 에이전트를 사용하려면 업데이트 리포지토리에 대한 액세스 권한이 필요합니다.Linux agents require access to an update repository.
SUSE Linux Enterprise Server 12, 15 및 15.1 (x64)SUSE Linux Enterprise Server 12, 15, and 15.1 (x64) Linux 에이전트를 사용하려면 업데이트 리포지토리에 대한 액세스 권한이 필요합니다.Linux agents require access to an update repository. SUSE 15.x의 경우 컴퓨터에 Python 3이 필요 합니다.For SUSE 15.x, Python 3 is required on the machine.
Ubuntu 14.04 LTS, 16.04 LTS 및 18.04 LTS (x64)Ubuntu 14.04 LTS, 16.04 LTS, and 18.04 LTS (x64) Linux 에이전트를 사용하려면 업데이트 리포지토리에 대한 액세스 권한이 필요합니다.Linux agents require access to an update repository.

참고

업데이트 관리는 Azure 가상 머신 확장 집합의 모든 인스턴스에서 업데이트 관리를 안전 하 게 자동화 하는 기능을 지원 하지 않습니다.Update Management does not support safely automating update management across all instances in an Azure virtual machine scale set. 자동 os 이미지 업그레이드 는 확장 집합에서 os 이미지 업그레이드를 관리 하는 데 권장 되는 방법입니다.Automatic OS image upgrades is the recommended method for managing OS image upgrades on your scale set.

지원되지 않는 운영 체제Unsupported operating systems

다음 표에서는 업데이트 관리에서 지원 하지 않는 운영 체제를 보여 줍니다.The following table lists operating systems not supported by Update Management:

운영 체제Operating system 메모Notes
Windows 클라이언트Windows client 클라이언트 운영 체제(예: Windows 7 및 Windows 10)는 지원되지 않습니다.Client operating systems (such as Windows 7 and Windows 10) aren't supported.
Azure WVD(Windows Virtual Desktop)의 경우For Azure Windows Virtual Desktop (WVD), the recommended method
업데이트를 관리 하려면 Windows 10 클라이언트 컴퓨터 패치 관리를 위한 Microsoft Endpoint Configuration Manager 입니다.to manage updates is Microsoft Endpoint Configuration Manager for Windows 10 client machine patch management.
Windows Server 2016 Nano ServerWindows Server 2016 Nano Server 지원되지 않습니다.Not supported.
Azure Kubernetes Service 노드Azure Kubernetes Service Nodes 지원되지 않습니다.Not supported. AKS(Azure Kubernetes Service)에서 Linux 노드에 보안 및 커널 업데이트 적용에서 설명하는 패치 프로세스를 사용합니다.Use the patching process described in Apply security and kernel updates to Linux nodes in Azure Kubernetes Service (AKS)

시스템 요구 사항System requirements

다음 정보는 운영 체제별 요구 사항에 대해 설명 합니다.The following information describes operating system-specific requirements. 추가 지침이 필요하면 네트워크 계획을 참조하세요.For additional guidance, see Network planning. TLS 1.2에 대 한 요구 사항을 이해 하려면 Azure Automation에 대 한 tls 1.2 적용을 참조 하세요.To understand requirements for TLS 1.2, see TLS 1.2 enforcement for Azure Automation.

WindowsWindows

소프트웨어 요구 사항:Software Requirements:

Windows 에이전트는 WSUS 서버와 통신하도록 구성되거나 Microsoft 업데이트에 대한 액세스 권한을 가지고 있어야 합니다.Windows agents must be configured to communicate with a WSUS server, or they require access to Microsoft Update. 하이브리드 컴퓨터의 경우 먼저 컴퓨터를 Azure arc 사용 서버에 연결 하 여 windows 용 Log Analytics 에이전트를 설치한 다음 Azure Policy를 사용 하 여 windows azure arc 컴퓨터 기본 제공 정책에 Log Analytics 에이전트 배포를 할당 하는 것이 좋습니다.For hybrid machines, we recommend installing the Log Analytics agent for Windows by first connecting your machine to Azure Arc enabled servers, and then use Azure Policy to assign the Deploy Log Analytics agent to Windows Azure Arc machines built-in policy. 또는 VM용 Azure Monitor를 사용 하 여 컴퓨터를 모니터링 하려는 경우에는 대신 VM용 Azure Monitor 이니셔티브 사용을 사용 합니다.Alternatively, if you plan to monitor the machines with Azure Monitor for VMs, instead use the Enable Azure Monitor for VMs initiative.

업데이트 관리를 Microsoft Endpoint Configuration Manager와 함께 사용할 수 있습니다.You can use Update Management with Microsoft Endpoint Configuration Manager. 통합 시나리오에 대한 자세한 내용은 To learn more about integration scenarios, see Windows Endpoint Configuration Manager와 업데이트 관리 통합을 참조하세요.To learn more about integration scenarios, see Integrate Update Management with Windows Endpoint Configuration Manager. Configuration Manager 환경에서 사이트에 의해 관리되는 Windows 서버에는 Windows용 Log Analytics 에이전트가 필요합니다.The Log Analytics agent for Windows is required for Windows servers managed by sites in your Configuration Manager environment.

기본적으로 Azure Marketplace에서 배포 된 Windows Vm은 Windows 업데이트 서비스에서 자동 업데이트를 받도록 설정 됩니다.By default, Windows VMs that are deployed from Azure Marketplace are set to receive automatic updates from Windows Update Service. 이 동작은 작업 영역에 Windows VM을 추가해도 달라지지 않습니다.This behavior doesn't change when you add Windows VMs to your workspace. 업데이트 관리를 사용하여 업데이트를 적극적으로 관리하지 않는 경우 기본 동작(업데이트 자동 적용)이 적용됩니다.If you don't actively manage updates by using Update Management, the default behavior (to automatically apply updates) applies.

참고

머신 재부팅이 시스템이 아니라 사용자에 의해서만 수행될 수 있도록 그룹 정책을 수정할 수 있습니다.You can modify Group Policy so that machine reboots can be performed only by the user, not by the system. 관리형 머신은 업데이트 관리에 사용자의 수동 개입 없이 머신을 재부팅할 권한이 없는 경우 멈출 수 있습니다.Managed machines can get stuck if Update Management doesn't have rights to reboot the machine without manual interaction from the user. 자세한 내용은 자동 업데이트를 위한 그룹 정책 설정 구성을 참조하세요.For more information, see Configure Group Policy settings for Automatic Updates.

LinuxLinux

소프트웨어 요구 사항:Software Requirements:

  • 컴퓨터에는 업데이트 리포지토리에 대 한 액세스 권한 (개인 또는 공용)이 있어야 합니다.The machine requires access to an update repository, either private or public.
  • 업데이트 관리와 상호 작용하는 데 TLS 1.1 또는 TLS 1.2가 필요합니다.TLS 1.1 or TLS 1.2 is required to interact with Update Management.
  • Python 2.x가 설치 되어 있습니다.Python 2.x installed.

참고

Linux 머신의 업데이트 평가는 특정 지역에서만 지원됩니다.Update assessment of Linux machines is only supported in certain regions. Automation 계정 및 Log Analytics 작업 영역 매핑 테이블을 참조하세요.See the Automation account and Log Analytics workspace mappings table.

하이브리드 컴퓨터의 경우 먼저 컴퓨터를 Azure arc 사용 서버에 연결 하 여 linux 용 Log Analytics 에이전트를 설치한 다음 Azure Policy를 사용 하 여 linux Azure arc 컴퓨터 기본 제공 정책에 Log Analytics 에이전트 배포를 할당 하는 것이 좋습니다.For hybrid machines, we recommend installing the Log Analytics agent for Linux by first connecting your machine to Azure Arc enabled servers, and then use Azure Policy to assign the Deploy Log Analytics agent to Linux Azure Arc machines built-in policy. 또는 VM용 Azure Monitor를 사용 하 여 컴퓨터를 모니터링 하려는 경우에는 대신 VM용 Azure Monitor 이니셔티브 사용을 사용 합니다.Alternatively, if you plan to monitor the machines with Azure Monitor for VMs, instead use the Enable Azure Monitor for VMs initiative.

Azure Marketplace에서 사용할 수 있는 주문형 Red Hat Enterprise Linux (RHEL) 이미지에서 만든 Vm은 Azure에 배포 된 RHUI (Red Hat Update Infrastructure) 에 액세스 하도록 등록 됩니다.VMs created from the on-demand Red Hat Enterprise Linux (RHEL) images that are available in Azure Marketplace are registered to access the Red Hat Update Infrastructure (RHUI) that's deployed in Azure. 다른 모든 Linux 배포판은 해당 배포판에서 지원되는 방법을 사용하여 배포판의 온라인 파일 리포지토리에서 업데이트되어야 합니다.Any other Linux distribution must be updated from the distribution's online file repository by using methods supported by the distribution.

사용 권한Permissions

업데이트 배포를 만들고 관리하려면 특정 권한이 필요합니다.To create and manage update deployments, you need specific permissions. 이러한 권한에 대한 자세한 내용은 역할 기반 액세스 - 업데이트 관리를 참조하세요.To learn about these permissions, see Role-based access – Update Management.

업데이트 관리 구성 요소Update Management components

업데이트 관리는 섹션에서 설명하는 리소스를 사용합니다.Update Management uses the resources described in this section. 리소스는 업데이트 관리를 사용하도록 설정하면 Automation 계정에 자동으로 추가됩니다.These resources are automatically added to your Automation account when you enable Update Management.

Hybrid Runbook Worker 그룹Hybrid Runbook Worker groups

업데이트 관리를 사용 하도록 설정 하면 Log Analytics 작업 영역에 직접 연결 된 모든 Windows 컴퓨터가 업데이트 관리를 지 원하는 runbook을 지원 하기 위해 시스템 Hybrid Runbook Worker 자동으로 구성 됩니다.After you enable Update Management, any Windows machine that's directly connected to your Log Analytics workspace is automatically configured as a system Hybrid Runbook Worker to support the runbooks that support Update Management.

업데이트 관리에서 관리되는 각 Windows 머신은 경우 해당 Automation 계정의 Hybrid Worker 그룹 창에 시스템 Hybrid Worker 그룹으로 표시됩니다.Each Windows machine that's managed by Update Management is listed in the Hybrid worker groups pane as a System hybrid worker group for the Automation account. 그룹은 Hostname FQDN_GUID 명명 규칙을 사용합니다.The groups use the Hostname FQDN_GUID naming convention. 계정에서 Runbook을 사용하여 이러한 그룹을 대상으로 지정할 수 없습니다.You can't target these groups with runbooks in your account. 대상으로 지정하려고 시도해도 실패하게 됩니다.If you try, the attempt fails. 그룹은 업데이트 관리를 지원하는 용도로만 사용할 수 있습니다.These groups are intended to support only Update Management. Hybrid Runbook Worker 구성 된 Windows 컴퓨터의 목록을 보는 방법에 대 한 자세한 내용은 Hybrid Runbook worker 보기를 참조 하세요.To learn more about viewing the list of Windows machines configured as a Hybrid Runbook Worker, see view Hybrid Runbook Workers.

업데이트 관리 및 Hybrid Runbook Worker 그룹 구성원 자격에 동일한 계정을 사용 하는 경우 automation runbook을 지원 하기 위해 Automation 계정의 사용자 Hybrid Runbook Worker 그룹에 Windows 컴퓨터를 추가할 수 있습니다.You can add the Windows machine to a user Hybrid Runbook Worker group in your Automation account to support Automation runbooks if you use the same account for Update Management and the Hybrid Runbook Worker group membership. 이 기능은 Hybrid Runbook Worker의 7.2.12024.0 버전에 추가되었습니다.This functionality was added in version 7.2.12024.0 of the Hybrid Runbook Worker.

관리 팩Management packs

Operations Manager 관리 그룹이 Log Analytics 작업 영역에 연결되면 다음 관리 팩이 Operations Manager에 설치됩니다.If your Operations Manager management group is connected to a Log Analytics workspace, the following management packs are installed in Operations Manager. 관리 팩은 직접 연결된 Windows 머신의 업데이트 관리에 대해서도 설치됩니다.These management packs are also installed for Update Management on directly connected Windows machines. 이러한 관리 팩을 구성하거나 관리할 필요가 없습니다.You don't need to configure or manage these management packs.

  • Microsoft System Center Advisor 업데이트 평가 인텔리전스 팩(Microsoft.IntelligencePacks.UpdateAssessment)Microsoft System Center Advisor Update Assessment Intelligence Pack (Microsoft.IntelligencePacks.UpdateAssessment)
  • Microsoft.IntelligencePack.UpdateAssessment.Configuration(Microsoft.IntelligencePack.UpdateAssessment.Configuration)Microsoft.IntelligencePack.UpdateAssessment.Configuration (Microsoft.IntelligencePack.UpdateAssessment.Configuration)
  • 업데이트 배포 MPUpdate Deployment MP

참고

로그 데이터를 수집하도록 관리 그룹에 에이전트가 구성된 Log Analytics 작업 영역에 연결된 Operations Manager 1807 또는 2019 관리 그룹이 있는 경우, Microsoft.IntelligencePacks.AzureAutomation.HybridAgent.Init 규칙에서 IsAutoRegistrationEnabled 매개 변수를 재정의하여 True로 설정해야 합니다.If you have an Operations Manager 1807 or 2019 management group connected to a Log Analytics workspace with agents configured in the management group to collect log data, you need to override the parameter IsAutoRegistrationEnabled and set it to True in the Microsoft.IntelligencePacks.AzureAutomation.HybridAgent.Init rule.

관리 팩의 업데이트에 대한 자세한 내용은 Azure Monitor 로그에 Operations Manager 연결을 참조하세요.For more information about updates to management packs, see Connect Operations Manager to Azure Monitor logs.

참고

업데이트 관리가 Log Analytics 에이전트를 사용하여 머신을 완전히 관리할 수 있으려면 Windows용 Log Analytics 에이전트 또는 Linux용 Log Analytics 에이전트로 업데이트해야 합니다.For Update Management to fully manage machines with the Log Analytics agent, you must update to the Log Analytics agent for Windows or the Log Analytics agent for Linux. 에이전트를 업데이트하는 방법을 알아보려면 Operations Manager 에이전트를 업그레이드하는 방법을 참조하세요.To learn how to update the agent, see How to upgrade an Operations Manager agent. Operations Manager를 사용하는 환경에서는 System Center Operations Manager 2012 R2 UR 14 이상을 실행해야 합니다.In environments that use Operations Manager, you must be running System Center Operations Manager 2012 R2 UR 14 or later.

데이터 수집Data collection

지원되는 원본Supported sources

다음 표에서는 업데이트 관리에서 지원하는 연결된 원본에 대해 설명합니다.The following table describes the connected sources that Update Management supports:

연결된 원본Connected source 지원됨Supported DescriptionDescription
Windows 에이전트Windows agents Yes 업데이트 관리에서 Windows 에이전트로부터 시스템 업데이트에 대한 정보를 수집하고 필요한 업데이트를 설치하기 시작합니다.Update Management collects information about system updates from Windows agents and then starts installation of required updates.
Linux 에이전트Linux agents Yes 업데이트 관리에서 Linux 에이전트로부터 시스템 업데이트에 대한 정보를 수집하고 지원되는 배포판에서 필요한 업데이트를 설치하기 시작합니다.Update Management collects information about system updates from Linux agents and then starts installation of required updates on supported distributions.
Operations Manager 관리 그룹Operations Manager management group Yes 업데이트 관리에서 연결된 관리 그룹의 에이전트로부터 시스템 업데이트에 대한 정보를 수집합니다.Update Management collects information about system updates from agents in a connected management group.

Operations Manager 에이전트에서 Azure Monitor 로그로의 직접 연결은 필요하지 않습니다.A direct connection from the Operations Manager agent to Azure Monitor logs isn't required. 데이터는 관리 그룹에서 Log Analytics 작업 영역으로 전달됩니다.Data is forwarded from the management group to the Log Analytics workspace.

수집 빈도Collection frequency

업데이트 관리는 다음 규칙을 사용하여 관리형 머신에서 데이터를 검사합니다.Update Management scans managed machines for data using the following rules. 관리형 머신의 업데이트된 데이터가 대시보드에 표시되기까지 30분에서 6시간이 걸릴 수 있습니다.It can take between 30 minutes and 6 hours for the dashboard to display updated data from managed machines.

  • 각 Windows 머신 - 업데이트 관리가 각 머신에 대해 하루에 두 번 검사를 수행합니다.Each Windows machine - Update Management does a scan twice per day for each machine.

  • 각 Linux 머신 - 업데이트 관리가 한 시간에 한 번씩 검사를 수행합니다.Each Linux machine - Update Management does a scan every hour.

업데이트 관리를 사용하는 머신에서 Azure Monitor 로그가 평균적으로 사용하는 데이터는 대략적으로 월 25MB입니다.The average data usage by Azure Monitor logs for a machine using Update Management is approximately 25 MB per month. 이 값은 근사값이며, 사용자 환경에 따라 변경될 수 있습니다.This value is only an approximation and is subject to change, depending on your environment. 환경을 모니터링하여 정확한 사용량을 확인하는 것이 좋습니다.We recommend that you monitor your environment to keep track of your exact usage. Azure Monitor 로그 데이터 사용량을 분석 하는 방법에 대 한 자세한 내용은 사용량 및 비용 관리를 참조 하세요.For more information about analyzing Azure Monitor Logs data usage, see Manage usage and cost.

네트워크 계획Network planning

포트, Url 및 업데이트 관리에 필요한 기타 네트워킹 세부 정보에 대 한 자세한 내용은 네트워크 구성 Azure Automation 를 확인 하세요.Check Azure Automation Network Configuration for detailed information on the ports, URLs, and other networking details required for Update Management.

Windows 머신의 경우 Windows 업데이트에 필요한 모든 엔드포인트로도 트래픽을 허용해야 합니다.For Windows machines, you must also allow traffic to any endpoints required by Windows Update. 필요한 엔드포인트의 업데이트된 목록은 HTTP/프록시 관련 문제에서 확인할 수 있습니다.You can find an updated list of required endpoints in Issues related to HTTP/Proxy. 로컬 Windows 업데이트 서버가 있는 경우 WSUS 키에 지정된 서버로도 트래픽을 허용해야 합니다.If you have a local Windows Update server, you must also allow traffic to the server specified in your WSUS key.

Red Hat Linux 머신의 경우 RHUI 콘텐츠 배달 서버의 IP에서 필요한 엔드포인트를 확인하세요.For Red Hat Linux machines, see IPs for the RHUI content delivery servers for required endpoints. 기타 Linux 배포판의 경우 공급자의 설명서를 확인하세요.For other Linux distributions, see your provider documentation.

Hybrid Runbook Worker에 필요한 포트에 대한 자세한 내용은 Hybrid Runbook Worker의 업데이트 관리 주소를 참조하세요.For more information about ports required for the Hybrid Runbook Worker, see Update Management addresses for Hybrid Runbook Worker.

IT 보안 정책이 네트워크의 컴퓨터가 인터넷에 연결 하는 것을 허용 하지 않는 경우 Log Analytics 게이트웨이 를 설정한 다음 게이트웨이를 통해 연결 하 여 Azure Automation 및 Azure Monitor 하도록 컴퓨터를 구성할 수 있습니다.If your IT security policies do not allow machines on the network to connect to the internet, you can set up a Log Analytics gateway and then configure the machine to connect through the gateway to Azure Automation and Azure Monitor.

업데이트 분류Update classifications

다음 표에서는 업데이트 관리가 Windows 업데이트에 대해 지원하는 분류를 정의합니다.The following table defines the classifications that Update Management supports for Windows updates.

분류Classification DescriptionDescription
중요 업데이트Critical updates 보안 관련 중요 버그를 해결하는 특정 문제에 대한 업데이트입니다.An update for a specific problem that addresses a critical, non-security-related bug.
보안 업데이트Security updates 제품이 특정된 보안 관련 문제에 대한 업데이트입니다.An update for a product-specific, security-related issue.
업데이트 롤업Update rollups 간편한 배포를 위해 함께 패키지된 핫픽스의 누적 집합입니다.A cumulative set of hotfixes that are packaged together for easy deployment.
기능 팩Feature packs 제품 릴리스와 따로 배포되는 새로운 제품 기능입니다.New product features that are distributed outside a product release.
서비스 팩Service packs 애플리케이션에 적용되는 핫픽스의 누적 집합입니다.A cumulative set of hotfixes that are applied to an application.
정의 업데이트Definition updates 바이러스 또는 기타 정의 파일에 대한 업데이트입니다.An update to virus or other definition files.
도구Tools 하나 이상의 작업을 완료하는 데 도움이 되는 유틸리티 또는 기능입니다.A utility or feature that helps complete one or more tasks.
업데이트Updates 현재 설치되어 있는 애플리케이션 또는 파일에 대한 업데이트입니다.An update to an application or file that currently is installed.

다음 표에서는 Linux 업데이트에 대해 지원되는 분류를 정의합니다.The next table defines the supported classifications for Linux updates.

분류Classification DescriptionDescription
중요 업데이트 및 보안 업데이트Critical and security updates 특정 문제 또는 제품이 특정된 보안 관련 문제에 대한 업데이트입니다.Updates for a specific problem or a product-specific, security-related issue.
다른 업데이트Other updates 본질적으로 중요하지 않거나 보안 업데이트가 아닌 그 외의 모든 업데이트입니다.All other updates that aren't critical in nature or that aren't security updates.

참고

Linux 컴퓨터에 대 한 업데이트 분류는 지원 되는 Azure 공용 클라우드 지역에서 사용 되는 경우에만 사용할 수 있습니다.Update classification for Linux machines is only available when used in supported Azure public cloud regions. 다음 국가별 클라우드 지역에서 업데이트 관리를 사용 하는 경우 Linux 업데이트 분류는 없습니다.There is no classification of Linux updates when using Update Management in the following national cloud regions:

  • Azure 미국 정부Azure US Government
  • 중국의 21Vianet21Vianet in China

업데이트는 분류 되는 대신 다른 업데이트 범주에 보고 됩니다.Instead of being classified, updates are reported under the Other updates category.

업데이트 관리은 지원 되는 배포판, 특히 릴리스된 OVAL (개방형 취약성 및 평가 언어) 파일에 의해 게시 된 데이터를 사용 합니다.Update Management uses data published by the supported distributions, specifically their released OVAL (Open Vulnerability and Assessment Language) files. 이러한 국가별 클라우드에서 인터넷 액세스가 제한 되므로 업데이트 관리 파일에 액세스할 수 없습니다.Because internet access is restricted from these national clouds, Update Management cannot access the files.

업데이트 관리 Linux의 경우 클라우드의 데이터 보강 때문에 평가 데이터를 표시 하는 동시에 클라우드의 중요 업데이트와 보안 업데이트를 분류 보안기타 에서 구분할 수 있습니다.For Linux, Update Management can distinguish between critical updates and security updates in the cloud under classification Security and Others, while displaying assessment data due to data enrichment in the cloud. 패치의 경우, 업데이트 관리는 컴퓨터에서 사용할 수 있는 분류 데이터에 의존합니다.For patching, Update Management relies on classification data available on the machine. 다른 배포판과 달리, CentOS에서는 RTM 버전에서 이 정보를 사용할 수 없습니다.Unlike other distributions, CentOS does not have this information available in the RTM version. CentOS 머신이 다음 명령에 대해 보안 데이터를 반환하도록 구성된 경우 업데이트 관리에서는 분류에 따라 패치를 수행할 수 있습니다.If you have CentOS machines configured to return security data for the following command, Update Management can patch based on classifications.

sudo yum -q --security check-update

현재는 CentOS에서 네이티브 분류 데이터 가용성을 지원하는 메서드가 없습니다.There's currently no supported method to enable native classification-data availability on CentOS. 현재이 기능을 사용 하도록 설정 했을 수 있는 고객에 게는 제한 된 지원이 제공 됩니다.At this time, limited support is provided to customers who might have enabled this feature on their own.

Red Hat Enterprise 버전 6의 업데이트를 분류하려면 yum-보안 플러그인을 설치해야 합니다.To classify updates on Red Hat Enterprise version 6, you need to install the yum-security plugin. Red Hat Enterprise Linux 7에서는 플러그인이 이미 yum 자체에 포함되어 있으므로 아무것도 설치할 필요가 없습니다.On Red Hat Enterprise Linux 7, the plugin is already a part of yum itself and there's no need to install anything. 자세한 내용은 다음 Red Hat 기술 항목을 참조하세요.For more information, see the following Red Hat knowledge article.

Linux 컴퓨터에서 실행 되도록 업데이트를 예약 하는 경우 예를 들어 보안 분류와 일치 하는 업데이트만 설치 하도록 구성 된 경우, 설치 된 업데이트는이 분류와 일치 하는 업데이트의 하위 집합일 수 있습니다.When you schedule an update to run on a Linux machine, that for example is configured to install only updates matching the Security classification, the updates installed might be different from, or are a subset of the updates matching this classification. Linux 컴퓨터에 대해 보류 중인 OS 업데이트의 평가를 수행 하는 경우 업데이트 관리에서 분류를 위해 Linux 배포판 공급 업체에서 제공 하는 Open 취약성 및 평가 언어 (OVAL) 파일이 사용 됩니다.When an assessment of OS updates pending for your Linux machine is performed, Open Vulnerability and Assessment Language (OVAL) files provided by the Linux distro vendor is used by Update Management for classification.

분류 는 보안 문제나 취약성을 해결 하는 업데이트를 포함 하는 OVAL 파일 을 기반으로 하는 Linux 업데이트에 대해 수행 됩니다.Categorization is done for Linux updates as Security or Others based on the OVAL files, which includes updates addressing security issues or vulnerabilities. 하지만 업데이트 일정을 실행 하면 해당 패키지 관리자 (예: YUM, APT 또는 ZYPPER)를 사용 하 여 Linux 컴퓨터에서 실행 됩니다.But when the update schedule is run, it executes on the Linux machine using the appropriate package manager like YUM, APT or ZYPPER to install them. Linux 배포판 패키지 관리자는 업데이트를 분류 하는 다른 메커니즘을 사용할 수 있습니다 .이 경우 결과는 OVAL 업데이트 관리 파일에서 가져온 것과 다를 수 있습니다.The package manager for the Linux distro may have a different mechanism to classify updates, where the results may differ from the ones obtained from OVAL files by Update Management. 컴퓨터를 수동으로 확인 하 고 패키지 관리자의 보안 관련 업데이트를 이해 하려면 Linux 업데이트 배포 문제 해결을 참조 하세요.To manually check the machine and understand which updates are security relevant by your package manager, see Troubleshoot Linux update deployment.

Configuration Manager와 업데이트 관리 통합Integrate Update Management with Configuration Manager

PC, 서버 및 모바일 디바이스를 관리하기 위해 Microsoft Endpoint Configuration Manager에 투자한 고객은 Configuration Manager의 이점과 성숙도에 의존하여 소프트웨어 업데이트를 관리합니다.Customers who have invested in Microsoft Endpoint Configuration Manager for managing PCs, servers, and mobile devices also rely on the strength and maturity of Configuration Manager to help manage software updates. Configuration Manager에 업데이트 관리를 통합하는 방법을 알아보려면 Windows Endpoint Configuration Manager와 업데이트 관리 통합을 참조하세요.To learn how to integrate Update Management with Configuration Manager, see Integrate Update Management with Windows Endpoint Configuration Manager.

Windows의 타사 업데이트Third-party updates on Windows

업데이트 관리는 로컬에 구성된 업데이트 리포지토리를 사용하여 지원되는 Windows 시스템(WSUS 또는 Windows 업데이트)을 업데이트합니다.Update Management relies on the locally configured update repository to update supported Windows systems, either WSUS or Windows Update. System Center Updates Publisher와 같은 도구를 사용하면 WSUS를 통해 사용자 지정 업데이트를 가져오고 게시할 수 있습니다.Tools such as System Center Updates Publisher allow you to import and publish custom updates with WSUS. 이 시나리오에서는 업데이트 관리에서 타사 소프트웨어를 통해 Configuration Manager를 업데이트 리포지토리로 사용하는 머신을 업데이트할 수 있습니다.This scenario allows Update Management to update machines that use Configuration Manager as their update repository with third-party software. 업데이트 게시자 구성 방법을 알아보려면 업데이트 게시자 설치를 참조하세요.To learn how to configure Updates Publisher, see Install Updates Publisher.

업데이트 관리 사용Enable Update Management

다음은 업데이트 관리를 사용하도록 설정하고 관리할 머신을 선택하는 방법입니다.Here are the ways that you can enable Update Management and select machines to be managed:

  • Azure 리소스 관리자 템플릿을 사용 하 여 신규 또는 기존 Automation 계정에 업데이트 관리를 배포 하 고 구독의 Log Analytics 작업 영역을 Azure Monitor 합니다.Using an Azure Resource Manager template to deploy Update Management to a new or existing Automation account and Azure Monitor Log Analytics workspace in your subscription. 템플릿은 관리해야 하는 머신의 범위를 구성하지는 않습니다. 이 작업은 템플릿을 사용한 후 별도의 단계로 수행됩니다.It does not configure the scope of machines that should be managed, this is performed as a separate step after using the template.

  • Arc 사용 서버를 포함 하 여 하나 이상의 Azure 및 비 Azure 컴퓨터에 대 한 Automation 계정 에서.From your Automation account for one or more Azure and non-Azure machines, including Arc enabled servers.

  • 사용 -AutomationSolution runbook 메서드를 사용 합니다.Using the Enable-AutomationSolution runbook method.

  • Azure Portal의 가상 컴퓨터 페이지에서 선택한 Azure VM 의 경우For a selected Azure VM from the Virtual machines page in the Azure portal. 이 시나리오는 Linux VM과 Windows VM에서 지원됩니다.This scenario is available for Linux and Windows VMs.

  • 여러 Azure vm 의 경우 Azure Portal의 가상 컴퓨터 페이지에서 vm을 선택 합니다.For multiple Azure VMs by selecting them from the Virtual machines page in the Azure portal.

참고

업데이트 관리를 사용하려면 Log Analytics 작업 영역을 Automation 계정에 연결해야 합니다.Update Management requires linking a Log Analytics workspace to your Automation account. 지원되는 지역 목록은 Azure 작업 영역 매핑을 참조하세요.For a definitive list of supported regions, see Azure Workspace mappings. 지역 매핑은 Automation 계정과 별도의 지역에 있는 VM을 관리하는 기능에 영향을 주지 않습니다.The region mappings don't affect the ability to manage VMs in a separate region from your Automation account.

다음 단계Next steps