Overzicht van Updatebeheer
U kunt Updatebeheer in Azure Automation gebruiken voor het beheren van besturingssysteemupdates voor uw virtuele Windows- en Linux-machines in Azure, fysieke of virtuele machines in on-premises omgevingen en in andere cloudomgevingen. U kunt snel de status van beschikbare updates beoordelen en het installatieproces van vereiste updates beheren voor uw computers die rapporteren aan Updatebeheer.
Als serviceprovider hebt u mogelijk meerdere tenants van klanten onboarding voor Azure Lighthouse. Updatebeheer kunnen worden gebruikt voor het evalueren en plannen van update-implementaties op computers in meerdere abonnementen in dezelfde Azure Active Directory-tenant (Azure AD) of in tenants met behulp van Azure Lighthouse.
Microsoft biedt andere mogelijkheden om u te helpen bij het beheren van updates voor uw Azure-VM's of virtuele-machineschaalsets van Azure die u moet overwegen als onderdeel van uw algemene strategie voor updatebeheer.
Als u geïnteresseerd bent in het automatisch beoordelen en bijwerken van uw virtuele Azure-machines om de beveiligingsvereisten te handhaven met essentiële en beveiligingsupdates die elke maand worden uitgebracht, bekijkt u Automatische VM-gastpatches (preview). Dit is een alternatieve oplossing voor updatebeheer voor uw Azure-VM's om deze automatisch bij te werken tijdens daluren, inclusief VM's binnen een beschikbaarheidsset, in vergelijking met het beheren van update-implementaties naar deze VM's van Updatebeheer in Azure Automation.
Als u virtuele-machineschaalsets van Azure beheert, bekijkt u hoe u automatische upgrades voor besturingssysteemafbeeldingen kunt uitvoeren om de besturingssysteemschijf veilig en automatisch bij te werken voor alle exemplaren in de schaalset.
Voordat u Updatebeheer machines implementeert en inschakelen voor beheer, moet u de informatie in de volgende secties begrijpen.
Over Updatebeheer
In het volgende diagram ziet u hoe Updatebeheer beveiligingsupdates evalueert en toe past op alle verbonden Windows Server- en Linux-servers.
Updatebeheer kan worden geïntegreerd met Azure Monitor-logboeken om update-evaluaties op te slaan en implementatieresultaten bij te werken als logboekgegevens van toegewezen Azure- en niet-Azure-machines. Voor het verzamelen van deze gegevens worden het Automation-account en de Log Analytics-werkruimte aan elkaar gekoppeld. De Log Analytics-agent voor Windows en Linux is vereist op de computer en geconfigureerd om aan deze werkruimte te rapporteren.
Updatebeheer ondersteunt het verzamelen van informatie over systeemupdates van agents in System Center Operations Manager beheergroep die is verbonden met de werkruimte. Het registreren van een computer Updatebeheer in meer dan één Log Analytics-werkruimte (ook wel multihoming genoemd) wordt niet ondersteund.
De volgende tabel bevat een overzicht van de ondersteunde verbonden bronnen met Updatebeheer.
| Verbonden bron | Ondersteund | Description |
|---|---|---|
| Windows | Yes | Updatebeheer verzamelt informatie over systeemupdates van Windows machines met de Log Analytics-agent en de installatie van vereiste updates. Machines moeten rapporteren aan Microsoft Update of Windows Server Update Services (WSUS). |
| Linux | Yes | Updatebeheer verzamelt informatie over systeemupdates van Linux-machines met de Log Analytics-agent en de installatie van vereiste updates op ondersteunde distributies. Machines moeten rapporteren aan een lokale of externe opslagplaats. |
| Beheergroep Operations Manager | Yes | Updatebeheer verzamelt informatie over software-updates van agents in een verbonden beheergroep. Er is geen directe verbinding Operations Manager de Azure Monitor met de logboeken. Logboekgegevens worden vanuit de beheergroep doorgestuurd naar de Log Analytics-werkruimte. |
De machines die zijn toegewezen Updatebeheer rapporteren hoe up-to-date ze zijn op basis van de bron waarvoor ze zijn geconfigureerd om te synchroniseren. Windows machines moeten worden geconfigureerd om te rapporteren aan Windows Server Update Services of Microsoft Update,en Linux-machines moeten worden geconfigureerd om te rapporteren aan een lokale of openbare opslagplaats. U kunt ook Updatebeheer gebruiken met Microsoft Endpoint Configuration Manager en zie Integrate Updatebeheer with Windows Endpoint Configuration Manager (Integratievan Updatebeheer met Windows.
Als de Windows Update Agent (WUA) op de Windows-machine is geconfigureerd om te rapporteren aan WSUS, afhankelijk van wanneer WSUS voor het laatst is gesynchroniseerd met Microsoft Update, kunnen de resultaten afwijken van wat Microsoft Update laat zien. Dit gedrag is hetzelfde voor Linux-machines die zijn geconfigureerd om te rapporteren aan een lokale repo in plaats van een openbare repo. Op een Windows wordt de nalevingsscan standaard elke 12 uur uitgevoerd. Voor een Linux-computer wordt de nalevingsscan standaard elk uur uitgevoerd. Als de Log Analytics-agent opnieuw wordt gestart, wordt binnen vijftien minuten een nalevingsscan gestart. Wanneer een computer een scan op update-naleving heeft voltooid, wordt de informatie bulksgewijs doorgestuurd naar Azure Monitor logboeken.
U kunt software-updates implementeren en installeren op computers die de updates nodig hebben door een geplande implementatie te maken. Updates die zijn geclassificeerd als Optioneel, worden niet opgenomen in het implementatiebereik voor Windows machines. Alleen vereiste updates zijn opgenomen in het implementatiebereik.
De geplande implementatie definieert welke doelmachines de toepasselijke updates ontvangen. Dit gebeurt door expliciet bepaalde machines op te geven of door een computergroep te selecteren die is gebaseerd op zoekopdrachten in logboeken van een specifieke set machines (of op basis van een Azure-query die dynamisch Azure-VM's selecteert op basis van opgegeven criteria). Deze groepen verschillen van de bereikconfiguratie, die wordt gebruikt om het doel te bepalen van computers die de configuratie ontvangen om deze in Updatebeheer. Dit voorkomt dat ze update-naleving uitvoeren en rapporteren en goedgekeurde vereiste updates installeren.
Tijdens het definiëren van een implementatie geeft u ook een planning op voor het goedkeuren en instellen van een periode waarin updates kunnen worden geïnstalleerd. Deze periode wordt het onderhoudsvenster genoemd. Een periode van 20 minuten van het onderhoudsvenster is gereserveerd voor opnieuw opstarten, ervan uitgaande dat er een nodig is en u de juiste optie voor opnieuw opstarten hebt geselecteerd. Als het patchen langer duurt dan verwacht en het onderhoudsvenster minder dan 20 minuten duurt, wordt er niet opnieuw opgestart.
Nadat een updatepakket is gepland voor implementatie, duurt het 2 tot 3 uur voordat de update voor Linux-machines wordt weer geven voor evaluatie. Voor Windows machines duurt het 12 tot 15 uur voordat de update wordt weer geven voor evaluatie nadat deze is vrijgegeven. Vóór en na de installatie van de update wordt een scan uitgevoerd op update-naleving en worden de resultaten van de logboekgegevens doorgestuurd naar de werkruimte.
Updates worden geïnstalleerd door runbooks in Azure Automation. U kunt deze runbooks niet weergeven en ze vereisen geen configuratie. Wanneer een update-implementatie wordt gemaakt, wordt er een planning gemaakt die een masterupdate-runbook start op het opgegeven tijdstip voor de opgenomen machines. Het hoofdrunbook start een onderliggend runbook op elke agent die de installatie van de vereiste updates start met de Windows Update-agent op Windows of de toepasselijke opdracht op ondersteunde Linux-distributie.
Op de datum en tijd die zijn opgegeven in de update-implementatie, voeren de doelmachines de implementatie parallel uit. Vóór de installatie wordt een scan uitgevoerd om te controleren of de updates nog steeds vereist zijn. Voor WSUS-clientmachines mislukt de update-implementatie als de updates niet zijn goedgekeurd in WSUS.
Limieten
Zie Servicelimieten voor Updatebeheer voor Azure Automation limieten.
Machtigingen
Als u update-implementaties wilt maken en beheren, hebt u specifieke machtigingen nodig. Zie Op rollen gebaseerde toegang - Updatebeheer voor meer informatie over Updatebeheer.
Updatebeheer onderdelen
Updatebeheer maakt gebruik van de resources die in deze sectie worden beschreven. Deze resources worden automatisch toegevoegd aan uw Automation-account wanneer u de Updatebeheer.
Hybrid Runbook Worker groepen
Nadat u Updatebeheer hebt ingeschakeld, wordt elke Windows-machine die rechtstreeks is verbonden met uw Log Analytics-werkruimte, automatisch geconfigureerd als een systeem-Hybrid Runbook Worker ter ondersteuning van de runbooks die ondersteuning bieden voor Updatebeheer.
Elke Windows machine die wordt beheerd door Updatebeheer wordt in het deelvenster Hybrid Worker-groepen vermeld als een Hybrid Worker-systeemgroep voor het Automation-account. De groepen gebruiken de Hostname FQDN_GUID naamconventie. U kunt deze groepen niet richten op runbooks in uw account. Als u het probeert, mislukt de poging. Deze groepen zijn alleen bedoeld ter ondersteuning van Updatebeheer. Zie Hybrid Runbook Workersweergeven Windows meer informatie over het weergeven van de Windows machines die zijn geconfigureerd als een Hybrid Runbook Worker.
U kunt de Windows-machine toevoegen aan een Hybrid Runbook Worker-gebruikersgroep in uw Automation-account om Automation-runbooks te ondersteunen als u hetzelfde account gebruikt voor Updatebeheer en het Hybrid Runbook Worker-groepslidmaatschap. Deze functionaliteit is toegevoegd in versie 7.2.12024.0 van de Hybrid Runbook Worker.
Externe afhankelijkheden
Azure Automation Updatebeheer is afhankelijk van de volgende externe afhankelijkheden voor het leveren van software-updates.
- Windows Server Update Services (WSUS) of Microsoft Update is nodig voor software-updatepakketten en voor de toepassingsscan van software-updates op Windows-computers.
- De Windows Update Agent -client (WUA) is vereist op Windows-computers, zodat ze verbinding kunnen maken met de WSUS-server of Microsoft Update.
- Een lokale of externe opslagplaats voor het ophalen en installeren van updates van het besturingssysteem op Linux-computers.
Management packs
De volgende management packs worden geïnstalleerd op de machines die worden beheerd door Updatebeheer. Als uw Operations Manager is verbonden met een Log Analytics-werkruimte,worden de management packs geïnstalleerd in Operations Manager beheergroep. U hoeft deze management packs niet te configureren of te beheren.
- Microsoft System Center Advisor Update Assessment Intelligence Pack (Microsoft.IntelligencePacks.UpdateAssessment)
- Microsoft.IntelligencePack.UpdateAssessment.Configuration (Microsoft.IntelligencePack.UpdateAssessment.Configuration)
- Implementatie MP bijwerken
Notitie
Als u een Operations Manager 1807- of 2019-beheergroep hebt die is verbonden met een Log Analytics-werkruimte met agents die zijn geconfigureerd in de beheergroep voor het verzamelen van logboekgegevens, moet u de parameter overschrijven en instellen op in de regel IsAutoRegistrationEnabled True Microsoft.IntelligencePacks.AzureAutomation.HybridAgent.Init.
Zie voor meer informatie over updates van management packs Verbinding maken Operations Manager Azure Monitor logboeken.
Notitie
Als Updatebeheer machines volledig wilt beheren met de Log Analytics-agent, moet u bijwerken naar de Log Analytics-agent voor Windows of de Log Analytics-agent voor Linux. Zie How to upgrade an Operations Manager agent (Een agent bijwerken) voor meer informatie over het bijwerken Operations Manager agent. In omgevingen die gebruikmaken Operations Manager, moet u System Center Operations Manager 2012 R2 UR 14 of hoger uitvoeren.
Frequentie van gegevensverzameling
Updatebeheer worden beheerde machines gescand op gegevens met behulp van de volgende regels. Het kan 30 minuten tot 6 uur duren voordat op het dashboard bijgewerkte gegevens van beheerde machines worden weergegeven.
Elke Windows machine: Updatebeheer scant twee keer per dag voor elke machine.
Elke Linux-machine- Updatebeheer scant elk uur.
Het gemiddelde gegevensgebruik door de Azure Monitor voor een computer met Updatebeheer is ongeveer 25 MB per maand. Deze waarde is slechts een benadering en kan worden gewijzigd, afhankelijk van uw omgeving. U wordt aangeraden uw omgeving te bewaken om uw exacte gebruik bij te houden. Zie Gebruik en kosten beheren voor meer Azure Monitor gegevensgebruik analyseren.
Updateclassificaties
De volgende tabel definieert de classificaties die Updatebeheer voor Windows updates.
| Classificatie | Beschrijving |
|---|---|
| Essentiële updates | Een update voor een specifiek probleem dat een kritieke, niet-beveiligingsgerelateerde fout oplost. |
| Beveiligingsupdates | Een update voor een product-specifiek beveiligingsprobleem. |
| Updatepakketten | Een cumulatieve set hotfixes die samen worden verpakt voor eenvoudige implementatie. |
| Functiepakketten | Nieuwe productfuncties die buiten een productversie worden gedistribueerd. |
| Servicepacks | Een cumulatieve set hotfixes die worden toegepast op een toepassing. |
| Definitie-updates | Een update van virus- of andere definitiebestanden. |
| Hulpprogramma's | Een hulpprogramma of functie waarmee u een of meer taken kunt uitvoeren. |
| Updates | Een update voor een toepassing of bestand dat momenteel is geïnstalleerd. |
De volgende tabel definieert de ondersteunde classificaties voor Linux-updates.
| Classificatie | Beschrijving |
|---|---|
| Essentiële en beveiligingsupdates | Updates voor een specifiek probleem of een product-specifiek beveiligingsprobleem. |
| Andere Updates | Alle andere updates die niet essentieel zijn van aard of die geen beveiligingsupdates zijn. |
Notitie
Updateclassificatie voor Linux-machines is alleen beschikbaar wanneer deze wordt gebruikt in ondersteunde azure-regio's voor openbare cloud. Er is geen classificatie van Linux-updates wanneer u Updatebeheer in de volgende nationale cloudregio's:
- Azure US Government
- 21Vianet in China
In plaats van te worden geclassificeerd, worden updates gerapporteerd onder de categorie Overige updates.
Updatebeheer gebruikt gegevens die zijn gepubliceerd door de ondersteunde distributies, met name hun gepubliceerde OVN-bestanden (Open Vulnerability and Assessment Language). Omdat internettoegang wordt beperkt tot deze nationale clouds, hebben Updatebeheer geen toegang tot de bestanden.
Voor Linux kan Updatebeheer onderscheid maken tussen essentiële updates en beveiligingsupdates in de cloud onder classificatie Beveiliging en Overige, terwijl evaluatiegegevens worden weergegeven als gevolg van gegevensverrijking in de cloud. Voor patching zijn Updatebeheer afhankelijk van de classificatiegegevens die beschikbaar zijn op de computer. In tegenstelling tot andere distributies heeft CentOS deze informatie niet beschikbaar in de RTM-versie. Als u CentOS-machines hebt geconfigureerd om beveiligingsgegevens te retourneren voor de volgende opdracht, kunt Updatebeheer patch uitvoeren op basis van classificaties.
sudo yum -q --security check-update
Er is momenteel geen ondersteunde methode voor het inschakelen van beschikbaarheid van native classificatiegegevens in CentOS. Op dit moment wordt er beperkte ondersteuning geboden aan klanten die deze functie mogelijk zelf hebben ingeschakeld.
Als u updates wilt classificeren in Red Hat Enterprise versie 6, moet u de yum-security-invoegvoeging installeren. Op Red Hat Enterprise Linux 7 maakt de invoeg-app al deel uit van yum zelf en hoeft u niets te installeren. Zie het volgende Red Hat-kennisartikel voor meer informatie.
Wanneer u een update gepland om te worden uitgevoerd op een Linux-computer, die bijvoorbeeld is geconfigureerd om alleen updates te installeren die overeenkomen met de beveiligingsclassificatie, kunnen de geïnstalleerde updates verschillen van of een subset zijn van de updates die overeenkomen met deze classificatie. Wanneer er een evaluatie wordt uitgevoerd van updates van het besturingssysteem die in behandeling zijn voor uw Linux-computer, worden DEP-bestanden (Open Vulnerability and Assessment Language) van de Leverancier van Linux-distributie door Updatebeheer gebruikt voor classificatie.
Categorisatie wordt uitgevoerd voor Linux-updates als Beveiliging of Overige op basis van de OVN-bestanden, waaronder updates voor beveiligingsproblemen of beveiligingsproblemen. Maar wanneer het updateschema wordt uitgevoerd, wordt het uitgevoerd op de Linux-machine met behulp van het juiste pakketbeheerprogramma, zoals YUM, APT of ZYPPER, om ze te installeren. Het pakketbeheer voor de Linux-distributie kan een ander mechanisme hebben om updates te classificeren, waarbij de resultaten kunnen verschillen van de resultaten die zijn verkregen van OVF-bestanden door Updatebeheer. Zie Problemen met de implementatie van Linux-updates oplossen als u de machine handmatig wilt controleren en wilt weten welke updates relevant zijn voor de beveiliging van uw pakketbeheerder.
Notitie
Tijdens de update-evaluatie werkt de classificatie van ontbrekende updates als Beveiliging en Kritiek mogelijk niet goed voor Linux-distributies die worden ondersteund door Updatebeheer. Dit is het resultaat van een probleem dat is geïdentificeerd met het naamgevingsschema van de OVN-bestanden, dat de Updatebeheer gebruikt voor het classificeren van updates tijdens de evaluatie. Dit voorkomt dat Updatebeheer classificaties juist overeenkomen op basis van filterregels tijdens de evaluatie van ontbrekende updates. Dit heeft geen invloed op de implementatie van updates. Omdat er een andere logica wordt gebruikt in evaluaties van beveiligingsupdates, kunnen de resultaten verschillen van de beveiligingsupdates die tijdens de implementatie worden toegepast. Als u classificatie hebt ingesteld op Kritiek en Beveiliging, werkt de update-implementatie zoals verwacht. Alleen de classificatie van updates tijdens een evaluatie wordt beïnvloed. Updatebeheer voor Windows Server-machines wordt niet beïnvloed; updateclassificatie en implementaties zijn ongewijzigd.
Integratie Updatebeheer met Configuration Manager
Klanten die hebben geïnvesteerd in Microsoft Endpoint Configuration Manager voor het beheren van pc's, servers en mobiele apparaten, vertrouwen ook op de kracht en volwassenheid van Configuration Manager om software-updates te beheren. Zie Integrate Updatebeheer Configuration Manager with Windows Endpoint Configuration Manager (Integratie van Updatebeheer met Windows endpoint Configuration Manager)voor meer informatie over het integreren van Updatebeheer Configuration Manager.
Updates van derden op Windows
Updatebeheer is afhankelijk van de lokaal geconfigureerde updateopslagplaats om ondersteunde Windows-systemen bij te werken, ofwel WSUS of Windows Update. Met hulpprogramma'System Center updates Publisher u aangepaste updates importeren en publiceren met WSUS. Met dit scenario Updatebeheer machines bijwerken die gebruikmaken van Configuration Manager hun updateopslagplaats met software van derden. Zie Updates installeren Publisher voor meer informatie over het configureren Publisher.
Volgende stappen
Voordat u een Updatebeheer inschakelen en gebruiken, bekijkt u Plan your Updatebeheer deployment(Uw Updatebeheer plannen).
Bekijk veelgestelde vragen over Updatebeheer in de Azure Automation veelgestelde vragen.