Updatebeheer oplossing in azureUpdate Management solution in Azure

U kunt de Updatebeheer-oplossing in Azure Automation gebruiken om updates van besturings systemen te beheren voor uw Windows-en Linux-computers in azure, in on-premises omgevingen en in andere cloud providers.You can use the Update Management solution in Azure Automation to manage operating system updates for your Windows and Linux computers in Azure, in on-premises environments, and in other cloud providers. U kunt snel de status van de beschikbare updates op alle agentcomputers beoordelen en de procedure voor het installeren van vereiste updates voor servers beheren.You can quickly assess the status of available updates on all agent computers and manage the process of installing required updates for servers.

U kunt Updatebeheer voor virtuele machines (Vm's) rechtstreeks vanuit uw Azure Automation-account inschakelen.You can enable Update Management for virtual machines (VMs) directly from your Azure Automation account. Zie updates voor meerdere virtuele machines beherenvoor meer informatie.To learn how, see Manage updates for multiple virtual machines. U kunt Updatebeheer ook inschakelen voor een VM op de pagina virtuele machine in de Azure Portal.You can also enable Update Management for a VM from the virtual machine page in the Azure portal. Dit scenario is beschikbaar voor Linux -en Windows -vm's.This scenario is available for Linux and Windows VMs.

Notitie

Voor de Updatebeheer oplossing moet u een Log Analytics-werk ruimte koppelen aan uw Automation-account.The Update Management solution requires linking a Log Analytics workspace to your Automation account. Zie Azure Workspace-toewijzingenvoor een definitieve lijst met ondersteunde regio's.For a definitive list of supported regions, see Azure Workspace mappings. De regio toewijzingen hebben geen invloed op de mogelijkheid om Vm's te beheren in een andere regio dan uw Automation-account.The region mappings don't affect the ability to manage VMs in a separate region from your Automation account.

Notitie

Dit artikel is onlangs bijgewerkt voor het gebruik van de term Azure Monitor Logboeken in plaats van Log Analytics.This article was recently updated to use the term Azure Monitor logs instead of Log Analytics. Logboek gegevens worden nog steeds opgeslagen in een Log Analytics-werk ruimte en worden nog steeds verzameld en geanalyseerd door dezelfde Log Analytics-service.Log data is still stored in a Log Analytics workspace and is still collected and analyzed by the same Log Analytics service. De terminologie wordt bijgewerkt zodat deze beter overeenkomt met de rol van de Logboeken in azure monitor.We are updating the terminology to better reflect the role of logs in Azure Monitor. Zie Azure monitor terminologie wijzigen voor meer informatie.See Azure Monitor terminology changes for details.

OplossingenoverzichtSolution overview

Computers die worden beheerd door Updatebeheer gebruiken de volgende configuraties voor het uitvoeren van analyses en het bijwerken van implementaties:Computers that are managed by Update Management use the following configurations to perform assessment and to update deployments:

  • Microsoft Monitoring Agent (MMA) voor Windows of LinuxMicrosoft Monitoring Agent (MMA) for Windows or Linux
  • PowerShell Desired State Configuration (DSC) voor LinuxPowerShell Desired State Configuration (DSC) for Linux
  • Automation Hybrid Runbook WorkerAutomation Hybrid Runbook Worker
  • Microsoft Update of Windows Server Update Services (WSUS) voor Windows-computersMicrosoft Update or Windows Server Update Services (WSUS) for Windows computers

In het volgende diagram ziet u hoe de oplossing beveiligings updates evalueert en toepast op alle verbonden Windows Server-en Linux-computers in een werk ruimte:The following diagram illustrates how the solution assesses and applies security updates to all connected Windows Server and Linux computers in a workspace:

Proces stroom Updatebeheer

Updatebeheer kan worden gebruikt om machines in meerdere abonnementen in dezelfde Tenant op te doen.Update Management can be used to natively onboard machines in multiple subscriptions in the same tenant.

Nadat een pakket is vrijgegeven, duurt het 2 tot 3 uur voordat de patch wordt weer gegeven voor Linux-machines voor evaluatie.After a package is released, it takes 2 to 3 hours for the patch to show up for Linux machines for assessment. Voor Windows-computers duurt het 12 tot 15 uur voordat de patch wordt weer gegeven voor evaluatie nadat deze is uitgebracht.For Windows machines, it takes 12 to 15 hours for the patch to show up for assessment after it's been released.

Nadat een computer een scan voor de compatibiliteit van updates heeft voltooid, stuurt de agent de gegevens bulksgewijs door naar Azure Monitor Logboeken.After a computer completes a scan for update compliance, the agent forwards the information in bulk to Azure Monitor logs. Op een Windows-computer wordt de compatibiliteits scan standaard elke 12 uur uitgevoerd.On a Windows computer, the compliance scan is run every 12 hours by default.

Naast het scan schema wordt de controle op update vereisten binnen 15 minuten gestart nadat de MMA opnieuw is opgestart, vóór de installatie van de update en na de installatie van de update.In addition to the scan schedule, the scan for update compliance is initiated within 15 minutes of the MMA being restarted, before update installation, and after update installation.

Voor een Linux-computer wordt standaard elk uur de compatibiliteits scan uitgevoerd.For a Linux computer, the compliance scan is performed every hour by default. Als de MMA-agent opnieuw wordt gestart, wordt een nalevings scan binnen 15 minuten gestart.If the MMA agent is restarted, a compliance scan is initiated within 15 minutes.

De oplossing rapporteert hoe up-to-date de computer is gebaseerd op de bron die u hebt geconfigureerd om te synchroniseren met.The solution reports how up-to-date the computer is based on what source you're configured to sync with. Als de Windows-computer is geconfigureerd om te rapporteren aan WSUS, afhankelijk van de laatste synchronisatie van WSUS met Microsoft Update, kunnen de resultaten afwijken van wat Microsoft Update laat zien.If the Windows computer is configured to report to WSUS, depending on when WSUS last synced with Microsoft Update, the results might differ from what Microsoft Update shows. Dit gedrag is hetzelfde voor Linux-computers die zijn geconfigureerd om te rapporteren aan een lokale opslag plaats in plaats van naar een open bare opslag plaats.This behavior is the same for Linux computers that are configured to report to a local repo instead of to a public repo.

Notitie

Updatebeheer moet bepaalde Url's en poorten zijn ingeschakeld om de service goed te kunnen melden.To properly report to the service, Update Management requires certain URLs and ports to be enabled. Zie netwerk planning voor Hybrid Workers voormeer informatie over deze vereisten.To learn more about these requirements, see Network planning for Hybrid Workers.

U kunt software-updates implementeren en installeren op computers die updates vereisen door daarvoor een planning in te stellen.You can deploy and install software updates on computers that require the updates by creating a scheduled deployment. Updates die zijn geclassificeerd als optioneel , worden niet opgenomen in het implementatie bereik voor Windows-computers.Updates classified as Optional aren't included in the deployment scope for Windows computers. Alleen vereiste updates zijn opgenomen in het implementatie bereik.Only required updates are included in the deployment scope.

De geplande implementatie definieert welke doel computers de toepasselijke updates ontvangen.The scheduled deployment defines which target computers receive the applicable updates. Dit doet u door bepaalde computers expliciet op te geven of door een computer groep te selecteren die is gebaseerd op logboek zoekopdrachten van een specifieke set computers (of op een Azure-query waarmee dynamisch virtuele Azure-machines worden geselecteerd op basis van opgegeven criteria).It does so either by explicitly specifying certain computers or by selecting a computer group that's based on log searches of a specific set of computers (or on an Azure query that dynamically selects Azure VMs based on specified criteria). Deze groepen wijken af van de Scope configuratie, die alleen wordt gebruikt om te bepalen op welke machines de Management Packs worden opgehaald die de oplossing inschakelen.These groups differ from scope configuration, which is used only to determine which machines get the management packs that enable the solution.

U kunt ook een schema opgeven dat u wilt goed keuren en een tijds periode instellen waarin updates kunnen worden geïnstalleerd.You also specify a schedule to approve and set a time period during which updates can be installed. Deze periode wordt het onderhouds venster genoemd.This period is called the maintenance window. Een periode van 20 minuten van het onderhouds venster is gereserveerd voor opnieuw opstarten, ervan uitgaande dat er een is vereist en u de juiste opstart optie hebt geselecteerd.A 20-minute span of the maintenance window is reserved for reboots, assuming one is needed and you selected the appropriate reboot option. Als de patch langer duurt dan verwacht en er minder dan 20 minuten in het onderhouds venster wordt weer gegeven, wordt de computer niet opnieuw opgestart.If patching takes longer than expected and there's less than 20 minutes in the maintenance window, a reboot won't occur.

Updates worden geïnstalleerd door runbooks in Azure Automation.Updates are installed by runbooks in Azure Automation. U kunt deze runbooks niet weer geven en er is geen configuratie vereist.You can't view these runbooks, and they don’t require any configuration. Wanneer een update-implementatie wordt gemaakt, wordt er een planning gemaakt waarmee een Master update-runbook op de opgegeven tijd wordt gestart voor de inbegrepen computers.When an update deployment is created, it creates a schedule that starts a master update runbook at the specified time for the included computers. Het hoofd-runbook start een onderliggend runbook op elke agent om de vereiste updates te installeren.The master runbook starts a child runbook on each agent to install the required updates.

Op de datum en tijd die zijn opgegeven in de update-implementatie, wordt de implementatie parallel uitgevoerd op de doel computers.At the date and time specified in the update deployment, the target computers execute the deployment in parallel. Voorafgaand aan de installatie wordt een scan uitgevoerd om te controleren of de updates nog steeds vereist zijn.Before installation, a scan is run to verify that the updates are still required. Voor WSUS-client computers, als de updates niet zijn goedgekeurd in WSUS, mislukt de update-implementatie.For WSUS client computers, if the updates aren't approved in WSUS, update deployment fails.

Het is niet mogelijk om een computer te registreren voor Updatebeheer in meer dan één Log Analytics-werk ruimte (multihoming).Having a machine registered for Update Management in more than one Log Analytics workspace (multihoming) isn't supported.

ClientsClients

Ondersteunde client-typenSupported client types

De volgende tabel geeft een lijst van de ondersteunde besturings systemen voor update-evaluaties.The following table lists the supported operating systems for update assessments. Voor patching is een Hybrid Runbook Worker vereist.Patching requires a Hybrid Runbook Worker. Zie de installatie handleidingen voor het installeren van een Windows-Hybrid Runbook worker en een Linux- Hybrid Runbook workervoor meer informatie over Hybrid Runbook worker vereisten.For information on Hybrid Runbook Worker requirements, see the installation guides for installing a Windows Hybrid Runbook Worker and a Linux Hybrid Runbook Worker.

BesturingssysteemOperating system OpmerkingenNotes
Windows Server 2019 (Data Center/Data Center core/Standard)Windows Server 2019 (Datacenter/Datacenter Core/Standard)

Windows Server 2016 (Data Center/Data Center core/Standard)Windows Server 2016 (Datacenter/Datacenter Core/Standard)

Windows Server 2012 R2 (Data Center/Standard)Windows Server 2012 R2(Datacenter/Standard)

Windows Server 2012Windows Server 2012
Windows Server 2008 R2 (RTM en SP1 Standard)Windows Server 2008 R2 (RTM and SP1 Standard) Updatebeheer biedt alleen ondersteuning voor het uitvoeren van evaluaties voor dit besturings systeem. patching wordt niet ondersteund omdat de Hybrid Runbook worker niet wordt ondersteund voor Windows Server 2008 R2.Update Management only supports performing assessments for this operating system, patching is not supported as the Hybrid Runbook Worker is not supported for Windows Server 2008 R2.
CentOS 6 (x86/x64) en 7 (x64)CentOS 6 (x86/x64) and 7 (x64) Linux-agents moeten toegang hebben tot een opslagplaats voor updates.Linux agents must have access to an update repository. Voor op classificatie gebaseerde patches is yum vereist om beveiligings gegevens te retour neren die CentOS niet hebben in de RTM-releases.Classification-based patching requires yum to return security data that CentOS doesn't have in its RTM releases. Zie Update classificaties in Linuxvoor meer informatie over op CentOS gebaseerde patches op basis van classificatie.For more information on classification-based patching on CentOS, see Update classifications on Linux.
Red Hat Enterprise 6 (x86/x64) en 7 (x64)Red Hat Enterprise 6 (x86/x64) and 7 (x64) Linux-agents moeten toegang hebben tot een opslagplaats voor updates.Linux agents must have access to an update repository.
SUSE Linux Enterprise Server 11 (x86/x64) en 12 (x64)SUSE Linux Enterprise Server 11 (x86/x64) and 12 (x64) Linux-agents moeten toegang hebben tot een opslagplaats voor updates.Linux agents must have access to an update repository.
Ubuntu 14,04 LTS, 16,04 LTS en 18,04 (x86/x64)Ubuntu 14.04 LTS, 16.04 LTS, and 18.04 (x86/x64) Linux-agents moeten toegang hebben tot een opslagplaats voor updates.Linux agents must have access to an update repository.

Notitie

Virtuele-machine schaal sets van Azure kunnen worden beheerd via Updatebeheer.Azure virtual machine scale sets can be managed through Update Management. Updatebeheer werkt op de instanties zelf en niet op basis van de installatie kopie.Update Management works on the instances themselves and not on the base image. U moet de updates op een incrementele manier plannen, zodat niet alle VM-exemplaren tegelijk worden bijgewerkt.You'll need to schedule the updates in an incremental way, so that not all the VM instances are updated at once. U kunt knoop punten voor schaal sets voor virtuele machines toevoegen door de stappen onder onboarding van een niet-Azure-computeruit te voeren.You can add nodes for virtual machine scale sets by following the steps under Onboard a non-Azure machine.

Niet-ondersteunde client-typenUnsupported client types

De volgende tabel bevat een lijst met niet-ondersteunde besturings systemen:The following table lists unsupported operating systems:

BesturingssysteemOperating system OpmerkingenNotes
Windows-clientWindows client Client-besturingssystemen (zoals Windows 7 en Windows 10) worden niet ondersteund.Client operating systems (such as Windows 7 and Windows 10) aren't supported.
Windows Server 2016 Nano ServerWindows Server 2016 Nano Server Wordt niet ondersteund.Not supported.
Azure Kubernetes-service knooppuntenAzure Kubernetes Service Nodes Wordt niet ondersteund.Not supported. Gebruik het patch proces dat wordt beschreven in beveiligings-en kernel-updates Toep assen op Linux-knoop punten in azure Kubernetes service (AKS)Use the patching process described in Apply security and kernel updates to Linux nodes in Azure Kubernetes Service (AKS)

Client vereistenClient requirements

In de volgende informatie worden OS-specifieke client vereisten beschreven.The following information describes OS-specific client requirements. Zie netwerk planningvoor meer informatie.For additional guidance, see Network planning.

WindowsWindows

Windows-agents moeten worden geconfigureerd om te communiceren met een WSUS-server of moeten toegang hebben tot Microsoft Update.Windows agents must be configured to communicate with a WSUS server, or they must have access to Microsoft Update.

U kunt Updatebeheer gebruiken met Configuration Manager.You can use Update Management with Configuration Manager. Zie Configuration Manager integreren met updatebeheervoor meer informatie over integratie scenario's.To learn more about integration scenarios, see Integrate Configuration Manager with Update Management. De Windows-agent is vereist.The Windows agent is required. De agent wordt automatisch geïnstalleerd als u een virtuele Azure-machine onboardeert.The agent is installed automatically if you're onboarding an Azure VM.

Standaard worden Windows-Vm's die zijn geïmplementeerd vanuit Azure Marketplace ingesteld voor het ontvangen van automatische updates van Windows Update service.By default, Windows VMs that are deployed from the Azure Marketplace are set to receive automatic updates from Windows Update Service. Dit gedrag verandert niet wanneer u deze oplossing toevoegt of Windows-Vm's toevoegt aan uw werk ruimte.This behavior doesn't change when you add this solution or add Windows VMs to your workspace. Als u updates niet actief beheert met behulp van deze oplossing, is het standaard gedrag van toepassing (om updates automatisch toe te passen).If you don't actively manage updates by using this solution, the default behavior (to automatically apply updates) applies.

Notitie

Een gebruiker kan groepsbeleid wijzigen zodat het opnieuw opstarten van de machine alleen door de gebruiker kan worden uitgevoerd, niet door het systeem.A user can modify Group Policy so that machine reboots can be performed only by the user, not by the system. Beheerde computers kunnen vastraken als Updatebeheer geen rechten heeft om de computer opnieuw op te starten zonder hand matige interactie van de gebruiker.Managed machines can get stuck if Update Management doesn't have rights to reboot the machine without manual interaction from the user.

Zie Groepsbeleid instellingen voor automatische updates configurerenvoor meer informatie.For more information, see Configure Group Policy settings for Automatic Updates.

LinuxLinux

Voor Linux moet de computer toegang hebben tot een update opslagplaats.For Linux, the machine must have access to an update repository. De update opslagplaats kan privé of openbaar zijn.The update repository can be private or public. TLS 1,1 of TLS 1,2 is vereist voor de interactie met Updatebeheer.TLS 1.1 or TLS 1.2 is required to interact with Update Management. Een Log Analytics-agent voor Linux die is geconfigureerd om te rapporteren aan meer dan één Log Analytics-werk ruimte, wordt niet ondersteund met deze oplossing.A Log Analytics Agent for Linux that's configured to report to more than one Log Analytics workspace isn't supported with this solution. Op de computer moet ook python 2. x zijn geïnstalleerd.The machine must also have Python 2.x installed.

Zie log Analytics agent voor Linuxvoor meer informatie over het installeren van de log Analytics-agent voor Linux en het downloaden van de meest recente versie.For information about how to install the Log Analytics Agent for Linux and to download the latest version, see Log Analytics Agent for Linux. Zie Windows-computers verbinden met Azure monitorvoor meer informatie over het installeren van de log Analytics-agent voor Windows.For information about how to install the Log Analytics Agent for Windows, see Connect Windows computers to Azure Monitor.

Vm's die zijn gemaakt op basis van de installatie kopieën op Red Hat Enterprise Linux aanvraag (RHEL) die beschikbaar zijn in azure Marketplace, worden geregistreerd voor toegang tot de Red Hat Update infrastructure (RHUI) die is geïmplementeerd in Azure.VMs that were created from the on-demand Red Hat Enterprise Linux (RHEL) images that are available in the Azure Marketplace are registered to access the Red Hat Update Infrastructure (RHUI) that's deployed in Azure. Elke andere Linux-distributie moet worden bijgewerkt vanuit de online bestands opslagplaats van de distributie met behulp van de ondersteunde methoden van de distributie.Any other Linux distribution must be updated from the distribution's online file repository by using the distribution's supported methods.

MachtigingenPermissions

U hebt specifieke machtigingen nodig om update-implementaties te maken en te beheren.To create and manage update deployments, you need specific permissions. Zie op rollen gebaseerde toegang – updatebeheervoor meer informatie over deze machtigingen.To learn about these permissions, see Role-based access – Update Management.

OplossingsonderdelenSolution components

De oplossing bestaat uit de volgende resources.The solution consists of the following resources. De resources worden toegevoegd aan uw Automation-account.The resources are added to your Automation account. Ze zijn rechtstreeks verbonden agents of in een door Operations Manager verbonden beheer groep.They're either directly connected agents or in an Operations Manager-connected management group.

Hybrid Worker-groepenHybrid Worker groups

Nadat u deze oplossing hebt ingeschakeld, wordt elke Windows-computer die rechtstreeks is verbonden met uw Log Analytics-werk ruimte automatisch geconfigureerd als een Hybrid Runbook Worker ter ondersteuning van de runbooks die in deze oplossing zijn opgenomen.After you enable this solution, any Windows computer that's directly connected to your Log Analytics workspace is automatically configured as a Hybrid Runbook Worker to support the runbooks that are included in this solution.

Elke Windows-computer die wordt beheerd door de oplossing, wordt weer gegeven in het deel venster Hybrid worker groups als een Hybrid worker-groep voor het Automation-account.Each Windows computer that's managed by the solution is listed in the Hybrid worker groups pane as a System hybrid worker group for the Automation account. De oplossingen gebruiken de hostname-FQDN_GUID naam Conventie.The solutions use the Hostname FQDN_GUID naming convention. U kunt deze groepen niet richten op runbooks in uw account.You can't target these groups with runbooks in your account. Als u probeert, mislukt de poging.If you try, the attempt fails. Deze groepen zijn bedoeld om alleen de beheer oplossing te ondersteunen.These groups are intended to support only the management solution.

U kunt de Windows-computers toevoegen aan een Hybrid Runbook Worker groep in uw Automation-account ter ondersteuning van Automation-runbooks als u hetzelfde account gebruikt voor zowel de oplossing als het lidmaatschap van de Hybrid Runbook Worker-groep.You can add the Windows computers to a Hybrid Runbook Worker group in your Automation account to support Automation runbooks if you use the same account for both the solution and the Hybrid Runbook Worker group membership. Deze functionaliteit is toegevoegd aan versie 7.2.12024.0 van de Hybrid Runbook Worker.This functionality was added in version 7.2.12024.0 of the Hybrid Runbook Worker.

Management packsManagement packs

Als uw System Center Operations Manager-beheer groep is verbonden met een Log Analytics-werk ruimte, worden de volgende Management Packs in Operations Manager geïnstalleerd.If your System Center Operations Manager management group is connected to a Log Analytics workspace, the following management packs are installed in Operations Manager. Deze Management Packs worden ook op rechtstreeks verbonden Windows-computers geïnstalleerd nadat u de oplossing hebt toegevoegd.These management packs are also installed on directly connected Windows computers after you add the solution. U hoeft deze Management Packs niet te configureren of te beheren.You don't need to configure or manage these management packs.

  • Microsoft System Center Advisor Update Assessment Intelligence Pack (Microsoft.IntelligencePacks.UpdateAssessment)Microsoft System Center Advisor Update Assessment Intelligence Pack (Microsoft.IntelligencePacks.UpdateAssessment)
  • Microsoft.IntelligencePack.UpdateAssessment.Configuration (Microsoft.IntelligencePack.UpdateAssessment.Configuration)Microsoft.IntelligencePack.UpdateAssessment.Configuration (Microsoft.IntelligencePack.UpdateAssessment.Configuration)
  • Implementatie MP bijwerkenUpdate Deployment MP

Notitie

Stel dat u een Operations Manager 1807-of 2019-beheer groep hebt met agents die zijn geconfigureerd op het niveau van de beheer groep om ze te koppelen aan een werk ruimte.Assume that you have an Operations Manager 1807 or 2019 management group with agents configured at the Management Group level to associate them with a workspace. De huidige tijdelijke oplossing om ze weer te geven, is om IsAutoRegistrationEnabled te overschrijven in True in de regel micro soft. intelligence packs. AzureAutomation. HybridAgent. init .The current workaround to get them to show up is to override IsAutoRegistrationEnabled to True in the Microsoft.IntelligencePacks.AzureAutomation.HybridAgent.Init rule.

Zie Connect Operations Manager to Azure monitor logs(Engelstalig) voor meer informatie over hoe oplossingen Management Packs worden bijgewerkt.For more information about how solution management packs are updated, see Connect Operations Manager to Azure Monitor logs.

Notitie

Voor systemen met de Operations Manager-agent: voor een agent die volledig wordt beheerd door Updatebeheer, moet de agent worden bijgewerkt naar de MMA.For systems with the Operations Manger Agent: For an agent to be fully managed by Update Management, the agent must be updated to the MMA. Zie een Operations Manager-agent bijwerkenvoor meer informatie over het bijwerken van de agent.To learn how to update the agent, see How to upgrade an Operations Manager agent. In omgevingen waarin Operations Manager wordt gebruikt, moet u System Center Operations Manager 2012 R2 UR 14 of hoger uitvoeren.In environments that use Operations Manager, you must be running System Center Operations Manager 2012 R2 UR 14 or later.

GegevensverzamelingData collection

Ondersteunde agentsSupported agents

De volgende tabel beschrijft de verbonden bronnen die worden ondersteund door deze oplossing:The following table describes the connected sources that this solution supports:

Verbonden bronConnected source OndersteundSupported BeschrijvingDescription
Windows-agentsWindows agents JaYes De oplossing verzamelt informatie over systeem updates van Windows-agents en start vervolgens de installatie van de vereiste updates.The solution collects information about system updates from Windows agents and then initiates installation of required updates.
Linux-agentsLinux agents JaYes De oplossing verzamelt informatie over systeem updates van Linux-agents en start vervolgens de installatie van de vereiste updates op ondersteunde distributies.The solution collects information about system updates from Linux agents and then initiates installation of required updates on supported distributions.
Beheergroep Operations ManagerOperations Manager management group JaYes De oplossing verzamelt informatie over systeemupdates van agents in een verboden beheergroep.The solution collects information about system updates from agents in a connected management group.

Een directe verbinding van de Operations Manager agent naar Azure Monitor-Logboeken is niet vereist.A direct connection from the Operations Manager agent to Azure Monitor logs isn't required. Gegevens uit de beheergroep doorgestuurd naar de Log Analytics-werkruimte.Data is forwarded from the management group to the Log Analytics workspace.

VerzamelingsfrequentieCollection frequency

Voor elke beheerde Windows-computer wordt twee keer per dag een scan uitgevoerd.A scan is performed twice per day for each managed Windows computer. Elke 15 minuten wordt de Windows-API aangeroepen om een query uit te zoeken naar de laatste update tijd om te bepalen of de status is gewijzigd.Every 15 minutes, the Windows API is called to query for the last update time to determine whether the status has changed. Als de status is gewijzigd, wordt een nalevings scan gestart.If the status has changed, a compliance scan is initiated.

Er wordt elk uur een scan uitgevoerd voor elke beheerde Linux-computer.A scan is performed every hour for each managed Linux computer.

Het kan tussen 30 minuten en 6 uur duren voordat het dash board bijgewerkte gegevens van beheerde computers weergeeft.It can take between 30 minutes and 6 hours for the dashboard to display updated data from managed computers.

Het gemiddelde gegevens gebruik door Azure Monitor logboeken voor een machine met Updatebeheer is ongeveer 25 MB per maand.The average data usage by Azure Monitor logs for a machine using Update Management is approximately 25 megabytes (MB) per month. Deze waarde is alleen een benadering en is onderhevig aan wijzigingen, afhankelijk van uw omgeving.This value is only an approximation and is subject to change, depending on your environment. U wordt aangeraden uw omgeving te bewaken om uw exacte gebruik bij te houden.We recommend that you monitor your environment to keep track of your exact usage.

Netwerk planningNetwork planning

De volgende adressen zijn specifiek vereist voor Updatebeheer.The following addresses are required specifically for Update Management. Communicatie met deze adressen vindt plaats via poort 443.Communication to these addresses occurs over port 443.

Open bare AzureAzure Public Azure GovernmentAzure Government
*.ods.opinsights.azure.com*.ods.opinsights.azure.com *.ods.opinsights.azure.us*.ods.opinsights.azure.us
*.oms.opinsights.azure.com*.oms.opinsights.azure.com *.oms.opinsights.azure.us*.oms.opinsights.azure.us
*.blob.core.windows.net*.blob.core.windows.net *.blob.core.usgovcloudapi.net*.blob.core.usgovcloudapi.net
*.azure-automation.net*.azure-automation.net *. azure-automation.us*.azure-automation.us

Voor Windows-computers moet u ook verkeer toestaan voor eind punten die vereist zijn voor Windows Update.For Windows machines, you must also allow traffic to any endpoints required by Windows Update. U kunt een bijgewerkte lijst met vereiste eind punten vinden in kwesties met betrekking tot http/proxy.You can find an updated list of required endpoints in Issues related to HTTP/Proxy. Als u een lokale Windows Update serverhebt, moet u ook verkeer toestaan naar de server die is opgegeven in uw WSUS-sleutel.If you have a local Windows Update server, you must also allow traffic to the server specified in your WSUS key.

Zie IP-adressen voor de vereiste eind punten voor de RHUI content delivery servers voor Red Hat Linux-machines.For Red Hat Linux machines, see IPs for the RHUI content delivery servers for required endpoints. Raadpleeg de documentatie van uw provider voor andere Linux-distributies.For other Linux distributions, see your provider documentation.

Zie Hybrid worker Role ports(Engelstalig) voor meer informatie over poorten die de Hybrid Runbook worker nodig heeft.For more information about ports that the Hybrid Runbook Worker requires, see Hybrid Worker role ports.

U wordt aangeraden de adressen te gebruiken die worden weer gegeven bij het definiëren van uitzonde ringen.We recommend that you use the addresses listed when defining exceptions. Voor IP-adressen kunt u de IP-adresbereiken van Microsoft Azure Data Centerdownloaden.For IP addresses, you can download Microsoft Azure Datacenter IP ranges. Dit bestand wordt wekelijks bijgewerkt en weerspiegelt de huidige geïmplementeerde bereiken en eventuele toekomstige wijzigingen in de IP-bereiken.This file is updated weekly, and it reflects the currently deployed ranges and any upcoming changes to the IP ranges.

Volg de instructies in computers verbinden zonder Internet toegang voor het configureren van computers die geen toegang tot internet hebben.Follow the instructions in Connect computers without internet access to configure machines that don't have internet access.

Update-evaluaties bekijkenView update assessments

Selecteer in uw Automation-account updatebeheer om de status van uw computers weer te geven.In your Automation account, select Update Management to view the status of your machines.

Deze weer gave bevat informatie over uw computers, ontbrekende updates, update-implementaties en geplande update-implementaties.This view provides information about your machines, missing updates, update deployments, and scheduled update deployments. In de kolom compatibiliteit ziet u de laatste keer dat de computer is geëvalueerd.In the COMPLIANCE column, you can see the last time the machine was assessed. In de gereedheids kolom van de Update-Agent kunt u de status van de Update Agent controleren.In the UPDATE AGENT READINESS column, you can check the health of the update agent. Als er een probleem is, selecteert u de koppeling om naar probleemoplossings documentatie te gaan waarmee u het probleem kunt verhelpen.If there's an issue, select the link to go to troubleshooting documentation that can help you correct the problem.

Als u een zoek opdracht in het logboek wilt uitvoeren die informatie over de computer, update of implementatie retourneert, selecteert u het bijbehorende item in de lijst.To run a log search that returns information about the machine, update, or deployment, select the corresponding item in the list. Het deel venster Zoeken in Logboeken wordt geopend met een query voor het geselecteerde item:The Log Search pane opens with a query for the item selected:

Standaard weergave Updatebeheer

Ontbrekende updates weer gevenView missing updates

Selecteer ontbrekende updates om de lijst met updates weer te geven die ontbreken op uw computers.Select Missing updates to view the list of updates that are missing from your machines. Elke update wordt weer gegeven en kan worden geselecteerd.Each update is listed and can be selected. Informatie over het aantal machines dat moet worden bijgewerkt, het besturings systeem en een koppeling voor meer informatie wordt weer gegeven.Information about the number of machines that require the update, the operating system, and a link for more information is shown. In het deel venster Zoeken in Logboeken ziet u meer informatie over de updates.The Log search pane shows more details about the updates.

Ontbrekende updates

Update classificatiesUpdate classifications

De volgende tabellen geven een lijst van de update classificaties in Updatebeheer, met een definitie voor elke classificatie.The following tables list the update classifications in Update Management, with a definition for each classification.

WindowsWindows

ClassificatieClassification BeschrijvingDescription
Essentiële updatesCritical updates Een update voor een specifiek probleem dat betrekking heeft op een kritieke bug die niet aan beveiliging voldoet.An update for a specific problem that addresses a critical, non-security-related bug.
BeveiligingsupdatesSecurity updates Een update voor een productspecifiek, beveiligings probleem.An update for a product-specific, security-related issue.
UpdatepakkettenUpdate rollups Een cumulatieve set met hotfixes die samen zijn verpakt voor een eenvoudige implementatie.A cumulative set of hotfixes that are packaged together for easy deployment.
FunctiepakkettenFeature packs Nieuwe product functies die worden gedistribueerd buiten een product release.New product features that are distributed outside a product release.
ServicepacksService packs Een cumulatieve set met hotfixes die op een toepassing worden toegepast.A cumulative set of hotfixes that are applied to an application.
Definitie-updatesDefinition updates Een update van virus-of andere definitie bestanden.An update to virus or other definition files.
Hulpprogramma'sTools Een hulp programma of functie waarmee u een of meer taken kunt volt ooien.A utility or feature that helps complete one or more tasks.
UpdatesUpdates Een update voor een toepassing of bestand dat momenteel is geïnstalleerd.An update to an application or file that currently is installed.

SpreekLinux

ClassificatieClassification BeschrijvingDescription
Essentiële en beveiligingsupdatesCritical and security updates Updates voor een specifiek probleem of een productspecifiek beveiligings probleem.Updates for a specific problem or a product-specific, security-related issue.
Andere UpdatesOther updates Alle andere updates die niet kritiek zijn of die geen beveiligings updates zijn.All other updates that aren't critical in nature or that aren't security updates.

Voor Linux kan Updatebeheer een onderscheid maken tussen essentiële updates en beveiligings updates in de Cloud, terwijl evaluatie gegevens worden weer gegeven vanwege gegevens verrijking in de Cloud.For Linux, Update Management can distinguish between critical updates and security updates in the cloud while displaying assessment data due to data enrichment in the cloud. Voor patching is Updatebeheer afhankelijk van de classificatie gegevens die op de computer beschikbaar zijn.For patching, Update Management relies on classification data available on the machine. In tegens telling tot andere distributies is CentOS deze informatie niet beschikbaar in de RTM-versie.Unlike other distributions, CentOS does not have this information available in the RTM version. Als er CentOS machines zijn geconfigureerd voor het retour neren van beveiligings gegevens voor de volgende opdracht, kunt Updatebeheer patch op basis van classificaties.If you have CentOS machines configured to return security data for the following command, Update Management can patch based on classifications.

sudo yum -q --security check-update

Er is momenteel geen ondersteunde methode voor het inschakelen van systeem eigen classificatie-gegevens beschikbaarheid op CentOS.There's currently no supported method to enable native classification-data availability on CentOS. Op dit moment wordt alleen ondersteuning voor de beste werk belasting gegeven aan klanten die deze zelf kunnen hebben ingeschakeld.At this time, only best-effort support is provided to customers who might have enabled this on their own.

Als u updates wilt classificeren voor Red Hat Enter prise versie 6, moet u de yum-beveiligings-invoeg toepassing installeren.To classify updates on Red Hat Enterprise version 6, you need to install the yum-security plugin. Op Red Hat Enterprise Linux 7 maakt de invoeg toepassing al deel uit van yum. u hoeft niets te installeren.On Red Hat Enterprise Linux 7, the plugin is already a part of yum itself, there is no need to install anything. Zie het volgende Red Hat Knowledge-artikelvoor meer informatie.For further information, see the following Red Hat knowledge article.

Integreren met Configuration ManagerIntegrate with Configuration Manager

Klanten die hebben geïnvesteerd in micro soft endpoint Configuration Manager voor het beheren van Pc's, servers en mobiele apparaten, zijn ook afhankelijk van de kracht en de loop tijd van Configuration Manager om hen te helpen bij het beheren van software-updates.Customers who have invested in Microsoft Endpoint Configuration Manager for managing PCs, servers, and mobile devices also rely on the strength and maturity of Configuration Manager to help them manage software updates. Configuration Manager maakt deel uit van de cyclus van software-update beheer (SUM).Configuration Manager is part of their software update management (SUM) cycle.

Zie Configuration Manager met updatebeheer integrerenvoor meer informatie over het integreren van de beheer oplossing met Configuration Manager.To learn how to integrate the management solution with Configuration Manager, see Integrate Configuration Manager with Update Management.

Patches van derden in WindowsThird-party patches on Windows

Updatebeheer is afhankelijk van de lokaal geconfigureerde update opslagplaats voor patches die worden ondersteund door Windows-systemen.Update Management relies on the locally configured update repository to patch supported Windows systems. Dit is WSUS of Windows Update.This is either WSUS or Windows Update. Met hulpprogram ma's als System Center updates Publisher (updates Publisher) kunt u aangepaste updates publiceren in WSUS.Tools like System Center Updates Publisher (Updates Publisher) allow you to publish custom updates into WSUS. Met dit scenario kunnen Updatebeheer patches voor machines die gebruikmaken van Configuration Manager als update opslagplaats met software van derden.This scenario allows Update Management to patch machines that use Configuration Manager as their update repository with third-party software. Zie install updates Publisher(Engelstalig) voor meer informatie over het configureren van updates Publisher.To learn how to configure Updates Publisher, see Install Updates Publisher.

Linux-machines bijwerkenPatch Linux machines

In de volgende secties worden mogelijke problemen met patches voor Linux-distributies uitgelegd.The following sections explain potential issues with patching Linux distros.

Onverwachte upgrades op besturingssysteem niveauUnexpected OS-level upgrades

Bij sommige Linux-varianten, zoals Red Hat Enterprise Linux, kunnen upgrades op besturingssysteem niveau worden uitgevoerd via pakketten.On some Linux variants, such as Red Hat Enterprise Linux, OS-level upgrades might occur through packages. Dit kan leiden tot Updatebeheer worden uitgevoerd, waarbij het versie nummer van het besturings systeem verandert.This might lead to Update Management runs where the OS version number changes. Omdat Updatebeheer dezelfde methoden gebruikt voor het bijwerken van pakketten die een beheerder lokaal zou gebruiken op de Linux-computer, is dit gedrag opzettelijk.Because Update Management uses the same methods to update packages that an administrator would use locally on the Linux computer, this behavior is intentional.

Gebruik de functie uitsluiting om te voor komen dat de versie van het besturings systeem wordt bijgewerkt via updatebeheer uitvoeringen.To avoid updating the OS version through Update Management runs, use the Exclusion feature.

In Red Hat Enterprise Linux is de pakket naam die moet worden uitgesloten, RedHat-release-server. x86_64.In Red Hat Enterprise Linux, the package name to exclude is redhat-release-server.x86_64.

Pakketten die moeten worden uitgesloten voor Linux

Essentiële/beveiligings patches worden niet toegepastCritical/security patches aren't applied

Wanneer u updates op een Linux-machine implementeert, kunt u update classificaties selecteren.When you deploy updates to a Linux machine, you can select update classifications. Met deze optie worden de updates die op de computer worden toegepast, gefilterd die voldoen aan de opgegeven criteria.This option filters the updates that are applied to the machine that meet the specified criteria. Dit filter wordt lokaal op de computer toegepast wanneer de update wordt geïmplementeerd.This filter is applied locally on the machine when the update is deployed.

Omdat Updatebeheer verrijking update uitvoert in de Cloud, kunnen sommige updates worden gemarkeerd in Updatebeheer als gevolg van een beveiligings effect, zelfs als de lokale computer deze informatie niet bevat.Because Update Management performs update enrichment in the cloud, some updates can be flagged in Update Management as having a security impact, even though the local machine doesn't have that information. Als u essentiële updates toepast op een Linux-computer, zijn er mogelijk updates die niet zijn gemarkeerd als een beveiligings effect op die computer en daarom worden de updates niet toegepast.As a result, if you apply critical updates to a Linux machine, there might be updates that aren't marked as having a security impact on that machine and therefore the updates aren't applied. Updatebeheer kan de computer echter toch als niet-compatibel melden, omdat deze aanvullende informatie over de relevante update heeft.However, Update Management might still report that machine as non-compliant because it has additional information about the relevant update.

Het implementeren van updates op update classificatie werkt niet in de RTM-versies van CentOS.Deploying updates by update classification doesn't work on RTM versions of CentOS. Als u updates voor CentOS correct wilt implementeren, selecteert u alle classificaties om er zeker van te zijn dat er updates worden toegepast.To properly deploy updates for CentOS, select all classifications to make sure updates are applied. Voor SUSE selecteert u alleen andere updates als de classificatie kan ertoe leiden dat bepaalde beveiligings updates ook worden geïnstalleerd als de beveiligings updates met betrekking tot Zypper (pakket beheer) of de afhankelijkheden hiervan eerst zijn vereist.For SUSE, selecting only Other updates as the classification can cause some security updates to also be installed if security updates related to zypper (package manager) or its dependencies are required first. Dit gedrag is een beperking van Zypper.This behavior is a limitation of zypper. In sommige gevallen kan het nodig zijn om de update-implementatie opnieuw uit te voeren.In some cases, you might be required to rerun the update deployment. Controleer het Update logboek om dit te controleren.To verify, check the update log.

Implementaties van cross-Tenant updatesCross-tenant update deployments

Als u computers in een andere Azure-Tenant rapporteert om Updatebeheer die u moet patchen, moet u de volgende tijdelijke oplossing gebruiken om ze te laten plannen.If you have machines in another Azure tenant reporting to Update Management that you need to patch, you'll have to use the following workaround to get them scheduled. U kunt de cmdlet New-AzureRmAutomationSchedule met de -ForUpdate switch gebruiken om een schema te maken en de cmdlet New-AzureRmAutomationSoftwareUpdateConfiguration te gebruiken en de computers in de andere Tenant door te geven aan de -NonAzureComputer-para meter.You can use the New-AzureRmAutomationSchedule cmdlet with the -ForUpdate switch to create a schedule, and use the New-AzureRmAutomationSoftwareUpdateConfiguration cmdlet and pass the machines in the other tenant to the -NonAzureComputer parameter. In het volgende voor beeld ziet u hoe u dit doet:The following example shows how to do this:

$nonAzurecomputers = @("server-01", "server-02")

$startTime = ([DateTime]::Now).AddMinutes(10)

$sched = New-AzureRmAutomationSchedule -ResourceGroupName mygroup -AutomationAccountName myaccount -Name myupdateconfig -Description test-OneTime -OneTime -StartTime $startTime -ForUpdate

New-AzureRmAutomationSoftwareUpdateConfiguration  -ResourceGroupName $rg -AutomationAccountName <automationAccountName> -Schedule $sched -Windows -NonAzureComputer $nonAzurecomputers -Duration (New-TimeSpan -Hours 2) -IncludedUpdateClassification Security,UpdateRollup -ExcludedKbNumber KB01,KB02 -IncludedKbNumber KB100

Updatebeheer inschakelenEnable Update Management

Als u met patches-systemen wilt beginnen, moet u de Updatebeheer-oplossing inschakelen.To begin patching systems, you need to enable the Update Management solution. Er zijn veel manieren om machines te Updatebeheer.There are many ways to onboard machines to Update Management. Hieronder vindt u de aanbevolen en ondersteunde manieren om de oplossing vrij te maken:The following are the recommended and supported ways to onboard the solution:

Volgende stappenNext steps

Gebruik de volgende zelf studie voor meer informatie over het beheren van updates voor uw Windows-Vm's:Use the following tutorial to learn how to manage updates for your Windows VMs: