Overzicht van Updatebeheer

Let op

In dit artikel wordt verwezen naar CentOS, een Linux-distributie die de status End Of Life (EOL) nadert. Overweeg uw gebruik en planning dienovereenkomstig. Zie de Richtlijnen voor het einde van de levensduur van CentOS voor meer informatie.

Belangrijk

  • Azure Automation Update Management wordt op 31 augustus 2024 buiten gebruik gesteld. Volg de richtlijnen voor migratie naar Azure Update Manager.
  • De Azure Log Analytics-agent, ook wel bekend als de Microsoft Monitoring Agent (MMA) wordt in augustus 2024 buiten gebruik gesteld. De Azure Automation Update Management-oplossing is afhankelijk van deze agent en kan problemen ondervinden zodra de agent buiten gebruik wordt gesteld omdat deze niet werkt met Azure Monitoring Agent (AMA). Als u daarom de Azure Automation Update Management-oplossing gebruikt, raden we u aan om over te stappen naar Azure Update Manager voor uw software-updatebehoeften. Alle mogelijkheden van de Azure Automation Updatebeheer-oplossing zijn vóór de buitengebruikstellingsdatum beschikbaar in Azure Update Manager. Volg de richtlijnen voor het verplaatsen van uw machines en planningen van Automation Updatebeheer naar Azure UpdateBeheer.

U kunt Updatebeheer in Azure Automation gebruiken om besturingssysteemupdates te beheren voor uw Windows- en Linux-VM's in Azure, fysieke of virtuele machines in on-premises omgevingen en in andere cloudomgevingen. U kunt snel de status van beschikbare updates beoordelen en het proces beheren voor het installeren van vereiste updates voor uw machines die rapporteren aan Updatebeheer.

Als serviceprovider hebt u mogelijk meerdere klanttenants toegevoegd aan Azure Lighthouse. Updatebeheer kan worden gebruikt om update-implementaties te evalueren en te plannen voor machines in meerdere abonnementen in dezelfde Microsoft Entra-tenant of voor tenants die Gebruikmaken van Azure Lighthouse.

Microsoft biedt andere mogelijkheden om u te helpen bij het beheren van updates voor uw Azure-VM's of virtuele-machineschaalsets in Azure die u kunt overwegen als onderdeel van uw algehele strategie voor updatebeheer.

  • Als u geïnteresseerd bent in het automatisch beoordelen en bijwerken van uw virtuele Azure-machines om de beveiligingsnaleving met kritieke en beveiligingsupdates die elke maand worden uitgebracht, te behouden, raadpleegt u automatische patching voor VM-gast. Dit is een alternatieve oplossing voor updatebeheer voor uw Azure-VM's om ze automatisch te updaten tijdens daluren, inclusief VM's binnen een beschikbaarheidsset, vergeleken met het beheren van update-implementaties voor deze VM's vanuit Updatebeheer in Azure Automation.

  • Als u virtuele-machineschaalsets van Azure beheert, controleert u hoe u automatische installatiekopieën van het besturingssysteem uitvoert om de besturingssysteemschijf veilig en automatisch bij te werken voor alle exemplaren in de schaalset.

Voordat u Updatebeheer implementeert en uw machines inschakelt voor beheer, moet u ervoor zorgen dat u de informatie in de volgende secties begrijpt.

Over Updatebeheer

In het volgende diagram ziet u hoe Updatebeheer beveiligingsupdates beoordeelt en toepast op alle verbonden Windows Server- en Linux-servers.

Werkstroom updatebeheer

Updatebeheer kan worden geïntegreerd met Azure Monitor-logboeken om updatebeoordelingen op te slaan en implementatieresultaten bij te werken als logboekgegevens, van toegewezen Azure- en niet-Azure-machines. Voor het verzamelen van deze gegevens zijn de Automation-account- en Log Analytics-werkruimte aan elkaar gekoppeld en is de Log Analytics-agent voor Windows en Linux vereist op de computer en geconfigureerd om aan deze werkruimte te rapporteren.

Updatebeheer ondersteunt het verzamelen van informatie over systeemupdates van agents in een System Center Operations Manager-beheergroep die is verbonden met de werkruimte. De registratie van een computer voor Updatebeheer in meer dan één Log Analytics-werkruimte (ook wel multi-homing genoemd) wordt niet ondersteund.

De volgende tabel bevat een overzicht van de ondersteunde verbonden bronnen met Updatebeheer.

Verbonden bron Ondersteund Beschrijving
Windows Ja Updatebeheer verzamelt informatie over systeemupdates van Windows-computers met de Log Analytics-agent en de installatie van vereiste updates.
Computers moeten rapporteren aan Microsoft Update of Windows Server Update Services (WSUS).
Linux Ja Updatebeheer verzamelt informatie over systeemupdates van Linux-machines met de Log Analytics-agent en de installatie van vereiste updates op ondersteunde distributies.
Machines moeten rapporteren aan een lokale of externe opslagplaats.
Beheergroep Operations Manager Ja Updatebeheer verzamelt informatie over software-updates van agents in een verbonden beheergroep.

Er is geen directe verbinding van de Operations Manager-agent met Azure Monitor-logboeken vereist. Logboekgegevens worden vanuit de beheergroep doorgestuurd naar de Log Analytics-werkruimte.

De computers die zijn toegewezen aan Updatebeheer rapporteren hoe up-to-date ze zijn op basis van de bron waarmee ze volgens de configuratie moeten worden gesynchroniseerd. Windows-machines moeten worden geconfigureerd om te rapporteren aan Windows Server Update Services of Microsoft Update, en Linux-machines moeten worden geconfigureerd om te rapporteren aan een lokale of openbare opslagplaats. U kunt Updatebeheer ook gebruiken met Microsoft Configuration Manager. Zie Updatebeheer integreren met Windows Configuration Manager voor meer informatie.

Als WUA (Windows Update Agent) op de Windows-computer is geconfigureerd om te rapporteren aan WSUS, kunnen de resultaten, afhankelijk van wanneer WSUS voor het laatst is gesynchroniseerd met Microsoft Update, afwijken van wat er wordt weergegeven in Microsoft Update. Dit gedrag is hetzelfde voor Linux-computers die zijn geconfigureerd om te rapporteren aan een lokale opslagplaats in plaats van aan een openbare opslagplaats. Op een Windows-computer wordt de nalevingsscan standaard elke twaalf uur uitgevoerd. Bij een Linux-computer wordt de nalevingsscan standaard elk uur uitgevoerd. Als de Log Analytics-agent opnieuw is gestart, wordt binnen 15 minuten een nalevingsscan gestart. Nadat er een scan voor updatenaleving is uitgevoerd, worden de gegevens door de agent in bulk doorgestuurd naar Azure Monitor-logboeken.

U kunt software-updates implementeren en installeren op computers waarvoor updates vereist zijn, door daarvoor een planning in te stellen. Updates die zijn geclassificeerd als Optioneel , worden niet opgenomen in het implementatiebereik voor Windows-computers. Alleen vereiste updates zijn opgenomen in het implementatiebereik.

Met de geplande implementatie wordt bepaald welke doelcomputers de toepasselijke updates ontvangen. Dit doet u door expliciet bepaalde machines op te geven of door een computergroep te selecteren die is gebaseerd op zoekopdrachten in logboeken van een specifieke set machines (of op basis van een Azure-query die dynamisch Virtuele Azure-machines selecteert op basis van opgegeven criteria). Deze groepen verschillen van de bereikconfiguratie, die wordt gebruikt om het doel te beheren van machines die de configuratie ontvangen om Updatebeheer in te schakelen. Dit voorkomt dat deze updatenaleving uitvoeren en rapporteren, en goedgekeurde vereiste updates installeren.

Bij het definiëren van een implementatie geeft u ook een planning op voor het goedkeuren en instellen van een periode waarin updates kunnen worden geïnstalleerd. Deze periode wordt het onderhoudsvenster genoemd. Een periode van 10 minuten van het onderhoudsvenster is gereserveerd voor opnieuw opstarten, ervan uitgaande dat er een nodig is en u de juiste optie voor opnieuw opstarten hebt geselecteerd. Als het patchen langer duurt dan verwacht en het onderhoudsvenster minder dan 10 minuten duurt, wordt het opnieuw opstarten niet uitgevoerd.

Nadat een updatepakket is gepland voor implementatie, duurt het 2 tot 3 uur voordat de update wordt weergegeven voor Linux-machines voor evaluatie. Voor Windows-computers duurt het 12 tot 15 uur voordat de update wordt weergegeven voor evaluatie nadat deze is uitgebracht. Voor en na de installatie van de update wordt er een scan voor updatenaleving uitgevoerd en worden de resultaten van de logboekgegevens doorgestuurd naar de werkruimte.

Updates worden geïnstalleerd door runbooks in Azure Automation. U kunt deze runbooks niet weergeven en hiervoor is geen configuratie vereist. Wanneer een update-implementatie wordt gemaakt, wordt er een planning opgesteld waarmee een hoofdupdaterunbook voor de in de planning opgenomen computers start op het opgegeven tijdstip. Het hoofdrunbook start een onderliggend runbook op elke agent die de installatie van de vereiste updates start met de Windows Update-agent in Windows of de toepasselijke opdracht voor ondersteunde Linux-distributie.

Op de doelcomputers wordt gelijktijdig ook de implementatie uitgevoerd op de datum en tijd die zijn opgegeven in de update-implementatie. Vóór de installatie wordt een scan uitgevoerd om te controleren of de updates nog steeds vereist zijn. Als de updates voor WSUS-clientcomputers niet zijn goedgekeurd in WSUS, mislukt de implementatie van de update.

Limieten

Zie Azure Automation-servicelimieten voor limieten die van toepassing zijn op Updatebeheer.

Machtigingen

Als u update-implementaties wilt maken en beheren, hebt u specifieke machtigingen nodig. Zie Op rollen gebaseerde toegang - Updatebeheer voor meer informatie over deze machtigingen.

Onderdelen voor updatebeheer

Updatebeheer maakt gebruik van de resources die in deze sectie worden beschreven. Deze resources worden automatisch toegevoegd aan uw Automation-account wanneer u Updatebeheer inschakelt.

Hybrid Runbook Worker-groepen

Nadat u Updatebeheer hebt ingeschakeld, wordt elke Windows-computer die rechtstreeks is verbonden met uw Log Analytics-werkruimte automatisch geconfigureerd als een systeem Hybrid Runbook Worker ter ondersteuning van de runbooks die updatebeheer ondersteunen.

Elke Windows-computer die wordt beheerd door Updatebeheer, wordt weergegeven in het deelvenster Hybrid Worker-groepen als een systeem hybrid worker-groep voor het Automation-account. De groepen gebruiken de Hostname FQDN_GUID naamconventie. U kunt deze groepen niet richten op runbooks in uw account. Als u het probeert, mislukt de poging. Deze groepen zijn bedoeld ter ondersteuning van alleen Updatebeheer. Zie Hybrid Runbook Workers voor meer informatie over het weergeven van de lijst met Windows-machines die zijn geconfigureerd als Hybrid Runbook Worker.

U kunt de Windows-computer toevoegen aan een hybrid Runbook Worker-groep van een gebruiker in uw Automation-account om Automation-runbooks te ondersteunen als u hetzelfde account gebruikt voor Updatebeheer en het lidmaatschap van de Hybrid Runbook Worker-groep. Deze functionaliteit is toegevoegd in versie 7.2.12024.0 van Hybrid Runbook Worker.

Externe afhankelijkheden

Azure Automation Update Management is afhankelijk van de volgende externe afhankelijkheden om software-updates te leveren.

  • Windows Server Update Services (WSUS) of Microsoft Update is nodig voor software-updatespakketten en voor de toepasselijkheidsscan voor software-updates op Windows-computers.
  • De WuA-client (Windows Update Agent) is vereist op Windows-computers, zodat ze verbinding kunnen maken met de WSUS-server of Microsoft Update.
  • Een lokale of externe opslagplaats voor het ophalen en installeren van besturingssysteemupdates op Linux-computers.

Management packs

De volgende management packs worden geïnstalleerd op de machines die worden beheerd door Updatebeheer. Als uw Operations Manager-beheergroep is verbonden met een Log Analytics-werkruimte, worden de management packs geïnstalleerd in de Operations Manager-beheergroep. U hoeft deze management packs niet te configureren of te beheren.

  • Microsoft System Center Advisor Update Assessment Intelligence Pack (Microsoft.IntelligencePacks.UpdateAssessment)
  • Microsoft.IntelligencePack.UpdateAssessment.Configuration (Microsoft.IntelligencePack.UpdateAssessment.Configuration)
  • Implementatie MP bijwerken

Notitie

Als u een Operations Manager 1807- of 2019-beheergroep hebt die is verbonden met een Log Analytics-werkruimte met agents die zijn geconfigureerd in de beheergroep om logboekgegevens te verzamelen, moet u de parameter IsAutoRegistrationEnabled overschrijven en deze instellen True in de regel Microsoft.IntelligencePacks.AzureAutomation.HybridAgent.Init .

Zie Verbinding maken Operations Manager naar Azure Monitor-logboeken voor meer informatie over updates voor management packs.

Notitie

Voor updatebeheer om machines volledig te beheren met de Log Analytics-agent, moet u bijwerken naar de Log Analytics-agent voor Windows of de Log Analytics-agent voor Linux. Zie Een Operations Manager-agent bijwerken voor meer informatie over het bijwerken van de agent. In omgevingen die Operations Manager gebruiken, moet u System Center Operations Manager 2012 R2 UR 14 of hoger uitvoeren.

Frequentie van gegevensverzameling

Updatebeheer scant beheerde machines op gegevens met behulp van de volgende regels. Het kan 30 minuten tot 6 uur duren voordat het dashboard bijgewerkte gegevens van beheerde machines weergeeft.

  • Elke Windows-computer - Updatebeheer voert twee keer per dag een scan uit voor elke computer.

  • Elke Linux-machine - Updatebeheer voert elk uur een scan uit.

Het gemiddelde gegevensgebruik door Azure Monitor-logboeken voor een machine met Updatebeheer is ongeveer 25 MB per maand. Deze waarde is slechts een benadering en kan worden gewijzigd, afhankelijk van uw omgeving. U wordt aangeraden uw omgeving te bewaken om uw exacte gebruik bij te houden. Zie prijzen voor Azure Monitor-logboeken voor meer informatie over het analyseren van het gegevensgebruik van Azure Monitor-logboeken.

Updateclassificaties

De volgende tabel definieert de classificaties die Updatebeheer ondersteunt voor Windows-updates.

Classificatie Beschrijving
Essentiële updates Een update voor een specifiek probleem die een kritieke bug oplost die niets te maken heeft met de beveiliging.
Beveiligingsupdates Een update voor een productspecifiek beveiligingsprobleem.
Updatepakketten Een volledige reeks hotfixes die samen zijn verpakt voor een gemakkelijke implementatie.
Functiepakketten Nieuwe productfuncties die buiten een productrelease worden gedistribueerd.
Servicepacks Een volledige reeks hotfixes die worden toegepast op een toepassing.
Definitie-updates Een update voor antivirus- of andere definitiebestanden.
Hulpprogramma's Een hulpprogramma of functie die u helpt een of meerdere taken te voltooien.
Updates Een update voor een toepassing of bestand dat momenteel wordt geïnstalleerd.

In de volgende tabel worden de ondersteunde classificaties voor Linux-updates gedefinieerd.

Classificatie Beschrijving
Essentiële en beveiligingsupdates Updates voor een specifiek probleem of een productspecifiek beveiligingsgerelateerd probleem.
Andere Updates Alle andere updates die niet essentieel zijn of die geen beveiligingsupdates zijn.

Notitie

Updateclassificatie voor Linux-machines is alleen beschikbaar wanneer deze worden gebruikt in ondersteunde openbare Azure-cloudregio's. Er is geen classificatie van Linux-updates bij het gebruik van Updatebeheer in de volgende nationale cloudregio's:

  • Azure US Government
  • 21Vianet in China

In plaats van geclassificeerd te worden, worden updates gerapporteerd onder de categorie Overige updates .

Updatebeheer maakt gebruik van gegevens die zijn gepubliceerd door de ondersteunde distributies, met name de vrijgegeven OVAL-bestanden (Open Vulnerability and Assessment Language). Omdat internettoegang is beperkt vanuit deze nationale clouds, heeft Updatebeheer geen toegang tot de bestanden.

Logica voor classificatie van Linux-updates

  1. Voor evaluatie classificeert Updatebeheer updates in drie categorieën: Beveiliging, Kritiek of Overige. Deze classificatie van updates is overeenkomstig de gegevens uit twee bronnen:

    • Open Vulnerability and Assessment Language(OVAL)-bestanden worden geleverd door de leverancier van linux-distributies, waaronder gegevens over beveiligingsproblemen of beveiligingsproblemen die door de update worden opgelost.
    • Pakketbeheer op uw computer, zoals YUM, APT of ZYPPER.
  2. Voor patching classificeert Updatebeheer updates in twee categorieën: Kritiek en Beveiliging of Anderen. Deze classificatie van updates is uitsluitend gebaseerd op gegevens van pakketbeheer, zoals YUM, APT en ZYPPER.

CentOS : in tegenstelling tot andere distributies beschikt CentOS niet over classificatiegegevens van pakketbeheer. Als u CentOS-computers hebt geconfigureerd om beveiligingsgegevens te retourneren voor de volgende opdracht, kan Updatebeheer patchen op basis van classificaties.

sudo yum -q --security check-update

Notitie

Er is momenteel geen ondersteunde methode voor het inschakelen van systeemeigen beschikbaarheid van classificatiegegevens in CentOS. Op dit moment bieden we beperkte ondersteuning aan klanten die deze functie mogelijk zelf hebben ingeschakeld.

Redhat : als u updates wilt classificeren op Red Hat Enterprise versie 6, moet u de YUM-beveiligingsinvoegtoepassing installeren. Op Red Hat Enterprise Linux 7 maakt de invoegtoepassing al deel uit van YUM zelf en hoeft u niets te installeren. Zie voor meer informatie het volgende kennisartikel van Red Hat.

Updatebeheer integreren met Configuration Manager

Klanten die hebben geïnvesteerd in Microsoft Configuration Manager voor het beheren van pc's, servers en mobiele apparaten, zijn ook afhankelijk van de kracht en volwassenheid van Configuration Manager om software-updates te beheren. Zie Updatebeheer integreren met Windows Configuration Manager voor meer informatie over het integreren van Updatebeheer met Configuration Manager.

Updates van derden in Windows

Updatebeheer is afhankelijk van de lokaal geconfigureerde updateopslagplaats voor het bijwerken van ondersteunde Windows-systemen, WSUS of Windows Update. Met hulpprogramma's zoals System Center Updates Publisher kunt u aangepaste updates importeren en publiceren met WSUS. Met dit scenario kan Updatebeheer machines bijwerken die Configuration Manager gebruiken als hun updateopslagplaats met software van derden. Zie Updates Publisher installeren voor meer informatie over het configureren van Updates Publisher.

Windows Log Analytics-agent bijwerken naar de nieuwste versie

Updatebeheer vereist dat de Log Analytics-agent werkt. U wordt aangeraden windows Log Analytics-agent (ook wel Bekend als Windows Microsoft Monitoring Agent (MMA) bij te werken naar de nieuwste versie om beveiligingsproblemen te verminderen en te profiteren van bugfixes. Log Analytics-agentversies vóór 10.20.18053 (bundel) en 1.0.18053.0 (extensie) gebruiken een oudere methode voor certificaatafhandeling en daarom wordt het niet aanbevolen. Oudere Windows Log Analytics-agents kunnen geen verbinding maken met Azure en Updatebeheer werkt er niet meer aan.

U moet de Log Analytics-agent bijwerken naar de nieuwste versie door de onderstaande stappen uit te voeren:

  1. Controleer de huidige versie van de Log Analytics-agent voor uw computer: ga naar het installatiepad - C:\ProgramFiles\Microsoft Monitoring Agent\Agent en klik met de rechtermuisknop op HealthService.exe om Eigenschappen te controleren. Op het tabblad Details bevat het veld Productversie versienummer van de Log Analytics-agent.

  2. Als uw Log Analytics-agentversie vóór 10.20.18053 (bundel) en 1.0.18053.0 (extensie) valt, voert u een upgrade uit naar de nieuwste versie van de Windows Log Analytics-agent, volgens deze richtlijnen. 

Notitie

Tijdens het upgradeproces kunnen updatebeheerschema's mislukken. Zorg ervoor dat u dit doet wanneer er geen gepland schema is.

Volgende stappen

  • Voordat u Updatebeheer inschakelt en gebruikt, controleert u De implementatie van Updatebeheer plannen.

  • Bekijk veelgestelde vragen over Updatebeheer in de veelgestelde vragen over Azure Automation.