Rozwiązanie do zarządzania aktualizacjami na platformie AzureUpdate Management solution in Azure

Za pomocą rozwiązania Zarządzania aktualizacjami w usłudze Azure Automation można zarządzać aktualizacjami systemu operacyjnego dla komputerów z systemem Windows i Linux na platformie Azure, w środowiskach lokalnych i w innych środowiskach w chmurze.You can use the Update Management solution in Azure Automation to manage operating system updates for your Windows and Linux machines in Azure, in on-premises environments, and in other cloud environments. Można szybko ocenić stan dostępnych aktualizacji na wszystkich komputerach agenta i zarządzać procesem instalowania wymaganych aktualizacji dla serwerów.You can quickly assess the status of available updates on all agent machines and manage the process of installing required updates for servers.

Zarządzanie aktualizacjami dla maszyn wirtualnych (VM) można włączyć przy użyciu następujących metod:You can enable Update Management for virtual machines (VMs) using the following methods:

Uwaga

Rozwiązanie do zarządzania aktualizacjami wymaga połączenia obszaru roboczego usługi Log Analytics z kontem automatyzacji.The Update Management solution requires linking a Log Analytics workspace to your Automation account. Aby uzyskać ostateczną listę obsługiwanych regionów, zobacz Mapowania obszaru roboczego platformy Azure.For a definitive list of supported regions, see Azure Workspace mappings. Mapowania regionu nie wpływają na możliwość zarządzania maszynami wirtualnymi w osobnym regionie z konta automatyzacji.The region mappings don't affect the ability to manage VMs in a separate region from your Automation account.

Uwaga

Ten artykuł został niedawno zaktualizowany, aby użyć terminu Dzienniki usługi Azure Monitor zamiast usługi Log Analytics.This article was recently updated to use the term Azure Monitor logs instead of Log Analytics. Dane dziennika są nadal przechowywane w obszarze roboczym usługi Log Analytics i są nadal zbierane i analizowane przez tę samą usługę analizy dzienników.Log data is still stored in a Log Analytics workspace and is still collected and analyzed by the same Log Analytics service. Aktualizujemy terminologię, aby lepiej odzwierciedlać rolę dzienników w usłudze Azure Monitor.We are updating the terminology to better reflect the role of logs in Azure Monitor. Zobacz zmiany terminologii usługi Azure Monitor, aby uzyskać szczegółowe informacje.See Azure Monitor terminology changes for details.

Dostępny jest szablon usługi Azure Resource Manager, który umożliwia wdrożenie rozwiązania do zarządzania aktualizacjami w nowym lub istniejącym obszarze roboczym usługi Automation i usługi Log Analytics w ramach subskrypcji.An Azure Resource Manager template is available that enables you to deploy the Update Management solution to a new or existing Automation account and Log Analytics workspace in your subscription.

Omówienie rozwiązaniaSolution overview

Maszyny zarządzane przez usługę Zarządzanie aktualizacjami używają następujących konfiguracji do przeprowadzania oceny i aktualizowania wdrożeń:Machines that are managed by Update Management use the following configurations to perform assessment and to update deployments:

  • Agent analizy dzienników dla systemu Windows lub LinuxLog Analytics agent for Windows or Linux
  • Platforma PowerShell Desired State Configuration (DSC) dla systemu LinuxPowerShell Desired State Configuration (DSC) for Linux
  • Hybrydowy proces roboczy elementu runbook usługi AutomationAutomation Hybrid Runbook Worker
  • Usługi Microsoft Update lub Windows Server Update Services (WSUS) dla komputerów z systemem WindowsMicrosoft Update or Windows Server Update Services (WSUS) for Windows machines

Na poniższym diagramie przedstawiono, jak rozwiązanie ocenia i stosuje aktualizacje zabezpieczeń do wszystkich podłączonych komputerów z systemem Windows Server i Linux w obszarze roboczym:The following diagram illustrates how the solution assesses and applies security updates to all connected Windows Server and Linux machines in a workspace:

Przepływ procesu zarządzania aktualizacją

Rozwiązanie Update Management pozwala natywnie dołączać maszyny z różnych subskrypcji do jednej dzierżawy.Update Management can be used to natively onboard machines in multiple subscriptions in the same tenant.

Po wydaniu pakietu trwa od 2 do 3 godzin, aby poprawka pojawiła się na komputerach z systemem Linux do oceny.After a package is released, it takes 2 to 3 hours for the patch to show up for Linux machines for assessment. W przypadku komputerów z systemem Windows łatka po wydaniu aktualizacji trwa od 12 do 15 godzin.For Windows machines, it takes 12 to 15 hours for the patch to show up for assessment after it's been released.

Po zakończeniu skanowania w celu zapewnienia zgodności z aktualizacjami agent przesyła zbiorczo informacje do dzienników usługi Azure Monitor.After a machine completes a scan for update compliance, the agent forwards the information in bulk to Azure Monitor logs. Na komputerze z systemem Windows skanowanie zgodności jest domyślnie uruchamiane co 12 godzin.On a Windows machine, the compliance scan is run every 12 hours by default.

Oprócz harmonogramu skanowania skanowanie w celu zapewnienia zgodności aktualizacji jest inicjowane w ciągu 15 minut od ponownego uruchomienia agenta usługi Log Analytics, przed instalacją aktualizacji i po instalacji aktualizacji.In addition to the scan schedule, the scan for update compliance is initiated within 15 minutes of the Log Analytics agent being restarted, before update installation, and after update installation.

W przypadku komputera z systemem Linux skanowanie zgodności jest domyślnie wykonywane co godzinę.For a Linux machine, the compliance scan is performed every hour by default. Jeśli agent usługi Log Analytics zostanie ponownie uruchomiony, skanowanie zgodności jest inicjowane w ciągu 15 minut.If the Log Analytics agent is restarted, a compliance scan is initiated within 15 minutes.

Rozwiązanie raportuje, jak aktualne urządzenie jest oparte na źródle, z którym chcesz być skonfigurowany do synchronizacji.The solution reports how up to date the machine is based on what source you're configured to sync with. Jeśli komputer z systemem Windows jest skonfigurowany do raportowania do programu WSUS, w zależności od tego, kiedy program WSUS ostatnio zsynchronizowany z usługą Microsoft Update, wyniki mogą różnić się od wyników programu Microsoft Update.If the Windows machine is configured to report to WSUS, depending on when WSUS last synced with Microsoft Update, the results might differ from what Microsoft Update shows. To zachowanie jest takie samo dla komputerów z systemem Linux, które są skonfigurowane do raportowania do lokalnego repozytorium zamiast do publicznego repozytorium.This behavior is the same for Linux machines that are configured to report to a local repo instead of to a public repo.

Uwaga

Aby poprawnie zgłosić się do usługi, zarządzanie aktualizacjami wymaga włączenia niektórych adresów URL i portów.To properly report to the service, Update Management requires certain URLs and ports to be enabled. Aby dowiedzieć się więcej o tych wymaganiach, zobacz Planowanie sieci dla pracowników hybrydowych.To learn more about these requirements, see Network planning for Hybrid Workers.

Aktualizacje oprogramowania można wdrażać i instalować na komputerach, które wymagają aktualizacji, tworząc zaplanowane wdrożenie.You can deploy and install software updates on machines that require the updates by creating a scheduled deployment. Aktualizacje sklasyfikowane jako opcjonalne nie są uwzględniane w zakresie wdrażania dla komputerów z systemem Windows.Updates classified as Optional aren't included in the deployment scope for Windows machines. Tylko wymagane aktualizacje są zawarte w zakresie wdrażania.Only required updates are included in the deployment scope.

Zaplanowane wdrożenie określa, które maszyny docelowe otrzymują odpowiednie aktualizacje.The scheduled deployment defines which target machines receive the applicable updates. Robi to albo jawnie określając niektóre maszyny lub wybierając grupę komputerów, która jest oparta na wyszukiwania dziennika określonego zestawu maszyn (lub na kwerendę platformy Azure, która dynamicznie wybiera maszyny wirtualne platformy Azure na podstawie określonych kryteriów).It does so either by explicitly specifying certain machines or by selecting a computer group that's based on log searches of a specific set of machines (or on an Azure query that dynamically selects Azure VMs based on specified criteria). Grupy te różnią się od konfiguracji zakresu, który jest używany tylko do określenia, które maszyny otrzymują pakiety administracyjne, które umożliwiają rozwiązanie.These groups differ from scope configuration, which is used only to determine which machines get the management packs that enable the solution.

Należy również określić harmonogram zatwierdzania i ustawić okres, w którym można instalować aktualizacje.You also specify a schedule to approve and set a time period during which updates can be installed. Okres ten jest nazywany okno konserwacji.This period is called the maintenance window. 20-minutowy zakres okna konserwacji jest zarezerwowany dla ponownych rozruchów, przy założeniu, że jest potrzebny i wybrano odpowiednią opcję ponownego uruchomienia.A 20-minute span of the maintenance window is reserved for reboots, assuming one is needed and you selected the appropriate reboot option. Jeśli poprawki trwa dłużej niż oczekiwano i jest mniej niż 20 minut w oknie konserwacji, ponowne uruchomienie nie nastąpi.If patching takes longer than expected and there's less than 20 minutes in the maintenance window, a reboot won't occur.

Aktualizacje są instalowane przez elementy runbook w usłudze Azure Automation.Updates are installed by runbooks in Azure Automation. Nie można wyświetlić tych śmiób ekwol umiań i nie wymagają one żadnej konfiguracji.You can't view these runbooks, and they don't require any configuration. Po utworzeniu wdrożenia aktualizacji tworzy harmonogram, który uruchamia element runbook aktualizacji wzorca w określonym czasie dla uwzględnionych maszyn.When an update deployment is created, it creates a schedule that starts a master update runbook at the specified time for the included machines. Główny projekt runbook uruchamia podrzędny system runbook na każdym agencie, aby zainstalować wymagane aktualizacje.The master runbook starts a child runbook on each agent to install the required updates.

W dniu i godzinie określonej we wdrożeniu aktualizacji maszyny docelowe wykonują wdrożenie równolegle.At the date and time specified in the update deployment, the target machines execute the deployment in parallel. Przed instalacją zostanie uruchomione skanowanie w celu sprawdzenia, czy aktualizacje są nadal wymagane.Before installation, a scan is run to verify that the updates are still required. W przypadku komputerów klienckich programu WSUS jeśli aktualizacje nie są zatwierdzone w usłudze WSUS, wdrożenie aktualizacji kończy się niepowodzeniem.For WSUS client machines, if the updates aren't approved in WSUS, update deployment fails.

Komputer zarejestrowany do zarządzania aktualizacjami w więcej niż jednym obszarze roboczym usługi Log Analytics (nazywany również wielohomingiem) nie jest obsługiwany.Having a machine registered for Update Management in more than one Log Analytics workspace (also referred to as multihoming) isn't supported.

KlienciClients

Obsługiwane typy klientówSupported client types

W poniższej tabeli wymieniono obsługiwane systemy operacyjne do oceny aktualizacji.The following table lists the supported operating systems for update assessments. Łatanie wymaga hybrydowego procesu roboczego uruchomieniu. 100.Patching requires a Hybrid Runbook Worker. Aby uzyskać informacje na temat wymagań procesu roboczego hybrydowego systemu Runbook, zobacz przewodniki instalacji dotyczące instalowania procesu roboczego hybrydowego systemu Windows i procesu roboczego hybrydowego systemu Linux.For information on Hybrid Runbook Worker requirements, see the installation guides for installing a Windows Hybrid Runbook Worker and a Linux Hybrid Runbook Worker.

System operacyjnyOperating system UwagiNotes
Windows Server 2019 (centrum danych/centrum danych rdzeń/standard)Windows Server 2019 (Datacenter/Datacenter Core/Standard)

Windows Server 2016 (centrum danych/centrum danych rdzeń/standard)Windows Server 2016 (Datacenter/Datacenter Core/Standard)

Windows Server 2012 R2(Centrum danych/Standard)Windows Server 2012 R2(Datacenter/Standard)

Windows Server 2012Windows Server 2012
Windows Server 2008 R2 (RTM i SP1 Standard)Windows Server 2008 R2 (RTM and SP1 Standard) Zarządzanie aktualizacjami obsługuje tylko wykonywanie ocen dla tego systemu operacyjnego, łatanie nie jest obsługiwane, ponieważ hybrydowy proces roboczy żyjącego nie jest obsługiwany dla systemu Windows Server 2008 R2.Update Management only supports performing assessments for this operating system, patching is not supported as the Hybrid Runbook Worker is not supported for Windows Server 2008 R2.
CentOS 6 (x86/x64) i 7 (x64)CentOS 6 (x86/x64) and 7 (x64) Agenci systemu Linux wymagają dostępu do repozytorium aktualizacji.Linux agents requires access to an update repository. Poprawki oparte na yum klasyfikacji wymagają zwrócenia danych zabezpieczeń, których centos nie ma w swoich wersjach RTM.Classification-based patching requires yum to return security data that CentOS doesn't have in its RTM releases. Aby uzyskać więcej informacji na temat poprawek opartych na klasyfikacji w systemie CentOS, zobacz Aktualizowanie klasyfikacji w systemie Linux.For more information on classification-based patching on CentOS, see Update classifications on Linux.
Red Hat Enterprise 6 (x86/x64) i 7 (x64)Red Hat Enterprise 6 (x86/x64) and 7 (x64) Agenci systemu Linux wymagają dostępu do repozytorium aktualizacji.Linux agents requires access to an update repository.
SUSE Linux Enterprise Server 11 (x86/x64) i 12 (x64)SUSE Linux Enterprise Server 11 (x86/x64) and 12 (x64) Agenci systemu Linux wymagają dostępu do repozytorium aktualizacji.Linux agents requires access to an update repository.
Ubuntu 14.04 LTS, 16.04 LTS i 18.04 (x86/x64)Ubuntu 14.04 LTS, 16.04 LTS, and 18.04 (x86/x64) Agenci systemu Linux wymagają dostępu do repozytorium aktualizacji.Linux agents requires access to an update repository.

Uwaga

Zestawy skalowania maszyny wirtualnej platformy Azure można zarządzać za pomocą usługi Zarządzanie aktualizacjami.Azure virtual machine scale sets can be managed through Update Management. Zarządzanie aktualizacjami działa na samych wystąpieniach, a nie na obrazie podstawowym.Update Management works on the instances themselves and not on the base image. Należy zaplanować aktualizacje w sposób przyrostowy, tak aby nie wszystkie wystąpienia maszyny Wirtualnej są aktualizowane na raz.You'll need to schedule the updates in an incremental way, so that not all the VM instances are updated at once. Można dodać węzły dla zestawów skalowania maszyny wirtualnej, wykonując kroki opisane w obszarze Wbudowana maszyna nienawiązysowaplatformy Azure.You can add nodes for virtual machine scale sets by following the steps under Onboard a non-Azure machine.

Nieobsługiwały typy klientówUnsupported client types

W poniższej tabeli wymieniono nieobsługiwały systemy operacyjne:The following table lists unsupported operating systems:

System operacyjnyOperating system UwagiNotes
Klient systemu WindowsWindows client Klienckie systemy operacyjne (takie jak Windows 7 i Windows 10) nie są obsługiwane.Client operating systems (such as Windows 7 and Windows 10) aren't supported.
Windows Server Nano Server 2016Windows Server 2016 Nano Server Bez pomocy technicznej.Not supported.
Węzły usługi Azure KubernetesAzure Kubernetes Service Nodes Bez pomocy technicznej.Not supported. Użyj procesu wprowadzania poprawek opisanego w sekcji Stosowanie aktualizacji zabezpieczeń i jąder do węzłów systemu Linux w usłudze Azure Kubernetes (AKS)Use the patching process described in Apply security and kernel updates to Linux nodes in Azure Kubernetes Service (AKS)

Wymagania dotyczące klientówClient requirements

W poniższych informacjach opisano wymagania klienta specyficzne dla systemu operacyjnego.The following information describes OS-specific client requirements. Aby uzyskać dodatkowe wskazówki, zobacz Planowanie sieci.For additional guidance, see Network planning.

WindowsWindows

Agenci systemu Windows muszą być skonfigurowani do komunikowania się z serwerem WSUS lub wymagają dostępu do witryny Microsoft Update.Windows agents must be configured to communicate with a WSUS server, or they require access to Microsoft Update.

Można użyć usługi Zarządzanie aktualizacjami w programie Configuration Manager.You can use Update Management with Configuration Manager. Aby dowiedzieć się więcej o scenariuszach integracji, zobacz Integrowanie programu Configuration Manager z zarządzaniem aktualizacjami.To learn more about integration scenarios, see Integrate Configuration Manager with Update Management. Wymagany jest agent systemu Windows usługi Log Analytics.The Log Analytics Windows agent is required. Agent jest instalowany automatycznie, jeśli dołączasz maszynę wirtualną platformy Azure.The agent is installed automatically if you're onboarding an Azure VM.

Domyślnie maszyny wirtualne systemu Windows, które są wdrażane z portalu Azure Marketplace są ustawione do odbierania automatycznych aktualizacji z usługi Windows Update.By default, Windows VMs that are deployed from the Azure Marketplace are set to receive automatic updates from Windows Update Service. To zachowanie nie zmienia się po dodaniu tego rozwiązania lub dodaniu maszyn wirtualnych systemu Windows do obszaru roboczego.This behavior doesn't change when you add this solution or add Windows VMs to your workspace. Jeśli nie będziesz aktywnie zarządzać aktualizacjami przy użyciu tego rozwiązania, stosuje się domyślne zachowanie (do automatycznego stosowania aktualizacji).If you don't actively manage updates by using this solution, the default behavior (to automatically apply updates) applies.

Uwaga

Użytkownik może modyfikować zasady grupy, dzięki czemu ponowne uruchomienie komputera może być wykonywane tylko przez użytkownika, a nie przez system.A user can modify Group Policy so that machine reboots can be performed only by the user, not by the system. Zarządzane maszyny mogą utknąć, jeśli zarządzanie aktualizacjami nie ma praw do ponownego uruchomienia komputera bez ręcznej interakcji użytkownika.Managed machines can get stuck if Update Management doesn't have rights to reboot the machine without manual interaction from the user.

Aby uzyskać więcej informacji, zobacz Konfigurowanie ustawień zasad grupy dla aktualizacji automatycznych.For more information, see Configure Group Policy settings for Automatic Updates.

LinuxLinux

W przypadku systemu Linux komputer wymaga dostępu do repozytorium aktualizacji.For Linux, the machine requires access to an update repository. Repozytorium aktualizacji może być prywatne lub publiczne.The update repository can be private or public. TLS 1.1 lub TLS 1.2 jest wymagane do interakcji z Zarządzanie aktualizacjami.TLS 1.1 or TLS 1.2 is required to interact with Update Management. Agent analizy dzienników dla systemu Linux, który jest skonfigurowany do raportowania do więcej niż jednego obszaru roboczego usługi Log Analytics, nie jest obsługiwany w tym rozwiązaniu.A Log Analytics Agent for Linux that's configured to report to more than one Log Analytics workspace isn't supported with this solution. Urządzenie musi mieć również zainstalowany Python 2.x.The machine must also have Python 2.x installed.

Aby uzyskać informacje na temat instalowania agenta usługi Log Analytics dla systemu Linux i pobierania najnowszej wersji, zobacz Agent analizy dzienników dla systemu Linux.For information about how to install the Log Analytics agent for Linux and to download the latest version, see Log Analytics agent for Linux. Aby uzyskać informacje dotyczące instalowania agenta usługi Log Analytics dla systemu Windows, zobacz Łączenie komputerów z systemem Windows z monitorem Azure.For information about how to install the Log Analytics agent for Windows, see Connect Windows computers to Azure Monitor.

Maszyny wirtualne, które zostały utworzone na żądanie Red Hat Enterprise Linux (RHEL) obrazy, które są dostępne w portalu Azure Marketplace są rejestrowane w celu uzyskania dostępu do red hat update infrastructure (RHUI), który jest wdrażany na platformie Azure.VMs that were created from the on-demand Red Hat Enterprise Linux (RHEL) images that are available in the Azure Marketplace are registered to access the Red Hat Update Infrastructure (RHUI) that's deployed in Azure. Każda inna dystrybucja Linuksa musi być aktualizowana z internetowego repozytorium plików dystrybucji przy użyciu obsługiwanych metod dystrybucji.Any other Linux distribution must be updated from the distribution's online file repository by using the distribution's supported methods.

UprawnieniaPermissions

Aby utworzyć wdrożenia aktualizacji i zarządzać nimi, potrzebujesz określonych uprawnień.To create and manage update deployments, you need specific permissions. Aby dowiedzieć się więcej o tych uprawnieniach, zobacz Dostęp oparty na rolach — Zarządzanie aktualizacjami.To learn about these permissions, see Role-based access – Update Management.

Składniki rozwiązaniaSolution components

Rozwiązanie składa się z następujących zasobów.The solution consists of the following resources. Te zasoby są automatycznie dodawane do konta automatyzacji po włączeniu rozwiązania.These resources are automatically added to your Automation account when you enable the solution.

Grupy hybrydowych procesów roboczychHybrid Worker groups

Po włączeniu tego rozwiązania każdy komputer z systemem Windows, który jest bezpośrednio połączony z obszarem roboczym usługi Log Analytics jest automatycznie konfigurowany jako hybrydowy proces roboczy systemu runbook do obsługi żyłastek, które są zawarte w tym rozwiązaniu.After you enable this solution, any Windows machine that's directly connected to your Log Analytics workspace is automatically configured as a Hybrid Runbook Worker to support the runbooks that are included in this solution.

Każdy komputer z systemem Windows, który jest zarządzany przez rozwiązanie jest wymieniony w hybrydowym grup roboczych grup okienka jako grupa hybrydowych procesów roboczych systemu dla konta automatyzacji.Each Windows machine that's managed by the solution is listed in the Hybrid worker groups pane as a System hybrid worker group for the Automation account. Rozwiązania używają konwencji nazewnictwa FQDN_GUID nazwa hosta.The solutions use the Hostname FQDN_GUID naming convention. Nie możesz kierować reklam do tych grup z plikami runbook na koncie.You can't target these groups with runbooks in your account. Jeśli spróbujesz, próba zakończy się niepowodzeniem.If you try, the attempt fails. Te grupy są przeznaczone do obsługi tylko tego rozwiązania do zarządzania.These groups are intended to support only this management solution.

Komputer z systemem Windows można dodać do grupy hybrydowego pracownika żyła roboczej na koncie automatyzacji, aby obsługiwać elementy runbook automatyzacji, jeśli używasz tego samego konta zarówno dla rozwiązania, jak i członkostwa w grupie hybrydowego systemu runbook.You can add the Windows machine to a Hybrid Runbook Worker group in your Automation account to support Automation runbooks if you use the same account for both the solution and the Hybrid Runbook Worker group membership. Ta funkcja została dodana w wersji 7.2.12024.0 hybrydowego procesu roboczego uruchomieniu. .This functionality was added in version 7.2.12024.0 of the Hybrid Runbook Worker.

Pakiety administracyjneManagement packs

Jeśli grupa zarządzania programu System Center Operations Manager jest połączona z obszarem roboczym usługi Log Analytics,w programie Operations Manager są zainstalowane następujące pakiety administracyjne.If your System Center Operations Manager management group is connected to a Log Analytics workspace, the following management packs are installed in Operations Manager. Te pakiety administracyjne są również instalowane na bezpośrednio podłączonych komputerach z systemem Windows po dodaniu rozwiązania.These management packs are also installed on directly connected Windows machines after you add the solution. Pakietów administracyjnych nie trzeba konfigurować ani zarządzać nimi.You don't need to configure or manage these management packs.

  • Microsoft System Center Advisor Update Assessment Intelligence Pack (Microsoft.IntelligencePacks.UpdateAssessment)Microsoft System Center Advisor Update Assessment Intelligence Pack (Microsoft.IntelligencePacks.UpdateAssessment)
  • Microsoft.IntelligencePack.UpdateAssessment.Configuration (Microsoft.IntelligencePack.UpdateAssessment.Configuration)Microsoft.IntelligencePack.UpdateAssessment.Configuration (Microsoft.IntelligencePack.UpdateAssessment.Configuration)
  • Pakiet administracyjny wdrożenia aktualizacjiUpdate Deployment MP

Uwaga

Jeśli masz grupę zarządzania programu Operations Manager 1807 lub 2019 połączoną z obszarem roboczym usługi Log Analytics z agentami skonfigurowanymi w grupie zarządzania do zbierania danych dziennika, musisz zastąpić następującą regułę, aby zarządzać nimi za pomocą zarządzania aktualizacjami: Zastąp parametr IsAutoRegistrationEnabled i ustaw wartość True w regule Microsoft.IntelligencePacks.AzureAutomation.HybridAgent.Init.If you have an Operations Manager 1807 or 2019 management group connected to a Log Analytics workspace with agents configured in the management group to collect log data, you need to override the following rule in order to manage them with Update Management: Override the parameter IsAutoRegistrationEnabled and set to True in the Microsoft.IntelligencePacks.AzureAutomation.HybridAgent.Init rule.

Aby uzyskać więcej informacji na temat aktualizowanania pakietów administracyjnych rozwiązań, zobacz Łączenie dzienników programu Operations Manager z usługą Azure Monitor.For more information about how solution management packs are updated, see Connect Operations Manager to Azure Monitor logs.

Uwaga

W przypadku komputerów z agentem Menedżer operacji, które mają być w pełni zarządzane przez zarządzanie aktualizacjami, agent musi zostać zaktualizowany do agenta usługi Log Analytics dla systemu Windows lub Linux.For machines with the Operations Manger agent, to be fully managed by Update Management, the agent must be updated to the Log Analytics agent for Windows or Linux. Aby dowiedzieć się, jak zaktualizować agenta, zobacz Jak uaktualnić agenta programu Operations Manager.To learn how to update the agent, see How to upgrade an Operations Manager agent. W środowiskach korzystających z programu Operations Manager należy uruchomić program System Center Operations Manager 2012 R2 UR 14 lub nowszą.In environments that use Operations Manager, you must be running System Center Operations Manager 2012 R2 UR 14 or later.

Zbieranie danychData collection

Obsługiwani agenciSupported agents

W poniższej tabeli opisano połączone źródła obsługiwane przez to rozwiązanie:The following table describes the connected sources that this solution supports:

Połączone źródłoConnected source ObsługiwaneSupported OpisDescription
Agenci dla systemu WindowsWindows agents TakYes Rozwiązanie zbiera informacje o aktualizacjach systemu od agentów systemu Windows, a następnie inicjuje instalację wymaganych aktualizacji.The solution collects information about system updates from Windows agents and then initiates installation of required updates.
Agenci dla systemu LinuxLinux agents TakYes Rozwiązanie zbiera informacje o aktualizacjach systemu od agentów systemu Linux, a następnie inicjuje instalację wymaganych aktualizacji w obsługiwanych dystrybucjach.The solution collects information about system updates from Linux agents and then initiates installation of required updates on supported distributions.
Grupa zarządzania programu Operations ManagerOperations Manager management group TakYes Rozwiązanie zbiera informacje o aktualizacjach systemu z agentów w połączonej grupie zarządzania.The solution collects information about system updates from agents in a connected management group.

Bezpośrednie połączenie z agentem programu Operations Manager do dzienników usługi Azure Monitor nie jest wymagane.A direct connection from the Operations Manager agent to Azure Monitor logs isn't required. Dane są przekazywane z grupy zarządzania do obszaru roboczego usługi Log Analytics.Data is forwarded from the management group to the Log Analytics workspace.

Częstotliwość zbieraniaCollection frequency

Skanowanie jest wykonywane dwa razy dziennie dla każdego zarządzanego komputera z systemem Windows.A scan is performed twice per day for each managed Windows machine. Co 15 minut interfejs API systemu Windows jest wywoływany do wykonywania zapytań o ostatni czas aktualizacji w celu ustalenia, czy stan uległ zmianie.Every 15 minutes, the Windows API is called to query for the last update time to determine whether the status has changed. Jeśli stan uległ zmianie, zostanie zainicjowane skanowanie zgodności.If the status has changed, a compliance scan is initiated.

Skanowanie jest wykonywane co godzinę dla każdego zarządzanego komputera z systemem Linux.A scan is performed every hour for each managed Linux machine.

Może upłynąć od 30 minut do 6 godzin, aby pulpit nawigacyjny wyświetlił zaktualizowane dane z zarządzanych komputerów.It can take between 30 minutes and 6 hours for the dashboard to display updated data from managed machines.

Średnie użycie danych przez dzienniki usługi Azure Monitor dla komputera przy użyciu usługi Zarządzanie aktualizacjami wynosi około 25 megabajtów (MB) miesięcznie.The average data usage by Azure Monitor logs for a machine using Update Management is approximately 25 megabytes (MB) per month. Ta wartość jest tylko przybliżeniem i może ulec zmianie, w zależności od środowiska.This value is only an approximation and is subject to change, depending on your environment. Zaleca się monitorowanie środowiska, aby śledzić dokładne użycie.We recommend that you monitor your environment to keep track of your exact usage. Aby uzyskać więcej informacji do analizy użycia danych, zobacz Zarządzanie użyciem i kosztem.For more information to analyze data usage, see Manage usage and cost.

Planowanie sieciNetwork planning

Następujące adresy są wymagane specjalnie dla zarządzania aktualizacjami.The following addresses are required specifically for Update Management. Komunikacja z tymi adresami odbywa się za porcie 443.Communication to these addresses occurs over port 443.

Azure — publicznaAzure Public Azure GovernmentAzure Government
*.ods.opinsights.azure.com*.ods.opinsights.azure.com *.ods.opinsights.azure.us*.ods.opinsights.azure.us
*.oms.opinsights.azure.com*.oms.opinsights.azure.com *.oms.opinsights.azure.us*.oms.opinsights.azure.us
*.blob.core.windows.net*.blob.core.windows.net *.blob.core.usgovcloudapi.net*.blob.core.usgovcloudapi.net
*.azure-automation.net*.azure-automation.net *.azure-automation.us*.azure-automation.us

W przypadku komputerów z systemem Windows należy również zezwolić na ruch do wszystkich punktów końcowych wymaganych przez usługę Windows Update.For Windows machines, you must also allow traffic to any endpoints required by Windows Update. Zaktualizowaną listę wymaganych punktów końcowych można znaleźć w części Problemy związane z protokołem HTTP/Proxy.You can find an updated list of required endpoints in Issues related to HTTP/Proxy. Jeśli masz lokalny serwer Windows Update,musisz również zezwolić na ruch na serwerze określonym w kluczu programu WSUS.If you have a local Windows Update server, you must also allow traffic to the server specified in your WSUS key.

W przypadku komputerów z systemem Linux Red Hat zobacz punkty IP dla serwerów dostarczania zawartości RHUI dla wymaganych punktów końcowych.For Red Hat Linux machines, see IPs for the RHUI content delivery servers for required endpoints. W przypadku innych dystrybucji systemu Linux zobacz dokumentację dostawcy.For other Linux distributions, see your provider documentation.

Aby uzyskać więcej informacji na temat portów wymaganych dla hybrydowego procesu roboczego uruchomieniu, zobacz Porty roli proces roboczy hybrydowy.For more information about ports required for the Hybrid Runbook Worker, see Hybrid Worker role ports.

Zaleca się używanie adresów wymienionych podczas definiowania wyjątków.We recommend that you use the addresses listed when defining exceptions. W przypadku adresów IP można pobrać zakresy adresów IP centrum danych platformy Microsoft Azure.For IP addresses, you can download Microsoft Azure Datacenter IP ranges. Ten plik jest aktualizowany co tydzień i odzwierciedla aktualnie wdrożone zakresy i wszelkie nadchodzące zmiany w zakresach adresów IP.This file is updated weekly, and it reflects the currently deployed ranges and any upcoming changes to the IP ranges.

Postępuj zgodnie z instrukcjami w connect komputerów bez dostępu do Internetu, aby skonfigurować maszyny, które nie mają dostępu do Internetu.Follow the instructions in Connect computers without internet access to configure machines that don't have internet access.

Klasyfikacje aktualizacjiUpdate classifications

W poniższych tabelach przedstawiono klasyfikacje aktualizacji w zarządzania aktualizacjami z definicją dla każdej klasyfikacji.The following tables list the update classifications in Update Management, with a definition for each classification.

WindowsWindows

KlasyfikacjaClassification OpisDescription
Aktualizacje krytyczneCritical updates Aktualizacja określonego problemu, który rozwiązuje krytyczny błąd niezwiązany z zabezpieczeniami.An update for a specific problem that addresses a critical, non-security-related bug.
Aktualizacje zabezpieczeńSecurity updates Aktualizacja problemu związanego z zabezpieczeniami specyficznym dla produktu.An update for a product-specific, security-related issue.
Pakiety zbiorcze aktualizacjiUpdate rollups Skumulowany zestaw poprawek, które są pakowane razem w celu łatwego wdrożenia.A cumulative set of hotfixes that are packaged together for easy deployment.
Pakiety funkcjiFeature packs Nowe funkcje produktu, które są dystrybuowane poza wydaniem produktu.New product features that are distributed outside a product release.
Dodatki Service PackService packs Skumulowany zestaw poprawek, które są stosowane do aplikacji.A cumulative set of hotfixes that are applied to an application.
Aktualizacje definicjiDefinition updates Aktualizacja do wirusów lub innych plików definicji.An update to virus or other definition files.
NarzędziaTools Narzędzie lub funkcja, która pomaga wykonać jedno lub więcej zadań.A utility or feature that helps complete one or more tasks.
AktualizacjeUpdates Aktualizacja aplikacji lub pliku, który jest aktualnie zainstalowany.An update to an application or file that currently is installed.

LinuxLinux

KlasyfikacjaClassification OpisDescription
Aktualizacje krytyczne i zabezpieczeńCritical and security updates Aktualizacje dotyczące określonego problemu lub problemu związanego z zabezpieczeniami specyficznego dla produktu.Updates for a specific problem or a product-specific, security-related issue.
Inne aktualizacjeOther updates Wszystkie inne aktualizacje, które nie mają charakteru krytycznego lub nie są aktualizacjami zabezpieczeń.All other updates that aren't critical in nature or that aren't security updates.

W systemie Linux zarządzanie aktualizacjami może rozróżniać aktualizacje krytyczne i aktualizacje zabezpieczeń w chmurze podczas wyświetlania danych oceny z powodu wzbogacania danych w chmurze.For Linux, Update Management can distinguish between critical updates and security updates in the cloud while displaying assessment data due to data enrichment in the cloud. W przypadku poprawek zarządzanie aktualizacjami opiera się na danych klasyfikacji dostępnych na komputerze.For patching, Update Management relies on classification data available on the machine. W przeciwieństwie do innych dystrybucji, CentOS nie ma tych informacji dostępnych w wersji RTM.Unlike other distributions, CentOS does not have this information available in the RTM version. Jeśli masz maszyny CentOS skonfigurowane do zwracania danych zabezpieczeń dla następującego polecenia, zarządzanie aktualizacjami może łatać się na podstawie klasyfikacji.If you have CentOS machines configured to return security data for the following command, Update Management can patch based on classifications.

sudo yum -q --security check-update

Obecnie nie ma żadnej obsługiwanej metody, aby włączyć dostępność danych natywnych klasyfikacji w CentOS.There's currently no supported method to enable native classification-data availability on CentOS. W tej chwili klientom, którzy mogli włączyć tę funkcję, jest dostępna tylko najlepsza pomoc techniczna.At this time, only best-effort support is provided to customers who might have enabled this on their own.

Aby sklasyfikować aktualizacje w red hat enterprise w wersji 6, musisz zainstalować wtyczkę yum-security.To classify updates on Red Hat Enterprise version 6, you need to install the yum-security plugin. Na Red Hat Enterprise Linux 7 wtyczka jest już częścią samego mniam, nie ma potrzeby instalowania czegokolwiek.On Red Hat Enterprise Linux 7, the plugin is already a part of yum itself, there is no need to install anything. Aby uzyskać więcej informacji, zobacz następujący artykuł merytorycznyRed Hat .For further information, see the following Red Hat knowledge article.

Integracja z programem Configuration ManagerIntegrate with Configuration Manager

Klienci, którzy zainwestowali w program Microsoft Endpoint Configuration Manager w zakresie zarządzania komputerami, serwerami i urządzeniami przenośnymi, również polegają na sile i dojrzałości programu Configuration Manager, aby pomóc im w zarządzaniu aktualizacjami oprogramowania.Customers who have invested in Microsoft Endpoint Configuration Manager for managing PCs, servers, and mobile devices also rely on the strength and maturity of Configuration Manager to help them manage software updates. Program Configuration Manager jest częścią cyklu zarządzania aktualizacjami oprogramowania (SUM).Configuration Manager is part of their software update management (SUM) cycle.

Aby dowiedzieć się, jak zintegrować rozwiązanie do zarządzania z programem Configuration Manager, zobacz Integrowanie programu Menedżer konfiguracji z zarządzaniem aktualizacjami.To learn how to integrate the management solution with Configuration Manager, see Integrate Configuration Manager with Update Management.

Aktualizacje innych firm w systemie WindowsThird-party updates on Windows

Usługa Update Management opiera się na lokalnie skonfigurowanym repozytorium aktualizacji w celu aktualizacji obsługiwanych systemów Windows.Update Management relies on the locally configured update repository to update supported Windows systems. Jest to usługa WSUS lub Windows Update.This is either WSUS or Windows Update. Narzędzia, takie jak Program System Center Updates Publisher (Updates Publisher), umożliwiają importowanie i publikowanie aktualizacje niestandardowych w programie WSUS.Tools like System Center Updates Publisher (Updates Publisher) allows you to import and publish custom updates with WSUS. W tym scenariuszu usługa Zarządzanie aktualizacjami umożliwia aktualizowanie maszyn korzystających z programu Configuration Manager jako repozytorium aktualizacji z oprogramowaniem innych firm.This scenario allows Update Management to update machines that use Configuration Manager as their update repository with third-party software. Aby dowiedzieć się, jak skonfigurować program Updates Publisher, zobacz Instalowanie programu Publisher aktualizacji.To learn how to configure Updates Publisher, see Install Updates Publisher.

Włącz zarządzanie aktualizacjamiEnable Update Management

Aby rozpocząć aktualizowanie systemów, należy włączyć rozwiązanie do zarządzania aktualizacjami.To begin updating systems, you need to enable the Update Management solution. Poniżej przedstawiono zalecane i obsługiwane metody dołączania rozwiązania:The following are the recommended and supported methods to onboard the solution:

Następne krokiNext steps

Zapoznaj się z często zadawanymi pytaniami dotyczącymi usługi Azure Automation, aby przejrzeć typowe pytania dotyczące tego rozwiązania.Review the Azure Automation FAQ to review common questions about this solution.