Visão geral do Gerenciamento de Atualizações

Você pode usar o Gerenciamento de Atualizações na Automação do Azure para gerenciar atualizações do sistema operacional para suas máquinas virtuais do Windows e do Linux no Azure, físicas ou VMs em ambientes locais e em outros ambientes de nuvem. Você pode rapidamente avaliar o status de atualizações disponíveis e gerenciar o processo de instalação das atualizações necessárias para as máquinas que relatam para o Gerenciamento de Atualizações.

Como um provedor de serviços, é provável que você tenha integrado vários locatários ao Azure Lighthouse. O Gerenciamento de Atualizações pode ser usado para avaliar e agendar implantações de atualização em máquinas em várias assinaturas no mesmo locatário do Azure AD (Azure Active Directory) ou entre locatários usando o Azure Lighthouse.

A Microsoft oferece outros recursos para ajudá-lo a gerenciar atualizações para suas VMs do Azure ou conjuntos de dimensionamento de máquinas virtuais do Azure que você deve considerar como parte de sua estratégia geral de gerenciamento de atualizações.

  • Se você estiver interessado em avaliar e atualizar automaticamente suas máquinas virtuais do Azure para manter a conformidade de segurança com as atualizações críticas e de segurança lançadas a cada mês, consulte Aplicação de patch automática de convidado da VM (versão prévia). Essa é uma solução alternativa de gerenciamento de atualizações para suas VMs do Azure para atualizá-las automaticamente fora do horário de pico, incluindo VMs dentro de um conjunto de disponibilidade, em comparação com o gerenciamento de implantações de atualização para essas VMs do Gerenciamento de Atualizações na Automação do Azure.

  • Se você gerenciar conjuntos de dimensionamento de máquinas virtuais do Azure, revise como executar atualizações automáticas de imagem do sistema operacional para atualizar com segurança e de forma automática o disco do sistema operacional para todas as instâncias no conjunto de dimensionamento.

Antes de implantar o Gerenciamento de Atualizações e habilitar seus computadores para gerenciamento, verifique se você entendeu as informações nas seções a seguir.

Sobre o Gerenciamento de Atualizações

O diagrama a seguir ilustra como o Gerenciamento de Atualizações avalia e aplica atualizações de segurança em todos os servidores conectados do Windows Server e Linux.

Update Management workflow

O Gerenciamento de Atualizações integra-se aos logs do Azure Monitor para armazenar avaliações de atualização e atualizar os resultados da implantação como dados de log, de máquinas atribuídas do Azure e não Azure. Para coletar esses dados, a Conta de Automação e o workspace do Log Analytics são vinculados e o agente do Log Analytics para Windows e Linux é necessário no computador e configurado para relatar a esse workspace.

O Gerenciamento de Atualizações dá suporte à coleta de informações sobre atualizações do sistema de agentes em um grupo de gerenciamento System Center Operations Manager conectado ao workspace. Registrar um computador para Gerenciamento de Atualizações em mais de um workspace do Log Analytics (também chamado de hospedagem múltipla) não é um procedimento compatível.

A tabela a seguir resume as fontes conectadas com suporte com Gerenciamento de Atualizações.

Fonte conectada Com suporte Descrição
Windows Sim O Gerenciamento de Atualizações coleta informações sobre atualizações do sistema de computadores com Windows com o agente do Log Analytics e a instalação de atualizações necessárias.
Os computadores precisam relatar para Microsoft Update ou WSUS (Windows Server Update Services).
Linux Sim O Gerenciamento de Atualizações coleta informações sobre atualizações do sistema de computadores com Linux com o agente do Log Analytics e a instalação de atualizações necessárias em distribuições com suporte.
Os computadores precisam relatar para um repositório local ou remoto.
Grupo de gerenciamento do Operations Manager Sim O Gerenciamento de Atualizações coleta informações sobre atualizações de software de agentes em um grupo de gerenciamento conectado.

Não é necessária uma conexão direta entre o agente do Operations Manager e os logs do Azure Monitor. Os dados de log são encaminhados do grupo de gerenciamento para o workspace do Log Analytics.

Os computadores atribuídos ao Gerenciamento de Atualizações relatam o nível de atualização com base na origem com a qual eles estão configurados para sincronizar. Os computadores com Windows precisam ser configurados para relatar para Windows Server Update Services ou Microsoft Update, e os computadores com Linux precisam ser configurados para relatar a um repositório local ou público. Você também pode usar o Gerenciamento de Atualizações com o Microsoft Endpoint Configuration Manager; para saber mais, confira Integrar o Gerenciamento de Atualizações com o Windows Endpoint Configuration Manager.

Se WUA (Agente do Windows Update) no computador do Windows estiver configurado para relatar ao WSUS, dependendo de quando o WSUS tiver sincronizado pela última vez com o Microsoft Update, os resultados podem ser diferentes do que é mostrado pelo Microsoft Update. Esse comportamento é o mesmo para computadores com Linux configurados para relatar a um repositório local em vez de um repositório público. Em um computador com Windows, a verificação de conformidade é executada a cada 12 horas por padrão. Para um computador com Linux, a verificação de conformidade é executada a cada hora por padrão. Se o agente do Log Analytics for reiniciado, uma verificação de conformidade será iniciada dentro de 15 minutos. Quando um computador conclui uma verificação de conformidade de atualizações, o agente encaminha as informações em massa para os Logs do Azure Monitor.

Você pode implantar e instalar atualizações de software em computadores que precisam de atualizações, criando uma implantação agendada. As atualizações classificadas como opcionais não são incluídas no escopo de implantação para computadores com Windows. Somente as atualizações necessárias são incluídas no escopo de implantação.

A implantação agendada define quais computadores de destino recebem as atualizações aplicáveis. Ele faz isso especificando explicitamente determinados computadores ou selecionando um grupo de computadores com base em pesquisas de logs de um conjunto específico de computadores (ou com base em uma consulta do Azure que seleciona dinamicamente as VMs do Azure com base em critérios especificados). Esses grupos diferem da configuração de escopo, que é usada para controlar o direcionamento de computadores que recebem a configuração para habilitar o Gerenciamento de Atualizações. Isso impede que eles executem e relatem a conformidade de atualizações e instalem atualizações necessárias aprovadas.

Ao definir uma implantação, você também pode especificar uma agenda para aprovar e definir um período de tempo durante o qual as atualizações podem ser instaladas. Esse período é chamado de janela de manutenção. Um período de 10 minutos da janela de manutenção é reservado para reinicializações, supondo que uma seja necessária e você tenha selecionado a opção de reinicialização apropriada. Se a aplicação de patch demorar mais do que o esperado e houver menos de 10 minutos na janela de manutenção, uma reinicialização não ocorrerá.

Depois que um pacote de atualização é agendado para implantação, leva de duas a três horas para a atualização aparecer nos computadores com Linux para avaliação. Para computadores com Windows, leva de 12 a 15 horas para que o lançamento de uma atualização seja exibida para avaliação. Antes e após a instalação da atualização, uma verificação de conformidade de atualização é executada e os resultados dos dados de log são encaminhados para o workspace.

As atualizações são instaladas por runbooks na Automação do Azure. Você não consegue exibir esses runbooks e eles não exigem nenhuma configuração. Quando uma implantação de atualizações é criada, ela cria uma agenda que inicia um runbook de atualização mestre no momento especificado para os computadores incluídos. O runbook mestre inicia um runbook filho em cada agente que inicia a instalação das atualizações necessárias com o agente do Windows Update no Windows ou o comando aplicável na distribuição do Linux com suporte.

Na data e hora especificadas na implantação da atualização, os computadores de destino executam a implantação em paralelo. Antes da instalação, uma verificação é executada para verificar se as atualizações ainda são necessárias. Para computadores cliente WSUS, se as atualizações não forem aprovadas no WSUS, a implantação da atualização falhará.

Limites

Para ver os limites que se aplicam ao Gerenciamento de Atualizações, confira Limites de serviço da Automação do Azure.

Permissões

Para criar e gerenciar implantações de atualização, você precisa ter permissões específicas. Para saber mais sobre essas permissões, consulte Acesso baseado em Função - Gerenciamento de Atualizações.

Componentes do Gerenciamento de Atualizações

O Gerenciamento de Atualizações usa os recursos descritos nesta seção. Esses recursos são adicionados automaticamente à sua conta de Automação quando você habilita o Gerenciamento de Atualizações.

Grupos de Runbook Worker Híbrido

Depois que você habilita o Gerenciamento de Atualizações, qualquer computador com Windows conectado diretamente a seu workspace do Log Analytics é automaticamente configurado como um sistema Hybrid Runbook Worker para dar suporte aos runbooks compatíveis com o Gerenciamento de Atualizações.

Cada computador com Windows que é gerenciado pelo Gerenciamento de Atualizações é listado no painel de grupos do Hybrid Worker como um grupo do Hybrid Worker do sistema para a conta de Automação. Os grupos usam a convenção de nomenclatura Hostname FQDN_GUID. Não é possível direcionar esses grupos com runbooks em sua conta. Se você tentar fazê-lo, a tentativa falhará. Esses grupos são destinados a dar suporte somente ao Gerenciamento de Atualizações. Para saber mais sobre como exibir a lista de computadores Windows configurados como um Hybrid Runbook Worker, confira Exibir Hybrid Runbook Workers.

Você pode adicionar o computador com Windows a um usuário do grupo do Hybrid Runbook Worker em sua conta de Automação para dar suporte a runbooks de Automação se você usar a mesma conta para o Gerenciamento de Atualizações e para a associação de grupo do Hybrid Runbook Worker. Essa funcionalidade foi adicionada à versão 7.2.12024.0 do Hybrid Runbook Worker.

Dependências externas

O Gerenciamento de Atualizações da Automação do Azure depende das dependências externas a seguir para fornecer atualizações de software.

  • O WSUS (Windows Server Update Services) ou o Microsoft Update é necessário para os pacotes de atualizações de software e para a verificação de aplicabilidade das atualizações de software nos computadores baseados em Windows.
  • O cliente do WUA (Windows Update Agent) é necessário em computadores baseados em Windows para que eles possam se conectar ao servidor do WSUS ou ao Microsoft Update.
  • Um repositório local ou remoto para recuperar e instalar atualizações do sistema operacional em computadores baseados em Linux.

Pacotes de gerenciamento

Os pacotes de gerenciamento a seguir são instalados nos computadores gerenciados pelo Gerenciamento de Atualizações. Se o grupo de gerenciamento do Operations Manager estiver conectado a um workspace do Log Analytics, os pacotes de gerenciamento serão instalados no grupo de gerenciamento do Operations Manager. Você não precisa configurar ou gerenciar esses pacotes de gerenciamento.

  • Microsoft System Center Advisor Update Assessment Intelligence Pack (Microsoft.IntelligencePacks.UpdateAssessment)
  • Microsoft.IntelligencePack.UpdateAssessment.Configuration (Microsoft.IntelligencePack.UpdateAssessment.Configuration)
  • MP de Implantação de Atualizações

Observação

Se você tiver um grupo de gerenciamento do Operations Manager 1807 ou 2019 conectado a um workspace do Log Analytics com agentes configurados no grupo de gerenciamento para coletar dados de log, será necessário substituir o parâmetro IsAutoRegistrationEnabled e defini-lo como True na regra Microsoft.IntelligencePacks.AzureAutomation.HybridAgent.Init.

Para obter mais informações sobre atualizações para pacotes de gerenciamento, confira Conectar o Operations Manager aos logs do Azure Monitor.

Observação

Para que o Gerenciamento de Atualizações gerencie totalmente os computadores com o agente do Log Analytics, você precisa atualizar para o agente do Log Analytics para Windows ou o agente do Log Analytics para Linux. Para saber como atualizar o agente, consulte como atualizar um agente do Operations Manager. Em ambientes que usam o Operations Manager, você precisa estar executando o System Center Operations Manager 2012 R2 UR 14 ou posterior.

Frequência da coleta de dados

O Gerenciamento de Atualizações verifica os dados em computadores gerenciados usando as regras a seguir. Pode demorar entre 30 minutos e seis horas para o painel exibir os dados atualizados dos computadores gerenciados.

  • Cada computador com Windows – o Gerenciamento de Atualizações faz uma verificação duas vezes por dia para cada computador.

  • Cada computador com Linux – o Gerenciamento de Atualizações faz uma verificação a cada hora.

A média de uso de dados por logs do Azure Monitor para um computador usando o Gerenciamento de Atualizações é de aproximadamente 25 MB por mês. Esse valor é somente uma aproximação e está sujeito a alterações, dependendo do seu ambiente. Recomendamos que você monitore seu ambiente para controlar seu uso exato. Para obter mais informações sobre como analisar o uso de dados dos Logs do Azure Monitor, consulte os detalhes de preços dos Logs do Azure Monitor.

Classificações de origem

A tabela a seguir define as classificações compatíveis com o Gerenciamento de Atualizações para atualizações do Windows.

classificação Descrição
Atualizações críticas Uma atualização para um problema específico que aborda um bug crítico não relacionado à segurança.
Atualizações de segurança Uma atualização para um problema específico do produto relacionadas à segurança.
Pacotes cumulativos de atualização Um conjunto cumulativo de hotfixes que são reunidos para facilitar a implantação.
Feature packs Novos recursos do produto que são distribuídos fora de uma versão do produto.
Service packs Um conjunto cumulativo de hotfixes que são aplicados a um aplicativo.
Atualizações de definição Uma atualização para vírus ou outros arquivos de definição.
Ferramentas Um utilitário ou recurso que ajuda a concluir uma ou mais tarefas.
Atualizações Uma atualização para um aplicativo ou arquivo que está atualmente instalado.

A tabela a seguir define as classificações compatíveis para atualizações do Linux.

classificação Descrição
Atualizações críticas ou de segurança Atualizações para um problema específico ou um problema relacionado à segurança específico do produto.
Outras atualizações Todas as outras atualizações que não são críticas nem de segurança.

Observação

A classificação de atualizações para computadores Linux só está disponível quando usada em regiões de nuvem pública do Azure com suporte. Não há nenhuma classificação de atualizações do Linux ao usar o Gerenciamento de Atualizações nas seguintes regiões nacionais de nuvem:

  • Azure US Government
  • 21Vianet na China

Em vez de serem classificadas, as atualizações são relatadas na categoria Outras atualizações.

O Gerenciamento de Atualizações usa os dados publicados pelas distribuições com suporte, especificamente seus arquivos lançados de OVAL (linguagem de avaliação e de vulnerabilidade aberta). Como o acesso à Internet é restrito a nessas nuvens nacionais, o Gerenciamento de Atualizações não pode acessar os arquivos.

Para o Linux, o Gerenciamento de Atualizações pode distinguir entre atualizações críticas e de segurança na nuvem sob a classificação Segurança e Outros, enquanto exibe dados de avaliação devido ao enriquecimento de dados na nuvem. Para aplicação de patch, o Gerenciamento de Atualizações se baseia em dados de classificação disponíveis no computador. Ao contrário de outras distribuições, o CentOS não tem essas informações disponíveis na versão RTM. Se você tiver computadores CentOS configurados para retornar dados de segurança para o comando a seguir, o Gerenciamento de Atualizações poderá aplicar patch com base em classificações.

sudo yum -q --security check-update

Atualmente, não há nenhum método compatível para habilitar a disponibilidade de dados nativos de classificação em CentOS. No momento é fornecido suporte limitado aos clientes que podem ter habilitado esse recurso por conta própria.

Para classificar atualizações no Red Hat Enterprise versão 6, você precisa instalar o plug-in yum-security. No Red Hat Enterprise Linux 7, esse plug-in já faz parte do yum propriamente dito e não há necessidade de instalar nada. Para obter mais informações, confira o artigo de conhecimento do Red Hat a seguir.

Quando você agenda uma atualização para ser executada em um computador Linux, que está configurada, por exemplo, para instalar somente as atualizações que correspondem à classificação de Segurança, as atualizações instaladas podem ser diferentes de ou são subconjuntos das atualizações correspondentes a essa classificação. Quando uma avaliação das atualizações do SO pendentes para seu computador Linux é realizada, os arquivos OVAL (Linguagem Aberta de Avaliação e Vulnerabilidades) fornecidos pelo fornecedor de distribuição Linux são usados pelo Gerenciamento de Atualizações para classificação.

A categorização é feita para atualizações do Linux como Segurança ou Outros, com base nos arquivos OVAL que incluem atualizações de estados que abordam problemas de segurança ou vulnerabilidades. Mas, quando a agenda de atualização é executada, ela é executada no computador Linux usando o gerenciador de pacotes apropriado, como YUM, APT ou ZYPPER, para instalá-lo. O gerenciador de pacotes para a distribuição do Linux pode ter um mecanismo diferente para classificar atualizações, no qual os resultados podem diferir daqueles obtidos dos arquivos OVAL pelo Gerenciamento de Atualizações. Para verificar manualmente o computador e entender quais atualizações são relevantes para a segurança do gerenciador de pacotes, consulte Solucionar problemas de implantação de atualização do Linux.

Observação

Durante a avaliação de atualização, a classificação de atualizações ausentes como Segurança e Crítico pode não funcionar corretamente em distribuições do Linux com suporte no Gerenciamento de Atualizações. Isso é um resultado de um problema identificado com o esquema de nomenclatura dos arquivos OVAL, que o Gerenciamento de Atualizações usa para classificar as atualizações durante a avaliação. Isso impede que o Gerenciamento de Atualizações faça de forma adequada a correspondência das classificações com base nas regras de filtragem durante a avaliação de atualizações ausentes.
Isso não afeta a implantação de atualizações. Como é usada uma lógica diferente nas avaliações de atualização de segurança, os resultados podem ser diferentes das atualizações de segurança aplicadas durante a implantação. Se você definiu a classificação como Crítico e Segurança, a implantação da atualização funcionará conforme o esperado. Somente a classificação de atualizações durante uma avaliação é afetada.
O Gerenciamento de Atualizações para computadores com Windows Server não é afetado, permanecendo a classificação de atualização e as implantações inalteradas.

Integração do Gerenciamento de Atualizações com o Configuration Manager

Os clientes que investiram no Microsoft Endpoint Configuration Manager para gerenciar PCs, servidores e dispositivos móveis também dependem da força e maturidade do Configuration Manager para ajudá-los a gerenciar as atualizações de software. Para saber mais sobre como integrar o Gerenciamento de Atualizações com o Configuration Manager, confira Integrar o Gerenciamento de Atualizações com o Microsoft Endpoint Configuration Manager.

Atualizações de terceiros no Windows

O Gerenciamento de Atualizações se baseia no repositório de atualização configurado localmente para atualizar sistemas Windows compatíveis, ou seja, o WSUS ou o Windows Update. Ferramentas como System Center Updates Publisher permitem que você publique atualizações personalizadas com o WSUS. Esse cenário permite que o Gerenciamento de Atualizações atualize computadores que usam o Configuration Manager como repositório de atualização com software de terceiros. Para saber como configurar o Updates Publisher, veja Instalar o Updates Publisher.

Próximas etapas