Preparar para fornecer Atualizações de Segurança Estendidas para o Windows Server 2012
Com o Windows Server 2012 e o Windows Server 2012 R2 tendo chegado ao fim do suporte em 10 de outubro de 2023, os servidores habilitados para Azure Arc permitem que você registre seus computadores existentes do Windows Server 2012/2012 R2 em Atualizações de Segurança Estendidas (ESUs). Proporcionando flexibilidade de custo e uma experiência de entrega aprimorada, o Azure Arc posiciona melhor você para migrar para o Azure.
A finalidade deste artigo é ajudar você a entender os benefícios e como se preparar para usar servidores habilitados para Arc para permitir a entrega de ESUs.
Observação
Os computadores da Solução VMware no Azure (AVS) são qualificados para ESUs gratuitas e não devem se registrar em ESUs habilitadas por meio do Azure Arc.
Principais benefícios
A entrega de ESUs em seus computadores Windows Server 2012/2012 R2 oferece os seguintes principais benefícios:
Pagamento conforme o uso: flexibilidade para se inscrever em um serviço de assinatura mensal com a capacidade de migração no meio do ano.
Cobrança do Azure: você pode deduzir do (Compromisso de Consumo do Microsoft Azure) (MACC) existente e analisar seus custos usando a Cobrança e Gerenciamento de Custos da Microsoft.
Inventário interno: a cobertura e o status de registro das ESUs do Windows Server 2012/2012 R2 em servidores habilitados para Arc qualificados são identificados no portal do Azure, realçando lacunas e alterações de status.
Entrega sem chave: o registro de ESUs em computadores Windows Server 2012/2012 R2 habilitados para Azure Arc não exigirá a aquisição ou ativação de chaves.
Acesso aos serviços do Azure
Para servidores habilitados para Azure Arc registrados em ESUs do WS2012 habilitados pelo Azure Arc, o acesso gratuito é fornecido a esses serviços do Azure a partir de 10 de outubro de 2023:
- Gerenciador de Atualizações do Azure – Gerenciamento e governança unificados de conformidade de atualização que inclui não apenas computadores do Azure e híbridos, mas também conformidade de atualização da ESU para todas os seus computadores Windows Server 2012/2012 R2. O registro em ESUs não afeta o Gerenciador de Atualizações do Azure. Após o registro em ESUs por meio do Azure Arc, o servidor se torna qualificado para patches de ESU. Esses patches podem ser entregues por meio do Gerenciador de Atualizações do Azure ou de qualquer outra solução de aplicação de patch. Você ainda precisará configurar as atualizações do Microsoft Updates ou do Windows Server Update Services.
- Controle de Alterações e Inventário da Automação do Azure - Controle as alterações em máquinas virtuais hospedadas no Azure, no local e em outros ambientes de nuvem.
- Configuração de Convidado do Azure Policy – Audite as definições de configuração em uma máquina virtual. A configuração de convidado dá suporte nativo a VMs do Azure e a servidores físicos e virtuais não Azure por meio de servidores habilitados para Azure Arc.
Outros serviços do Azure por meio de servidores habilitados para Azure Arc também estão disponíveis, com ofertas como:
Microsoft Defender para Nuvem – Como parte do pilar do CSPM (gerenciamento de postura de segurança na nuvem), ele fornece proteções de servidor por meio do Microsoft Defender para servidores para ajudar a protegê-lo contra várias ameaças e vulnerabilidades cibernéticas.
Microsoft Sentinel – Coleta eventos relacionados à segurança e correlaciona-os com outras fontes de dados.
Observação
A ativação da ESU está prevista para o terceiro trimestre de 2023. O uso de serviços do Azure, como o Gerenciador de Atualizações do Azure e o Azure Policy, para dar suporte ao gerenciamento de computadores Windows Server 2012/2012 R2 qualificados para ESU também está previsto para o terceiro trimestre.
Preparar a entrega de ESUs
Planeje e prepare-se para integrar seus computadores aos servidores habilitados para Azure Arc por meio da instalação do agente do Azure Connected Machine (versão 1.34 ou superior) para estabelecer uma conexão com o Azure. As Atualizações de Segurança Estendidas do Windows Server 2012 dão suporte às edições Windows Server 2012 e R2 Standard e Datacenter. Não há suporte para o Armazenamento do Windows Server 2012.
Recomendamos que você implante seus computadores no Azure Arc para prepará-los para os serviços do Azure relacionados, a fim de fornecer funcionalidade com suporte para gerenciar a ESU. Depois que esses computadores forem integrados aos servidores habilitados para Azure Arc, você terá visibilidade de sua cobertura da ESU e se registrará por meio do portal do Azure ou usando o Azure Policy. A cobrança desse serviço começa a partir de outubro de 2023 (ou seja, após o fim do suporte do Windows Server 2012).
Observação
Para comprar ESUs, você deve ter o Software Assurance por meio de Programas de Licenciamento por Volume, como um EA (Contrato Enterprise), EAS (Assinatura de Contrato Enterprise), Registro para Soluções de Educação (EES), Servidor e Registro em Nuvem (SCE) ou por meio de Programas Microsoft Open Value. Como alternativa, se seus computadores Windows Server 2012/2012 R2 forem licenciados por meio de SPLA ou com uma Assinatura de Servidor, o Software Assurance não será necessário para comprar ESUs.
Você também deve baixar o pacote de licenciamento e a atualização da pilha de serviços (SSU) do servidor habilitado para Azure Arc, conforme documentado em KB5031043: Procedimento para continuar recebendo atualizações de segurança após o término do suporte estendido em 10 de outubro de 2023.
Opções de implantação
Existem várias opções de integração em escala para servidores habilitados para Azure Arc, incluindo a execução de uma Sequência de Tarefas Personalizadas por meio do Configuration Manager e a implantação de uma Tarefa Agendada por meio da Política de Grupo. Também há opções de entrega de ESU em escala para VMs gerenciadas pelo VMware vCenter e VMs gerenciadas pelo SCVMM por meio do Azure Arc.
Observação
A entrega de ESUs por meio do Azure Arc para máquinas virtuais em execução na Infraestrutura de Área de Trabalho Virtual (VDI) não é recomendada. Os sistemas VDI devem usar Chaves de Ativação Múltipla (MAK) para aplicar ESUs. Confira Acessar sua chave de ativação múltipla no Centro de Administração do Microsoft 365 para saber mais.
Rede
As opções de conectividade incluem o ponto de extremidade público, servidor proxy e link privado ou o Azure Express Route. Examine os pré-requisitos de rede para preparar ambientes não Azure para implantação no Azure Arc.
Se você estiver usando servidores habilitados para Azure Arc apenas para as Atualizações de Segurança Estendidas para um ou ambos os seguintes produtos:
- Windows Server 2012
- SQL Server 2012
Você poderá habilitar o seguinte subconjunto de pontos de extremidade:
| recurso de agente | Descrição | Quando necessário | Ponto de extremidade usado com o link privado |
|---|---|---|---|
aka.ms |
Usado para resolver o script de download durante a instalação | Somente no momento da instalação | Setor Público |
download.microsoft.com |
Usado para baixar o pacote de instalação do Windows | Somente no momento da instalação | Setor Público |
login.windows.net |
Microsoft Entra ID | Sempre | Setor Público |
login.microsoftonline.com |
Microsoft Entra ID | Sempre | Setor Público |
management.azure.com |
Azure Resource Manager – Para criar ou excluir o recurso de servidor do Arc | Somente na conexão ou na desconexão de um servidor | Público, a menos que um link privado de gerenciamento de recursos também esteja configurado |
*.his.arc.azure.com |
Serviços de identidade híbrida e metadados | Sempre | Privado |
*.guestconfiguration.azure.com |
Serviços de configuração de convidado e gerenciamento de extensão | Sempre | Privados |
www.microsoft.com/pkiops/certs |
Atualizações de certificado intermediário para ESUs (observação: usa o HTTP/TCP 80 e o HTTPS/TCP 443) | Sempre para atualizações automáticas ou temporariamente, se você estiver baixando os certificados manualmente. | Setor Público |
*.<region>.arcdataservices.com |
Serviço de processamento de dados do Azure Arc e telemetria de serviço. | ESUs do SQL Server | Setor Público |
Dica
Para aproveitar toda a gama de ofertas para servidores habilitados para Arc, como extensões e conectividade remota, certifique-se de permitir os URLs adicionais que se aplicam ao seu cenário. Para obter mais informações, confira Requisitos de rede do agente de computador conectado.
Próximas etapas
Saiba mais sobre como planejar o fim do suporte do Windows Server e do SQL Server e obter as Atualizações de Segurança Estendidas.
Saiba mais sobre as melhores práticas e os padrões de design por meio do acelerador de zona de destino do Azure Arc para ambiente híbrido e multinuvem.
Saiba mais sobre os servidores habilitados para Arc e como eles funcionam com o Azure por meio do agente do Azure Connected Machine.
Explore as opções para integração de seus computadores aos servidores habilitados para Azure Arc.