Sobre o Gerenciador de Atualizações do Azure

Importante

O agente do Azure Log Analytics, também conhecido como MMA (Microsoft Monitoring Agent), será desativado em agosto de 2024. A solução de Gerenciamento de Atualizações de Automação do Azure depende desse agente e pode encontrar problemas depois que o agente for desativado, pois ele não funciona com o AMA (Agente de Monitoramento do Azure). Portanto, se você estiver usando a solução de Gerenciamento de Atualizações de Automação do Azure, recomendamos que você mude para o Gerenciador de Atualizações do Azure para suas necessidades de atualização de software. Todos os recursos da solução de gerenciamento de Atualizações de Automação do Azure estarão disponíveis no Gerenciador de Atualizações do Azure antes da data de desativação. Siga as diretrizes para mover seus computadores e agendamentos do Gerenciamento de Atualizações de Automação para o Gerenciador de Atualizações do Azure.

O Gerenciador de Atualizações é um serviço unificado para ajudar a gerenciar e controlar as atualizações de todos os seus computadores. Você pode monitorar a conformidade de atualização do Windows e do Linux em suas implantações no Azure, localmente e em outras plataformas de nuvem de um único painel. Você também pode usar o Gerenciador de Atualizações para fazer atualizações em tempo real ou agende-as em uma janela de manutenção definida.

Você pode usar o Gerenciador de Atualizações no Azure para:

• Supervisione a conformidade de atualização para toda a sua frota de computadores no Azure, localmente e em outros ambientes de nuvem.
• Implantar atualizações críticas instantaneamente para ajudar a proteger seus computadores.
• Use opções flexíveis de aplicação de patch, como aplicação automática de patch de convidado de máquina virtual (VM) no Azure, aplicação de patch dinâmico e agendamentos de manutenção definidos pelo cliente.

Também oferecemos outros recursos para ajudá-lo a gerenciar atualizações para suas VMs do Azure que você deve considerar como parte de sua estratégia geral de gerenciamento de atualizações. Para saber mais sobre as opções disponíveis, consulte as opções de atualização da VM do Azure.

Antes de habilitar seus computadores para o Gerenciador de Atualizações, certifique-se de entender as informações nas seções a seguir.

Principais benefícios

O Gerenciador de Atualizações foi redesenhado e não depende da Automação do Azure ou dos Logs do Azure Monitor, conforme exigido pelo recurso de Gerenciamento de Atualizações de Automação do Azure. O Gerenciador de Atualizações oferece muitos novos recursos e fornece funcionalidade aprimorada em relação à versão original disponível com a Automação do Azure. Alguns desses benefícios estão listados aqui:

• Fornece experiência nativa com zero integração.
  • Criada como funcionalidade nativa na computação do Azure e na plataforma Azure Arc for Servers para facilitar o uso.
  • Nenhuma dependência do Log Analytics e Automação do Azure.
  • Suporte ao Azure Policy.
  • Disponibilidade global em todas as regiões de computação do Azure e do Azure Arc.
• Funciona com funções e identidade do Azure.
  • Controle de acesso granular no nível por recurso em vez de controle de acesso no nível da conta de Automação do Azure e do workspace do Log Analytics.
  • O Gerenciador de Atualizações agora tem operações baseadas no Azure Resource Manager. Ele permite funções e controle de acesso baseado em função com base no Azure Resource Manager no Azure.
• Oferece flexibilidade aprimorada.
  • Capacidade de executar uma ação imediata instalando atualizações imediatamente ou agendando-as para uma data posterior.
  • Verifique as atualizações automaticamente ou sob demanda.
  • Ajuda a proteger computadores com novas maneiras de aplicação de patch, como aplicação automática de patch de convidado de VM no Azure, aplicação de patch dinâmica ou agendamentos de manutenção personalizados.
  • Sincronizar ciclos de patch em relação à "terça-feira de patch", o termo não oficial para a versão de correção de segurança agendada da Microsoft em cada segunda terça-feira de cada mês.

O diagrama a seguir ilustra como o Gerenciador de Atualizações avalia e aplica atualizações a todos os computadores do Azure e servidores habilitados para Azure Arc para Windows e Linux.

Para dar suporte ao gerenciamento de sua VM do Azure ou computador não Azure, o Update Manager depende de uma nova extensão do Azure projetada para fornecer toda a funcionalidade necessária para interagir com o sistema operacional para gerenciar a avaliação e a aplicação de atualizações. Essa extensão é instalada automaticamente quando você inicia todas as operações do Gerenciador de Atualizações, como Verificar se há atualizações, Instalar atualização única e Avaliação Periódica em seu computador. A extensão dá suporte à implantação em VMs do Azure ou servidores habilitados para Azure Arc usando a estrutura de extensão. A extensão do Gerenciador de Atualizações é instalada e gerenciada usando:

• Agente do Windows da VM do Azure ou agente Linux da VM do Azure para VMs do Azure.
• Agente de servidores habilitados para Azure Arc para computadores Linux e Windows ou servidores físicos que não são do Azure.

O Gerenciador de Atualizações gerencia a instalação e a configuração do agente de extensão. A intervenção manual não é necessária desde que o agente de VM do Azure ou o agente de servidor habilitado para Azure Arc esteja funcional. A extensão do Gerenciador de Atualizações executa o código localmente no computador para interagir com o sistema operacional e inclui:

• Recuperar as informações de avaliação sobre o status das atualizações do sistema especificadas pelo cliente do Windows Update ou pelo gerenciador de pacotes do Linux.
• Iniciando o download e a instalação de atualizações aprovadas com o cliente Windows Update ou o gerenciador de pacotes do Linux.

Todas as informações de avaliação e os resultados da instalação de atualização são relatados ao Gerenciador de Atualizações da extensão e estão disponíveis para análise com o Azure Resource Graph. Você pode exibir até os últimos sete dias de dados de avaliação e até os últimos 30 dias dos resultados da instalação da atualização.

Os computadores atribuídos ao Gerenciador de Atualizações relatam como estão atualizados com base na origem com a qual estão configurados para sincronizar. Você pode configurar o WUA (Windows Update Agent) em computadores Windows para relatar ao Windows Server Update Services ou ao Microsoft Update, que é por padrão. Você pode configurar computadores Linux para relatar a um repositório de pacotes YUM ou APT locais ou públicos. Se o Agente do Windows Update estiver configurado para relatar ao WSUS, dependendo da última sincronização do WSUS com o Microsoft Update, os resultados no Gerenciador de Atualizações poderão ser diferentes do que o Microsoft Update mostra. Esse comportamento é o mesmo para computadores com Linux configurados para relatar a um repositório local em vez de um pacote de repositório público.

Observação

O WSUS não está disponível no Azure China operado pela 21 Vianet.

Você pode gerenciar suas VMs do Azure ou servidores habilitados para Azure Arc diretamente ou em escala com o Gerenciador de Atualizações.

Pré-requisitos

Junto com os pré-requisitos a seguir, consulte a matriz de suporte para o Gerenciador de Atualizações.

Função

Recurso	Função
VM do Azure	Colaborador da Máquina Virtual do Azure ou Proprietário do Azure
Servidor habilitado para Azure Arc	Administrador de recursos de Azure Connected Machine

Permissões

Você precisa das permissões a seguir para criar e gerenciar implantações de atualização. A tabela mostra as permissões necessárias ao usar o Gerenciador de Atualizações.

Ações	Permissão	Escopo
Ler as propriedades da VM do Azure	Microsoft.Compute/virtualMachines/read
Atualizar avaliação em VMs do Azure	Microsoft.Compute/virtualMachines/assessPatches/action
Ler os dados de avaliação das VMs do Azure	Microsoft.Compute/virtualMachines/patchAssessmentResults/latest Microsoft.Compute/virtualMachines/patchAssessmentResults/latest/softwarePatches
Instalar atualização em VMs do Azure	Microsoft.Compute/virtualMachines/installPatches/action
Ler os dados de instalação de patch das VMs do Azure	Microsoft.Compute/virtualMachines/patchInstallationResults Microsoft.Compute/virtualMachines/patchInstallationResults/softwarePatches
Ler as propriedades do servidor habilitadas para Azure Arc	Microsoft.HybridCompute/machines/read
Atualizar a avaliação no servidor habilitado para Azure Arc	Microsoft.HybridCompute/machines/assessPatches/action
Ler os dados de avaliação do servidor habilitado para Azure Arc	Microsoft.HybridCompute/machines/patchAssessmentResults Microsoft.HybridCompute/machines/patchAssessmentResults/softwarePatches
Instalar atualização no servidor habilitado para Azure Arc	Microsoft.HybridCompute/machines/installPatches/action
Ler os dados de instalação de patch do servidor habilitado para Azure Arc	Microsoft.HybridCompute/machines/patchInstallationResults Microsoft.HybridCompute/machines/patchInstallationResults/softwarePatches
Registrar a assinatura do provedor de recursos Microsoft.Maintenance	Microsoft.Maintenance/register/action	Subscription
Criar/modificar configuração de manutenção	Microsoft.Maintenance/maintenanceConfigurations/write	Assinatura/grupo de recursos
Criar/modificar atribuições de configuração	Microsoft.Maintenance/configurationAssignments/write	Subscription
Permissão de leitura para o recurso d atualizações de manutenção	Microsoft.Maintenance/updates/read	Computador
Permissão de leitura para Manutenção aplicar recurso de atualizações	Microsoft.Maintenance/applyUpdates/read	Computador

Imagens de VM

Para obter mais informações, confira a lista de sistemas operacionais e imagens de VM compatíveis.

O Gerenciador de Atualizações do Azure dá suporte a imagens especializadas incluindo as VMs criadas pelas Migrações para Azure, Backup do Azure e Azure Site Recovery.

Extensões de VM

As extensões de VM do Azure e as extensões de VM habilitadas para Azure Arc estão disponíveis.

Extensões de VM do Azure

Sistema operacional	Extensão
Windows	Microsoft.CPlat.Core.WindowsPatchExtension
Linux	Microsoft.CPlat.Core.LinuxPatchExtension

Extensões de VM habilitadas para Azure Arc

Sistema operacional	Extensão
Windows	Microsoft.CPlat.Core.WindowsPatchExtension (avaliação periódica) Microsoft.SoftwareUpdateManagement.WindowsOsUpdateExtension (operações sob demanda e aplicação de patch de agendamento)
Linux	Microsoft.SoftwareUpdateManagement.LinuxOsUpdateExtension (operações sob demanda e aplicação de patch de agendamento) Microsoft.CPlat.Core.LinuxPatchExtension (avaliação periódica)

Para exibir as extensões disponíveis para uma VM no portal do Azure:

1. Acesse o portal do Azure e selecione uma VM.
2. Na home page da VM, em Configurações, selecione Extensões + aplicativos.
3. Na guia Extensões, você pode exibir as extensões disponíveis.

Planejamento da rede

Para preparar sua rede para dar suporte ao Gerenciador de Atualizações, talvez seja necessário configurar alguns componentes de infraestrutura.

Para computadores Windows, você deve permitir o tráfego para todos os pontos de extremidade exigidos pelo agente do Windows Update. Você pode encontrar uma lista atualizada de pontos de extremidade necessários em Problemas relacionados a HTTP/Proxy. Se você tiver uma implantação local do WSUS, também deverá permitir o tráfego para o servidor especificado na chave do WSUS.

Para computadores com Red Hat Linux, confira IPs para os servidores de distribuição de conteúdo da RHUI para conhecer os pontos de extremidade necessários. Para outras distribuições do Linux, confira a documentação do provedor.

Próximas etapas

• Exibir atualizações para um único computador
• Implantar atualizações agora (sob demanda) para um único computador
• Agendar atualizações recorrentes
• Gerenciar configurações de atualização por meio do portal
• Gerenciar vários computadores usando o Gerenciador de Atualizações