Решение для управления обновлениями в AzureUpdate Management solution in Azure

С помощью решения Управление обновлениями в службе автоматизации Azure можно управлять обновлениями операционной системы для компьютеров под управлением Windows и Linux в Azure, в локальных средах и в других поставщиках облачных служб.You can use the Update Management solution in Azure Automation to manage operating system updates for your Windows and Linux computers in Azure, in on-premises environments, and in other cloud providers. Благодаря ему вы сможете быстро оценить состояние доступных обновлений на всех компьютерах агентов и управлять установкой необходимых обновлений на серверах.You can quickly assess the status of available updates on all agent computers and manage the process of installing required updates for servers.

Вы можете включить Управление обновлениями для виртуальных машин (ВМ) непосредственно из учетной записи службы автоматизации Azure.You can enable Update Management for virtual machines (VMs) directly from your Azure Automation account. Дополнительные сведения см. в статье Управление обновлениями для нескольких виртуальных машин.To learn how, see Manage updates for multiple virtual machines. Управление обновлениями для виртуальной машины можно также включить на странице виртуальной машины в портал Azure.You can also enable Update Management for a VM from the virtual machine page in the Azure portal. Этот сценарий доступен для виртуальных машин Linux и Windows .This scenario is available for Linux and Windows VMs.

Примечание

Управление обновлениями решение требует связывания рабочей области Log Analytics с учетной записью службы автоматизации.The Update Management solution requires linking a Log Analytics workspace to your Automation account. Полный список поддерживаемых регионов см. в статье сопоставления рабочих областей Azure.For a definitive list of supported regions, see Azure Workspace mappings. Сопоставления регионов не влияют на возможность управления виртуальными машинами в отдельном регионе из учетной записи службы автоматизации.The region mappings don't affect the ability to manage VMs in a separate region from your Automation account.

Примечание

Сведения из данной статьи были недавно обновлены. Теперь вместо термина "Log Analytics" используется термин "журналы Azure Monitor".This article was recently updated to use the term Azure Monitor logs instead of Log Analytics. Данные журнала по-прежнему хранятся в рабочей области Log Analytics, собираются и анализируются той же службой Log Analytics.Log data is still stored in a Log Analytics workspace and is still collected and analyzed by the same Log Analytics service. Целью обновления терминологии является лучшее отражение роли журналов в Azure Monitor.We are updating the terminology to better reflect the role of logs in Azure Monitor. Дополнительные сведения см. в статье Изменения фирменной символики Azure Monitor.See Azure Monitor terminology changes for details.

Обзор решенияSolution overview

Компьютеры под управлением Управление обновлениями используют следующие конфигурации для выполнения оценки и обновления развертываний.Computers that are managed by Update Management use the following configurations to perform assessment and to update deployments:

  • Microsoft Monitoring Agent (MMA) для Windows или Linux;Microsoft Monitoring Agent (MMA) for Windows or Linux
  • служба настройки требуемого состояния PowerShell;PowerShell Desired State Configuration (DSC) for Linux
  • гибридные рабочие роли Runbook службы автоматизации;Automation Hybrid Runbook Worker
  • службы Центра обновления Майкрософт или Windows Server Update Services (WSUS) для компьютеров с Windows.Microsoft Update or Windows Server Update Services (WSUS) for Windows computers

На следующей схеме показано, как решение оценивает и применяет обновления безопасности ко всем подключенным компьютерам Windows Server и Linux в рабочей области.The following diagram illustrates how the solution assesses and applies security updates to all connected Windows Server and Linux computers in a workspace:

Поток процесса управления обновлениями

Управление обновлениями можно использовать для внутренних подключенных компьютеров в нескольких подписках одного и того же клиента.Update Management can be used to natively onboard machines in multiple subscriptions in the same tenant.

После выпуска пакета он занимает от 2 до 3 часов, чтобы исправление отображалось для компьютеров Linux для оценки.After a package is released, it takes 2 to 3 hours for the patch to show up for Linux machines for assessment. Для компьютеров под Windows для оценки исправления после его выпуска требуется 12 – 15 часов.For Windows machines, it takes 12 to 15 hours for the patch to show up for assessment after it's been released.

После того как компьютер выполнит проверку соответствия обновлений требованиям, Агент пересылает данные в неполное Azure Monitor журналов.After a computer completes a scan for update compliance, the agent forwards the information in bulk to Azure Monitor logs. На компьютере с Windows проверка на соответствие по умолчанию выполняется каждые 12 часов.On a Windows computer, the compliance scan is run every 12 hours by default.

Помимо расписания проверки в течение 15 минут после перезапуска MMA запускается проверка на соответствие обновлений. Это происходит перед установкой обновления и после нее.In addition to the scan schedule, the scan for update compliance is initiated within 15 minutes of the MMA being restarted, before update installation, and after update installation.

Для компьютера Linux проверка соответствия выполняется каждый час по умолчанию.For a Linux computer, the compliance scan is performed every hour by default. При перезапуске агента MMA проверка соответствия инициируется в течение 15 минут.If the MMA agent is restarted, a compliance scan is initiated within 15 minutes.

Решение формирует отчет по актуальности состояния компьютера в зависимости от настроенного для синхронизации источника.The solution reports how up-to-date the computer is based on what source you're configured to sync with. Если компьютер Windows настроен для передачи отчетов службам WSUS в зависимости от времени последней синхронизации служб WSUS с Центр обновления Майкрософт, результаты могут отличаться от показанных Центр обновления Майкрософт.If the Windows computer is configured to report to WSUS, depending on when WSUS last synced with Microsoft Update, the results might differ from what Microsoft Update shows. Это поведение касается компьютеров под управлением Linux, настроенных на отправку отчета в локальный, а не общедоступный репозиторий.This behavior is the same for Linux computers that are configured to report to a local repo instead of to a public repo.

Примечание

Для правильной передачи данных в службу решению управления обновлениями требуется, чтобы были включены определенные URL-адреса и порты.To properly report to the service, Update Management requires certain URLs and ports to be enabled. Дополнительные сведения о требованиях см. в разделе Настройка сети.To learn more about these requirements, see Network planning for Hybrid Workers.

Вы можете развернуть и установить обновления программного обеспечения на компьютерах, требующих обновлений с помощью запланированного развертывания.You can deploy and install software updates on computers that require the updates by creating a scheduled deployment. Необязательные обновления не включены в область развертывания для компьютеров с Windows.Updates classified as Optional aren't included in the deployment scope for Windows computers. В область развертывания включаются только необходимые обновления.Only required updates are included in the deployment scope.

Запланированное развертывание определяет, какие целевые компьютеры получат применимые обновления.The scheduled deployment defines which target computers receive the applicable updates. Это можно сделать, явно указав определенные компьютеры или выбрав группу компьютеров на основе поиска по журналам определенного набора компьютеров (или в запросе Azure , который динамически выбирает виртуальные машины Azure в соответствии с указанными критериями).It does so either by explicitly specifying certain computers or by selecting a computer group that's based on log searches of a specific set of computers (or on an Azure query that dynamically selects Azure VMs based on specified criteria). Эти группы отличаются от конфигурации области, которая используется только для определения того, какие компьютеры получают пакеты управления, которые включают решение.These groups differ from scope configuration, which is used only to determine which machines get the management packs that enable the solution.

Можно также указать расписание для утверждения и задать период времени, в течение которого можно установить обновления.You also specify a schedule to approve and set a time period during which updates can be installed. Этот период называется окном обслуживания.This period is called the maintenance window. 20-минутный интервал периода обслуживания резервируется для перезагрузки, предполагая, что один из них необходим и выбран соответствующий параметр перезагрузки.A 20-minute span of the maintenance window is reserved for reboots, assuming one is needed and you selected the appropriate reboot option. Если исправление занимает больше времени, чем ожидалось, и в период обслуживания меньше 20 минут, перезагрузка не выполняется.If patching takes longer than expected and there's less than 20 minutes in the maintenance window, a reboot won't occur.

Обновления устанавливаются с помощью Runbook в службе автоматизации Azure.Updates are installed by runbooks in Azure Automation. Вы не можете просматривать эти модули Runbook, и они не нуждаются в какой бы то ни было конфигурации.You can't view these runbooks, and they don’t require any configuration. При создании развертывания обновления создается расписание, которое запускает главный Runbook обновления в указанное время для включенных компьютеров.When an update deployment is created, it creates a schedule that starts a master update runbook at the specified time for the included computers. Этот Runbook запускает для каждого агента дочерний Runbook, который устанавливает необходимые обновления.The master runbook starts a child runbook on each agent to install the required updates.

Целевой компьютер будет параллельно выполнять развертывания согласно дате и времени, указанным в развертывании обновлений.At the date and time specified in the update deployment, the target computers execute the deployment in parallel. Перед установкой выполняется проверка, чтобы убедиться, что обновления по-прежнему необходимы.Before installation, a scan is run to verify that the updates are still required. Для клиентских компьютеров с WSUS, если обновления не утверждены в WSUS, развертывание обновления завершается сбоем.For WSUS client computers, if the updates aren't approved in WSUS, update deployment fails.

Наличие компьютера, зарегистрированного для Управление обновлениями более чем в одной Log Analytics рабочей области (многосетевых), не поддерживается.Having a machine registered for Update Management in more than one Log Analytics workspace (multihoming) isn't supported.

КлиентыClients

Поддерживаемые типы клиентовSupported client types

В следующей таблице перечислены операционные системы, поддерживаемые для оценки обновлений.The following table lists the supported operating systems for update assessments. Для установки исправлений требуется Гибридная Рабочая роль Runbook.Patching requires a Hybrid Runbook Worker. Сведения о требованиях к гибридной рабочей роли Runbook см. в руководствах по установке для установки гибридной рабочей роли Runbook Windows и гибридной рабочей роли Runbook Linux.For information on Hybrid Runbook Worker requirements, see the installation guides for installing a Windows Hybrid Runbook Worker and a Linux Hybrid Runbook Worker.

Операционная системаOperating system ЗаметкиNotes
Windows Server 2019 (Datacenter/Datacenter Core/Standard)Windows Server 2019 (Datacenter/Datacenter Core/Standard)

Windows Server 2016 (Datacenter/Datacenter Core/Standard)Windows Server 2016 (Datacenter/Datacenter Core/Standard)

Windows Server 2012 R2 (Datacenter/Standard)Windows Server 2012 R2(Datacenter/Standard)

Windows Server 2012Windows Server 2012

Windows Server 2008 R2 (RTM и SP1 Standard)Windows Server 2008 R2 (RTM and SP1 Standard)
CentOS 6 (x86 или x64) и 7 (x64).CentOS 6 (x86/x64) and 7 (x64) У агентов Linux должен быть доступ к репозиторию обновлений.Linux agents must have access to an update repository. Для установки исправлений на основе классификации необходимо, чтобы yum возвращали данные безопасности, которые CentOS отсутствуют в выпусках RTM.Classification-based patching requires yum to return security data that CentOS doesn't have in its RTM releases. Дополнительные сведения об исправлениях на основе классификации в CentOS см. в статье классификации обновлений в Linux.For more information on classification-based patching on CentOS, see Update classifications on Linux.
Red Hat Enterprise 6 (x86 или x64) и 7 (x64).Red Hat Enterprise 6 (x86/x64) and 7 (x64) У агентов Linux должен быть доступ к репозиторию обновлений.Linux agents must have access to an update repository.
SUSE Linux Enterprise Server 11 (x86 или x64) и 12 (x64)SUSE Linux Enterprise Server 11 (x86/x64) and 12 (x64) У агентов Linux должен быть доступ к репозиторию обновлений.Linux agents must have access to an update repository.
Ubuntu 14.04 LTS, 16.04 LTS и 18.04 LTS (x86/x64)Ubuntu 14.04 LTS, 16.04 LTS, and 18.04 (x86/x64) У агентов Linux должен быть доступ к репозиторию обновлений.Linux agents must have access to an update repository.

Примечание

Масштабируемые наборы виртуальных машин Azure можно управлять с помощью Управление обновлениями.Azure virtual machine scale sets can be managed through Update Management. Управление обновлениями работает с самими экземплярами, а не с базовым образом.Update Management works on the instances themselves and not on the base image. Необходимо запланировать обновления последовательно, чтобы не все экземпляры виртуальных машин обновлялись одновременно.You'll need to schedule the updates in an incremental way, so that not all the VM instances are updated at once. Чтобы добавить узлы для масштабируемых наборов виртуальных машин, выполните действия, описанные в разделе подключение компьютера без Azure.You can add nodes for virtual machine scale sets by following the steps under Onboard a non-Azure machine.

Неподдерживаемые типы клиентовUnsupported client types

В следующей таблице перечислены неподдерживаемые операционные системы.The following table lists unsupported operating systems:

Операционная системаOperating system ЗаметкиNotes
Клиент WindowsWindows client Клиентские операционные системы (например, Windows 7 и Windows 10) не поддерживаются.Client operating systems (such as Windows 7 and Windows 10) aren't supported.
Nano Server Windows Server 2016Windows Server 2016 Nano Server Не поддерживается.Not supported.
Узлы службы Kubernetes AzureAzure Kubernetes Service Nodes Не поддерживается.Not supported. Используйте процесс установки исправлений, описанный в статье Установка обновлений безопасности и ядра для узлов Linux в службе Kubernetes Azure (AKS) .Use the patching process described in Apply security and kernel updates to Linux nodes in Azure Kubernetes Service (AKS)

Требования к клиентуClient requirements

Ниже приведены сведения о требованиях клиента, зависящих от операционной системы.The following information describes OS-specific client requirements. Дополнительные рекомендации см. в разделе планирование сети.For additional guidance, see Network planning.

WindowsWindows

Агенты Windows должны быть настроены для взаимодействия с сервером WSUS, или они должны иметь доступ к Центр обновления Майкрософт.Windows agents must be configured to communicate with a WSUS server, or they must have access to Microsoft Update.

Решение "Управление обновлениями" можно использовать вместе с System Center Configuration Manager.You can use Update Management with System Center Configuration Manager. Дополнительные сведения о сценариях интеграции см. в разделе Параметр Configuration.To learn more about integration scenarios, see Integrate System Center Configuration Manager with Update Management. Агент Windows является обязательным компонентом.The Windows agent is required. Агент устанавливается автоматически, если вы подключите виртуальную машину Azure.The agent is installed automatically if you're onboarding an Azure VM.

По умолчанию виртуальные машины Windows, развернутые из Azure Marketplace, настроены на получение автоматических обновлений из службы Центр обновления Windows.By default, Windows VMs that are deployed from the Azure Marketplace are set to receive automatic updates from Windows Update Service. Это поведение не изменяется при добавлении этого решения или добавлении виртуальных машин Windows в рабочую область.This behavior doesn't change when you add this solution or add Windows VMs to your workspace. Если вы не управляете обновлениями с помощью этого решения, будет применено поведение по умолчанию (автоматическое применение обновлений).If you don't actively manage updates by using this solution, the default behavior (to automatically apply updates) applies.

Примечание

Пользователь может изменить групповая политика таким образом, чтобы перезагрузка компьютера могла выполняться только пользователем, а не системой.A user can modify Group Policy so that machine reboots can be performed only by the user, not by the system. Управляемые компьютеры могут зависнуть, если у Управление обновлениями нет прав на перезагрузку компьютера без вмешательства пользователя вручную.Managed machines can get stuck if Update Management doesn't have rights to reboot the machine without manual interaction from the user.

Дополнительные сведения см. в разделе Настройка параметров групповая политика для автоматическое обновление.For more information, see Configure Group Policy settings for Automatic Updates.

LinuxLinux

У компьютеров под управлением Linux должен быть доступ к репозиторию обновлений.For Linux, the machine must have access to an update repository. Репозиторий обновлений может быть общедоступным или частным.The update repository can be private or public. Для взаимодействия с решением "Управление обновлениями" требуется TLS 1.1 или TLS 1.2.TLS 1.1 or TLS 1.2 is required to interact with Update Management. В этом решении не поддерживается агент Log Analytics для Linux, настроенный для передачи отчетов в более чем одну Log Analytics рабочую область.A Log Analytics Agent for Linux that's configured to report to more than one Log Analytics workspace isn't supported with this solution. На компьютере также должен быть установлен Python 2. x.The machine must also have Python 2.x installed.

Сведения о том, как установить агент Log Analytics для Linux и загрузить последнюю версию, см. в статье log Analytics Agent for Linux.For information about how to install the Log Analytics Agent for Linux and to download the latest version, see Log Analytics Agent for Linux. Сведения об установке агента Log Analytics для Windows см. в разделе Подключение компьютеров Windows к Azure Monitor.For information about how to install the Log Analytics Agent for Windows, see Connect Windows computers to Azure Monitor.

Виртуальные машины, созданные на основе образов Red Hat Enterprise Linux по требованию (RHEL), доступных в Azure Marketplace, регистрируются для доступа к инфраструктуре Red Hat Update Framework (RHUI) , которая развернута в Azure.VMs that were created from the on-demand Red Hat Enterprise Linux (RHEL) images that are available in the Azure Marketplace are registered to access the Red Hat Update Infrastructure (RHUI) that's deployed in Azure. Любой другой дистрибутив Linux должен быть обновлен из репозитория файлов в сети распространения с помощью поддерживаемых методов распространения.Any other Linux distribution must be updated from the distribution's online file repository by using the distribution's supported methods.

РазрешенияPermissions

Для создания развертываний обновлений и управления ими требуются определенные разрешения.To create and manage update deployments, you need specific permissions. Дополнительные сведения об этих разрешениях см. в разделе доступ на основе ролей — Управление обновлениями.To learn about these permissions, see Role-based access – Update Management.

Компоненты решенияSolution components

Решение состоит из приведенных ниже ресурсов.The solution consists of the following resources. Они добавляются в учетную запись службы автоматизации.The resources are added to your Automation account. Эти ресурсы являются либо непосредственно подключенными агентами, либо они находятся в группе управления, связанной с Operations Manager.They're either directly connected agents or in an Operations Manager-connected management group.

Группы гибридных рабочих ролейHybrid Worker groups

После включения этого решения любой подключенный к рабочей области Log Analytics компьютер с Windows будет автоматически настроен в качестве гибридной рабочей роли Runbook для поддержки модулей Runbook, которые входят в это решение.After you enable this solution, any Windows computer that's directly connected to your Log Analytics workspace is automatically configured as a Hybrid Runbook Worker to support the runbooks that are included in this solution.

Для каждого компьютера с Windows, управляемого этим решением, эти роли будут указаны на странице групп гибридных рабочих ролей как группа гибридных рабочих ролей системы для учетной записи службы автоматизации.Each Windows computer that's managed by the solution is listed in the Hybrid worker groups pane as a System hybrid worker group for the Automation account. Решения используют соглашение об именовании имени узла FQDN_GUID .The solutions use the Hostname FQDN_GUID naming convention. Вы не можете выбрать эти группы с помощью модулей Runbook в своей учетной записи.You can't target these groups with runbooks in your account. При попытайтесь выполнить попытку не удастся.If you try, the attempt fails. Эти группы предназначены только для поддержки решения для управления.These groups are intended to support only the management solution.

Вы можете добавить компьютеры с Windows в группу гибридных рабочих ролей Runbook в учетной записи службы автоматизации, чтобы обеспечить поддержку модулей Runbook службы автоматизации, если вы используете одну и ту же учетную запись для решения и для участия в группе гибридных рабочих ролей Runbook.You can add the Windows computers to a Hybrid Runbook Worker group in your Automation account to support Automation runbooks if you use the same account for both the solution and the Hybrid Runbook Worker group membership. Эта функция добавлена в версии 7.2.12024.0 гибридной рабочей роли Runbook.This functionality was added in version 7.2.12024.0 of the Hybrid Runbook Worker.

Пакеты управленияManagement packs

Если группа управления System Center Operations Manager подключена к рабочей области Log Analytics, в Operations Manager будут установлены следующие пакеты.If your System Center Operations Manager management group is connected to a Log Analytics workspace, the following management packs are installed in Operations Manager. После добавления этого решения пакеты управления также будут установлены на компьютерах с Windows, подключенных напрямую.These management packs are also installed on directly connected Windows computers after you add the solution. Управлять и настраивать эти пакеты управления не требуется.You don't need to configure or manage these management packs.

  • Пакет аналитики оценки обновления Microsoft System Center Advisor (Microsoft.IntelligencePacks.UpdateAssessment);Microsoft System Center Advisor Update Assessment Intelligence Pack (Microsoft.IntelligencePacks.UpdateAssessment)
  • Microsoft.IntelligencePack.UpdateAssessment.Configuration (Microsoft.IntelligencePack.UpdateAssessment.Configuration);Microsoft.IntelligencePack.UpdateAssessment.Configuration (Microsoft.IntelligencePack.UpdateAssessment.Configuration)
  • пакет управления развертыванием обновлений.Update Deployment MP

Примечание

Предположим, что у вас есть группа управления Operations Manager 1807 или 2019 с агентами, настроенными на уровне группы управления, чтобы связать их с рабочей областью.Assume that you have an Operations Manager 1807 or 2019 management group with agents configured at the Management Group level to associate them with a workspace. Текущий обходной путь, чтобы отобразить их, — это переопределить исауторегистратионенаблед на true в правиле Microsoft. IntelligencePacks. AzureAutomation. HybridAgent. init .The current workaround to get them to show up is to override IsAutoRegistrationEnabled to True in the Microsoft.IntelligencePacks.AzureAutomation.HybridAgent.Init rule.

Дополнительные сведения об обновлении пакетов управления решениями см. в разделе Connect Operations Manager to Azure Monitor Logs.For more information about how solution management packs are updated, see Connect Operations Manager to Azure Monitor logs.

Примечание

Для систем с агентом Operations Manager: для полного управления агентом с помощью Управление обновлениями агент должен быть обновлен до MMA.For systems with the Operations Manger Agent: For an agent to be fully managed by Update Management, the agent must be updated to the MMA. Чтобы узнать, как обновить агент, см. эту статью.To learn how to update the agent, see How to upgrade an Operations Manager agent. В средах, использующих Operations Manager, необходимо запустить System Center Operations Manager 2012 R2 UR 14 или более поздней версии.In environments that use Operations Manager, you must be running System Center Operations Manager 2012 R2 UR 14 or later.

Сбор данныхData collection

Поддерживаемые агентыSupported agents

В приведенной ниже таблице описаны подключенные источники, которые поддерживает это решение.The following table describes the connected sources that this solution supports:

Подключенный источникConnected source ПоддерживаетсяSupported ОписаниеDescription
Агенты WindowsWindows agents ДАYes Решение собирает сведения об обновлениях системы с агентов Windows и запускает установку требуемых обновлений.The solution collects information about system updates from Windows agents and then initiates installation of required updates.
Агенты LinuxLinux agents ДАYes Решение собирает сведения об обновлениях системы с агентов Linux и запускает установку требуемых обновлений для поддерживаемых дистрибутивов.The solution collects information about system updates from Linux agents and then initiates installation of required updates on supported distributions.
Группа управления Operations ManagerOperations Manager management group ДАYes Решение собирает сведения о системных обновлениях с агентов, состоящих в подключенной группе обновления.The solution collects information about system updates from agents in a connected management group.

Прямое подключение агента Operations Manager к Azure Monitor журналов не требуется.A direct connection from the Operations Manager agent to Azure Monitor logs isn't required. Данные пересылаются из группы управления в рабочую область Log Analytics.Data is forwarded from the management group to the Log Analytics workspace.

Частота сбораCollection frequency

Дважды в день выполняется проверка каждого управляемого компьютера Windows.A scan is performed twice per day for each managed Windows computer. Каждые 15 минут вызывается API Windows, чтобы запросить время последнего обновления и определить, изменилось ли состояние.Every 15 minutes, the Windows API is called to query for the last update time to determine whether the status has changed. Если состояние изменилось, запускается проверка на соответствие.If the status has changed, a compliance scan is initiated.

Сканирование выполняется каждый час для каждого управляемого компьютера Linux.A scan is performed every hour for each managed Linux computer.

Отображение обновленных данных с управляемых компьютеров на панели мониторинга может занять от 30 минут до 6 часов.It can take between 30 minutes and 6 hours for the dashboard to display updated data from managed computers.

Средний уровень использования данных Azure Monitor журналов для компьютера, использующего Управление обновлениями, составляет примерно 25 мегабайт (МБ) в месяц.The average data usage by Azure Monitor logs for a machine using Update Management is approximately 25 megabytes (MB) per month. Это значение является только приближением и может изменяться в зависимости от среды.This value is only an approximation and is subject to change, depending on your environment. Рекомендуется отслеживать среду, чтобы отслеживать точное использование.We recommend that you monitor your environment to keep track of your exact usage.

Планирование сетиNetwork planning

Для Управления обновлениями требуются следующие адреса.The following addresses are required specifically for Update Management. Взаимодействие с этими адресами выполняется через порт 443.Communication to these addresses occurs over port 443.

Azure PublicAzure Public Azure для государственных организацийAzure Government
*.ods.opinsights.azure.com*.ods.opinsights.azure.com *.ods.opinsights.azure.us*.ods.opinsights.azure.us
*.oms.opinsights.azure.com*.oms.opinsights.azure.com *.oms.opinsights.azure.us*.oms.opinsights.azure.us
*.blob.core.windows.net*.blob.core.windows.net *.blob.core.usgovcloudapi.net*.blob.core.usgovcloudapi.net
*.azure-automation.net*.azure-automation.net *.azure-automation.us*.azure-automation.us

Для компьютеров Windows необходимо также разрешить передачу трафика на любые конечные точки, необходимые для Центр обновления Windows.For Windows machines, you must also allow traffic to any endpoints required by Windows Update. Обновленный список обязательных конечных точек можно найти в проблемах, связанных с HTTP/proxy.You can find an updated list of required endpoints in Issues related to HTTP/Proxy. Если у вас есть локальный Центр обновления Windows сервер, необходимо также разрешить трафик на сервер, указанный в ключе WSUS.If you have a local Windows Update server, you must also allow traffic to the server specified in your WSUS key.

Для компьютеров с Red Hat Linux см. раздел IP-адреса для серверов доставки содержимого RHUI для требуемых конечных точек.For Red Hat Linux machines, see IPs for the RHUI content delivery servers for required endpoints. Другие дистрибутивы Linux см. в документации поставщика.For other Linux distributions, see your provider documentation.

Дополнительные сведения о портах, которым необходима гибридная рабочая роль Runbook, см. в статье Автоматизация ресурсов в центре обработки данных или облаке с помощью гибридной рабочей роли Runbook.For more information about ports that the Hybrid Runbook Worker requires, see Hybrid Worker role ports.

Рекомендуется использовать адреса, указанные при определении исключений.We recommend that you use the addresses listed when defining exceptions. IP-адреса можно скачать Microsoft Azure диапазоны IP-адресов центра обработки данных.For IP addresses, you can download Microsoft Azure Datacenter IP ranges. Этот файл обновляется еженедельно и отражает развернутые в данный момент диапазоны и все будущие изменения в диапазонах IP-адресов.This file is updated weekly, and it reflects the currently deployed ranges and any upcoming changes to the IP ranges.

Следуйте инструкциям в разделе Подключение компьютеров без доступа к Интернету для настройки компьютеров, у которых нет доступа к Интернету.Follow the instructions in Connect computers without internet access to configure machines that don't have internet access.

Просмотр оценок обновленияView update assessments

Выберите Управление обновлениями в своей учетной записи службы автоматизации, чтобы просмотреть состояние компьютеров.In your Automation account, select Update Management to view the status of your machines.

В этом представлении содержатся сведения о ваших компьютерах, отсутствующих обновлениях, развертываниях обновлений и запланированных развертываниях обновлений.This view provides information about your machines, missing updates, update deployments, and scheduled update deployments. В столбце соответствие можно увидеть время последней оценки компьютера.In the COMPLIANCE column, you can see the last time the machine was assessed. В столбце готовность агента обновления можно проверить работоспособность агента обновления.In the UPDATE AGENT READINESS column, you can check the health of the update agent. Если возникла проблема, выберите ссылку для перехода к документации по устранению неполадок, которая поможет устранить проблему.If there's an issue, select the link to go to troubleshooting documentation that can help you correct the problem.

Чтобы выполнить поиск по журналам, который возвращает сведения о компьютере, обновлении или развертывании, выберите соответствующий элемент в списке.To run a log search that returns information about the machine, update, or deployment, select the corresponding item in the list. При этом откроется страница поиска по журналам с запросом на выбранный элемент:The Log Search pane opens with a query for the item selected:

Представление по умолчанию решения "Управление обновлениями"

Просмотр отсутствующих обновленийView missing updates

Выберите Отсутствующие обновления, чтобы просмотреть список обновлений, отсутствующих на ваших компьютерах.Select Missing updates to view the list of updates that are missing from your machines. Каждое обновление перечислено и может быть выбрано.Each update is listed and can be selected. Отображается информация о количестве компьютеров, которым оно требуется, операционная система и ссылка для получения дополнительных сведений.Information about the number of machines that require the update, the operating system, and a link for more information is shown. В области Поиск журналов отображаются дополнительные сведения об обновлениях.The Log search pane shows more details about the updates.

Отсутствующие обновления

Классификации обновленийUpdate classifications

В следующих таблицах содержатся списки классификаций обновлений в Управлении обновлениями с определениями для каждой классификации.The following tables list the update classifications in Update Management, with a definition for each classification.

WindowsWindows

классификация;Classification ОписаниеDescription
критические обновления;Critical updates Обновление для конкретной проблемы, которая относится к критической, не связанной с безопасностью ошибке.An update for a specific problem that addresses a critical, non-security-related bug.
обновления для системы безопасности;Security updates Обновление для ошибки, связанной с безопасностью конкретного продукта.An update for a product-specific, security-related issue.
накопительные пакеты обновления;Update rollups Накопительный набор исправлений, упакованных в один пакет для удобства развертывания.A cumulative set of hotfixes that are packaged together for easy deployment.
пакеты дополнительных компонентов;Feature packs Новые функции продукта, которые распространяются вне выпуска продукта.New product features that are distributed outside a product release.
пакеты обновления;Service packs Накопительный набор исправлений, применяемых к приложению.A cumulative set of hotfixes that are applied to an application.
обновления определений;Definition updates Обновление для вирусов или других файлов определений.An update to virus or other definition files.
СредстваTools Служебная программа или функция, которая помогает выполнить одну или несколько задач.A utility or feature that helps complete one or more tasks.
ОбновленияUpdates Обновление приложения или файла, установленного в настоящее время.An update to an application or file that currently is installed.

LinuxLinux

классификация;Classification ОписаниеDescription
критические обновления и обновления для системы безопасности;Critical and security updates Обновления для конкретной проблемы или проблемы, связанной с безопасностью продукта.Updates for a specific problem or a product-specific, security-related issue.
Другие обновленияOther updates Все остальные обновления, не являющиеся критически важными или не являющиеся обновлениями для системы безопасности.All other updates that aren't critical in nature or that aren't security updates.

В Linux Управление обновлениями может различать критические обновления и обновления системы безопасности в облаке при отображении данных оценки из-за обогащения данных в облаке.For Linux, Update Management can distinguish between critical updates and security updates in the cloud while displaying assessment data due to data enrichment in the cloud. Для исправления в решении по управлению обновлениями используются данные классификации, доступные на компьютере.For patching, Update Management relies on classification data available on the machine. В отличие от других дистрибутивов, CentOS не содержит эту информацию в RTM.Unlike other distributions, CentOS does not have this information available in the RTM version. Если у вас есть компьютеры CentOS, настроенные для возврата данных безопасности для следующей команды, Управление обновлениями можете выполнить исправление на основе классификаций.If you have CentOS machines configured to return security data for the following command, Update Management can patch based on classifications.

sudo yum -q --security check-update

В настоящее время нет поддерживаемого метода для включения собственной классификации — доступность данных в CentOS.There's currently no supported method to enable native classification-data availability on CentOS. В настоящее время для клиентов, которые могли включить этот вариант самостоятельно, предоставляется только лучшая поддержка.At this time, only best-effort support is provided to customers who might have enabled this on their own.

Интеграция с System Center Configuration ManagerIntegrate with System Center Configuration Manager

Клиенты, которые инвестировали в System Center Configuration Manager для управления ПК, серверами и мобильными устройствами, также полагаются на надежность и зрелость Configuration Manager, чтобы помочь им управлять обновлениями программного обеспечения.Customers who have invested in System Center Configuration Manager for managing PCs, servers, and mobile devices also rely on the strength and maturity of Configuration Manager to help them manage software updates. Configuration Manager входит в их цикл управления обновлением программного обеспечения (SUM).Configuration Manager is part of their software update management (SUM) cycle.

Сведения об интеграции решения по управлению с Sytem Center Configuration Manager см. в статье Интеграция Integrate System Center Configuration Manager с решением "Управление обновлениями".To learn how to integrate the management solution with System Center Configuration Manager, see Integrate System Center Configuration Manager with Update Management.

Исправления сторонних производителей в WindowsThird-party patches on Windows

Управление обновлениями использует локально настроенный репозиторий обновлений для обновления поддерживаемых систем Windows.Update Management relies on the locally configured update repository to patch supported Windows systems. Это либо WSUS, либо Центр обновления Windows.This is either WSUS or Windows Update. Такие средства, как System Center Updates Publisher (Updates Publisher) позволяют публиковать пользовательские обновления в WSUS.Tools like System Center Updates Publisher (Updates Publisher) allow you to publish custom updates into WSUS. Этот сценарий позволяет Управление обновлениями исправлять компьютеры, использующие System Center Configuration Manager в качестве репозитория обновлений программного обеспечения стороннего производителя.This scenario allows Update Management to patch machines that use System Center Configuration Manager as their update repository with third-party software. Чтобы узнать, как настроить Updates Publisher, см. статью Установка Updates Publisher.To learn how to configure Updates Publisher, see Install Updates Publisher.

Исправление компьютеров LinuxPatch Linux machines

В следующих разделах объясняются возможные проблемы, которые могут возникнуть при установке исправлений Linux.The following sections explain potential issues with Linux patching.

Непредвиденные обновления на уровне ОСUnexpected OS-level upgrades

В некоторых вариантах Linux, таких как Red Hat Enterprise Linux, обновление на уровне ОС может происходить через пакеты.On some Linux variants, such as Red Hat Enterprise Linux, OS-level upgrades might occur through packages. Это может привести к запуску управления обновлениями, когда изменяется номер версии операционной системы.This might lead to Update Management runs where the OS version number changes. Так как решение "Управление обновлениями" использует те же методы для обновления пакетов, что и администратор на компьютерах Linux в локальной среде, такое поведение является преднамеренным.Because Update Management uses the same methods to update packages that an administrator would use locally on the Linux computer, this behavior is intentional.

Чтобы избежать обновления версии ОС с помощью Управление обновлениями, используйте функцию исключения .To avoid updating the OS version through Update Management runs, use the Exclusion feature.

В Red Hat Enterprise Linux именем пакета для исключения должно быть имя redhat-release-server.x86_64.In Red Hat Enterprise Linux, the package name to exclude is redhat-release-server.x86_64.

Исключаемые пакеты для Linux

Критические исправления и обновления для системы безопасности не применяютсяCritical/security patches aren't applied

При развертывании обновлений на компьютер Linux вы можете выбрать категории обновлений.When you deploy updates to a Linux machine, you can select update classifications. Этот параметр фильтрует обновления, примененные к компьютеру, который соответствует указанным критериям.This option filters the updates that are applied to the machine that meet the specified criteria. Этот фильтр применяется локально на компьютере при развертывании обновления.This filter is applied locally on the machine when the update is deployed.

Поскольку Управление обновлениями выполняет обогащение обновлений в облаке, некоторые обновления могут помечаться в Управление обновлениями, что влияет на безопасность, даже если на локальном компьютере нет этих сведений.Because Update Management performs update enrichment in the cloud, some updates can be flagged in Update Management as having a security impact, even though the local machine doesn't have that information. В результате, если вы применяете критические обновления к компьютеру Linux, могут возникать обновления, не помеченные как имеющие влияние на систему безопасности на этом компьютере, поэтому обновления не применяются.As a result, if you apply critical updates to a Linux machine, there might be updates that aren't marked as having a security impact on that machine and therefore the updates aren't applied. Тем не менее Управление обновлениями может сообщить о том, что компьютер не соответствует требованиям, так как он содержит дополнительные сведения о соответствующем обновлении.However, Update Management might still report that machine as non-compliant because it has additional information about the relevant update.

Развертывание обновлений по классификации обновлений не работает в RTM версий CentOS.Deploying updates by update classification doesn't work on RTM versions of CentOS. Чтобы правильно развернуть обновления для CentOS, выберите все классификации, чтобы убедиться, что обновления применены.To properly deploy updates for CentOS, select all classifications to make sure updates are applied. Для SUSE, выбрав только другие обновления в качестве классификации, можно также установить некоторые обновления безопасности, если обновления безопасности, связанные с zypper (диспетчером пакетов) или его зависимостями, требуются первыми.For SUSE, selecting only Other updates as the classification can cause some security updates to also be installed if security updates related to zypper (package manager) or its dependencies are required first. Это поведение является ограничением zypper.This behavior is a limitation of zypper. В некоторых случаях может потребоваться перезапустить развертывание обновлений.In some cases, you might be required to rerun the update deployment. Для проверки обратитесь к журналу обновлений.To verify, check the update log.

Развертывание обновлений между клиентамиCross-tenant update deployments

Если у вас есть компьютеры в другом клиенте Azure, которые подготавливает отчеты к Управление обновлениями, которые необходимо исправить, для их планирования необходимо использовать следующее решение.If you have machines in another Azure tenant reporting to Update Management that you need to patch, you'll have to use the following workaround to get them scheduled. Вы можете использовать командлет New-AzureRmAutomationSchedule с параметром -ForUpdate, чтобы создать расписание, и использовать командлет New-азурермаутоматионсофтвареупдатеконфигуратион и передать компьютеры в другом клиенте в параметр -NonAzureComputer.You can use the New-AzureRmAutomationSchedule cmdlet with the -ForUpdate switch to create a schedule, and use the New-AzureRmAutomationSoftwareUpdateConfiguration cmdlet and pass the machines in the other tenant to the -NonAzureComputer parameter. В приведенном ниже примере показано, как это сделать.The following example shows how to do this:

$nonAzurecomputers = @("server-01", "server-02")

$startTime = ([DateTime]::Now).AddMinutes(10)

$sched = New-AzureRmAutomationSchedule -ResourceGroupName mygroup -AutomationAccountName myaccount -Name myupdateconfig -Description test-OneTime -OneTime -StartTime $startTime -ForUpdate

New-AzureRmAutomationSoftwareUpdateConfiguration  -ResourceGroupName $rg -AutomationAccountName <automationAccountName> -Schedule $sched -Windows -NonAzureComputer $nonAzurecomputers -Duration (New-TimeSpan -Hours 2) -IncludedUpdateClassification Security,UpdateRollup -ExcludedKbNumber KB01,KB02 -IncludedKbNumber KB100

Включение решения "Управление обновлениями"Enable Update Management

Чтобы начать установку исправлений системы, нужно включить решение "Управление обновлениями".To begin patching systems, you need to enable the Update Management solution. Подключить это решение на виртуальных машинах можно несколькими способами.There are many ways to onboard machines to Update Management. Ниже приведены рекомендуемые и поддерживаемые способы подключения решения:The following are the recommended and supported ways to onboard the solution:

Дальнейшие действияNext steps

Используйте следующее руководство, чтобы узнать, как управлять обновлениями для виртуальных машин Windows.Use the following tutorial to learn how to manage updates for your Windows VMs: