Översikt över Uppdateringshantering
Du kan använda Uppdateringshantering i Azure Automation för att hantera uppdateringar av operativsystemet för dina virtuella Windows- och Linux-datorer i Azure, fysiska eller virtuella datorer i lokala miljöer och i andra molnmiljöer. Du kan snabbt utvärdera statusen för tillgängliga uppdateringar och hantera processen för att installera nödvändiga uppdateringar för dina datorer som rapporterar till Uppdateringshantering.
Som tjänstleverantör kan du ha registrerat flera kundklienter för att Azure Lighthouse. Uppdateringshantering kan användas för att utvärdera och schemalägga distributioner av uppdateringar till datorer i flera prenumerationer i samma Azure Active Directory-klientorganisation (Azure AD), eller mellan klienter som använder Azure Lighthouse.
Microsoft erbjuder andra funktioner som hjälper dig att hantera uppdateringar för dina virtuella Azure-datorer eller skalningsuppsättningar för virtuella Azure-datorer som du bör överväga som en del av din övergripande strategi för uppdateringshantering.
Om du är intresserad av att automatiskt utvärdera och uppdatera dina virtuella Azure-datorer för att upprätthålla säkerhetsefterlevnaden med kritiska och säkerhetsuppdateringar som släpps varje månad kan du läsa Automatisk vm-gästkorrigering (förhandsversion). Det här är en alternativ lösning för uppdateringshantering för dina virtuella Azure-datorer för att automatiskt uppdatera dem under tider med låg belastning, inklusive virtuella datorer i en tillgänglighetsuppsättning, jämfört med att hantera uppdateringsdistributioner till de virtuella datorerna från Uppdateringshantering i Azure Automation.
Om du hanterar skalningsuppsättningar för virtuella Azure-datorer kan du läsa om hur du utför automatiska uppgraderingar av os-avbildningar för att på ett säkert sätt och automatiskt uppgradera OS-disken för alla instanser i skalningsuppsättningen.
Innan du Uppdateringshantering distribuerar och aktiverar dina datorer för hantering måste du se till att du förstår informationen i följande avsnitt.
Om Uppdateringshantering
Följande diagram illustrerar hur Uppdateringshantering utvärderar och tillämpar säkerhetsuppdateringar på alla anslutna servrar Windows Server och Linux.
Uppdateringshantering integreras med Azure Monitor loggar för att lagra uppdateringsutvärderingar och uppdatera distributionsresultat som loggdata från tilldelade Azure- och icke-Azure-datorer. För att samla in dessa data länkas Automation-kontot och Log Analytics-arbetsytan samman, och Log Analytics-agenten för Windows och Linux krävs på datorn och konfigureras för att rapportera till den här arbetsytan.
Uppdateringshantering har stöd för att samla in information om systemuppdateringar från agenter System Center Operations Manager en hanteringsgrupp som är ansluten till arbetsytan. Det finns inte stöd för att Uppdateringshantering en dator som har registrerats för Uppdateringshantering på fler än en Log Analytics-arbetsyta (kallas även multihoming).
I följande tabell sammanfattas de anslutna källor som stöds med Uppdateringshantering.
| Ansluten källa | Stöds | Description |
|---|---|---|
| Windows | Yes | Uppdateringshantering samlar in information om systemuppdateringar från Windows datorer med Log Analytics-agenten och installation av nödvändiga uppdateringar. Datorer måste rapportera till Microsoft Update eller Windows Server Update Services (WSUS). |
| Linux | Yes | Uppdateringshantering samlar in information om systemuppdateringar från Linux-datorer med Log Analytics-agenten och installation av nödvändiga uppdateringar på distributioner som stöds. Datorer måste rapportera till en lokal lagringsplats eller en fjärrlagringsplats. |
| Operations Manager-hanteringsgrupp | Yes | Uppdateringshantering samlar in information om programuppdateringar från agenter i en ansluten hanteringsgrupp. En direktanslutning från Operations Manager agent till Azure Monitor loggar krävs inte. Loggdata vidarebefordras från hanteringsgruppen till Log Analytics-arbetsytan. |
De datorer som Uppdateringshantering rapporterar hur uppdaterade de är baserat på vilken källa de är konfigurerade att synkronisera med. Windows datorer måste konfigureras för att rapportera till antingen Windows Server Update Services eller Microsoft Update, och Linux-datorer måste konfigureras för att rapportera till en lokal eller offentlig lagringsplats. Du kan också använda Uppdateringshantering med Microsoft Endpoint Configuration Manager och mer information finns i Integrera Uppdateringshantering med Windows slutpunkt Konfigurationshanteraren.
Om Windows Update Agent (WUA) på Windows-datorn är konfigurerad för att rapportera till WSUS, kan resultatet skilja sig från vad Microsoft Update visar, beroende på när WSUS senast synkroniserades med Microsoft Update. Det här beteendet är detsamma för Linux-datorer som är konfigurerade att rapportera till en lokal lagringsplatsen i stället för en offentlig lagringsplatsen. På en Windows dator körs kompatibilitetsgenomsökningen var 12:e timme som standard. För en Linux-dator utförs kompatibilitetsgenomsökningen varje timme som standard. Om Log Analytics-agenten startas om startas en kompatibilitetsgenomsökning inom 15 minuter. När en dator slutför en sökning efter uppdateringsefterlevnad vidarebefordrar agenten informationen i grupp till Azure Monitor loggar.
Du kan distribuera och installera programuppdateringar på datorer som kräver uppdateringarna genom att skapa en schemalagd distribution. Uppdateringar som klassificeras som valfria ingår inte i distributionsomfånget för Windows datorer. Endast nödvändiga uppdateringar ingår i distributionsomfånget.
Den schemalagda distributionen definierar vilka måldatorer som får tillämpliga uppdateringar. Det gör den antingen genom att uttryckligen ange vissa datorer eller genom att välja en datorgrupp som baseras på loggsökningar för en specifik uppsättning datorer (eller baserat på en Azure-fråga som dynamiskt väljer virtuella Azure-datorer baserat på angivna villkor). Dessa grupper skiljer sig från omfångskonfigurationen, som används för att styra mål för datorer som tar emot konfigurationen för att aktivera Uppdateringshantering. Detta förhindrar att de utför och rapporterar uppdateringsefterlevnad och installerar godkända nödvändiga uppdateringar.
När du definierar en distribution anger du också ett schema för att godkänna och ange en tidsperiod under vilken uppdateringar kan installeras. Den här perioden kallas underhållsperiod. Ett 20-minutersintervall för underhållsfönstret är reserverat för omstarter, förutsatt att en krävs och du har valt lämpligt omstartsalternativ. Om uppdateringen tar längre tid än förväntat och underhållsfönstret tar mindre än 20 minuter, sker ingen omstart.
När ett uppdateringspaket har schemalagts för distribution tar det 2 till 3 timmar innan uppdateringen visas för Linux-datorer för utvärdering. För Windows datorer tar det 12 till 15 timmar innan uppdateringen visas för utvärdering när den har släppts. Före och efter installationen av uppdateringen utförs en sökning efter uppdateringsefterlevnad och loggdataresultatet vidarebefordras till arbetsytan.
Uppdateringar installeras via runbooks i Azure Automation. Du kan inte visa dessa runbooks och de kräver ingen konfiguration. När en uppdateringsdistribution skapas skapas ett schema som startar en masteruppdaterings-runbook vid den angivna tidpunkten för de datorer som ingår. Master-runbooken startar en underordnad runbook på varje agent som initierar installationen av de nödvändiga uppdateringarna med Windows Update-agenten på Windows, eller det tillämpliga kommandot i Linux-distributioner som stöds.
Vid det datum och den tid som anges i uppdateringsdistributionen kör måldatorerna distributionen parallellt. Före installationen körs en genomsökning för att kontrollera att uppdateringarna fortfarande krävs. För WSUS-klientdatorer misslyckas uppdateringsdistributionen om uppdateringarna inte godkänns i WSUS.
Gränser
Begränsningar som gäller för Uppdateringshantering finns i Azure Automation tjänstbegränsningar.
Behörigheter
Om du vill skapa och hantera uppdateringsdistributioner behöver du specifika behörigheter. Mer information om dessa behörigheter finns i Rollbaserad åtkomst – Uppdateringshantering.
Uppdateringshantering komponenter
Uppdateringshantering använder de resurser som beskrivs i det här avsnittet. Dessa resurser läggs automatiskt till ditt Automation-konto när du aktiverar Uppdateringshantering.
Hybrid Runbook Worker grupper
När du aktiverar Uppdateringshantering konfigureras alla Windows-dator som är direkt ansluten till Log Analytics-arbetsytan automatiskt som ett system Hybrid Runbook Worker för att stödja runbooks som stöder Uppdateringshantering.
Varje Windows dator som hanteras av Uppdateringshantering visas i fönstret Hybrid Worker-grupper som en Hybrid Worker-systemgrupp för Automation-kontot. Grupperna använder Hostname FQDN_GUID namngivningskonventionen. Du kan inte rikta dessa grupper mot runbooks i ditt konto. Om du försöker misslyckas försöket. Dessa grupper är endast avsedda att stödja Uppdateringshantering. Mer information om hur du visar listan över Windows datorer som konfigurerats som en Hybrid Runbook Worker finns i Visa Hybrid Runbook Workers.
Du kan lägga till Windows-datorn i en användargrupp Hybrid Runbook Worker i ditt Automation-konto för att stödja Automation-runbooks om du använder samma konto för Uppdateringshantering och Hybrid Runbook Worker gruppmedlemskap. Den här funktionen lades till i version 7.2.12024.0 av Hybrid Runbook Worker.
Externa beroenden
Azure Automation Uppdateringshantering beroende av följande externa beroenden för att leverera programuppdateringar.
- Windows Server Update Services (WSUS) eller Microsoft Update krävs för programuppdateringspaket och för genomsökning av programuppdateringar på Windows-baserade datorer.
- Wua Windows klienten (Update Agent) krävs på Windows-baserade datorer så att de kan ansluta till WSUS-servern eller Microsoft Update.
- En lokal lagringsplats eller fjärrlagringsplats för att hämta och installera OS-uppdateringar på Linux-baserade datorer.
Hanteringspaket
Följande hanteringspaket installeras på de datorer som hanteras av Uppdateringshantering. Om din Operations Manager är ansluten tillen Log Analytics-arbetsyta installeras hanteringspaketen i Operations Manager hanteringsgruppen. Du behöver inte konfigurera eller hantera dessa hanteringspaket.
- Microsoft System Center Advisor Update Assessment Intelligence Pack (Microsoft.IntelligencePacks.UpdateAssessment)
- Microsoft.IntelligencePack.UpdateAssessment.Configuration (Microsoft.IntelligencePack.UpdateAssessment.Configuration)
- Uppdatera distributions-MP
Anteckning
Om du har en Operations Manager 1807- eller 2019-hanteringsgrupp som är ansluten till en Log Analytics-arbetsyta med agenter som konfigurerats i hanteringsgruppen för att samla in loggdata, måste du åsidosätta parametern och ange den till i IsAutoRegistrationEnabled True regeln Microsoft.IntelligencePacks.AzureAutomation.HybridAgent.Init.
Mer information om uppdateringar av hanteringspaket finns i Anslut Operations Manager för Azure Monitor loggar.
Anteckning
För Uppdateringshantering hantera datorer fullständigt med Log Analytics-agenten måste du uppdatera till Log Analytics-agenten för Windows eller Log Analytics-agenten för Linux. Information om hur du uppdaterar agenten finns i Uppgradera en Operations Manager agent. I miljöer som använder Operations Manager måste du köra System Center Operations Manager 2012 R2 UR 14 eller senare.
Datainsamlingsfrekvens
Uppdateringshantering genomsöker hanterade datorer efter data med hjälp av följande regler. Det kan ta mellan 30 minuter och 6 timmar innan instrumentpanelen visar uppdaterade data från hanterade datorer.
Varje Windows dator – Uppdateringshantering genomsöker varje dator två gånger per dag.
Varje Linux-dator – Uppdateringshantering genomsöker varje timme.
Den genomsnittliga dataanvändningen per Azure Monitor för en dator som använder Uppdateringshantering cirka 25 MB per månad. Det här värdet är bara en uppskattning och kan ändras beroende på din miljö. Vi rekommenderar att du övervakar din miljö för att hålla reda på din exakta användning. Mer information om hur du analyserar Azure Monitor loggar dataanvändning finns i Hantera användning och kostnad.
Klassificering av uppdateringar
I följande tabell definieras de klassificeringar som Uppdateringshantering stöder för Windows uppdateringar.
| Klassificering | Beskrivning |
|---|---|
| Kritiska uppdateringar | En uppdatering för ett specifikt problem som åtgärdar en kritisk, icke-säkerhetsrelaterad bugg. |
| Säkerhetsuppdateringar | En uppdatering för ett produktspecifikt, säkerhetsrelaterat problem. |
| Samlade uppdateringar | En kumulativ uppsättning snabbkorrigeringar som paketeras tillsammans för enkel distribution. |
| Funktionspaket | Nya produktfunktioner som distribueras utanför en produktlansning. |
| Service Pack | En kumulativ uppsättning snabbkorrigeringar som tillämpas på ett program. |
| Definitionsuppdateringar | En uppdatering av virus eller andra definitionsfiler. |
| Verktyg | Ett verktyg eller en funktion som hjälper dig att utföra en eller flera uppgifter. |
| Uppdateringar | En uppdatering av ett program eller en fil som för närvarande är installerad. |
Nästa tabell definierar de klassificeringar som stöds för Linux-uppdateringar.
| Klassificering | Beskrivning |
|---|---|
| Kritiska uppdateringar och säkerhetsuppdateringar | Uppdateringar för ett specifikt problem eller ett produktspecifikt, säkerhetsrelaterat problem. |
| Övriga uppdateringar | Alla andra uppdateringar som inte är kritiska till sin natur eller som inte är säkerhetsuppdateringar. |
Anteckning
Uppdateringsklassificering för Linux-datorer är endast tillgängligt när det används i offentliga Azure-molnregioner som stöds. Det finns ingen klassificering av Linux-uppdateringar när du Uppdateringshantering i följande nationella molnregioner:
- Azure US Government
- 21Vianet i Kina
I stället för att klassificeras rapporteras uppdateringar under kategorin Andra uppdateringar.
Uppdateringshantering använder data som publicerats av de distributioner som stöds, särskilt deras utgivna OVAL-filer (Open Vulnerability and Assessment Language). Eftersom Internetåtkomsten är begränsad från dessa nationella moln kan Uppdateringshantering komma åt filerna.
För Linux kan Uppdateringshantering skilja mellan kritiska uppdateringar och säkerhetsuppdateringar i molnet under klassificeringssäkerhet och andra, samtidigt som utvärderingsdata visas på grund av databerikning i molnet. För korrigering förlitar Uppdateringshantering på klassificeringsdata som är tillgängliga på datorn. Till skillnad från andra distributioner har CentOS inte den här informationen tillgänglig i RTM-versionen. Om du har CentOS-datorer konfigurerade för att returnera säkerhetsdata för följande kommando kan Uppdateringshantering korrigera baserat på klassificeringar.
sudo yum -q --security check-update
Det finns för närvarande ingen metod som stöds för att aktivera intern tillgänglighet för klassificeringsdata i CentOS. Just nu ges begränsad support till kunder som kan ha aktiverat den här funktionen på egen hand.
Om du vill klassificera uppdateringar i Red Hat Enterprise version 6 måste du installera plugin-programmet yum-security. På Red Hat Enterprise Linux 7 ingår plugin-programmet redan i yum och du behöver inte installera något. Mer information finns i följande Red Hat-kunskapsartikel.
När du schemalägger en uppdatering som ska köras på en Linux-dator, som till exempel är konfigurerad för att endast installera uppdateringar som matchar säkerhetsklassificeringen, kan de installerade uppdateringarna vara annorlunda än, eller är en delmängd av, de uppdateringar som matchar den här klassificeringen. När en utvärdering av väntande OS-uppdateringar för din Linux-dator utförs, används OVAL-filer (Open Vulnerability and Assessment Language) som tillhandahålls av Linux-distroleverantören av Uppdateringshantering för klassificering.
Kategorisering görs för Linux-uppdateringar som säkerhet eller andra baserat på OVAL-filer, som innehåller uppdateringar som adresserar säkerhetsproblem eller sårbarheter. Men när uppdateringsschemat körs körs det på Linux-datorn med lämplig pakethanterare som YUM, APT eller ZYPPER för att installera dem. Pakethanteraren för Linux-distributionen kan ha en annan mekanism för att klassificera uppdateringar, där resultaten kan skilja sig från dem som hämtas från OVAL-filer genom att Uppdateringshantering. Om du vill kontrollera datorn manuellt och förstå vilka uppdateringar som är säkerhetsreleverade av din pakethanterare kan du läsa Felsöka distribution av Linux-uppdateringar.
Anteckning
Under uppdateringsutvärderingen kanske klassificeringen av saknade uppdateringar som Säkerhet och Kritisk inte fungerar korrekt för Linux-distributioner som stöds av Uppdateringshantering. Detta är ett resultat av ett problem som identifieras med namngivningsschemat för OVAL-filerna, som Uppdateringshantering använder för att klassificera uppdateringar under utvärderingen. Detta förhindrar Uppdateringshantering korrekt matchning av klassificeringar baserat på filtreringsregler under utvärderingen av uppdateringar som saknas. Detta påverkar inte distributionen av uppdateringar. Eftersom en annan logik används i säkerhetsuppdateringsutvärderingar kan resultatet skilja sig från de säkerhetsuppdateringar som tillämpas under distributionen. Om du har angett klassificering som Kritisk och Säkerhet fungerar uppdateringsdistributionen som förväntat. Endast klassificeringen av uppdateringar under en utvärdering påverkas. Uppdateringshantering för Windows Server-datorer inte påverkas. Uppdateringsklassificering och distributioner är oförändrade.
Integrera Uppdateringshantering med Konfigurationshanteraren
Kunder som har investerat i Microsoft Endpoint Configuration Manager för att hantera datorer, servrar och mobila enheter förlitar sig också på styrkan och mognaden hos Konfigurationshanteraren för att hantera programuppdateringar. Information om hur du integrerar Uppdateringshantering med Konfigurationshanteraren finns i Integrera Uppdateringshantering med Windows Endpoint Konfigurationshanteraren.
Uppdateringar från tredje part på Windows
Uppdateringshantering på den lokalt konfigurerade uppdateringsplatsen för att uppdatera Windows system, antingen WSUS eller Windows Update. Med verktyg som System Center Updates Publisher du importera och publicera anpassade uppdateringar med WSUS. I det här Uppdateringshantering du uppdatera datorer som använder Konfigurationshanteraren som deras uppdateringsdatabas med programvara från tredje part. Information om hur du konfigurerar Publisher finns i Installera uppdateringar Publisher.
Nästa steg
Innan du aktiverar och använder Uppdateringshantering bör du läsa Planera Uppdateringshantering distributionen.
Granska vanliga frågor om Uppdateringshantering i Azure Automation vanliga frågor och svar.