更新管理概觀

您可以使用 Azure 自動化 中的更新管理來管理 Azure 中Windows和 Linux 虛擬機器的作業系統更新、內部部署環境中的實體或 VM,以及其他雲端環境中。 您可以快速評估可用更新的狀態,並管理針對向更新管理回報的電腦安裝必要更新的程式。

身為服務提供者,您可能已將多個客戶租使用者上線至 Azure Lighthouse。 更新管理可用來評估及排程在相同Azure Active Directory (Azure AD) 租使用者中多個訂用帳戶中的機器,或使用 Azure Lighthouse 跨租使用者進行更新部署。

Microsoft 提供其他功能,協助您管理 Azure VM 或 Azure 虛擬機器擴展集的更新,您應該將其視為整體更新管理策略的一部分。

  • 如果您有興趣自動評估及更新 Azure 虛擬機器,以維持每個月發行之重大和安全性更新的安全性合規性,請檢閱自動 VM 客體修補。 這是 Azure VM 在離峰時段自動更新的替代更新管理解決方案,包括可用性設定組中的 VM,相較于在 Azure 自動化 中從更新管理將這些 VM 的更新部署管理至這些 VM。

  • 如果您管理 Azure 虛擬機器擴展集,請檢閱如何執行 自動 OS 映射升級 ,以安全地自動升級擴展集中所有實例的 OS 磁片。

部署更新管理並啟用機器以進行管理之前,請確定您已瞭解下列各節中的資訊。

關於更新管理

下圖說明更新管理如何評估安全性更新,並將安全性更新套用至所有連線Windows伺服器和 Linux 伺服器。

Update Management workflow

更新管理會與 Azure 監視器記錄整合,以將更新評量和更新部署結果儲存為記錄資料,從指派的 Azure 和非 Azure 機器。 若要收集此資料,自動化帳戶和 Log Analytics 工作區會連結在一起,而且電腦上需要適用于 Windows 和 Linux 的 Log Analytics 代理程式,並設定為向此工作區報告。

更新管理支援從連線至工作區之 System Center Operations Manager 管理群組中的代理程式收集系統更新的相關資訊。 不支援讓一部機器在多個 Log Analytics 工作區 (亦稱為多重主目錄) 註冊更新管理。

下表摘要說明使用更新管理支援的連線來源。

連線的來源 支援 描述
Windows 更新管理會從具有 Log Analytics 代理程式和安裝必要更新的Windows電腦收集系統更新的相關資訊。
機器需要向 Microsoft Update 或 Windows Server Update Services (WSUS) 報告。
Linux 更新管理會使用 Log Analytics 代理程式從 Linux 電腦收集系統更新的相關資訊,以及在支援的發行版本上安裝必要的更新。
機器需要向本機或遠端存放庫報告。
Operations Manager 管理群組 更新管理會從連線管理群組中的代理程式收集軟體更新的相關資訊。

Operations Manager 代理程式不需要直接連線到 Azure 監視器記錄。 記錄資料會從管理群組轉送至 Log Analytics 工作區。

指派給「更新管理」的電腦會根據其設定為同步處理的來源,報告其最新狀態。 Windows電腦必須設定為向Windows Server Update ServicesMicrosoft Update報告,而 Linux 機器必須設定為向本機或公用存放庫報告。 您也可以使用更新管理搭配Microsoft Endpoint Configuration Manager,並深入瞭解如何整合更新管理與Windows端點Configuration Manager

如果Windows電腦上的 Windows Update Agent (WUA) 設定為向 WSUS 報告,視 WSUS 上次與 Microsoft Update 同步處理的時間而定,結果可能會與 Microsoft Update 顯示的結果不同。 此行為與設定為向本機存放庫報告而非公用存放庫的 Linux 機器相同。 在 Windows 機器上,合規性掃描預設每 12 小時執行一次。 針對 Linux 機器,合規性掃描預設每小時執行一次。 如果重新啟動 Log Analytics 代理程式,則會在 15 分鐘內啟動合規性掃描。 當機器完成更新合規性掃描時,代理程式會將資訊大量轉送至 Azure 監視器記錄。

您可以藉由建立排定的部署,在需要更新的機器上部署和安裝軟體更新。 分類為選擇性的更新不會包含在Windows電腦的部署範圍中。 部署範圍中僅包含必要更新。

排定的部署會定義哪些目標機器要收到適用的更新。 其方式是明確指定特定電腦,或選取以特定電腦集記錄搜尋為基礎的 電腦群組 , (或根據根據指定準則動態選取 Azure VM 的 Azure 查詢) 。 這些群組與範圍設定 \(部分機器翻譯\) 不同,其可用來控制接收設定以啟用更新管理之機器的目標。 這可防止其執行及回報更新合規性,以及安裝已核准的必要更新。

定義部署時,您也可以指定排程,以核准並設定一段可安裝更新的期間。 這段期間稱為維護時間範圍。 維護時段的 10 分鐘範圍會保留供重新開機使用,假設需要重新開機,而且您選取了適當的重新開機選項。 如果修補時間超過預期,且維護期間少於 10 分鐘,則不會發生重新開機。

排定部署的更新套件之後,更新需要 2 到 3 小時才會顯示 Linux 機器的評量。 對於Windows電腦,更新在發行後需要 12 到 15 小時才會顯示評量。 在更新安裝之前和之後,會執行更新合規性掃描,並將記錄資料結果轉送到工作區。

在 Azure 自動化中,會由 Runbook 安裝更新。 您無法檢視這些 Runbook,而其也不需要任何設定。 更新部署在建立後便會建立排程,以在指定的時間為所包含的機器啟動主要更新 Runbook。 主要 Runbook 會在每個代理程式上啟動子 Runbook,該代理程式會在Windows上起始Windows Update代理程式的必要更新安裝,或在支援的 Linux 散發版本上適用的命令。

到了更新部署中指定的日期和時間時,目標機器就會以平行方式執行部署。 在安裝之前,系統會先執行掃描,以確認仍然需要更新。 針對 WSUS 用戶端電腦,若 WSUS 中並未核准更新,則更新部署會失敗。

限制

如需適用于更新管理的限制,請參閱Azure 自動化服務限制

權限

若要建立及管理更新部署,您必須具有特定權限。 若要瞭解這些許可權,請參閱 角色型存取 - 更新管理

更新管理元件

更新管理會使用此節所述的資源。 當您啟用更新管理時,這些資源會自動新增至您的自動化帳戶。

混合式 Runbook 背景工作群組

啟用更新管理之後,直接連線到 Log Analytics 工作區的任何Windows電腦都會自動設定為系統混合式 Runbook 背景工作角色,以支援支援更新管理的 Runbook。

更新管理所管理的每部 Windows 機器都會列於混合式背景工作角色群組窗格中,以作為自動化帳戶的系統混合式背景工作角色群組。 這些群組會使用 Hostname FQDN_GUID 命名慣例。 您不能讓這些群組以您帳戶中的 Runbook 為目標。 如果您嘗試,則嘗試會失敗。 這些群組僅用於支援更新管理。 若要深入瞭解如何檢視設定為混合式 Runbook 背景工作角色的Windows電腦清單,請參閱檢視混合式 Runbook 背景工作角色

如果您使用相同的帳戶進行更新管理和混合式 Runbook 背景工作角色群組成員資格,您可以將Windows電腦新增至自動化帳戶中的混合式 Runbook 背景工作角色群組,以支援自動化 Runbook。 此功能已新增至混合式 Runbook 背景工作角色 7.2.12024.0 版。

外部相依性

Azure 自動化更新管理取決於下列外部相依性來傳遞軟體更新。

  • Windows Server Update Services (WSUS) 或 Microsoft Update 需要軟體更新套件,以及在以Windows為基礎的電腦上掃描軟體更新適用性掃描。
  • Windows型電腦上需要 Windows Update Agent (WUA) 用戶端,才能連線到 WSUS 伺服器或 Microsoft Update。
  • 本機或遠端存放庫,可擷取和安裝 Linux 型電腦上的 OS 更新。

管理組件

下列管理元件會安裝在更新管理所管理的電腦上。 如果您的 Operations Manager 管理群組 已連線到 Log Analytics 工作區,管理元件就會安裝在 Operations Manager 管理群組中。 您不需要設定或管理這些管理組件。

  • Microsoft System Center Advisor 更新評估智慧套件 (Microsoft.IntelligencePacks.UpdateAssessment)
  • Microsoft.IntelligencePack.UpdateAssessment.Configuration (Microsoft.IntelligencePack.UpdateAssessment.Configuration)
  • 更新部署 MP

注意

如果您有 Operations Manager 1807 或 2019 管理群組連線到 Log Analytics 工作區,且管理群組中已設定代理程式來收集記錄資料,您必須覆寫 參數 IsAutoRegistrationEnabled ,並在Microsoft.IntelligencePacks.AzureAutomation.HybridAgent.Init規則中將其設定為 True

如需如何更新管理組件的詳細資訊,請參閱將 Operations Manager 連線到 Azure 監視器記錄

注意

若要讓更新管理使用 Log Analytics 代理程式完全管理機器,您必須更新為適用於 Windows 的 Log Analytics 代理程式或適用於 Linux 的 Log Analytics 代理程式。 若要深入了解如何更新代理程式,請參閱如何升級 Operations Manager 代理程式。 在使用 Operations Manager 的環境中,您必須執行 System Center Operations Manager 2012 R2 UR 14 或更新版本。

資料收集頻率

更新管理會使用下列規則來掃描受控機器的資料。 其可能需要針對儀表板花費 30 分鐘到 6 小時的時間,才能顯示來自受控機器的更新資料。

  • 每部 Windows 機器:更新管理會針對每部機器每天執行兩次掃描。

  • 每部 Linux 機器:更新管理每小時都會執行一次掃描。

針對使用更新管理的機器,透過 Azure 監視器記錄所取得的平均資料使用量大約是每個月 25 MB。 這只是個近似值,其會根據您的環境而變更。 我們建議您監視環境,以持續追蹤確切的使用量。 如需分析 Azure 監視器記錄資料使用量的詳細資訊,請參閱 Azure 監視器記錄定價詳細資料

更新分類

下表定義更新管理支援的 Windows 更新分類。

分類 描述
重大更新 特定問題的更新,負責處理與安全性無關的重大錯誤。
安全性更新 特定產品的安全性相關更新。
更新彙總套件 一組累計的 Hotfix,封裝在一起以便於部署。
Feature Pack 在產品版本之外散發的新產品功能。
Service Pack 一組套用到應用程式的累計 Hotfix。
定義更新 病毒或其他定義檔案的更新。
工具 有助於完成一或多個工作的公用程式或功能。
更新 目前安裝之應用程式或檔案的更新。

下表定義支援的 Linux 更新分類。

分類 描述
重大更新和安全性更新 特定問題或特定產品的安全性相關問題的更新,
其他更新 本質上不重要或非安全性更新的所有其他更新。

注意

只有在支援的 Azure 公用雲端區域中使用時,才能使用 Linux 電腦的更新分類。 在下列國家雲端區域中使用更新管理時,Linux 更新沒有分類:

  • Azure 美國政府
  • 中國 21Vianet

更新會報告于 [其他更新 ] 類別之下,而不是分類。

更新管理會使用支援散發套件所發佈的資料,特別是其發行的 OVAL (Open Vulnerability and Assessment Language) 檔案。 由於網際網路存取受限於這些國家雲端,因此更新管理無法存取檔案。

針對 Linux,更新管理可以在分類安全性和其他專案下區分雲端中的重要更新和安全性更新,同時顯示由於雲端中的資料擴充而顯示的評定資料。 針對修補,「更新管理」仰賴機器上可用的分類資料。 與其他發行版本不同,CentOS 在 RTM 版本中沒有此資訊可供使用。 如果您將 CentOS 機器設定為傳回以下命令的安全性資料,更新管理就能根據分類進行修補。

sudo yum -q --security check-update

目前沒有支援的方法可以在 CentOS 上啟用原生分類資料可用性。 目前,有限的支援會提供給可能已經自行啟用這項功能的客戶。

若要將 Red Hat Enterprise 版本 6 上的更新分類,您必須安裝 yum-security 外掛程式。 在 Red Hat Enterprise Linux 7 上,此外掛程式已經是 yum 本身的一部分,因此不需要安裝任何項目。 如需詳細資訊,請參閱下列 Red Hat 知識文章 \(英文\)。

當您將更新排程在 Linux 電腦上執行時,例如,設定為只安裝符合 安全性 分類的更新、安裝的更新可能不同于 或 是符合此分類的更新子集。 執行 Linux 機器擱置的作業系統更新評估時,更新管理會使用更新管理用於分類的 OVAL) 檔案 (OVAL 和評定語言) 。

根據 OVAL 檔案將 Linux 更新分類為安全性或其他專案,其中包括解決安全性問題或弱點的更新。 但是當更新排程執行時,它會使用適當的套件管理員在 Linux 電腦上執行,例如 YUM、APT 或 ZYPPER 來安裝它們。 Linux 散發版本的套件管理員可能會有不同的機制來分類更新,其中結果可能與更新管理從 OVAL 檔案取得的結果不同。 若要手動檢查電腦並瞭解哪些更新與您的套件管理員有關,請參閱 針對 Linux 更新部署進行疑難排解

注意

在更新評估期間,遺漏更新分類為安全性與重大,可能無法針對更新管理支援的 Linux 散發版本正確運作。 這是使用 OVAL 檔案的命名架構所識別的問題,更新管理會在評估期間用來分類更新。 這可防止更新管理在評估遺漏更新期間,根據篩選規則正確比對分類。
這不會影響更新的部署。 隨著安全性更新評估使用不同的邏輯,結果可能與部署期間套用的安全性更新不同。 如果您已將分類設定為 [重大 ] 和 [ 安全性],更新部署將會如預期般運作。 只會影響評量期間的更新分類
Windows伺服器電腦的更新管理不會受到影響;更新分類和部署不會變更

整合更新管理與 Configuration Manager

已投資 Microsoft Endpoint Configuration Manager 來管理電腦、伺服器和行動裝置的客戶,也需仰賴 Configuration Manager 的強度和成熟度,以協助管理軟體更新。 若要了解如何整合更新管理與 Configuration Manager,請參閱整合更新管理與 Windows Endpoint Configuration Manager

Windows 上的協力廠商更新

更新管理依賴本機設定的更新存放庫來更新支援的 Windows 系統 (WSUS 或 Windows Update)。 System Center Updates Publisher 之類的工具允許您使用 WSUS 來匯入和發佈自訂更新。 此案例允許更新管理,更新透過協力廠商軟體使用 Configuration Manager 作為其更新存放庫的機器。 若要了解如何設定 Updates Publisher,請參閱安裝Updates Publisher

下一步