關於 Azure 更新管理員

重要

Azure Log Analytics 代理程式 (也稱為 Microsoft Monitoring Agent (MMA))將於 2024 年 8 月淘汰。 Azure 自動化更新管理解決方案仰賴此代理程式，且可能會在此代理程式淘汰後發生問題，因為它無法使用 Azure 監視代理程式 (AMA)。 因此，如果您是使用 Azure 自動化更新管理解決方案，建議您移至 Azure 更新管理員以滿足您的軟體更新需求。 在淘汰日之前，Azure 更新管理員將可提供 Azure 自動化更新管理解決方案的所有功能。 請遵循指引，將機器和排程從自動化更新管理移至 Azure 更新管理員。

更新管理員是一項整合服務，可協助您管理及控管所有機器的更新。 您可以從單一儀表板監視 Azure 中、內部部署和其他雲端平台上的部署間的 Windows 和 Linux 更新合規性。 您還可以使用更新管理員，以即時進行更新，或將更新排程在定義的維護視窗內執行。

您可以使用 Azure 中的更新管理員來：

• 監督 Azure、內部部署和其他雲端環境中整組機器的更新合規性。
• 立即部署重大更新以利保護機器。
• 使用彈性的修補選項，例如 Azure 中的自動虛擬機（VM）客體修補 、 熱修補，以及客戶定義的維護排程。

我們也提供其他功能，可協助您管理 Azure VM 的更新，而您應該將它視為整體更新管理策略的一部分。 若要深入瞭解可用的選項，請參閱 Azure VM 更新選項。

啟用更新管理員的計算機之前，請確定您已瞭解下列各節中的資訊。

重點優勢

更新管理員已經過重新設計，且不會視 Azure 自動化 或 Azure 監視器記錄而定，Azure 自動化 更新管理功能所需。 更新管理員提供許多新功能，並透過 Azure 自動化 所提供的原始版本提供增強功能。 以下列出其中一些優點：

• 提供具有零上線的原生體驗。
  • 在 Azure 計算和適用於伺服器的 Azure Arc 平臺上建置為原生功能，以方便使用。
  • 不相依於Log Analytics和 Azure 自動化。
  • Azure 原則 支援。
  • 所有 Azure 計算和 Azure Arc 區域中的全域可用性。
• 使用 Azure 角色和身分識別。
  • 每個資源層級的細微訪問控制，而不是 Azure 自動化 帳戶和 Log Analytics 工作區層級的訪問控制。
  • 更新管理員現在具有以 Azure Resource Manager 為基礎的作業。 它允許根據 Azure 中的 Azure Resource Manager 進行角色型訪問控制和角色。
• 提供增強的彈性。
  • 能夠立即安裝更新或排程更新，以立即採取行動。
  • 自動或視需要檢查更新。
  • 使用新的修補方式協助保護機器，例如 Azure 中的自動 VM 客體修補 、 熱修補或自定義維護排程。
  • 與「修補星期二」相關的同步修補週期，這是 Microsoft 每月每秒第二個星期二發行排程安全性修正程式的非官方詞彙。

下圖說明 Update Manager 如何評估並套用所有適用於 Windows 和 Linux 的 Azure 機器和已啟用 Azure Arc 的伺服器更新。

為了支援 Azure VM 或非 Azure 機器的管理，Update Manager 依賴新的 Azure 延伸模組 ，其設計目的是提供與操作系統互動以管理更新評量和應用程式所需的所有功能。 當您起始任何更新管理員作業時，會自動安裝此擴充功能，例如 檢查更新、 安裝一次性更新，以及 在計算機上定期評估 。 此延伸項目支援使用延伸項目架構部署至 Azure VM 或已啟用 Azure Arc 的伺服器。 Update Manager 擴充功能是使用下列專案來安裝和管理：

• Azure VM Windows 代理程序 或適用於 Azure VM 的 Azure VM Linux 代理程式 。
• 非 Azure Linux 和 Windows 機器或實體伺服器的 Azure Arc 伺服器代理程式 。

更新管理員會管理延伸模組代理程式的安裝和設定。 只要 Azure VM 代理程式或已啟用 Azure Arc 的伺服器代理程式正常運作，就不需要手動介入。 Update Manager 擴充功能會在本機電腦上執行程式碼，以與作業系統互動，其中包含：

• 擷取 Windows Update 用戶端或 Linux 套件管理員所指定之系統更新狀態的評量資訊。
• 使用 Windows Update 用戶端或 Linux 套件管理員來起始已核准更新的下載和安裝。

所有評量資訊和更新安裝結果都會從延伸模塊回報給更新管理員，並可供使用 Azure Resource Graph 進行分析。 您最多可以檢視過去七天的評量數據，以及最多30天的更新安裝結果。

指派給 Update Manager 的機器會根據設定要與其同步處理的來源，報告其最新狀態。 您可以在 Windows 電腦上設定 Windows Update 代理程式 （WUA） ，以向預設回報 Windows Server Update Services 或 Microsoft Update。 您可以設定 Linux 機器向本機或公用 YUM 或 APT 套件存放庫報告。 如果 Windows Update 代理程式設定為向 WSUS 報告，視 WSUS 上次與 Microsoft Update 同步處理的時間而定，Update Manager 中的結果可能與 Microsoft Update 顯示的結果不同。 此行為與設定為向本機存放庫報告，而不是公用套件存放庫的Linux機器相同。

注意

WSUS 不適用於由 21 Vianet 運作的 Azure 中國。

您可以使用更新管理員直接或大規模管理 Azure VM 或已啟用 Azure Arc 的伺服器。

必要條件

除了下列必要條件之外，請參閱更新管理員的支援矩陣。

角色

資源	角色
Azure VM	Azure 虛擬機參與者 或 Azure 擁有者
已啟用 Azure Arc 的伺服器	Azure Connected Machine 資源管理員

權限

要建立及管理更新部署，您需要具有下列權限。 以下資料表顯示當您使用更新管理員時所需的權限。

動作	權限	範圍
讀取 Azure VM 屬性	Microsoft.Compute/virtualMachines/read
Azure VM 上的更新評量	Microsoft.Compute/virtualMachines/assessPatches/action
讀取 Azure VM 的評定資料	Microsoft.Compute/virtualMachines/patchAssessmentResults/latest Microsoft.Compute/virtualMachines/patchAssessmentResults/latest/softwarePatches
在 Azure VM 上安裝更新	Microsoft.Compute/virtualMachines/installPatches/action
讀取 Azure VM 的修補程式安裝資料	Microsoft.Compute/virtualMachines/patchInstallationResults Microsoft.Compute/virtualMachines/patchInstallationResults/softwarePatches
讀取已啟用 Azure Arc 的伺服器屬性	Microsoft.HybridCompute/machines/read
已啟用 Azure Arc 的伺服器上的更新評量	Microsoft.HybridCompute/machines/assessPatches/action
讀取已啟用 Azure Arc 的伺服器的評定資料	Microsoft.HybridCompute/machines/patchAssessmentResults Microsoft.HybridCompute/machines/patchAssessmentResults/softwarePatches
在已啟用 Azure Arc 的伺服器上安裝更新	Microsoft.HybridCompute/machines/installPatches/action
讀取已啟用 Azure Arc 之伺服器的修補程式安裝資料	Microsoft.HybridCompute/machines/patchInstallationResults Microsoft.HybridCompute/machines/patchInstallationResults/softwarePatches
註冊 Microsoft.Maintenance 資源提供者的訂用帳戶	Microsoft.Maintenance/register/action	訂用帳戶
建立/修改維護設定	Microsoft.Maintenance/maintenanceConfigurations/write	訂用帳戶/資源群組
建立/修改設定指派	Microsoft.Maintenance/configurationAssignments/write	訂用帳戶
維護更新資源的讀取權限	Microsoft.Maintenance/updates/read	機器
維護套用更新資源的讀取權限	Microsoft.Maintenance/applyUpdates/read	機器

VM 映像

如需詳細資訊，請參閱支援的作業系統和 VM 映像清單。

Azure Update Manager 支援特製化映射，包括 Azure Migrate、Azure 備份 和 Azure Site Recovery 所建立的 VM。

VM extensions

Azure VM 擴充功能和已啟用 Azure Arc 的 VM 擴充功能可供使用。

Azure VM 擴充功能

作業系統	副檔名
Windows	Microsoft.CPlat.Core.WindowsPatchExtension
Linux	Microsoft.CPlat.Core.LinuxPatchExtension

已啟用 Azure Arc 的 VM 擴充功能

作業系統	副檔名
Windows	Microsoft.CPlat.Core.WindowsPatchExtension （定期評估） Microsoft.SoftwareUpdateManagement.WindowsOsUpdateExtension （隨選作業和排程修補）
Linux	Microsoft.SoftwareUpdateManagement.LinuxOsUpdateExtension （隨選作業和排程修補） Microsoft.CPlat.Core.LinuxPatchExtension （定期評估）

若要在 Azure 入口網站 中檢視 VM 的可用擴充功能：

1. 移至 Azure 入口網站 並選取 VM。
2. 在 VM 首頁的 [設定] 底下，選取 [擴充功能 + 應用程式]。
3. 在 [ 延伸模組] 索引標籤上，您可以檢視可用的延伸模組。

網路規劃

若要準備網路以支援更新管理員，您可能需要設定一些基礎結構元件。

若是 Windows 機器，您必須允許將流量傳送到 Windows Update 所需的任何端點。 您可以在與 HTTP/Proxy 相關的問題中，找到所需端點的更新清單。 如果您有本機 WSUS 部署，也必須允許流量流向 WSUS 金鑰中指定的伺服器。

對於 Red Hat Linux 機器，請參閱 RHUI 內容傳遞伺服器的 IP 以取得必要的端點。 對於其他 Linux 發行版本，請參閱您的提供者文件。

下一步

• 檢視單一計算機的更新
• 立即部署單一電腦更新（隨選）
• 排程週期性更新
• 透過入口網站管理更新設定
• 使用更新管理員管理多部計算機