Plánování opakovaných aktualizací pro počítače pomocí webu Azure Portal a služby Azure Policy

Platí pro: ✔️ Virtuální počítače s Windows ✔️ Virtuální počítače s Linuxem ✔️ Místní prostředí ✔️ Servery s podporou Azure Arc.

Azure Update Manager používá konfigurace údržby k řízení a správě aktualizací pro mnoho prostředků virtuálních počítačů Azure. Další podrobnosti najdete v dokumentaci hosta .

Pojem Pomocí Azure Update Manageru můžete vytvářet a ukládat plány opakovaného nasazení. Plán můžete vytvořit podle denního, týdenního nebo hodinového tempa. Můžete zadat počítače, které se musí aktualizovat jako součást plánu, a aktualizace, které se mají nainstalovat. Ty se ukládají jako konfigurace údržby.

Předpoklady pro plánované opravy

1. Viz požadavky pro Update Manager.
2. Orchestrace aktualizací počítačů Azure by měla být nastavena na Plány spravované zákazníkem.

Poznámka U počítačů s podporou Azure Arc to není požadavek.

Plánované opravy ve skupině dostupnosti

Všechny virtuální počítače ve společné skupině dostupnosti se neaktualizují souběžně.

Virtuální počítače ve společném setu dostupnosti se aktualizují v rámci hranic aktualizačních domén. Virtuální počítače napříč více aktualizačními doménami se neaktualizují souběžně.

Ve scénářích, kdy se počítače ze stejné skupiny dostupnosti opravují ve stejnou dobu v různých plánech, je pravděpodobné, že se neopraví nebo potenciálně selžou, pokud se překročí časové období údržby. Abyste tomu předešli, doporučujeme buď zvýšit časové období údržby, nebo rozdělit počítače patřící do stejné skupiny dostupnosti do různých časových období.

Konfigurace nastavení restartování

Klíče registru uvedené v části Konfigurovat automatické aktualizace úpravou registru a klíčů registru používaných ke správě restartování můžou způsobit restartování počítačů. K restartování může dojít i v případě, že v nastavení plánu zadáte Never Reboot. Nakonfigurujte tyto klíče registru tak, aby co nejlépe vyhovovaly vašemu prostředí.

Omezení služby

Součást	Limit veřejného cloudu	Mooncake/Fairfax Limit
Počet plánů na předplatné na oblast	250	250
Celkový počet sdružení zdrojů k rozvrhu	3 000	3 000
Přidružení prostředků v každém dynamickém oboru	1 000	1 000
Počet dynamických oborů na skupinu prostředků nebo předplatné na oblast	250	250
Počet dynamických oborů podle plánu	200	100
Celkový počet předplatných připojených ke všem dynamickým oborům podle plánu	200	100

Další informace najdete v omezeních služby pro dynamický obor.

Plánování opakujících se aktualizací na jednom virtuálním počítači

Aktualizace můžete naplánovat z podokna Přehled nebo Počítače na stránce Správce aktualizací nebo z vybraného virtuálního počítače.

Naplánování opakovaných aktualizací na jednom virtuálním počítači:

1. Přihlaste se k portálu Azure.

2. | vyberte své předplatné a pak vyberte Naplánovat aktualizace.

3. Na stránce Vytvořit novou konfiguraci údržby můžete vytvořit plán pro jeden virtuální počítač.

   V současné době se podporují virtuální počítače a konfigurace údržby ve stejném předplatném.

4. Na stránce Základy vyberte Předplatné, Skupina prostředků a všechny možnosti v podrobnostech instance.

   • Vyberte obor údržby jako host (virtuální počítač Azure, virtuální počítače a servery s podporou Azure Arc).

   • Vyberte Přidat plán. V části Přidat nebo upravit plán zadejte podrobnosti plánu, například:

     • Zahájení
     • Časové období údržby (v hodinách). Horní časové období údržby je 3 hodiny 55 minut.
     • Opakuje se (měsíčně, denně nebo týdně)
     • Přidat datum skončení
     • Souhrn plánu

   Hodinová možnost není na portálu podporovaná, ale dá se použít prostřednictvím rozhraní API.

   

   Pro opakování měsíčně existují dvě možnosti:

   • Opakujte datum kalendáře (volitelně se spustí k poslednímu datu v měsíci).
   • Opakujte každý n-tý (první, druhý atd.) den (například pondělí, úterý) v měsíci. Můžete také zadat posun od nastaveného dne. Může to být +6/-6. Pokud například chcete opravit první sobotu po opravě v úterý, nastavte opakování na druhé úterý v měsíci s posunem o 4 dny. Volitelně můžete také zadat koncové datum, kdy má plán vypršet.

5. Na kartě Počítače vyberte počítač a pak vyberte Další.

   Správce aktualizace nepodporuje aktualizace ovladačů.

6. Na kartě Štítky přiřaďte štítky ke konfiguracím údržby.

7. Na kartě Zkontrolovat a vytvořit ověřte možnosti nasazení aktualizací a pak vyberte Vytvořit.

Z podokna Počítače

1. Přihlaste se k portálu Azure.

2. | vyberte své předplatné, vyberte počítač a pak vyberte Naplánovat aktualizace.

3. V Vytvoření nové údržbové konfigurace můžete vytvořit plán pro jeden virtuální počítač a přiřadit stroj a značky. Podle postupu z kroku 3 uvedeného v části podokně PřehledNaplánování opakovaných aktualizací na jednom virtuálním počítači vytvořte konfiguraci údržby a přiřaďte plán.

Z vybraného virtuálního počítače

1. Výběrem virtuálního počítače otevřete virtuální počítače | Aktualizuje stránku.
2. V části Operace vyberte Aktualizace.
3. Na kartě Aktualizace vyberte Přejít na Aktualizace pomocí Centra aktualizací.
4. V náhledu aktualizací vyberte Naplánovat aktualizace. V Vytvořit novou konfiguraci údržby můžete vytvořit plán pro jeden virtuální počítač. Podle postupu z kroku 3 uvedeného v části podokně PřehledNaplánování opakovaných aktualizací na jednom virtuálním počítači vytvořte konfiguraci údržby a přiřaďte plán.

Oznámení potvrzuje, že nasazení bylo vytvořeno.

Plánování opakujících se aktualizací ve větším měřítku

Pokud chcete naplánovat opakované aktualizace ve velkém měřítku, postupujte takto.

Aktualizace můžete naplánovat v podokně Přehled nebo Počítače .

Z přehledu

1. Přihlaste se k portálu Azure.

2. | vyberte své předplatné a pak vyberte Naplánovat aktualizace.

3. Na stránce Vytvořit novou konfiguraci údržby můžete vytvořit plán pro více počítačů.

   V současné době se podporují virtuální počítače a konfigurace údržby ve stejném předplatném.

4. Na kartě Základy vyberte předplatné, skupinu prostředků a všechny možnosti v podrobnostech instance.

   • Vyberte Přidat plán. V části Přidat nebo upravit plán zadejte podrobnosti plánu, například:

     • Zahájení
     • Časové období údržby (v hodinách)
     • Opakuje se (měsíčně, denně nebo týdně)
     • Přidat datum skončení
     • Souhrn plánu

   Hodinová možnost není na portálu podporovaná, ale dá se použít prostřednictvím rozhraní API.

5. Na kartě Počítače ověřte, jestli jsou uvedené vybrané počítače. Počítače můžete přidat nebo odebrat ze seznamu. Vyberte Další.

6. Na kartě Aktualizace zadejte aktualizace, které se mají do nasazení zahrnout, jako jsou klasifikace aktualizací nebo ID či balíčky KB, které se musí nainstalovat při spuštění plánu.

   Správce aktualizace nepodporuje aktualizace ovladačů.

7. Na kartě Štítky přiřaďte štítky ke konfiguracím údržby.

8. Na kartě Zkontrolovat a vytvořit ověřte možnosti nasazení aktualizací a pak vyberte Vytvořit.

Z podokna Počítače

1. Přihlaste se k portálu Azure.

2. | vyberte své předplatné, vyberte počítače a pak vyberte Naplánovat aktualizace.

Na stránce Vytvořit novou konfiguraci údržby můžete vytvořit plán pro jeden virtuální počítač. Podle postupu z kroku 3 uvedeného v části podokně PřehledNaplánování opakovaných aktualizací na jednom virtuálním počítači vytvořte konfiguraci údržby a přiřaďte plán.

Oznámení potvrzuje, že nasazení bylo vytvořeno.

Připojte konfiguraci údržby

Konfiguraci údržby je možné připojit k více počítačům. Může být připojen k počítačům v době vytvoření nové konfigurace údržby nebo i po jeho vytvoření.

1. Na stránce Azure Update Manageru vyberte Počítače a pak vyberte své předplatné.

2. Vyberte počítač a v podokně Aktualizace vyberte Plánované aktualizace a vytvořte konfiguraci údržby nebo připojte existující konfiguraci údržby k plánovaným opakovaným aktualizacím.

3. Na kartě Plánování vyberte Připojit konfiguraci údržby.

4. Vyberte konfiguraci údržby, kterou chcete připojit, a pak vyberte Připojit.

5. V podokně Aktualizace vyberte PlánováníPřipojit konfiguraci údržby.

6. Na stránce Připojit existující konfiguraci údržby vyberte konfiguraci údržby, kterou chcete připojit, a pak vyberte Připojit.

   

Naplánovat opakující se aktualizace z nastavení údržby

Všechny konfigurace údržby můžete procházet a spravovat z jednoho místa.

1. Vyhledejte Konfigurace údržby na portálu Azure. Zobrazuje seznam všech konfigurací údržby spolu s rozsahem údržby, skupinou prostředků, umístěním a předplatným, do kterého patří.

2. Konfigurace údržby můžete filtrovat pomocí filtrů v horní části. Konfigurace údržby související s aktualizacemi hostovaného operačního systému jsou ty, které mají obor údržby jako InGuestPatch.

Můžete vytvořit novou konfiguraci údržby aktualizací hostovaného operačního systému nebo upravit existující konfiguraci.

Vytvoření nové konfigurace údržby

1. Přejděte na Počítače a ze seznamu vyberte počítače.

2. V podokně Aktualizace vyberte Plánované aktualizace.

3. V podokně Vytvořit konfiguraci údržby postupujte krokem 3 v tomto postupu a vytvořte konfiguraci údržby.

4. Na kartě Základy vyberte rozsah údržby jako Host (virtuální počítač Azure, virtuální počítače/servery s podporou Arc).

   

Přidání nebo odebrání počítačů z konfigurace údržby

1. Přejděte na Počítače a vyberte počítače ze seznamu.

2. Na stránce Aktualizace vyberte jednorázové aktualizace.

3. V podokně Instalovat jednorázové aktualizace vyberte Počítače>přidat počítač.

   

Změnit kritéria výběru aktualizace

1. V podokně Instalovat jednorázové aktualizace vyberte prostředky a počítače, které chcete nainstalovat.

2. Na kartě Počítače vyberte Přidat počítač a přidejte počítače, které nebyly dříve vybrány, a pak vyberte Přidat.

3. Na kartě Aktualizace zadejte aktualizace, které se mají zahrnout do nasazení.

4. Vyberte Zahrnout ID/balíček ZNALOSTNÍ BÁZE a Vyloučit ID/balíček ZNALOSTNÍ BÁZE pro výběr aktualizací jako jsou Kritické, Zabezpečení a Aktualizace funkcí.

   

Onboarding pro plánování pomocí Azure Policy

Update Manager umožňuje cílit na skupinu virtuálních počítačů Azure nebo jiných než Azure pro nasazení aktualizací prostřednictvím Azure Policy. Pomocí seskupování na základě zásad se vyhnete nutnosti upravovat nasazení a aktualizovat stroje. K definování oboru můžete použít předplatné, skupinu prostředků, značky nebo oblasti. Tuto funkci můžete použít pro předdefinované zásady, které si můžete přizpůsobit podle svého případu použití.

Poznámka:

Tato zásada také zajišťuje, že vlastnost orchestrace oprav pro počítače Azure je nastavená na plány spravované zákazníkem , protože se jedná o předpoklad pro plánované opravy.

Přiřaďte zásadu

Azure Policy umožňuje přiřazovat standardy a vyhodnocovat dodržování předpisů ve velkém měřítku. Další informace najdete v tématu Přehled služby Azure Policy. Přiřazení zásady k rozsahu:

1. Přihlaste se k webu Azure Portal a vyberte Zásady.

2. V části Přiřazení vyberte Přiřadit politiku.

3. Na stránce Přiřadit zásadu, na kartě Základy:

   • V části Obor zvolte předplatné a skupinu prostředků a zvolte Vybrat.

   • Výběrem definice zásady zobrazíte seznam zásad.

   • V podokně Dostupné definice vyberte Vestavěné pro Typ. V Hledat zadejte Naplánovat opakované aktualizace pomocí Azure Update Manageru a klikněte na Vybrat.

     

   • Ujistěte se, že Vynucení zásad je nastaveno na Povoleno, a pak vyberte Další.

4. Na kartě Parametry je ve výchozím nastavení viditelné pouze ARM ID konfigurace údržby.

   Pokud nezadáte žádné další parametry, budou všechny počítače v předplatném a ve skupině prostředků, které jste vybrali na kartě „Základy“, zahrnuty pod daný rozsah. Pokud chcete obor dále vymezit na základě skupiny prostředků, umístění, operačního systému, značek atd., zrušte zaškrtnutí u jen parametrů, které potřebují zadání nebo kontrolu, aby se zobrazily všechny parametry:

   • Maintenance Configuration ARM ID: Je třeba poskytnout povinný parametr. Označuje ID Azure Resource Manageru (ARM) harmonogramu, který chcete přiřadit k zařízením.
   • Skupiny prostředků: Skupinu prostředků můžete volitelně zadat, pokud ji chcete omezit na skupinu prostředků. Ve výchozím nastavení jsou vybrány všechny skupiny prostředků v rámci předplatného.
   • Typy operačního systému: Můžete vybrat Windows nebo Linux. Ve výchozím nastavení jsou obě předem vybrány.
   • Umístění počítačů: Volitelně můžete určit oblasti, které chcete vybrat. Ve výchozím nastavení jsou vybrány všechny.
   • Značky na počítačích: Značky můžete použít k dalšímu omezení rozsahu. Ve výchozím nastavení jsou vybrány všechny.
   • Operátor značek: Pokud vyberete více značek, můžete určit, zda chcete, aby se obor vztahoval na počítače se všemi značkami nebo na počítače, které mají některou z těchto značek.

   

5. Na kartě Řešení, v sekci Spravovaná identita, Typ spravované identity, vyberte systémem přiřazenou spravovanou identitu. Oprávnění jsou již nastavena jako "Přispěvatel" podle definice zásady.

   Pokud vyberete Náprava, politika se projeví na všech existujících počítačích v oboru, jinak je přiřazena k jakémukoli novému počítači přidanému do oboru.

6. Na kartě Zkontrolovat a vytvořit ověřte vybrané možnosti a pak výběrem možnosti Vytvořit identifikujte nevyhovující prostředky, abyste porozuměli stavu dodržování předpisů ve vašem prostředí.

Zobrazení dodržování předpisů

Chcete-li zobrazit aktuální stav souladu vašich současných prostředků:

1. Ve Přiřazení zásad vyberte Obor a vyberte předplatné a skupinu prostředků.

2. V Typ definice vyberte zásadu. V seznamu vyberte název přiřazení.

3. Vyberte Zobrazit dodržování předpisů. Shoda prostředků uvádí počítače a důvody selhání.

   

Zkontrolujte naplánovaný běh aktualizací.

Stav nasazení a historii spuštění konfigurace údržby můžete zkontrolovat na portálu Update Manageru. Další informace naleznete v tématu Historie nasazení aktualizací podle ID spuštění údržby.

Časová osa údržbového okna

Časové období údržby řídí počet aktualizací, které je možné nainstalovat na váš virtuální počítač a servery s podporou Arc. Doporučujeme projít si následující tabulku, abyste při instalaci aktualizace pochopili časovou osu časového období údržby:

Pokud je například časové období údržby 3 hodiny a začíná v 18:00, zobrazí se podrobnosti o instalaci aktualizací:

Windows

Typ aktualizace	Podrobnosti
Aktualizační balíček	Pokud instalujete aktualizaci Service Pack, musíte mít v okně údržby ještě 20 minut, aby se aktualizace úspěšně nainstalovaly; v opačném případě bude aktualizace přeskočena. V tomto příkladu je nutné dokončit instalaci aktualizace Service Pack do 18:40.
Další aktualizace	Pokud instalujete jakoukoli jinou aktualizaci než Service Pack, musíte mít v časovém období údržby ještě 15 minut, jinak bude aktualizace přeskočena. V tomto příkladu je nutné dokončit instalaci ostatních aktualizací do 18:45.
Restartujte.	Pokud počítače potřebují restartování, musíte mít v časovém období údržby ponecháno 10 minut, jinak se restartování přeskočí. V tomto příkladu musíte restartování spustit do 18:50. Poznámka: V případě virtuálních počítačů Azure a serverů s podporou arc počká Azure Update Manager na virtuální počítače Azure maximálně 15 minut a 25 minut na servery Arc po restartování, aby se operace restartování dokončila, než ji označíte jako neúspěšnou.

Linux

Typ aktualizace	Podrobnosti
Restartujte.	Pokud virtuální počítače potřebují restartování, musíte mít v časovém období údržby ponecháno 15 minut, jinak se restartování přeskočí. Poznámka: To platí jenom pro virtuální počítače Azure, ne pro servery s podporou Arc. V tomto příkladu je nutné spustit restartování do 18:45.
Aktualizace byly nainstalovány v dávkách	Pokud je velikost dávky X, vypočítá se minimální doba potřebná k aktualizaci balíčků následujícím způsobem – pokud je X menší nebo rovno 3, minimální požadovaný čas = 5 x X minut. - Pokud je X větší než 3, minimální požadovaný čas = 15+2 x (X-3) minut. Poznámka: Pouze služba Azure Update Manager řídí velikost dávky (X) aktualizací.

Poznámka:

• Azure Update Manager nezastaví instalaci nových aktualizací, pokud se blíží konci časového období údržby.
• Azure Update Manager neukončuje probíhající aktualizace, pokud je překročeno údržbové okno, a nepokouší se o instalaci pouze zbývajících aktualizací, které se musí nainstalovat. Doporučujeme znovu vyhodnotit dobu trvání časového období údržby, abyste měli jistotu, že jsou nainstalované všechny aktualizace.
• Pokud je ve Windows překročeno časové období údržby, je to často způsobeno tím, že instalace aktualizace Service Pack trvá dlouhou dobu.

Získání přiřazení pomocí ARG

<#
.SYNOPSIS
Get a list of Azure VMs and Arc machines assigned to a specific Maintenance Configuration using Azure Resource Graph.

.PARAMETER SubscriptionId
The Azure subscription ID to query.

.PARAMETER ConfigName
The name of the maintenance configuration.

.PARAMETER ExportCsv
Optional path to export results to CSV.
#>

param(
    [Parameter(Mandatory = $true)][string]$SubscriptionId,
    [Parameter(Mandatory = $true)][string]$ConfigName,
    [Parameter(Mandatory = $false)][string]$ExportCsv
)

$cfgQuery = @"
resources
| where type =~ 'microsoft.maintenance/maintenanceconfigurations'
| where name =~ '$ConfigName'
| project id
"@

$cfgResult = Search-AzGraph -Query $cfgQuery -Subscription $SubscriptionId

if (-not $cfgResult -or $cfgResult.Count -eq 0) {
    Write-Error "Maintenance configuration '$ConfigName' not found in subscription '$SubscriptionId'."
    return
}

$maintenanceConfigId = $cfgResult[0].id
Write-Host "Resolved configuration ID: $maintenanceConfigId`n"

$assignQuery = @"
maintenanceresources
| where type =~ 'microsoft.maintenance/configurationassignments'
| where properties.maintenanceConfigurationId =~ '$maintenanceConfigId'
| project MachineId = properties.resourceId, AssignmentName = name
"@

$machines = Search-AzGraph -Query $assignQuery -Subscription $SubscriptionId

if (-not $machines -or $machines.Count -eq 0) {
    Write-Host "No machines assigned to configuration '$ConfigName'."
    return
}

$resources = Search-AzGraph -Query "resources | project id, name, resourceGroup" -Subscription $SubscriptionId


$results = $machines | ForEach-Object {
    $mach = $_
    $res = $resources | Where-Object { $_.id -eq $mach.MachineId }
    [PSCustomObject]@{
        MachineName    = if ($res) { $res.name } else { $mach.MachineId }
        ResourceGroup  = if ($res) { $res.resourceGroup } else { "" }
        AssignmentName = $mach.AssignmentName
        MachineId      = $mach.MachineId
        Kind           = if ($res -and $res.id -match 'Microsoft\.Compute/virtualMachines') { "AzureVM" } else { "Arc" }
    }
}

Write-Host "Machines assigned to configuration '$ConfigName':`n"
$results | Format-Table -AutoSize

# --------------------------------------------
# Optional: export to CSV
# --------------------------------------------
if ($ExportCsv) {
    $results | Export-Csv -Path $ExportCsv -NoTypeInformation
    Write-Host "`nResults exported to $ExportCsv"
}

Další kroky

• Přečtěte si další informace o dynamickém rozsahu, rozšířené možnosti plánování oprav.
• Postupujte podle pokynů ke správě různých operací dynamického rozsahu.
• Přečtěte si informace o událostech před a po konfiguraci pro automatické provádění úkolů před a po plánované údržbě.