Přehled Update Managementu

Řešení Update Management v Azure Automation můžete použít ke správě aktualizací operačního systému pro virtuální počítače s Windows a Linuxem v Azure, fyzických nebo virtuálních počítačů v místních prostředích a v jiných cloudových prostředích. Můžete rychle vyhodnotit stav dostupných aktualizací a spravovat proces instalace požadovaných aktualizací pro počítače, které se hlásí do řešení Update Management.

Jako poskytovatel služeb jste možná do Služby Lighthouse onboardovali několik tenantů zákazníků. Řešení Update Management je možné použít k posouzení a plánování nasazení aktualizací na počítače ve více předplatných ve stejném tenantovi Azure Active Directory (Azure AD) nebo napříč tenanty pomocí služby Azure Lighthouse.

Microsoft nabízí další možnosti, které vám pomůžou spravovat aktualizace pro virtuální počítače Azure nebo škálovací sady virtuálních počítačů Azure, které byste měli zvážit v rámci celkové strategie správy aktualizací.

  • Pokud vás zajímá automatické vyhodnocování a aktualizace virtuálních počítačů Azure, aby se zachovalo dodržování předpisů zabezpečení pomocí důležitých aktualizací a aktualizací zabezpečení vydaných každý měsíc, přečtěte si téma Automatické opravy hosta virtuálního počítače. Toto je alternativní řešení správy aktualizací pro virtuální počítače Azure, které umožňuje jejich automatickou aktualizaci mimo špičku, včetně virtuálních počítačů v rámci skupiny dostupnosti, v porovnání se správou nasazení aktualizací do těchto virtuálních počítačů ze služby Update Management v Azure Automation.

  • Pokud spravujete škálovací sady virtuálních počítačů Azure, přečtěte si, jak provést automatické upgrady imagí operačního systému, abyste mohli bezpečně a automaticky upgradovat disk s operačním systémem pro všechny instance ve škálovací sadě.

Před nasazením řešení Update Management a povolením správy počítačů se ujistěte, že rozumíte informacím v následujících částech.

Informace o řešení Update Management

Následující diagram znázorňuje, jak řešení Update Management vyhodnocuje a používá aktualizace zabezpečení na všechny připojené servery s Windows Serverem a Linuxem.

Pracovní postup řešení Update Management

Řešení Update Management se integruje s protokoly služby Azure Monitor a ukládá hodnocení aktualizací a výsledky nasazení aktualizací jako data protokolu z přiřazených počítačů Azure a počítačů mimo Azure. Ke shromažďování těchto dat se účet Automation a pracovní prostor služby Log Analytics vzájemně propojily a na počítači je vyžadován agent Log Analytics pro Windows a Linux, který je nakonfigurovaný pro sestavy do tohoto pracovního prostoru.

Řešení Update Management podporuje shromažďování informací o aktualizacích systému od agentů ve skupině pro správu nástroje System Center Operations Manager připojené k pracovnímu prostoru. Počítač zaregistrovaný ve službě Update Management ve více než jednom pracovním prostoru služby Log Analytics (označovaný také jako multihoming) se nepodporuje.

Následující tabulka shrnuje podporované připojené zdroje ve službě Update Management.

Připojený zdroj Podporováno Description
Windows Yes Update Management shromažďuje informace o aktualizacích systému z počítačů s Windows pomocí agenta Log Analytics a instalaci požadovaných aktualizací. Počítače musí hlásit službě Microsoft Update nebo Windows Server Update Services (WSUS).
Linux Yes Update Management shromažďuje informace o aktualizacích systému z počítačů s Linuxem pomocí agenta Log Analytics a instalaci požadovaných aktualizací v podporovaných distribucích. Počítače se musí hlásit do místního nebo vzdáleného úložiště.
Skupina pro správu Operations Manageru Yes Update Management shromažďuje informace o aktualizacích softwaru od agentů v připojené skupině pro správu. Přímé připojení z agenta Operations Manageru k protokolům Azure Monitoru se nevyžaduje. Data protokolu se předávají ze skupiny pro správu do pracovního prostoru služby Log Analytics.

Počítače přiřazené ke službě Update Management hlásí, jak aktuální jsou na základě zdroje, se kterým jsou nakonfigurované pro synchronizaci. Počítače s Windows musí být nakonfigurované tak, aby oznamovaly Windows Server Update Services nebo Microsoft Update, a počítače s Linuxem musí být nakonfigurované tak, aby se hlásily do místního nebo veřejného úložiště. Můžete také použít Řešení Update Management s Configuration Manager koncových bodů Microsoft a další informace najdete v tématu Integrace řešení Update Management s Configuration Manager koncového bodu Windows.

Pokud je služba Windows Update Agent (WUA) na počítači s Windows nakonfigurovaný tak, aby hlásil službě WSUS, v závislosti na tom, kdy se služba WSUS naposledy synchronizovala se službou Microsoft Update, se výsledky můžou lišit od Microsoft Update. Toto chování je stejné u počítačů s Linuxem, které jsou nakonfigurované tak, aby se hlásily do místního úložiště místo do veřejného úložiště. Na počítači s Windows se kontrola dodržování předpisů ve výchozím nastavení spouští každých 12 hodin. U počítače s Linuxem se kontrola dodržování předpisů ve výchozím nastavení provádí každou hodinu. Pokud se agent Log Analytics restartuje, během 15 minut se spustí kontrola dodržování předpisů. Když počítač dokončí kontrolu dodržování předpisů aktualizací, agent předá informace hromadně do protokolů služby Azure Monitor.

Aktualizace softwaru můžete nasadit a nainstalovat na počítače, které tyto aktualizace vyžadují, vytvořením plánovaného nasazení. Aktualizace klasifikovaná jako nepovinná nejsou zahrnutá v oboru nasazení pro počítače s Windows. V oboru nasazení jsou zahrnuty pouze požadované aktualizace.

Plánované nasazení definuje, které cílové počítače obdrží příslušné aktualizace. Provede to buď explicitním zadáním určitých počítačů, nebo výběrem skupiny počítačů , která je založená na prohledávání protokolu konkrétní sady počítačů (nebo na základě dotazu Azure , který dynamicky vybírá virtuální počítače Azure na základě zadaných kritérií). Tyto skupiny se liší od konfigurace oboru, která se používá k řízení cílení na počítače, které obdrží konfiguraci pro povolení řešení Update Management. To jim brání v provádění a vytváření sestav dodržování předpisů aktualizací a instalaci schválených požadovaných aktualizací.

Při definování nasazení také určíte plán schválení a nastavíte časové období, během kterého se můžou aktualizace instalovat. Toto období se nazývá časové období údržby. 10minutová délka časového období údržby je vyhrazena pro restartování za předpokladu, že je potřeba a vybrali jste odpovídající možnost restartování. Pokud oprava trvá déle, než se čekalo, a v časovém období údržby je méně než 10 minut, restartování nedojde.

Po naplánování nasazení balíčku aktualizace trvá 2 až 3 hodiny, než se aktualizace zobrazí pro počítače s Linuxem k posouzení. U počítačů s Windows trvá 12 až 15 hodin, než se aktualizace po vydání zobrazí k posouzení. Před a po instalaci aktualizace se provede kontrola dodržování předpisů aktualizací a výsledky dat protokolu se předávají do pracovního prostoru.

Aktualizace se instalují po sadách runbook službou Azure Automation. Tyto runbooky nemůžete zobrazit a nevyžadují žádnou konfiguraci. Při vytvoření nasazení aktualizace se vytvoří plán, který v určený čas spustí hlavní aktualizační runbook pro zahrnuté počítače. Hlavní runbook spustí podřízený runbook pro každého agenta, který zahájí instalaci požadovaných aktualizací pomocí agenta služba Windows Update ve Windows nebo příslušného příkazu v podporované distribuci Linuxu.

K datu a času zadanému v nasazení aktualizace spustí cílové počítače nasazení paralelně. Před instalací se spustí kontrola, která ověří, že se aktualizace stále vyžadují. U klientských počítačů WSUS platí, že pokud aktualizace nejsou schválené ve službě WSUS, nasazení aktualizací se nezdaří.

Omezení

Omezení, která platí pro Řešení Update Management, najdete v tématu omezení Azure Automation služby.

Oprávnění

K vytváření a správě nasazení aktualizací potřebujete konkrétní oprávnění. Další informace o těchto oprávněních najdete v tématu Přístup na základě role – Update Management.

Součásti řešení Update Management

Řešení Update Management používá prostředky popsané v této části. Tyto prostředky se automaticky přidají do vašeho účtu Automation při povolení řešení Update Management.

Skupiny hybrid Runbook Worker

Po povolení řešení Update Management se všechny počítače s Windows, které jsou přímo připojené k pracovnímu prostoru služby Log Analytics, automaticky nakonfigurují jako systémový hybrid Runbook Worker pro podporu runbooků, které podporují řešení Update Management.

Každý počítač s Windows, který je spravovaný nástrojem Update Management, je uvedený v podokně Skupiny hybrid workerů hybrid worker systému pro účet Automation. Skupiny používají Hostname FQDN_GUID zásady vytváření názvů. Na tyto skupiny nemůžete cílit pomocí runbooků ve vašem účtu. Pokud to zkusíte, pokus se nezdaří. Tyto skupiny mají podporovat pouze řešení Update Management. Další informace o zobrazení seznamu počítačů s Windows nakonfigurovaných jako Hybrid Runbook Worker najdete v tématu Zobrazení funkcí Hybrid Runbook Worker.

Pokud používáte stejný účet pro řešení Update Management a členství ve skupině Hybrid Runbook Worker, můžete počítač s Windows přidat do uživatelské skupiny Hybrid Runbook Worker ve vašem účtu Automation pro podporu runbooků. Tato funkce byla přidána ve verzi 7.2.12024.0 funkce Hybrid Runbook Worker.

Externí závislosti

Azure Automation Update Management závisí při poskytování aktualizací softwaru na následujících externích závislostech.

  • Windows Server Update Services (WSUS) nebo Microsoft Update je potřeba pro balíčky aktualizací softwaru a pro kontrolu použitelnosti aktualizací softwaru na počítačích s Windows.
  • Klient služba Windows Update Agent (WUA) se vyžaduje na počítačích s Windows, aby se mohli připojit k serveru WSUS nebo Microsoft Update.
  • Místní nebo vzdálené úložiště pro načítání a instalaci aktualizací operačního systému na počítačích s Linuxem

Sady Management Pack

Na počítačích spravovaných nástrojem Update Management se instalují následující sady Management Pack. Pokud je vaše skupina pro správu Operations Manageru připojená k pracovnímu prostoru služby Log Analytics, nainstalují se sady Management Pack do skupiny pro správu Operations Manageru. Sady Management Pack nemusíte konfigurovat ani spravovat:

  • Aktualizace Microsoft System Center Advisor Update Assessment Intelligence Pack (Microsoft.IntelligencePacks.UpdateAssessment)
  • Microsoft.IntelligencePack.UpdateAssessment.Configuration (Microsoft.IntelligencePack.UpdateAssessment.Configuration)
  • Update Deployment MP (Management Pack pro nasazení aktualizací)

Poznámka

Pokud máte skupinu pro správu Operations Manageru 1807 nebo 2019 připojenou k pracovnímu prostoru služby Log Analytics s agenty nakonfigurovanými ve skupině pro správu pro shromažďování dat protokolu, musíte parametr IsAutoRegistrationEnabled přepsat a nastavit ho na TrueMicrosoft. Pravidlo IntelligencePacks.AzureAutomation.HybridAgent.Init

Další informace o aktualizacích sad Management Pack najdete v tématu Připojení Operations Manageru k protokolům služby Azure Monitor.

Poznámka

Aby služba Update Management mohla plně spravovat počítače pomocí agenta Log Analytics, musíte provést aktualizaci na agenta Log Analytics pro Windows nebo agenta Log Analytics pro Linux. Informace o aktualizaci agenta najdete v tématu Postup upgradu agenta Operations Manageru. V prostředích, která používají Operations Manager, musíte používat System Center Operations Manager 2012 R2 UR 14 nebo novější.

Frekvence shromažďování dat

Update Management vyhledává data ve spravovaných počítačích pomocí následujících pravidel. Zobrazení aktualizovaných dat ze spravovaných počítačů na řídicím panelu může trvat 30 minut až 6 hodin.

  • Každý počítač s Windows – Update Management provede kontrolu dvakrát denně pro každý počítač.

  • Každý počítač s Linuxem – Update Management provádí kontrolu každou hodinu.

Průměrné využití dat protokoly služby Azure Monitor pro počítač používající řešení Update Management je přibližně 25 MB za měsíc. Tato hodnota představuje pouze aproximaci a v závislosti na vašem prostředí se může změnit. Doporučujeme monitorovat své prostředí, abyste měli přehled o přesném využití. Další informace o analýze využití dat protokolů služby Azure Monitor najdete v tématu Podrobnosti o cenách protokolů služby Azure Monitor.

Update classifications

Následující tabulka definuje klasifikace, které Update Management podporuje pro aktualizace Windows.

Klasifikace Popis
Důležité aktualizace Aktualizace pro konkrétní problém, která řeší kritickou chybu nesouvisenou se zabezpečením.
Aktualizace zabezpečení Aktualizace problému souvisejícího se zabezpečením konkrétního produktu
Kumulativní aktualizace Kumulativní sada oprav hotfix, které jsou zabaleny společně pro snadné nasazení.
Balíčky funkcí Nové funkce produktu, které se distribuují mimo vydání produktu.
Aktualizace Service Pack Kumulativní sada oprav hotfix, které jsou použity na aplikaci.
Aktualizace definic Aktualizace virů nebo jiných definičních souborů.
Nástroje Nástroj nebo funkce, které pomáhají dokončit jednu nebo více úloh.
Aktualizace Aktualizace aplikace nebo souboru, který je aktuálně nainstalován.

Další tabulka definuje podporované klasifikace pro aktualizace Linuxu.

Klasifikace Popis
Důležité aktualizace a aktualizace zabezpečení Aktualizace konkrétní problém nebo problém související se zabezpečením konkrétního produktu.
Další aktualizace Všechny ostatní aktualizace, které nejsou kritické nebo které nejsou aktualizacemi zabezpečení.

Poznámka

Klasifikace aktualizací pro počítače s Linuxem je k dispozici pouze při použití v podporovaných oblastech veřejného cloudu Azure. Při použití řešení Update Management v následujících oblastech národního cloudu neexistuje žádná klasifikace aktualizací Linuxu:

  • Azure pro vládu USA
  • 21Vianet v Číně

Aktualizace nejsou klasifikovány, ale jsou hlášeny v kategorii Další aktualizace .

Update Management používá data publikovaná podporovanými distribucemi, konkrétně jejich vydané soubory OVAL (Open Vulnerability and Assessment Language). Vzhledem k tomu, že přístup k internetu je z těchto národních cloudů omezený, update Management nemá přístup k souborům.

Pro Linux může Update Management rozlišovat mezi důležitými aktualizacemi a aktualizacemi zabezpečení v cloudu v rámci klasifikace Zabezpečení a další a současně může zobrazovat data hodnocení z důvodu rozšiřování dat v cloudu. Při opravách řešení Update Management spoléhá na data klasifikace, která jsou k dispozici na počítači. Na rozdíl od jiných distribucí nemá CentOS tyto informace k dispozici ve verzi RTM. Pokud máte počítače CentOS nakonfigurované tak, aby vracely data zabezpečení pro následující příkaz, update management může provádět opravy na základě klasifikací.

sudo yum -q --security check-update

V současné době neexistuje žádná podporovaná metoda povolení nativní dostupnosti dat klasifikace v CentOS. V tuto chvíli je k dispozici omezená podpora zákazníkům, kteří mohli tuto funkci povolit sami.

Pokud chcete klasifikovat aktualizace v Red Hat Enterprise verze 6, musíte nainstalovat modul plug-in yum-security. V Systému Red Hat Enterprise Linux 7 je modul plug-in už součástí samotného yumu a není potřeba nic instalovat. Další informace najdete v následujícím článku znalostní báze Společnosti Red Hat.

Když naplánujete spuštění aktualizace na počítači s Linuxem, která je například nakonfigurovaná tak, aby se nainstalovaly jenom aktualizace odpovídající klasifikaci Zabezpečení , nainstalované aktualizace se můžou lišit od aktualizací odpovídajících této klasifikaci nebo jsou jejich podmnožinou. Při vyhodnocení čekajících aktualizací operačního systému pro váš počítač s Linuxem se pomocí řešení Update Management ke klasifikaci používají soubory jazyka OVAL (Open Vulnerability and Assessment Language ) poskytnuté dodavatelem distribuce Linuxu.

Kategorizace se provádí pro aktualizace Linuxu jako zabezpečení nebo jiné na základě souborů OVAL, což zahrnuje aktualizace řešící problémy zabezpečení nebo ohrožení zabezpečení. Když ale spustíte plán aktualizací, spustí se na počítači s Linuxem pomocí příslušného správce balíčků, jako je YUM, APT nebo ZYPPER, který je nainstaluje. Správce balíčků pro distribuci Linuxu může mít jiný mechanismus klasifikace aktualizací, kde se výsledky mohou lišit od výsledků získaných ze souborů OVAL řešením Update Management. Pokud chcete počítač ručně zkontrolovat a zjistit, které aktualizace jsou pro správce balíčků důležité pro zabezpečení, přečtěte si téma Řešení potíží s nasazením aktualizací Linuxu.

Poznámka

Během hodnocení aktualizací nemusí u distribucí Linuxu podporovaných řešením Update Management správně fungovat klasifikace chybějících aktualizací jako Zabezpečení a Kritické. Důvodem je problém identifikovaný se schématem pojmenování souborů OVAL, které řešení Update Management používá ke klasifikaci aktualizací během hodnocení. To brání řešení Update Management ve správném porovnávání klasifikací na základě pravidel filtrování během vyhodnocování chybějících aktualizací.
To nemá vliv na nasazení aktualizací. Vzhledem k tomu, že se při vyhodnocování aktualizací zabezpečení používá jiná logika, můžou se výsledky lišit od aktualizací zabezpečení použitých během nasazení. Pokud máte klasifikaci nastavenou na Kritické a Zabezpečení, nasazení aktualizace bude fungovat podle očekávání. Ovlivněna je pouze klasifikace aktualizací během posouzení.
Update Management pro počítače s Windows Serverem není ovlivněný. Klasifikace aktualizací a nasazení se nezměnily.

Integrace řešení Update Management s Configuration Manager

Zákazníci, kteří investovali do Microsoft Endpoint Configuration Manager pro správu počítačů, serverů a mobilních zařízení, spoléhají také na sílu a vyspělost Configuration Manager při správě aktualizací softwaru. Informace o integraci řešení Update Management s Configuration Manager najdete v tématu Integrace řešení Update Management s koncovým bodem Windows Configuration Manager.

Aktualizace třetích stran ve Windows

Update Management spoléhá na místně nakonfigurované úložiště aktualizací pro aktualizaci podporovaných systémů Windows, a to buď WSUS, nebo služba Windows Update. Nástroje, jako je System Center Aktualizace Publisher, umožňují importovat a publikovat vlastní aktualizace pomocí služby WSUS. Tento scénář umožňuje řešení Update Management aktualizovat počítače, které jako úložiště aktualizací používají Configuration Manager se softwarem třetích stran. Informace o konfiguraci Aktualizace Publisheru najdete v tématu Instalace Aktualizace Publisheru.

Další kroky