Bearbeiten

Azure Automation-Updateverwaltung

Azure-Automatisierung
Azure Log Analytics
Azure Monitor
Azure Resource Manager
Azure Virtual Machines

Diese Referenzarchitektur veranschaulicht, wie Sie eine Hybridlösung für die Updateverwaltung entwerfen, um Updates sowohl auf Microsoft Azure- als auch lokalen Windows- und Linux-Computern zu verwalten.

Aufbau

Die Azure-Updateverwaltung ist eine Konfigurationskomponente von Azure Automation. Windows- und Linux-Computer (sowohl in Azure als auch lokal) senden Bewertungsinformationen zu fehlenden Updates an den Log Analytics-Arbeitsbereich. Azure Automation verwendet diese Informationen dann zum Erstellen eines Zeitplans für die automatische Bereitstellung der fehlenden Updates.

Laden Sie eine Visio-Datei dieser Architektur herunter.

Workflow

Die Architektur umfasst folgende Dienste:

  • Log Analytics-Arbeitsbereich: Ein Log Analytics-Arbeitsbereich ist ein Datenrepository für Protokolldaten. Diese werden aus Ressourcen gesammelt, die in Azure, lokal oder in einem anderen Cloudanbieter ausgeführt werden.
  • Automation Hybrid Worker-Lösung: Erstellen Sie Hybrid Runbook Worker zur Ausführung von Azure Automation-Runbooks auf Ihren Azure- und Nicht-Azure-Computern.
  • Automation-Konto: Dies ist ein Clouddienst, der die Konfiguration und Verwaltung in Ihren Azure- und Nicht-Azure-Umgebungen automatisiert.
  • Hybrid Runbook Worker: Dies ist ein Computer, der mit dem Feature „Hybrid Runbook Worker“ konfiguriert wurde und Runbooks direkt auf dem Computer und für die Ressourcen in der lokalen Umgebung ausführen kann.
  • Hybrid Runbook Worker-Gruppe: Dies ist eine Gruppe von Hybrid Runbook Workern, die für Hochverfügbarkeit verwendet werden.
  • Runbook: Dies ist eine Sammlung von einer oder mehreren verknüpften Aktivität(en), die zusammen einen Prozess oder Vorgang automatisieren.
  • Lokale Computer und virtuelle Computer: Dies sind lokale Computer und virtuelle Computer mit Windows- oder Linux-Betriebssystemen in der lokalen Umgebung.
  • Virtuelle Azure-Computer: Virtuelle Azure-Computer (Azure Virtual Machines, Azure VMs) umfassen virtuelle Windows- oder Linux-Computer, die in Azure gehostet werden.

Komponenten

Szenariodetails

Typische Einsatzmöglichkeiten für diese Architektur sind:

  • Verwalten von Updates lokal und in Azure mithilfe der Komponente „Updateverwaltung“ von Automation-Konto.
  • Verwenden von geplanten Bereitstellungen zum Orchestrieren der Installation von Updates innerhalb eines definierten Wartungsfensters.

Empfehlungen

Die folgenden Empfehlungen gelten für die meisten Szenarios. Sofern es für Sie keine besonderen Anforderungen gibt, die Vorrang haben, sollten Sie sie befolgen.

Updateverwaltung

Updateverwaltung ist eine Konfigurationskomponente von Automation. Windows- und Linux-Computer (sowohl in Azure als auch lokal) senden Bewertungsinformationen über fehlende Updates an den Log Analytics-Arbeitsbereich. Azure Automation verwendet diese Informationen dann zum Erstellen eines Zeitplans für die automatische Bereitstellung der fehlenden Updates.

In den folgenden Schritten wird die eigentliche Implementierung beschrieben:

  1. Erstellen Sie einen Log Analytics-Arbeitsbereich.
  2. Erstellen Sie ein Automation-Konto.
  3. Verknüpfen Sie das Automation-Konto mit dem Log Analytics-Arbeitsbereich.
  4. Aktivieren Sie die Updateverwaltung für virtuelle Azure-Computer.
  5. Aktivieren Sie die Updateverwaltung für virtuelle Nicht-Azure-Computer.

Erstellen eines Log Analytics-Arbeitsbereichs

Sorgen Sie vor der Erstellung eines Log Analytics Arbeitsbereichs dafür, dass Sie mindestens über Berechtigungen für die Rolle „Log Analytics-Mitwirkender“ verfügen.

Sie können mehr als einen Log Analytics-Arbeitsbereich für Datenisolation oder den geografischen Standort für Datenspeicherung haben, doch der Log Analytics-Agent kann so konfiguriert werden, dass er an einen einzigen Log Analytics-Arbeitsbereich berichtet. Lesen Sie weitere Informationen in Entwerfen Ihrer Azure Monitor-Protokollbereitstellung, bevor Sie den Arbeitsbereich erstellen.

Führen Sie zum Erstellen eines Log Analytics-Arbeitsbereichs die folgenden Schritte aus:

  1. Melden Sie sich unter https://portal.azure.com beim Azure-Portal an.
  2. Klicken Sie im Azure-Portal auf Ressource erstellen.
  3. Geben Sie im Feld Marketplace durchsuchen den Begriff Protokollanalyse ein. Sobald Sie mit der Eingabe dieses Textes beginnen, wird die Liste auf der Grundlage Ihrer Eingabe gefiltert. Wählen Sie Log Analytics-Arbeitsbereiche aus.
  4. Wählen Sie Erstellen aus, und konfigurieren Sie dann die folgenden Elemente:
    1. Wenn die Standardauswahl nicht geeignet ist, wählen Sie in der Dropdownliste ein anderes Abonnement aus.
    2. Wählen Sie für die Ressourcengruppe eine vorhandene und bereits eingerichtete Ressourcengruppe aus, oder erstellen Sie eine neue.
    3. Geben Sie einen eindeutigen Namen für den neuen Log Analytics-Arbeitsbereich an, z. B. HybridWorkspace-IhrName.
    4. Wählen Sie den Speicherort für Ihre Bereitstellung aus.
    5. Wählen Sie Tarif aus, um weitere Anpassungen vorzunehmen.
    6. Wenn Sie einen Arbeitsbereich in einem Abonnement erstellen, das nach dem 2. April 2018 erstellt wurde, wird automatisch der Tarif Pro GB verwendet. In diesem Fall gibt es keine Tarifauswahloption. Wenn Sie einen Arbeitsbereich für ein vor diesem Datum erstelltes Abonnement oder für ein mit einer vorhandenen Enterprise Agreement-Registrierung verknüpftes Abonnement erstellen, wählen Sie Ihren bevorzugten Tarif aus. Weitere Informationen zu den einzelnen Tarifen finden Sie unter Log Analytics – Preise.
    7. Wählen Sie Tags aus, und geben Sie optional einen Namen und Wert für die Kategorisierung der Ressourcen an.
    8. Klicken Sie auf Überprüfen + erstellen.
  5. Nachdem Sie die erforderlichen Informationen im Bereich Log Analytics-Arbeitsbereich eingegeben haben, wählen Sie Erstellen aus.

Erstellen eines Automation-Kontos

Nachdem die Automation Hybrid Worker-Lösung dem Log Analytics-Arbeitsbereich hinzugefügt wurde, erstellen Sie als Nächstes das Automation-Konto. Informationen zum Auswählen der Regionen für das Automation-Konto und den Log Analytics-Arbeitsbereich finden Sie unter Unterstützte Regionen für einen verknüpften Log Analytics-Arbeitsbereich. Es ist wichtig, dass Sie das Automation-Konto basierend auf dem Dokument für die Regionszuordnung und vorzugsweise in derselben Ressourcengruppe wie der Log Analytics-Arbeitsbereich erstellen.

Führen Sie zum Erstellen eines Automation-Kontos die folgenden Schritte aus:

  1. Klicken Sie im Azure-Portal auf Ressource erstellen.
  2. Geben Sie im Feld Marketplace durchsuchen den Begriff Automation ein. Sobald Sie mit der Eingabe dieses Textes beginnen, wird die Liste auf der Grundlage Ihrer Eingabe gefiltert. Wählen Sie Automation und dann Erstellen aus.
  3. Wählen Sie Erstellen aus, und konfigurieren Sie dann die folgenden Elemente:
    1. Geben Sie den Namen für das Automation-Konto an, z. B. hybrid-auto.
    2. Wenn die Standardauswahl nicht geeignet ist, wählen Sie in der Dropdownliste ein anderes Abonnement aus.
    3. Wählen Sie für die Ressourcengruppe dieselbe Ressourcengruppe aus, in der Sie das Automation-Konto erstellen möchten.
    4. Wählen Sie den Speicherort basierend auf dem Dokument für die Regionszuordnung aus.
    5. Ausführendes Azure-Konto erstellen ist optional, weil dies nur die Authentifizierung mit Azure zur Verwaltung von Azure-Ressourcen aus Automation-Runbooks ermöglicht.
  4. Nachdem Sie die erforderlichen Informationen im Bereich Automation-Konto hinzufügen eingegeben haben, wählen Sie Erstellen aus.

Automation-Konten verwenden die Hybrid Runbook Worker-Komponenten, die im Log Analytics-Arbeitsbereich bereitgestellt werden. Sie müssen diese Dienste integrieren, bevor Sie einen Log Analytics-Agent auf einem lokalen Computer bereitstellen. Zurzeit werden Zuordnungen zwischen Log Analytics-Arbeitsbereichen und Automation-Konten in mehreren Regionen unterstützt. Weitere Informationen finden Sie unter Unterstützte Regionen für einen verknüpften Log Analytics-Arbeitsbereich.

Führen Sie zum Verknüpfen eines Automation-Kontos mit einem Log Analytics-Arbeitsbereich die folgenden Schritte aus:

  1. Wählen Sie im Azure-Portal Alle Dienste aus, und geben Sie Automation ein. Sobald Sie mit der Eingabe dieses Textes beginnen, wird die Liste auf der Grundlage Ihrer Eingabe gefiltert. Wählen Sie Automation-Konto und dann das zuvor erstellte Automation-Konto aus.
  2. Wählen Sie im Bereich Automation-Konto im Abschnitt Updateverwaltung die Option Updateverwaltung aus.
  3. Konfigurieren Sie im Bereich Updateverwaltung die folgenden Elemente:
    1. Wenn die Standardauswahl nicht geeignet ist, wählen Sie in der Dropdownliste ein anderes Abonnement aus.
    2. Wählen Sie für Log Analytics-Arbeitsbereich Ihren vorhandenen Log Analytics-Arbeitsbereich aus, z. B. HybridWorkspace-IhrName.
  4. Nachdem Sie die erforderlichen Informationen im Bereich Updateverwaltung eingegeben haben, wählen Sie Aktivieren aus.

Aktivieren der Updateverwaltung für virtuelle Azure-Computer

Aktivieren Sie die Updateverwaltung für virtuelle Azure-Computer mithilfe der folgenden Tools:

  • Azure Resource Manager-Vorlage. Microsoft stellt eine Beispielvorlage bereit, die die Erstellung eines Azure Log Analytics-Arbeitsbereichs, die Erstellung eines Automation-Kontos, die Verknüpfung des Automation-Kontos mit dem Log Analytics-Arbeitsbereich und die Aktivierung der Updateverwaltung automatisieren kann.
  • Updateverwaltung aus dem Azure-Portal. Verwenden Sie diese Methode, wenn Sie mehrere virtuelle Computer, die sich in verschiedenen Regionen befinden, aktualisieren möchten.
  • Updateverwaltung über einen virtuellen Azure-Computer. Hiermit werden Updates für einen ausgewählten virtuellen Computer konfiguriert.
  • Updateverwaltung über ein Automation-Konto. Verwenden Sie diese Methode, wenn Sie sowohl Azure- und Nicht-Azure-Computer als auch virtuelle Computer gleichzeitig aktualisieren möchten.
  • Updateverwaltung über ein Runbook. Verwenden Sie diese Methode zum Aktivieren der Updateverwaltung als automatisierte Prozedur in Kombination mit anderen Automatisierungsaktivitäten.

Führen Sie zum Aktivieren der Updateverwaltung für virtuelle Azure-Computer die folgenden Schritte aus:

  1. Wählen Sie im Azure-Portal Alle Dienste aus, und geben Sie Automation ein. Sobald Sie mit der Eingabe dieses Textes beginnen, wird die Liste auf der Grundlage Ihrer Eingabe gefiltert. Wählen Sie Automation-Konto und dann das zuvor erstellte Automation-Konto aus.
  2. Wählen Sie im Bereich Automation-Konto im Abschnitt Updateverwaltung die Option Updateverwaltung aus.
  3. Wählen Sie im Bereich Updateverwaltung die Option Azure-VMs hinzufügen aus, wählen Sie einen oder mehrere virtuelle(n) Computer aus, der/die für die Updateverwaltung bereit ist/sind, und wählen Sie dann Aktivieren aus.

Bereitstellen des Log Analytics-Agents und Herstellen einer Verbindung mit einem Log Analytics-Arbeitsbereich

Das Bereitstellen einer Hybrid Runbook Worker-Komponente ist Teil der Bereitstellung eines Log Analytics-Agents.

Wenn Sie die Lösung mithilfe eines virtuellen Azure-Computers testen, können Sie den Log Analytics-Agent installieren und dann den virtuellen Computer – unter Angabe einer VM-Erweiterung für Linux und Windows – in einem vorhandenen Log Analytics-Arbeitsbereich registrieren. Sie können den Agent auch mithilfe von Azure Automation Desired State Configuration (DSC), eines Windows PowerShell-Skripts oder einer Resource Manager-Vorlage für virtuelle Computer bereitstellen. Weitere Informationen finden Sie unter Verbinden von Windows-Computern mit Azure Monitor.

Stellen Sie den Agent bei virtuellen Nicht-Azure-Computern mithilfe eines manuellen oder automatisierten Prozesses auf physischen Windows- und Linux-Computern oder virtuellen Computern in Ihrer Umgebung bereit.

Konfigurieren Sie den Agent bei Windows-Computern für die Kommunikation mit dem Log Analytics-Dienst mithilfe des TLS-Protokolls (Transport Layer Security) 1.2. Eine ausführliche Erläuterung des Bereitstellungsverfahrens finden Sie unter Verbinden von Windows-Computern mit Azure Monitor.

Der Log Analytics-Agent für Linux kann folgendermaßen bereitgestellt werden:

  • Manuell mithilfe eines Shell-Skriptpakets, das Debian- und RPM-Pakete (Red Hat Package Manager) für jede der Agentkomponenten enthält. Dies wird empfohlen, wenn ein Linux-Computer keine Internetverbindung hat und über das Log Analytics-Gateway mit dem Log Analytics-Dienst kommuniziert.
  • Mithilfe eines Wrapperskripts, das auf GitHub gehostet wird, wenn der Computer eine Internetverbindung hat.

Der Log Analytics-Agent muss für die Kommunikation mit einem Log Analytics-Arbeitsbereich konfiguriert werden, wobei die Arbeitsbereichs-ID und der Schlüssel für diesen Arbeitsbereich angegeben werden.

Führen Sie die folgenden Schritte aus, um einen Log Analytics-Agent bereitzustellen und ihn mit einem Log Analytics-Arbeitsbereich zu verbinden:

  1. Suchen Sie im Azure-Portal nach Log Analytics-Arbeitsbereiche, und wählen Sie diese Option aus.
  2. Wählen Sie in Ihrer Liste von Log Analytics-Arbeitsbereichen den Arbeitsbereich aus, den der Agent für die Berichterstellung verwendet.
  3. Wählen Sie Agent-Verwaltung aus.
  4. Kopieren Sie die Arbeitsbereichs-ID und den Primärschlüssel, und fügen Sie diese Angaben in Ihren bevorzugten Texteditor ein.
  5. Wählen Sie in Ihrem Log Analytics-Arbeitsbereich auf der Seite Windows-Server, auf die Sie zuvor navigiert sind, die entsprechende Version für Windows-Agent herunterladen aus, um den Download basierend auf der Prozessorarchitektur des Windows-Betriebssystems durchzuführen.
  6. Führen Sie Setup aus, um den Agent auf Ihrem Computer zu installieren.
  7. Wählen Sie auf der Seite Willkommen die Option Weiter aus.
  8. Lesen Sie die Seite Lizenzbedingungen durch, und wählen Sie anschließend Ich stimme zu aus.
  9. Auf der Seite Zielordner können Sie den Standardinstallationsordner entweder ändern oder beibehalten. Wählen Sie dann Weiter aus.
  10. Wählen Sie auf der Seite Agent-Setupoptionen aus, dass der Agent mit Azure Log Analytics verbunden werden soll. Wählen Sie dann Weiter aus.
  11. Führen Sie auf der Seite Azure Log Analytics die folgenden Schritte aus:
    1. Fügen Sie die Arbeitsbereichs-ID und den Arbeitsbereichsschlüssel (Primärschlüssel) ein, die Sie zuvor kopiert haben. Wenn der Computer in einen Log Analytics-Arbeitsbereich in einer Microsoft Azure Government-Cloud meldet, wählen Sie in der Dropdownliste Azure Cloud die Option Azure US-Regierung aus.
    2. Wenn der Computer über einen Proxyserver mit dem Log Analytics-Dienst kommunizieren muss, wählen Sie Erweitert aus, und geben Sie die URL sowie die Portnummer des Proxyservers an. Wenn der Proxyserver eine Authentifizierung erfordert, geben Sie den Benutzernamen und das Kennwort für die Authentifizierung beim Proxyserver ein, und wählen Sie Weiter aus.
  12. Wählen Sie nach Angabe der erforderlichen Konfigurationseinstellungen Weiter aus.

Aktivieren der Updateverwaltung für Nicht-Azure-Computer

Zur Aktivierung der Updateverwaltung auf Nicht-Azure-Computern gelten die folgenden Voraussetzungen:

  • Bereitstellen des Log Analytics-Agents und Herstellen einer Verbindung mit einem Log Analytics-Arbeitsbereich.

In vorherigen Verfahren wurde erläutert, wie diese Voraussetzungen konfiguriert werden.

Aktivieren Sie nach der Installation des Log Analytics-Agents auf einem lokalen Computer die Updateverwaltung im Azure-Portal mit dem folgenden Verfahren:

  1. Wählen Sie im Azure-Portal Alle Dienste aus, und geben Sie Automation ein. Sobald Sie mit der Eingabe dieses Textes beginnen, wird die Liste auf der Grundlage Ihrer Eingabe gefiltert. Wählen Sie Automation-Konto und dann das zuvor erstellte Automation-Konto aus.
  2. Wählen Sie im Bereich Automation-Konto im Abschnitt Updateverwaltung die Option Updateverwaltung aus.
  3. Wählen Sie im Bereich Updateverwaltung die Option Computer verwalten und dann die Computer aus, die aufgelistet sind und für das Senden von Protokolldaten an den Log Analytics-Arbeitsbereich konfiguriert wurden.
  4. Wählen Sie Aktivieren aus, um die Konfiguration der Updateverwaltung auf Nicht-Azure-Computern abzuschließen.

Jeder von der Updateverwaltung verwaltete Windows-Computer wird im Bereich Hybrid Worker-Gruppen als „Hybrid Worker-Systemgruppe“ für das Automation-Konto aufgeführt. Verwenden Sie diese Gruppen nur für die Bereitstellung von Updates, nicht um sie als Ziel für Runbooks bei automatisierten Aufgaben festzulegen.

Überlegungen

Diese Überlegungen setzen die Säulen des Azure Well-Architected Framework um, das eine Reihe von Leitprinzipien enthält, die zur Verbesserung der Qualität eines Workloads verwendet werden können. Weitere Informationen finden Sie unter Microsoft Azure Well-Architected Framework.

Verwaltbarkeit

Verwalten von Updates für virtuelle Azure-Computer und Nicht-Azure-Computer

Die Updatebewertung für alle fehlenden Updates, die sowohl für virtuelle Azure-Computer als auch für Nicht-Azure-Computer erforderlich sind, wird im Abschnitt Updateverwaltung Ihres Automation-Kontos angezeigt.

Planen Sie eine Updatebereitstellung über das Azure-Portal oder mithilfe von PowerShell. Dadurch werden Zeitplanressourcen erstellt, die mit dem Runbook Patch-MicrosoftOMSComputers verknüpft sind.

Führen Sie zur Planung einer neuen Updatebereitstellung die folgenden Schritte aus:

  1. Navigieren Sie in Ihrem Automation-Konto unter Updateverwaltung zu Updateverwaltung, und wählen Sie dann Updatebereitstellung planen aus.

  2. Geben Sie unter Neue Updatebereitstellung im Feld Name einen eindeutigen Namen für Ihre Bereitstellung ein.

  3. Wählen Sie das Betriebssystem aus, das als Ziel für die Updatebereitstellung dienen soll.

  4. Definieren Sie im Bereich Zu aktualisierende Gruppen eine Abfrage mit einer Kombination aus Abonnement, Ressourcengruppen, Standorten und Tags zur Erstellung einer dynamischen Gruppe von virtuellen Azure-Computern, die in Ihre Bereitstellung eingeschlossen werden sollen. Weitere Informationen finden Sie unter Verwenden dynamischer Gruppen mit der Updateverwaltung.

  5. Wählen Sie im Bereich Zu aktualisierende Computer einen gespeicherten Suchvorgang oder eine importierte Gruppe aus, oder aber wählen Sie im Dropdownmenü die Option Computer und anschließend einzelne Computer aus.

  6. Verwenden Sie das Dropdownmenü Updateklassifizierungen zur Angabe von Updateklassifizierungen für Produkte.

  7. Wählen Sie im Bereich Updates einschließen/ausschließen bestimmte Updates für die Bereitstellung aus.

  8. Wählen Sie Zeitplaneinstellungen zum Definieren der Uhrzeit aus, zu der die Updatebereitstellung auf Computern durchgeführt werden soll.

  9. Geben Sie im Feld Serie an, ob die Bereitstellung einmal oder nach einem wiederkehrenden Zeitplan erfolgen soll. Wählen Sie dann OK aus.

  10. Wählen Sie im Bereich Vor und nach dem Vorgang auszuführende Skripts die Skripts aus, die vor und nach Ihrer Bereitstellung ausgeführt werden sollen. Weitere Informationen finden Sie unter Verwalten von Pre- und Post-Skripts.

  11. Geben Sie im Feld Wartungsfenster (Minuten) den zulässigen Zeitraum für die Installation von Updates an.

  12. Geben Sie im Feld Neustartoptionen die Methode zum Ausführen von Neustarts während der Bereitstellung an.

  13. Wählen Sie nach Abschluss der Konfiguration des Bereitstellungszeitplans Erstellen aus.

Die Ergebnisse einer abgeschlossenen Updatebereitstellung werden im Bereich Updateverwaltung auf der Registerkarte Verlauf angezeigt.

Konfigurieren von Windows Update-Einstellungen

Die Azure-Updateverwaltung verwendet den Windows Update-Client zum Herunterladen und Installieren von Updates entweder aus Windows Update (Standardeinstellung) oder aus Windows Server Update Server. Konfigurieren Sie Windows Update-Clienteinstellungen zum Herstellen einer Verbindung mit Windows Server Update Services (WSUS) mithilfe von Folgendem:

  • Editor für lokale Gruppenrichtlinien
  • Gruppenrichtlinie
  • PowerShell
  • Direktem Bearbeiten der Registrierung

Weitere Informationen finden Sie unter Konfigurieren von Windows Update-Einstellungen.

Integrieren der Updateverwaltung mit Microsoft Endpoint Configuration Manager

Der Zyklus der Softwareupdateverwaltung kann in Microsoft Endpoint Configuration Manager für Kunden integriert werden, die dieses Produkt bereits zum Verwalten von PCs, Servern und mobilen Geräten nutzen.

Integrieren Sie zum Integrieren von Softwareupdateverwaltung in Microsoft Endpoint Configuration Manager zunächst Endpunkt Configuration Manager in Azure Monitor-Protokolle, und importieren Sie dann die Sammlungen in den Log Analytics-Arbeitsbereich.

Weitere Informationen finden Sie unter Herstellen einer Verbindung zwischen Configuration Manager und Azure Monitor.

Wenn Sie Updates auf lokalen Computern verwalten möchten, konfigurieren Sie sie mit Folgendem:

  • Dem Microsoft Endpoint Configuration Manager-Client.
  • Dem Log Analytics-Agent, der zum Berichten an einen Log Analytics-Arbeitsbereich konfiguriert wurde, der für Updateverwaltung aktiviert ist.
  • Windows-Agents, die für die Kommunikation mit WSUS konfiguriert wurden oder auf Microsoft Update zugreifen können.

Wenn Sie Updates auf Computern mit Microsoft Endpoint Configuration Manager verwalten möchten, stellen Sie die folgenden Rollen auf dem Computer mit Microsoft Endpoint Configuration Manager bereit:

  • Verwaltungspunkt Diese Standortsystemrolle verwaltet Clients mit einer Richtlinie, die Konfigurationseinstellungen und Informationen zur Dienstidentifizierung enthält.
  • Verteilungspunkt. Er enthält Quelldateien für Clients.
  • Softwareupdatepunkt. Dies ist eine Rolle auf dem Server, auf dem WSUS gehostet wird.

Verwalten von Softwareupdates mithilfe von:

  • Microsoft Endpoint Configuration Manager
  • Azure-Automatisierung

Partnerupdates auf Windows-Computern können über ein benutzerdefiniertes Repository bereitgestellt werden, das wiederum von System Center Updates Publisher (SCUP) bereitgestellt wird. Mithilfe von SCUP können benutzerdefinierte Updates in WSUS importiert werden, die entweder eigenständig oder in Microsoft Endpoint Configuration Manager integriert sind.

Weitere Informationen finden Sie unter Integrieren der Updateverwaltung in Windows Endpoint Configuration Manager.

Bereitstellen des Log Analytics-Agents mithilfe eines PowerShell-Skripts

Mithilfe des PowerShell-Skripts New-OnPremiseHybridWorker.ps1 können Sie die Bereitstellung des Log Analytics-Agents mit der Rolle „Hybrid Worker“ beschleunigen, die auf einem Windows-Computer ausgeführt wird. Das Skript

  • Installieren der erforderlichen Module.
  • Anmelden mit Ihrem Azure-Konto.
  • Überprüfen des Vorhandenseins einer angegebenen Ressourcengruppe und des Automation-Kontos.
  • Erstellen von Verweisen auf Automation-Kontoattribute.
  • Erstellen eines Azure Monitor Log Analytics-Arbeitsbereichs, falls er nicht angegeben wurde.
  • Aktivieren der Automation-Lösung im Arbeitsbereich.
  • Herunterladen und Installieren des Log Analytics-Agents für das Windows-Betriebssystem.
  • Registrieren des Computers als Hybrid Runbook Worker.

Die Bereitstellung vieler Agents in einer lokalen Infrastruktur kann mithilfe von Befehlszeilenskripts sowie der Gruppenrichtlinie oder von Microsoft Endpoint Configuration Manager orchestriert werden.

Verwenden dynamischer Gruppen für Azure- und Nicht-Azure-Computer

Dynamische Gruppen für virtuelle Azure-Computer filtern virtuelle Computer basierend auf einer Kombination aus:

  • Abonnements
  • Ressourcengruppen
  • Standorte
  • `Tags`

Dynamische Gruppen für Nicht-Azure-Computer verwenden gespeicherte Suchvorgänge zum Filtern der Computer für die Bereitstellung des Updates. Gespeicherte Suchvorgänge, die auch als Computergruppenbezeichnet werden, können mithilfe von Folgendem erstellt werden:

  • Einer Protokollabfrage. Verwenden Sie Azure Data Explorer, um einen logischen Ausdruck zum Filtern der Computer zu definieren.
  • Active Directory-Domänendienste. Eine Gruppe wird in Log Analytics-Arbeitsbereich für alle Mitglieder einer Active Directory-Domäne erstellt.
  • Microsoft Endpoint Configuration Manager. Importieren Sie Computersammlungen aus Microsoft Endpoint Configuration Manager in einen Log Analytics-Arbeitsbereich.
  • WSUS. Gruppen, die auf WSUS-Servern erstellt werden, können in einen Log Analytics-Arbeitsbereich importiert werden.

Weitere Informationen zur Erstellung von Computergruppen zum Filtern von Computern für die Updatebereitstellung finden Sie unter Computergruppen in Azure Monitor-Protokollabfragen.

Skalierbarkeit

Azure Automation kann bis zu 1.000 Computer pro Updatebereitstellung verarbeiten. Wenn Sie voraussichtlich mehr als 1.000 Computer aktualisieren werden, können Sie die Updates zwischen mehreren Aktualisierungszeitplänen aufteilen. Weitere Informationen finden Sie unter Grenzwerte für Azure-Abonnements und Dienste, Kontingente und Einschränkungen.

Verfügbarkeit

  • Zurzeit werden Zuordnungen zwischen Log Analytics-Arbeitsbereich und Automation-Konto in mehreren Regionen unterstützt. Weitere Informationen finden Sie unter Unterstützte Regionen für einen verknüpften Log Analytics-Arbeitsbereich.
  • Unterstützte Clienttypen: Die Bewertung und das Patchen von Updates wird auf Windows- und Linux-Computern unterstützt, die in Azure oder Ihrer lokalen Umgebung ausgeführt werden. Zurzeit wird der Windows-Client nicht offiziell unterstützt. Eine Liste der unterstützten Clients finden Sie unter Unterstützte Clienttypen.

Sicherheit

Sicherheit bietet Schutz vor vorsätzlichen Angriffen und dem Missbrauch Ihrer wertvollen Daten und Systeme. Weitere Informationen finden Sie unter Übersicht über die Säule „Sicherheit“.

  • Aktualisieren von Verwaltungsberechtigungen: Die Komponente „Updateverwaltung“ von Automation und die Komponente „Log Analytics-Arbeitsbereich“ von Monitor können die rollenbasierte Zugriffssteuerung in Azure (Azure Role-Based Access Control, Azure RBAC) mit integrierten Rollen aus dem Azure Resource Manager verwenden. Zur Trennung der Aufgaben können diese Rollen verschiedenen Benutzern, Gruppen und Sicherheitsprinzipalen zugewiesen werden. Eine Liste der Rollen in Automation-Konten finden Sie unter Verwalten von Berechtigungen und Sicherheit für Rollen.
  • Verschlüsselung vertraulicher Ressourcen in Automation: Ein Automation-Konto kann vertrauliche Ressourcen wie Anmeldeinformationen, Zertifikate und verschlüsselte Variablen enthalten, die von Runbooks verwendet werden könnten. Jede sichere Ressource wird standardmäßig mit einem Datenverschlüsselungsschlüssel verschlüsselt, der für jedes Automation-Konto generiert wird. Diese Schlüssel werden verschlüsselt und in Automation mit einem Kontoverschlüsselungsschlüssel gespeichert, der im Azure Key Vault für Kunden gespeichert werden kann, die eine Verschlüsselung mit ihren eigenen Schlüsseln verwalten möchten. Standardmäßig wird ein Kontoverschlüsselungsschlüssel mit von Microsoft verwalteten Schlüsseln verschlüsselt. Verwenden Sie die folgenden Richtlinien zum Anwenden von Verschlüsselung sicherer Ressourcen in Azure Automation.
  • Runbook-Berechtigungen für einen Hybrid Runbook Worker: Standardmäßig werden Runbook-Berechtigungen für einen Hybrid Runbook Worker in einem Systemkontext auf dem Computer ausgeführt, auf dem sie bereitgestellt wurden. Ein Runbook authentifiziert sich selbst bei lokalen Ressourcen. Die Authentifizierung kann mithilfe von verwalteten Identitäten für Azure-Ressourcen oder durch Angabe eines ausführenden Kontos konfiguriert werden, um einen Benutzerkontext für alle Runbooks bereitzustellen.
  • Netzwerkplanung: Hybrid Runbook Worker erfordert für die Kommunikation mit Automation ausgehenden Internetzugriff über TCP-Port 443. Bei Computern mit eingeschränktem Internetzugriff können Sie die Kommunikation mit Automation und einem Azure Log Analytics-Arbeitsbereich über das Log Analytics-Gateway konfigurieren.
  • Azure-Sicherheitsbaseline für Automation: Die Azure-Sicherheitsbaseline für Automation enthält Empfehlungen zur Erhöhung der Gesamtsicherheit zum Schutz Ihrer Ressourcen entsprechend dem Leitfaden für bewährte Methoden.

DevOps

  • Sie können die Updatebereitstellung programmgesteuert über die REST-API planen. Weitere Informationen finden Sie unter Softwareupdatekonfigurationen – Erstellen.
  • Azure Automation ermöglicht die Integration in beliebte Quellcodeverwaltungssysteme wie Azure DevOps und GitHub. In die Quellcodeverwaltung können Sie eine vorhandene Entwicklungsumgebung mit Ihren Skripts und Ihrem benutzerdefinierten Code integrieren, der zuvor in einer isolierten Umgebung getestet wurde.
  • Weitere Informationen zum Integrieren von Automation in Ihre Quellcodeverwaltungsumgebung finden Sie unter Verwenden der Integration der Quellcodeverwaltung.

Kostenoptimierung

Bei der Kostenoptimierung geht es um die Suche nach Möglichkeiten, unnötige Ausgaben zu reduzieren und die Betriebseffizienz zu verbessern. Weitere Informationen finden Sie unter Übersicht über die Säule „Kostenoptimierung“.

  • Verwenden Sie den Azure-Preisrechner, um die voraussichtlichen Kosten zu ermitteln. Weitere Informationen zu Automation-Preismodellen finden Sie unter Automation – Preise.
  • Azure Automation-Kosten werden für die Auftragsausführung pro Minute oder für die Konfigurationsverwaltung pro Knoten berechnet. Die ersten 500 Minuten für Prozessautomatisierung und Konfigurationsverwaltung auf fünf Knoten sind jeden Monat kostenlos.
  • Ein Azure Log Analytics-Arbeitsbereich generiert möglicherweise Mehrkosten im Zusammenhang mit der Menge an Protokolldaten, die in Azure Log Analytics gespeichert werden. Die Preise basieren auf der Nutzung, und die Kosten werden der Datenerfassung und Datenaufbewahrung zugeordnet. Verwenden Sie zum Erfassen von Daten in Azure Log Analytics das Modell „Kapazitätsreservierung“ oder „nutzungsbasierte Bezahlung“, das für jedes Abrechnungskonto kostenlose 5 Gigabyte (GB) pro Monat umfasst. Die Datenaufbewahrung während der ersten 31 Tage ist kostenlos.
  • Verwenden Sie den Azure-Preisrechner, um die voraussichtlichen Kosten zu ermitteln. Weitere Informationen zu Log Analytics-Preismodellen finden Sie unter Azure Monitor-Preise.

Beitragende

Dieser Artikel wird von Microsoft gepflegt. Er wurde ursprünglich von folgenden Mitwirkenden geschrieben:

Hauptautor:

Melden Sie sich bei LinkedIn an, um nicht öffentliche LinkedIn-Profile anzuzeigen.

Nächste Schritte

Weitere Informationen zu Azure Automation: