Informationen zu Azure Update Manager

Wichtig

Azure Log Analytics-Agent (auch bezeichnet als Microsoft Monitoring Agent, MMA), wird im August 2024 außer Dienst gestellt. Die Azure Automation Update Management-Lösung basiert auf diesem Agenten und es kann zu Problemen kommen, sobald der Agent außer Betrieb genommen wird, da er nicht mit dem Azure Monitoring Agent (AMA) zusammenarbeitet. Wenn Sie daher die Azure Automation Update Management-Lösung verwenden, empfehlen wir Ihnen, für Ihre Softwareupdate-Anforderungen zum Azure Update Manager zu wechseln. Alle Funktionen der Azure Automation Update-Verwaltungslösung stehen vor dem Deaktivierungsdatum im Azure Update Manager zur Verfügung. Befolgen Sie die Anleitung zum Migrieren Ihrer Computer und Zeitpläne von Automation Update Management zu Azure Update Manager.

Update Manager ist ein einheitlicher Dienst zur Verwaltung und Steuerung von Updates für alle Ihre Computer. Sie können die Compliance von Windows- und Linux-Updates für Ihre Bereitstellungen in Azure, lokal und auf anderen Cloudplattformen über ein einzelnes Dashboard überwachen. Sie können mit Update Manager auch Updates in Echtzeit durchführen oder innerhalb eines definierten Wartungsfensters planen.

Verwenden Sie Update Manager in Azure für folgende Aufgaben:

• Überwachen Sie die Updatekonformität für Ihren gesamten Bestand von Computern in Azure, lokal und in anderen Cloudumgebungen.
• Stellen Sie sofort kritische Updates bereit, um Ihre Computer zu schützen.
• Verwenden Sie flexible Patchingoptionen wie automatisches VM-Gastpatching in Azure, Hotpatching und von der Kundschaft definierte Wartungszeitpläne.

Wir bieten auch andere Funktionen, die Ihnen bei der Verwaltung von Updates für Ihre Azure VMs helfen und die Sie als Teil Ihrer Gesamtstrategie für die Updateverwaltung in Betracht ziehen sollten. Weitere Informationen zu den verfügbaren Optionen finden Sie in den Azure VM-Updateoptionen.

Machen Sie sich mit den Informationen in den folgenden Abschnitten vertraut, bevor Sie Ihre Computer für Update Manager aktivieren.

Hauptvorteile

Update Manager wurde neu gestaltet und ist im Gegensatz zur Updateverwaltung in Azure Automation nicht mehr von Azure Automation- oder Azure Monitor-Protokollen abhängig. Update Manager bietet im Vergleich zur ursprünglichen Version, die über Azure Automation verfügbar war, viele neue Features und erweiterte Funktionen. Im Folgenden werden einige dieser Vorteile aufgeführt:

• Bietet eine native Erfahrung ohne Onboarding.
  • Als native Funktionalität auf der Azure Compute- und der Azure Arc für Server-Plattform zur einfachen Verwendung erstellt.
  • Keine Abhängigkeit von Log Analytics und Azure Automation.
  • Azure Policy-Unterstützung.
  • Globale Verfügbarkeit in allen Azure Compute- und Azure Arc-Regionen.
• Funktioniert mit Azure-Rollen und -Identitäten.
  • Differenzierte Zugriffssteuerung auf der Ressourcenebene anstelle der Zugriffssteuerung auf Ebene des Azure- Automatisierungskontos und des Log Analytics-Arbeitsbereichs.
  • Update Manager basiert jetzt auf Azure Resource Manager-Vorgängen. Er ermöglicht die rollenbasierte Zugriffssteuerung und -rollen basierend auf Azure Resource Manager in Azure.
• Er bietet eine erweiterte Flexibilität.
  • Die Möglichkeit, sofortige Maßnahmen zu ergreifen, indem Sie Updates sofort installieren oder sie für einen späteren Zeitpunkt planen.
  • Updates automatisch oder bei Bedarf überprüfen.
  • Hilft bei der Sicherung von Computern durch neue Patching-Methoden wie automatisches VM-Gastpatching in Azure, Hotpatching oder benutzerdefinierte Wartungspläne.
  • Synchronisieren von Patchzyklen in Bezug auf „Patch-Dienstag“, die inoffizielle Bezeichnung für die geplante Veröffentlichung von Sicherheitsupdates durch Microsoft am zweiten Dienstag im Monat.

Das folgende Diagramm veranschaulicht, wie Update Manager sowohl für Windows als auch für Linux Updates bewertet und auf allen Azure-Computern und Azure Arc-fähigen Servern anwendet.

Zur Unterstützung der Verwaltung Ihrer Azure-VM oder eines Nicht-Azure-Computers stützt sich Update Manager auf eine neue Azure-Erweiterung, die alle Funktionen bereitstellt, die für die Interaktion mit dem Betriebssystem zur Verwaltung der Bewertung und Anwendung von Updates erforderlich sind. Diese Erweiterung wird automatisch installiert, wenn Sie beliebige Update Manager-Vorgänge ausführen, z. B. bei der Suche nach Updates, der Installation eines einmaligen Updates und bei einer regelmäßigen Bewertung auf Ihrem Computer. Die Erweiterung unterstützt die Bereitstellung auf Azure-VMs oder Servern mit Azure Arc-Unterstützung mithilfe des Erweiterungsframeworks. Die Update Manager-Erweiterung wird über die folgenden Komponenten installiert und verwaltet:

• Azure VM Windows-Agent oder der Azure VM Linux-Agent für Azure-VMs.
• Agent für Server mit Azure Arc-Unterstützung für Nicht-Azure Linux- und Windows-Computer oder physische Server.

Update Manager verwaltet die Installation und Konfiguration des Agents für die Erweiterung. Solange der Azure VM-Agent oder der Azure Arc-fähige Server-Agent funktioniert, sind keine manuellen Eingriffe erforderlich. Die Update Manager-Erweiterung führt Code lokal auf dem Computer aus, um mit dem Betriebssystem zu interagieren. Dies schließt Folgendes ein:

• Abrufen der Bewertungsinformationen über den Status von Systemupdates, die vom Windows Update-Client oder Linux-Paket-Manager angegeben wurden.
• Initiieren des Downloads und der Installation von genehmigten Updates mit dem Windows Update-Client oder dem Linux-Paket-Manager.

Alle Bewertungsinformationen und die Ergebnisse der Updateinstallation werden von der Erweiterung an Update Manager gemeldet und stehen zur Analyse mit Azure Resource Graph zur Verfügung. Sie können die Bewertungsdaten der letzten sieben Tage und die Ergebnisse der Updateinstallation der letzten 30 Tage anzeigen.

Die Update Manager zugewiesenen Computer melden, wie aktuell sie sind, basierend auf der für sie konfigurierten Quelle für die Synchronisierung. Sie können den Windows Update Agent (WUA) auf Windows-Computern so konfigurieren, dass er an Windows Server Update Services (WSUS) oder Microsoft Update gemeldet wird, was standardmäßig der Fall ist. Sie können Linux-Computer so konfigurieren, dass sie einem lokalen oder öffentlichen YUM- oder APT-Paket-Repository gemeldet werden. Wenn der Windows Update-Agent so konfiguriert ist, dass er an WSUS berichtet, können die Ergebnisse in Update Manager von den Ergebnissen in Microsoft Update abweichen – je nachdem, wann WSUS zuletzt mit Microsoft Update synchronisiert wurde. Dieses Verhalten gilt auch für Linux-Computer, die so konfiguriert sind, dass sie an ein lokales Repository und nicht an ein öffentliches Paketrepository berichten.

Hinweis

WSUS ist in Azure China, betrieben von 21 Vianet, nicht verfügbar.

Sie können Ihre Azure-VMs oder Server mit Azure Arc-Unterstützung direkt oder mit Update Manager im großen Stil skalieren.

Voraussetzungen

Sehen Sie sich zusätzlich zu den Voraussetzungen auch die Unterstützungsmatrix für Update Manager an.

Role

Ressource	Role
Azure VM	Azure Virtual Machine-Mitwirkender oder Azure-Besitzer
Server mit Azure Arc-Unterstützung	Ressourcenadministrator für Azure Connected Machine

Berechtigungen

Sie benötigen die folgenden Berechtigungen, um Updatebereitstellungen zu erstellen und zu verwalten. In der Tabelle sind die Berechtigungen aufgeführt, die für die Verwendung des Update-Managers erforderlich sind.

Aktionen	Berechtigung	`Scope`
Lesen von Azure-VM-Eigenschaften	Microsoft.Compute/virtualMachines/read
Aktualisieren der Bewertung auf Azure-VMs	Microsoft.Compute/virtualMachines/assessPatches/action
Lesen von Bewertungsdaten für Azure-VMs	Microsoft.Compute/virtualMachines/patchAssessmentResults/latest Microsoft.Compute/virtualMachines/patchAssessmentResults/latest/softwarePatches
Installieren von Updates auf Azure-VMs	Microsoft.Compute/virtualMachines/installPatches/action
Lesen von Patchinstallationsdaten für Azure-VMs	Microsoft.Compute/virtualMachines/patchInstallationResults Microsoft.Compute/virtualMachines/patchInstallationResults/softwarePatches
Lesen von Eigenschaften Azure Arc-fähiger Server	Microsoft.HybridCompute/machines/read
Aktualisieren der Bewertung auf Azure Arc-fähigen Servern	Microsoft.HybridCompute/machines/assessPatches/action
Lesen von Bewertungsdaten für Azure Arc-fähige Server	Microsoft.HybridCompute/machines/patchAssessmentResults Microsoft.HybridCompute/machines/patchAssessmentResults/softwarePatches
Installieren von Updates auf Azure Arc-fähigen Servern	Microsoft.HybridCompute/machines/installPatches/action
Lesen von Patchinstallationsdaten für Azure Arc-fähige Server	Microsoft.HybridCompute/machines/patchInstallationResults Microsoft.HybridCompute/machines/patchInstallationResults/softwarePatches
Registrieren des Abonnements für den Microsoft.Maintenance-Ressourcenanbieter	Microsoft.Maintenance/register/action	Subscription
Erstellen/Ändern der Wartungskonfiguration	Microsoft.Maintenance/maintenanceConfigurations/write	Abonnement/Ressourcengruppe
Erstellen/Ändern von Konfigurationszuweisungen	Microsoft.Maintenance/configurationAssignments/write	Subscription
Leseberechtigung für die Ressource „Wartung: Updates“	Microsoft.Maintenance/updates/read	Machine
Leseberechtigung für die Ressource „Wartung: Updates anwenden“	Microsoft.Maintenance/applyUpdates/read	Machine

VM-Images

Weitere Informationen finden Sie in der Liste der unterstützten Betriebssystem- und VM-Images.

Azure Update Manager unterstützt spezialisierte Images, einschließlich der VMs, die von Azure Migrate, Azure Backup und Azure Site Recovery erstellt wurden.

VM-Erweiterungen

Azure VM-Erweiterungen und Azure Arc-fähige VM-Erweiterungen sind verfügbar.

Azure VM-Erweiterungen

Betriebssystem	Durchwahl
Windows	Microsoft.CPlat.Core.WindowsPatchExtension
Linux	Microsoft.CPlat.Core.LinuxPatchExtension

Azure Arc-fähige VM-Erweiterungen

Betriebssystem	Durchwahl
Windows	Microsoft.CPlat.Core.WindowsPatchExtension (Periodische Bewertung) Microsoft.SoftwareUpdateManagement.WindowsOsUpdateExtension (Bedarfsgesteuerte Vorgänge und Patchplanung)
Linux	Microsoft.SoftwareUpdateManagement.LinuxOsUpdateExtension (Bedarfsgesteuerte Vorgänge und Patchplanung) Microsoft.CPlat.Core.LinuxPatchExtension (Periodische Bewertung)

So zeigen Sie die verfügbaren Erweiterungen für eine VM im Azure-Portal an:

1. Wechseln Sie zum Azure-Portal, und wählen Sie eine VM aus.
2. Wählen Sie auf der VM-Startseite unter Einstellungen die Option Erweiterungen + Anwendungen aus.
3. Auf der Registerkarte Erweiterungen werden die verfügbaren Erweiterungen angezeigt.

Netzwerkplanung

Um Ihr Netzwerk für die Unterstützung von Update Manager vorzubereiten, müssen Sie möglicherweise einige Infrastrukturkomponenten konfigurieren.

Bei Windows-Computern müssen Sie Datenverkehr zu allen Endpunkten zulassen, die für den Windows Update-Agent erforderlich sind. Sie finden eine aktualisierte Liste der erforderlichen Endpunkte unter Probleme im Zusammenhang mit HTTP/Proxy. Wenn Sie über eine lokale WSUS-Bereitstellung verfügen, müssen Sie auch Datenverkehr zu dem in Ihrem WSUS-Schlüssel angegebenen Server zulassen.

Informationen zu den erforderlichen Endpunkten für Red Hat Linux-Computer finden Sie unter IP-Adressen der Server für die RHUI-Inhaltsübermittlung. Informationen zu anderen Linux-Distributionen finden Sie in der jeweiligen Dokumentation des Anbieters.

Nächste Schritte

• Anzeigen von Updates für einen einzelnen Computer
• Sofortiges Bereitstellen von Updates (bei Bedarf) für einzelnen Computer
• Planen von wiederkehrenden Updates
• Verwalten von Updateeinstellungen über das Portal
• Verwalten mehrerer Computer mithilfe von Azure Update Manager