Tutorial: Aktivieren regelmäßiger Bewertungen und Planen von Updates auf Azure-VMs mithilfe von Richtlinien
Gilt für: ✔️ Windows-VMs ✔️ Linux-VMs ✔️ Lokale Umgebung ✔️ Azure Arc-fähige Server.
In diesem Tutorial wird erläutert, wie Sie regelmäßige Bewertungen aktivieren und Updates auf Ihren Azure-VMs mithilfe einer Azure-Richtlinie planen können. Mit einer Richtlinie können Sie Standards zuweisen und Compliance im großen Stil bewerten. Weitere Informationen
Bei der regelmäßigen Bewertung handelt es sich um eine Einstellung auf Ihrem Computer, mit der Sie die neuesten Updates anzeigen können, die für Ihre Computer verfügbar sind, sodass die Bewertung nicht aufwändig manuell ausgeführt werden muss, wenn Sie den Updatestatus überprüfen müssen. Sobald Sie diese Einstellung aktiviert haben, ruft Update Manager Updates auf Ihrem Computer einmal alle 24 Stunden ab.
Beim geplanten Patchen handelt es sich um eine Einstellung für eine Gruppe von Computern für die Updatebereitstellung über Azure Policy. Mit der Gruppierung mithilfe einer Richtlinie können Sie verhindern, dass Sie Ihre Bereitstellung zum Aktualisieren der Computer bearbeiten müssen. Sie können Abonnements, Ressourcengruppen, Tags oder Regionen verwenden, um den Bereich zu definieren, und dieses Feature für die integrierten Richtlinien nutzen, die Sie je nach Anwendungsfall anpassen können.
In diesem Tutorial lernen Sie Folgendes:
- Aktivieren der regelmäßigen Bewertung
- Aktivieren des geplanten Patchens
Voraussetzungen
- Sie benötigen ein Azure-Abonnement. Erstellen Sie ggf. ein kostenloses Konto, bevor Sie beginnen.
Aktivieren der regelmäßigen Bewertung
Navigieren Sie im Azure-Portal zu Azure Policy und unter Dokumenterstellung zu Definitionen.
- Wählen Sie in der Dropdownliste Kategorie die Option Azure Update Manager aus. Wählen Sie für Azure-Computer Konfigurieren der regelmäßigen Überprüfung auf fehlende Systemupdates auf virtuellen Azure-Computern aus.
- Wählen Sie Zuweisen aus, nachdem die Richtliniendefinition geöffnet wurde.
- Wählen Sie in Grundlagen Ihr Abonnement als Bereich aus. Sie können auch eine Ressourcengruppe im Abonnement als Bereich angeben und dann Weiter auswählen.
- Deaktivieren Sie in Parameter die Option Nur Parameter anzeigen, die eingegeben oder überprüft werden müssen, damit die Werte von Parametern sehen können.
- Wählen Sie unter Bewertung nacheinander AutomaticByPlatform, Betriebssystem und Weiter aus. Sie müssen getrennte Richtlinien für Windows und Linux erstellen.
- Aktivieren Sie in Wartung die Option Wartungsaufgabe erstellen, um die regelmäßige Bewertung auf Ihren Computern zu aktivieren, und klicken Sie auf Weiter.
- Geben Sie unter Nichtkonformität die Meldung an, die bei einer Nichtkonformität angezeigt werden soll. Geben Sie beispielsweise Auf dem Computer ist keine regelmäßige Bewertung aktiviert ein, und wählen Sie Überprüfen + erstellen aus.
- Wählen Sie unter Überprüfen + erstellen die Option Erstellen aus. Dadurch wird die Erstellung von Zuordnungs- und Wartungsaufgaben ausgelöst (kann ca. eine Minute dauern).
Auf der Azure Policy-Startseite können Sie die Konformität von Ressourcen unter Konformität und den Wartungsstatus unter Wartung überwachen.
Aktivieren des geplanten Patchens
Melden Sie sich am Azure-Portal an, und wählen Sie Richtlinie aus.
Wählen Sie unter Zuordnungen die Option Richtlinie zuweisen aus.
Gehen Sie unter Grundlagen auf der Seite Richtlinie zuweisen folgendermaßen vor:
- Wählen Sie unter Bereich Ihr Abonnement und die Ressourcengruppe aus, und wählen Sie dannAuswählen aus.
- Wählen Sie Richtliniendefinition aus, um eine Liste der Richtlinien anzuzeigen.
- Wählen Sie unter Verfügbare Definitionen die Option Integriert als Typ aus, und geben Sie Planen wiederkehrender Updates mithilfe von Azure Update Manager ein. Klicken Sie dann auf Auswählen.
- Stellen Sie sicher, dass Richtlinienerzwingung auf Aktiviert festgelegt ist, und wählen Sie dann Weiter aus.
Unter Parameter ist standardmäßig nur die Wartungskonfiguration „ARM-ID“ sichtbar.
Hinweis
Wenn Sie keine anderen Parameter angeben, fallen alle Computer im Abonnement und in der Ressourcengruppe, die Sie in Grundlagen ausgewählt haben, in diesen Bereich. Wenn Sie jedoch weitere Bereiche auf der Grundlage von Ressourcengruppe, Standort, Betriebssystem, Tags usw. einrichten möchten, deaktivieren Sie Nur Parameter anzeigen, die eine Eingabe oder Überprüfung erfordern, um alle Parameter anzuzeigen.
ARM-ID der Wartungskonfiguration: Ein obligatorischer Parameter, der angegeben werden muss. Er bezeichnet die ARM-ID des Zeitplans, den Sie den Computern zuweisen möchten.
Ressourcengruppen: Sie können optional eine Ressourcengruppe angeben, wenn Sie den Bereich auf eine Ressourcengruppe einschränken möchten. Standardmäßig sind alle Ressourcengruppen im Abonnement ausgewählt.
Betriebssystemtypen: Sie können Windows oder Linux auswählen. Standardmäßig sind beide Betriebssysteme vorab ausgewählt.
Computerstandorte: Sie können optional die Bereiche angeben, die Sie auswählen möchten. Standardmäßig sind alle ausgewählt.
Tags für Computer: Sie können Tags verwenden, um Bereiche weiter einzuschränken. Standardmäßig sind alle ausgewählt.
Tagsoperator: Wenn Sie mehrere Tags ausgewählt haben, können Sie angeben, ob der Bereich Computer umfassen soll, die über alle Tags verfügen, oder Computer, die über eines dieser Tags verfügen.
Wählen Sie unter Wartung, Verwaltete Identität, Typ der verwalteten Identität die Option „Systemseitig zugewiesene verwaltete Identität“ aus, und Berechtigungen ist bereits gemäß der Richtliniendefinition als Mitwirkender festgelegt.
Hinweis
Wenn Sie „Wartung“ auswählen, würde die Richtlinie für alle vorhandenen Computern im Bereich wirksam sein. Andernfalls wird sie jedem neuen Computer zugewiesen, der dem Bereich hinzugefügt wird.
Überprüfen Sie unter Überprüfen und Erstellen Ihre Auswahl, und wählen Sie Erstellen aus, um die nicht kompatiblen Ressourcen zu identifizieren, um den Compliancestatus Ihrer Umgebung zu verstehen.
Nächste Schritte
Erfahren Sie mehr über das Verwalten mehrerer Computer.