Planifier des mises à jour périodiques pour des machines en utilisant le portail Microsoft Azure et l’Azure Policy

S’applique à : ✔️ Machines virtuelles Windows ✔️ Machines virtuelles Linux ✔️ Environnement local ✔️ Serveurs avec Azure Arc.

Important

• Pour bénéficier d’une expérience de mise à jour corrective planifiée fluide, nous vous recommandons de mettre à jour l’orchestration de correctif vers Planifications gérées par l’utilisateur pour toutes les machines virtuelles (MV) Azure au plus tard le 30 juin 2023. Si vous ne parvenez pas à mettre à jour l’orchestration du correctif avant le 30 juin 2023, vous pourrez subir une rupture de la continuité de votre activité, les planifications ne parvenant pas à corriger les machines virtuelles. Plus d’informations
• Planifier des mises à jour récurrentes via Azure Policy n’est pas disponible dans Azure US Government et Azure Chine géré par 21 Vianet.

Vous pouvez utiliser le Gestionnaire de mise à jour Azure pour créer et enregistrer des planifications de déploiement périodiques. Vous pouvez créer une planification à un rythme quotidien, hebdomadaire ou horaire. Vous pouvez spécifier les machines devant être mises à jour dans le cadre de la planification et les mises à jour à installer.

Cette planification installe alors automatiquement les mises à jour selon la planification créée pour une seule machine virtuelle et à grande échelle.

Le Gestionnaire de mise à jour utilise la planification du contrôle de maintenance au lieu de créer ses propres planifications. Le contrôle de maintenance permet aux clients de gérer les mises à jour de la plateforme. Pour plus d’informations, consultez Documentation du contrôle de maintenance.

Conditions préalables pour la mise à jour corrective planifiée

1. Voir Prérequis pour le Gestionnaire de mise à jour.

2. L’orchestration des correctifs des machines Azure doit être réglée sur les Planifications gérées par le client. Pour plus d’informations, consultez Activer la planification des correctifs sur des machines virtuelles existantes. Pour les machines avec Azure Arc, ce n’est pas obligatoire.

   Remarque

   Si vous réglez le mode correctif sur Orchestré par Azure (AutomaticByPlatform) sans activer l’indicateur BypassPlatformSafetyChecksOnUserSchedule et que vous ne joignez aucune configuration de maintenance à une machine Azure, c’est traité comme une mise à jour corrective automatique de la machine activée par des invités. La plateforme Azure installe automatiquement des mises à jour selon sa propre planification. Plus d’informations

Planifier les mises à jour correctives dans un groupe à haute disponibilité

Toutes les machines virtuelles d’un même groupe à haute disponibilité ne sont pas mises à jour simultanément.

Les machines virtuelles d’un groupe à haute disponibilité commun sont mises à jour dans les limites du domaine de mise à jour. Les machines virtuelles entre plusieurs domaines de mise à jour ne sont pas mises à jour simultanément.

Dans les scénarios où les machines du même groupe à haute disponibilité sont mises à jour en même temps dans différentes planifications, il est probable qu’elles ne soient pas mises à jour ou peuvent éventuellement échouer si la fenêtre de maintenance est dépassée. Pour éviter cela, nous vous recommandons d’augmenter la fenêtre de maintenance ou de fractionner les machines appartenant au même groupe à haute disponibilité selon plusieurs planifications à différents moments.

Configurer les paramètres de redémarrage

Les clés de registre répertoriées sous Configuration automatique des mises à jour par modification du registre et Clés de registre utilisées pour gérer le redémarrage peuvent réinitialiser vos machines. Une réinitialisation peut se produire, même si vous spécifiez Ne jamais réinitialiser dans les paramètres de planification. Configurez ces clés de Registre pour qu’elles s’adaptent au mieux à votre environnement.

Limites du service

Nous recommandons les limites suivantes pour les indicateurs.

Indicateur	Limite
Nombre de planifications par abonnement et par région	250
Nombre total d’associations de ressources pour une planification	3 000
Associations de ressources sur chaque étendue dynamique	1 000
Nombre d’étendues dynamiques par groupe de ressources ou abonnement par région	250
Nombre d’étendues dynamiques par planification	30
Nombre total d’abonnements attachés à toutes les étendues dynamiques par planification	30

Pour plus d’informations, consultez les limites de service pour l’étendue dynamique.

Planifier des mises à jour périodiques sur une seule machine virtuelle

Vous pouvez planifier des mises à jour à partir des volets Vue d’ensemble ou Machines sur la page du Gestionnaire de mise à jour ou à partir de la machine virtuelle sélectionnée.

Planifier des mises à jour périodiques sur une seule machine virtuelle :

1. Connectez-vous au portail Azure.

2. Sur la page Gestionnaire de mise à jour Azure | Vue d’ensemble, sélectionnez votre abonnement puis sélectionnez Planifier des mises à jour.

3. Sur la page Créer une nouvelle configuration de maintenance, vous pouvez créer une planification pour une seule machine virtuelle.

   Actuellement, les machines virtuelles et la configuration de maintenance dans le même abonnement sont prises en charge.

4. Sur la page Informations de base, sélectionnez Abonnement, Groupe de ressources et toutes les options dans Détails de l’instance.

   • Sélectionnez Étendue de maintenance en tant qu’invité (machine virtuelle Azure, machines virtuelles/serveurs avec Azure Arc).

   • Sélectionnez Ajouter une planification. Dans Ajouter/modifier une planification, spécifiez les détails de planification tels que :

     • Commencent le
     • Fenêtre de maintenance (en heures). La fenêtre de maintenance supérieure est de 3 heures 55 minutes.
     • Répétitions (mensuelles, quotidiennes ou hebdomadaires)
     • Ajouter une date de fin
     • Résumé de la planification

   L’option horaire n’est pas prise en charge dans le portail, mais peut être utilisée via l’API.

   

   Pour les répétitions mensuelles, il existe deux options :

   • Répéter à une date du calendrier (exécution éventuelle à la dernière date du mois).
   • Répétez le nième (premier, deuxième, etc.) jour (par exemple, lundi, mardi) du mois. Vous pouvez également spécifier un décalage par rapport à l’ensemble de jours. Il peut s’agir de +6/-6. Par exemple, si vous souhaitez corriger le premier samedi après un correctif le mardi, définissez la périodicité comme deuxième mardi du mois avec un décalage +4 jours. Si vous le souhaitez, vous pouvez également spécifier une date de fin, lorsque vous voulez que la planification expire.

5. Dans l’onglet Machines, sélectionnez votre machine puis sélectionnez Suivant.

   Update Manager ne prend pas en charge les mises à jour de pilotes.

6. Sur la page Balises, affectez des balises aux configurations de maintenance.

7. Sur la page Évaluer + créer, vérifiez vos options de déploiement de mise à jour, puis sélectionnez Créer.

À partir du volet Machines

1. Connectez-vous au portail Azure.

2. Sur la page Gestionnaire de mise à jour Azure | Machines, sélectionnez votre abonnement, votre machine, puis sélectionnez Planifier des mises à jour.

3. Dans Créer une nouvelle configuration de maintenance, vous pouvez créer une planification pour une seule machine virtuelle, attribuer des machines et des balises. Suivez la procédure de l’étape 3 répertoriée dans le volet Depuis le panneau Vue d’ensemble de Planification des mises à jour périodiques sur une seule machine virtuelle pour créer une configuration de maintenance et attribuer une planification.

À partir d’une machine virtuelle sélectionnée

1. Sélectionnez votre machine virtuelle pour ouvrir la page Machines virtuelles | Mises à jour.
2. Sous Opérations, sélectionnez Mises à jour.
3. Dans l’onglet Mises à jour, sélectionnez Accéder aux mises à jour à l’aide du centre de mises à jour.
4. Dans Préversion des mises à jour, sélectionnez Planifier des mises à jour. Dans Créer une configuration de maintenance, vous pouvez créer une planification pour une seule machine virtuelle. Suivez la procédure de l’étape 3 répertoriée dans le volet Depuis le panneau Vue d’ensemble de Planification des mises à jour périodiques sur une seule machine virtuelle pour créer une configuration de maintenance et attribuer une planification.

Une notification confirme que le déploiement a été créé.

Planifier des mises à jour récurrentes à grande échelle

Pour planifier des mises à jour périodiques à grande échelle, procédez comme suit.

Vous pouvez planifier des mises à jour à partir du volet Vue d’ensemble ou Machines.

À partir du volet Vue d’ensemble

1. Connectez-vous au portail Azure.

2. Sur la page Gestionnaire de mise à jour Azure | Vue d’ensemble, sélectionnez votre abonnement puis sélectionnez Planifier des mises à jour.

3. Sur la page Créer une nouvelle configuration de maintenance, vous pouvez créer une planification pour plusieurs machines.

   Actuellement, les machines virtuelles et la configuration de maintenance dans le même abonnement sont prises en charge.

4. Dans l’onglet Informations de base, sélectionnez Abonnement, Groupe de ressources et toutes les options dans Détails de l’instance.

   • Sélectionnez Ajouter une planification. Dans Ajouter/modifier une planification, spécifiez les détails de planification tels que :

     • Commencent le
     • Fenêtre de maintenance (en heures)
     • Répétitions (mensuelles, quotidiennes ou hebdomadaires)
     • Ajouter une date de fin
     • Résumé de la planification

   L’option horaire n’est pas prise en charge dans le portail, mais peut être utilisée via l’API.

5. Dans l’onglet Machines, vérifiez si les machines sélectionnés sont listées. Vous pouvez ajouter ou supprimer des machines de la liste. Cliquez sur Suivant.

6. Dans l’onglet Mises à jour, spécifiez les mises à jour à inclure dans le déploiement, telles que les classifications de mises à jour ou les ID/packages de la base de connaissances devant être installés lorsque vous déclencherez votre planification.

   Update Manager ne prend pas en charge les mises à jour de pilotes.

7. Sur la page Balises, affectez des balises aux configurations de maintenance.

8. Sur la page Évaluer + créer, vérifiez vos options de déploiement de mise à jour, puis sélectionnez Créer.

À partir du volet Machines

1. Connectez-vous au portail Azure.

2. Sur la page Gestionnaire de mise à jour Azure | Machines, sélectionnez votre abonnement, vos machines, puis sélectionnez Planifier des mises à jour.

Sur la page Créer une nouvelle configuration de maintenance, vous pouvez créer une planification pour une seule machine virtuelle. Suivez la procédure de l’étape 3 répertoriée dans le volet Depuis le panneau Vue d’ensemble de Planification des mises à jour périodiques sur une seule machine virtuelle pour créer une configuration de maintenance et attribuer une planification.

Une notification confirme que le déploiement a été créé.

Attacher une configuration de maintenance

Une configuration de maintenance peut être attachée à plusieurs machines. Elle peut être jointe aux machines au moment de la création d’une nouvelle configuration de maintenance, ou même après avoir créé une configuration.

1. Sur la page Gestionnaire de mise à jour Azure, sélectionnez Machines, puis sélectionnez votre abonnement.

2. Sélectionnez votre machine et dans le volet Mises à jour, sélectionnez Mises à jour planifiées pour créer une configuration de maintenance ou joindre une configuration de maintenance existante aux mises à jour périodiques planifiées.

3. Dans l’onglet Planification, sélectionnez Joindre la configuration de maintenance.

4. Sélectionnez la configuration de maintenance que vous souhaitez joindre, puis sélectionnez Joindre.

5. Dans le volet Mises à jour, sélectionnez Planification>Joindre la configuration de maintenance.

6. Sur la page Joindre une configuration de maintenance existante, sélectionnez la configuration de maintenance que vous souhaitez joindre et sélectionnez Joindre.

   

Planifier des mises à jour périodiques à partir de la configuration de la maintenance

Vous pouvez parcourir et gérer toutes vos configurations de maintenance à partir d’un emplacement unique.

1. Rechercher des configurations de maintenance dans le portail Azure. Il affiche la liste de toutes les configurations de maintenance, ainsi que l’étendue de maintenance, le groupe de ressources, l’emplacement et l’abonnement auquel il appartient.

2. Vous pouvez filtrer les configurations de maintenance à l’aide de filtres en haut de la page. Les configurations de maintenance liées aux mises à jour du système d’exploitation invité sont celles qui ont l’étendue de maintenance en tant qu’InGuestPatch.

Vous pouvez créer une nouvelle configuration de maintenance de mise à jour du système d’exploitation invité ou modifier une configuration existante.

Créer une nouvelle configuration de maintenance

1. Accédez à Machines et sélectionnez des machines dans la liste.

2. Dans le volet Mises à jour, sélectionnez Mises à jour planifiées.

3. Dans le volet Créer une configuration de maintenance, suivez l’étape 3 de cette procédure pour créer une configuration de maintenance.

4. Dans l’onglet Informations de base, sélectionnez l’ Étendue de maintenance en tant qu’ invité (machine virtuelle Azure, machines virtuelles/serveurs avec Azure Arc).

   

Ajouter ou supprimer des machines de la configuration de maintenance

1. Accédez à Machines et sélectionnez des machines dans la liste.

2. Sur la page Mises à jour sélectionnez Mises à jour ponctuelles.

3. Dans le volet Installer des mises à jour ponctuelles, sélectionnez Machines>Ajouter une machine.

   

Modifier les critères de sélection de mise à jour

1. Dans le volet Installer des mises à jour ponctuelles, sélectionnez les ressources et les machines pour installer les mises à jour.

2. Dans l’onglet Machines, sélectionnez Ajouter une machine pour ajouter des machines qui n’ont pas été précédemment sélectionnées, puis sélectionnez Ajouter.

3. Dans l'onglet Mises à jour, spécifiez les mises à jour à inclure dans le déploiement.

4. Sélectionnez Inclure l’ID de la base de connaissances/le package et Exclure l’ID de la base de connaissances/le package respectivement pour sélectionner les catégories de mises à jour telles que Critique, Sécurité, Mises à jour des fonctionnalités, etc.

   

Intégrer à la planification à l’aide de l’Azure Policy

Le gestionnaire de mises à jour vous permet de cibler un groupe dynamique de machines virtuelles Azure ou autres dans le cadre d’un déploiement de mises à jour via l’Azure Policy. Le regroupement utilisant une stratégie vous évite d’avoir à modifier votre déploiement pour mettre à jour les machines. Vous pouvez utiliser l’abonnement, le groupe de ressources, les balises ou les régions pour définir l’étendue. Vous pouvez utiliser cette fonctionnalité pour les stratégies intégrées, que vous pouvez personnaliser en fonction de votre cas d’usage.

Remarque

Cette stratégie garantit également que la propriété d’orchestration des correctifs pour les machines Azure est définie sur Planifications managées par les clients, car il s’agit d’un prérequis pour la mise à jour corrective de la planification.

Attribution d’une stratégie

Azure Policy vous permet d’attribuer des normes et d’évaluer la conformité à grande échelle. Pour plus d’informations, consultez Vue d’ensemble d’Azure Policy. Attribuer une stratégie à une étendue :

1. Connectez-vous au portail Azure et sélectionnez Stratégie.

2. Dans Attributions, sélectionnez Attribuer une stratégie.

3. Sur la page Attribuer une stratégie, dans l’onglet Informations de base :

   • Dans Étendue, choisissez votre abonnement, votre groupe de ressources, et choisissez Sélectionner.

   • Sélectionnez Définition de stratégie pour afficher une liste de stratégies.

   • Dans le volet Définitions disponibles, sélectionnez Intégré pour Type. Dans Recherche, entrez Planifier des mises à jour périodiques en utilisant le Gestionnaire de mise à jour Azure et cliquez sur Sélectionner.

     

   • Assurez-vous que l’option Application de la stratégie est définie sur Activée puis sélectionnez Suivant.

4. Dans l’onglet Paramètres par défaut, seul l’ID ARM de configuration de maintenance est visible.

   Si vous ne spécifiez aucun autre paramètre, toutes les machines de l’abonnement et du groupe de ressources que vous avez sélectionnées dans l’onglet Informations de base sont couvertes dans l’étendue. Si vous souhaitez étendre davantage en fonction du groupe de ressources, de l’emplacement, du système d’exploitation, des balises, et ainsi de suite, effacez Afficher uniquement les paramètres qui ont besoin d’entrée ou de révision pour afficher tous les paramètres :

   • ID ARM de configuration de la maintenance : un paramètre obligatoire à fournir. Il indique l’ID Azure Resource Manager (ARM) de la planification que vous souhaitez attribuer aux machines.
   • Groupes de ressources : vous pouvez éventuellement spécifier un groupe de ressources si vous souhaitez l’étendre à un groupe de ressources. Par défaut, tous les groupes de ressources de l'abonnement sont sélectionnés.
   • Types de système d’exploitation : vous pouvez sélectionner Windows ou Linux. Par défaut, les deux sont présélectionnés.
   • Emplacements des machines : vous pouvez éventuellement spécifier les régions que vous souhaitez sélectionner. Par défaut, tous les éléments sont sélectionnés.
   • Balises sur les machines : vous pouvez utiliser des balises pour agrandir davantage l’étendue. Par défaut, tous les éléments sont sélectionnés.
   • Opérateur de balises : si vous sélectionnez plusieurs balises, vous pouvez spécifier si vous souhaitez que l’étendue se compose de machines ayant toutes les balises ou de machines ayant l’une de ces balises.

   

5. Dans l’onglet Correction, dans Identité managée>Type d’identité managée, sélectionnez Identité managée attribuée par le système. Autorisations est déjà défini en tant que Contributeur en fonction de la définition de stratégie.

   Si vous sélectionnez Correction, la stratégie est effective sur toutes les machines existantes dans l’étendue, sinon, elle est attribuée à n’importe quelle nouvelle machine ajoutée à l’étendue.

6. Dans l’onglet Évaluer + Créer, vérifiez vos sélections, puis sélectionnez Créer pour identifier les ressources non conformes, afin de comprendre l’état de conformité de votre environnement.

Afficher la conformité

Pour afficher l’état de conformité actuel de vos ressources existantes :

1. Dans Affectations de stratégie, sélectionnez Étendue pour sélectionner votre abonnement et votre groupe de ressources.

2. Dans Type de définition, sélectionnez la stratégie. Dans la liste, sélectionnez le nom de l’affectation.

3. Sélectionnez Afficher la conformité. La conformité des ressources liste les machines et les raisons de la défaillance.

   

Vérifier votre exécution de mise à jour corrective planifiée

Vous pouvez vérifier l’état et l’historique du déploiement de votre configuration de maintenance exécutée à partir du portail du Centre de gestion des mises à jour. Pour plus d’informations, consultez Historique du déploiement des mises à jour par ID d’exécution de maintenance.

Chronologie de fenêtre de maintenance

La fenêtre de maintenance contrôle le nombre de mises à jour pouvant être installées sur votre machine virtuelle et sur les serveurs avec Arc. Nous vous recommandons de parcourir le tableau suivant pour comprendre la chronologie d’une fenêtre de maintenance lors de l’installation d’une mise à jour :

Par exemple, si une fenêtre de maintenance est de 3 heures et démarre à 15h00, voici les détails sur l’installation des mises à jour :

Windows

Type de mise à jour	Détails
Service Pack	Si vous installez un Service Pack, il vous faut 20 minutes dans la fenêtre de maintenance pour que les mises à jour soient correctement installées, sinon la mise à jour est ignorée. Dans cet exemple, vous devez terminer l’installation du Service Pack à 17 h 40.
Autres mises à jour	Si vous installez une autre mise à jour en plus de Service Pack, il vous faut 15 minutes dans la fenêtre de maintenance, sinon cette mise à jour est ignorée. Dans cet exemple, vous devez terminer l’installation des autres mises à jour à 17 h 45.
Reboot	Si la ou les machine(s) ont besoin d’une réinitialisation, il vous faut 10 minutes dans la fenêtre de maintenance, sinon, la réinitialisation est ignorée. Dans cet exemple, vous devez démarrer la réinitialisation à 17h50. Remarque : pour les machines virtuelles Azure et les serveurs avec Arc, le Gestionnaire de mise à jour Azure attend un maximum de 15 minutes pour les machines virtuelles Azure et de 25 minutes pour les serveurs Arc après une réinitialisation pour terminer l’opération de réinitialisation avant de la marquer comme ayant échoué.

Linux

Type de mise à jour	Détails
Reboot	Si les machines virtuelles nécessitent une réinitialisation, il vous faut 15 minutes dans la fenêtre de maintenance, sinon, la réinitialisation est ignorée. Remarque : cela s’applique uniquement aux machines virtuelles Azure et non aux serveurs avec Arc. Dans cet exemple, vous devez démarrer la réinitialisation à 17h45.
Mises à jour installées par lots	Si la taille du lot est de X, la durée minimale nécessaire pour mettre à jour les packages est calculée comme suit - Si X est inférieur ou égal à 3, la durée minimale requise = 5 x X minutes.  - Si X est supérieur à 3, la durée minimale requise = 15+2 x (X-3) minutes. Remarque : seul le service de Gestionnaire de mise à jour Azure contrôle la taille du lot (X) des mises à jour.

Remarque

• Le Gestionnaire de mise à jour Azure n’arrête pas l’installation des nouvelles mises à jour si la fin de la fenêtre de maintenance est proche.
• Le Gestionnaire de mise à jour Azure ne termine pas des mises à jour en cours, si la fenêtre de maintenance est dépassée et seules les mises à jour restantes devant être installées ne sont pas tentées. Nous vous recommandons de réévaluer la durée de votre fenêtre de maintenance, pour vous assurer que toutes les mises à jour sont installées.
• Le dépassement de la fenêtre de maintenance sur Windows est souvent le signe que l’installation d’une mise à jour de Service Pack prend beaucoup de temps.

Étapes suivantes

• Découvrez-en davantage sur l’étendue dynamique, une fonctionnalité avancée de la planification des mises à jour correctives.
• En savoir plus sur la Configuration de la planification de mise à jour corrective sur des machines virtuelles Azure pour la continuité des activités.
• Suivez les instructions pour gérer différentes opérations de l’étendue dynamique
• Découvrez les pré-événements et post-événements pour effectuer automatiquement des tâches avant et après une configuration de maintenance planifiée.