Panoramica di Gestione aggiornamenti

È possibile usare Gestione aggiornamenti in Automazione di Azure per gestire gli aggiornamenti del sistema operativo per le macchine virtuali Windows e Linux in Azure, fisici o macchine virtuali in ambienti locali e in altri ambienti cloud. È possibile valutare rapidamente lo stato degli aggiornamenti disponibili e gestire il processo di installazione degli aggiornamenti necessari per i computer che segnalano a Gestione aggiornamenti.

Come provider di servizi, potrebbe essere stato eseguito l'onboarding di più tenant clienti in Azure Lighthouse. Gestione aggiornamenti può essere usato per valutare e pianificare le distribuzioni di aggiornamenti nei computer in più sottoscrizioni nello stesso tenant di Azure Active Directory (Azure AD) o in tenant con Azure Lighthouse.

Microsoft offre altre funzionalità che consentono di gestire gli aggiornamenti per le macchine virtuali di Azure o i set di scalabilità di macchine virtuali di Azure che è consigliabile considerare come parte della strategia di gestione generale degli aggiornamenti.

  • Se si è interessati a valutare e aggiornare automaticamente le macchine virtuali di Azure per mantenere la conformità alla sicurezza con gli aggiornamenti critici e di sicurezza rilasciati ogni mese, vedere Patch guest di macchine virtuali automatiche. Si tratta di una soluzione di gestione degli aggiornamenti alternativa per le macchine virtuali di Azure per aggiornarli automaticamente durante le ore di punta, incluse le macchine virtuali all'interno di un set di disponibilità, rispetto alla gestione delle distribuzioni di aggiornamenti a tali macchine virtuali da Gestione aggiornamenti in Automazione di Azure.

  • Se si gestiscono set di scalabilità di macchine virtuali di Azure, vedere come eseguire aggiornamenti automatici dell'immagine del sistema operativo in modo sicuro e aggiornare automaticamente il disco del sistema operativo per tutte le istanze del set di scalabilità.

Prima di distribuire Gestione aggiornamenti e abilitare i computer per la gestione, assicurarsi di comprendere le informazioni nelle sezioni seguenti.

Informazioni su Gestione aggiornamenti

Il diagramma seguente illustra come Gestione aggiornamenti valuta e applica gli aggiornamenti di sicurezza a tutti i server Windows server connessi e Linux.

Update Management workflow

Gestione aggiornamenti si integra con i log di Monitoraggio di Azure per archiviare le valutazioni degli aggiornamenti e aggiornare i risultati della distribuzione come dati di log, da macchine di Azure e non azure assegnate. Per raccogliere questi dati, l'area di lavoro Account di Automazione e Log Analytics è collegata insieme e l'agente di Log Analytics per Windows e Linux è necessario nel computer e configurato per segnalare l'area di lavoro in questa area di lavoro.

Gestione aggiornamenti supporta la raccolta di informazioni sugli aggiornamenti di sistema dagli agenti in un gruppo di gestione di Operations Manager System Center connesso all'area di lavoro. Non è consentito avere un computer registrato per Gestione aggiornamenti in più di un'area di lavoro Log Analytics (definito anche multihoming).

La tabella seguente riepiloga le origini connesse supportate con Gestione aggiornamenti.

Origine connessa Supportato Descrizione
Windows Gestione aggiornamenti raccoglie informazioni sugli aggiornamenti di sistema dai computer Windows con l'agente Log Analytics e l'installazione degli aggiornamenti necessari.
I computer devono segnalare a Microsoft Update o Windows Server Update Services (WSUS).
Linux Gestione aggiornamenti raccoglie informazioni sugli aggiornamenti di sistema dai computer Linux con l'agente Log Analytics e l'installazione degli aggiornamenti necessari nelle distribuzioni supportate.
I computer devono segnalare a un repository locale o remoto.
Gruppo di gestione di Operations Manager Gestione aggiornamenti raccoglie informazioni sugli aggiornamenti software dagli agenti in un gruppo di gestione connesso.

Non è necessaria una connessione diretta dall'agente Operations Manager ai log di Monitoraggio di Azure. I dati di log vengono inoltrati dal gruppo di gestione all'area di lavoro Log Analytics.

I computer assegnati a Gestione aggiornamenti segnalano il modo in cui sono aggiornati in base all'origine con cui sono configurati per la sincronizzazione. Windows computer devono essere configurati per segnalare Windows Server Update Services oMicrosoft Update e i computer Linux devono essere configurati per segnalare a un repository locale o pubblico. È anche possibile usare Gestione aggiornamenti con Microsoft Endpoint Configuration Manager e per altre informazioni, vedere Integrare Gestione aggiornamenti con Windows Endpoint Configuration Manager.

Se il Windows Update Agent (WUA) nel computer Windows è configurato per segnalare a WSUS, a seconda dell'ultima sincronizzazione di WSUS con Microsoft Update, i risultati potrebbero essere diversi da quelli visualizzati da Microsoft Update. Questo comportamento è lo stesso per i computer Linux configurati per segnalare un repository locale anziché un repository pubblico. In un computer Windows l'analisi della conformità viene eseguita ogni 12 ore per impostazione predefinita. Per un computer Linux, l'analisi della conformità viene eseguita ogni ora per impostazione predefinita. Se l'agente di Log Analytics viene riavviato, viene avviata un'analisi della conformità entro 15 minuti. Quando un computer completa un'analisi della conformità degli aggiornamenti, l'agente inoltra le informazioni in blocco ai log di Monitoraggio di Azure.

È possibile distribuire e installare gli aggiornamenti software nei computer che richiedono gli aggiornamenti creando una distribuzione pianificata. Gli aggiornamenti classificati come facoltativi non sono inclusi nell'ambito di distribuzione per i computer Windows. Nell'ambito della distribuzione vengono inclusi solo gli aggiornamenti obbligatori.

La distribuzione pianificata definisce i computer di destinazione che ricevono gli aggiornamenti applicabili, In questo modo, specificando in modo esplicito determinati computer o selezionando un gruppo di computer basato sulle ricerche dei log di un set specifico di computer (o in base a una query di Azure che seleziona dinamicamente le macchine virtuali di Azure in base ai criteri specificati). Questi gruppi sono diversi dalla configurazione dell'ambito, che viene usata per controllare la selezione dei computer di destinazione che ricevono la configurazione per abilitare Gestione aggiornamenti. Questo approccio impedisce ai computer di eseguire e segnalare la conformità degli aggiornamenti e di installare gli aggiornamenti obbligatori.

Durante la definizione di una distribuzione, si specifica anche una pianificazione per approvare e impostare un periodo di tempo durante il quale è possibile installare gli aggiornamenti. Questo periodo viene definito finestra di manutenzione. Un intervallo di 10 minuti della finestra di manutenzione è riservato per i riavvii, presupponendo che sia necessario e che sia selezionata l'opzione di riavvio appropriata. Se l'applicazione di patch richiede più tempo del previsto e nella finestra di manutenzione è presente meno di 10 minuti, non si verificherà un riavvio.

Dopo la pianificazione di un pacchetto di aggiornamento per la distribuzione, l'aggiornamento richiede da 2 a 3 ore per visualizzare l'aggiornamento per i computer Linux per la valutazione. Per i computer Windows, è necessario 12-15 ore per visualizzare l'aggiornamento per la valutazione dopo il rilascio. Prima e dopo l'installazione dell'aggiornamento, viene eseguita un'analisi della conformità degli aggiornamenti e i risultati dei dati del log vengono inoltrati all'area di lavoro.

Gli aggiornamenti vengono installati da runbook in Automazione di Azure. Questi runbook non richiedono alcuna configurazione e non possono essere visualizzati. Quando si crea una distribuzione degli aggiornamenti, viene creata una pianificazione che avvia un runbook di aggiornamento master alla data e ora specificata per i computer inclusi. Il runbook master avvia un runbook figlio in ogni agente che avvia l'installazione degli aggiornamenti necessari con l'agente di Windows Update in Windows o il comando applicabile nella distribuzione Linux supportata.

Alla data e ora specificate nella distribuzione degli aggiornamenti, i computer di destinazione eseguono la distribuzione in parallelo. Prima dell'installazione viene eseguita un'analisi per verificare che gli aggiornamenti siano ancora necessari. Per i computer client WSUS, la distribuzione degli aggiornamenti ha esito negativo se gli aggiornamenti non sono approvati in WSUS.

Limiti

Per i limiti applicabili a Gestione aggiornamenti, vedere Automazione di Azure limiti del servizio.

Autorizzazioni

Per creare e gestire le distribuzioni degli aggiornamenti, sono necessarie autorizzazioni specifiche. Per informazioni su queste autorizzazioni, vedere Accesso basato sul ruolo - Gestione aggiornamenti.

Componenti di Gestione aggiornamenti

Gestione aggiornamenti usa le risorse descritte in questa sezione. Queste risorse vengono aggiunte automaticamente all'account di Automazione quando si abilita Gestione aggiornamenti.

Gruppi di computer di lavoro runbook ibridi

Dopo aver abilitato Gestione aggiornamenti, qualsiasi computer Windows direttamente connesso all'area di lavoro Log Analytics viene configurato automaticamente come ruolo di lavoro ibrido per runbook per supportare i runbook che supportano Gestione aggiornamenti.

Ogni computer Windows gestito da Gestione aggiornamenti è elencato nella pagina dei gruppi di ruoli di lavoro ibridi come gruppo di ruoli di lavoro ibridi per il sistema per l'account di Automazione. I gruppi usano la convenzione di denominazione Hostname FQDN_GUID. Non è possibile applicare runbook a questi gruppi nell'account. Se si prova, il tentativo avrà esito negativo. Questi gruppi sono destinati solo al supporto di Gestione aggiornamenti. Per altre informazioni sulla visualizzazione dell'elenco dei computer Windows configurati come ruolo di lavoro ibrido per runbook, vedere Visualizzare i ruoli di lavoro ibridi per runbook.

È possibile aggiungere il computer Windows a un gruppo di lavoro ibrido runbook nell'account di automazione per supportare i runbook di Automazione se si usa lo stesso account per Gestione aggiornamenti e l'appartenenza al gruppo di lavoro ibrido runbook. Questa funzionalità è stata aggiunta alla versione 7.2.12024.0 del ruolo di lavoro ibrido per runbook.

Dipendenze esterne

Automazione di Azure Gestione aggiornamenti dipende dalle dipendenze esterne seguenti per distribuire gli aggiornamenti software.

  • Windows Server Update Services (WSUS) o Microsoft Update è necessario per i pacchetti di aggiornamenti software e per l'analisi dell'applicabilità degli aggiornamenti software nei computer basati su Windows.
  • Il client Windows Update Agent (WUA) è necessario nei computer basati su Windows in modo che possano connettersi al server WSUS o a Microsoft Update.
  • Un repository locale o remoto per recuperare e installare gli aggiornamenti del sistema operativo nei computer basati su Linux.

Management Pack

I Management Pack seguenti vengono installati nei computer gestiti da Gestione aggiornamenti. Se il gruppo di gestione di Operations Manager è connesso a un'area di lavoro Log Analytics, i Management Pack vengono installati nel gruppo di gestione di Operations Manager. Non è necessario configurare o gestire questi Management Pack.

  • Microsoft System Center Advisor Update Assessment Intelligence Pack (Microsoft.IntelligencePacks.UpdateAssessment)
  • Microsoft.IntelligencePack.UpdateAssessment.Configuration (Microsoft.IntelligencePack.UpdateAssessment.Configuration)
  • Update Deployment MP

Nota

Se si dispone di un gruppo di gestione di Operations Manager 1807 o 2019 connesso a un'area di lavoro Log Analytics con agenti configurati nel gruppo di gestione per raccogliere i dati di log, è necessario eseguire l'override del parametro IsAutoRegistrationEnabled e impostarlo su True nella regola Microsoft.IntelligencePacks.AzureAutomation.HybridAgent.Init .

Per altre informazioni sugli aggiornamenti ai Management Pack, vedere Connettere Operations Manager ai log di Monitoraggio di Azure.

Nota

Per consentire a Gestione aggiornamenti di gestire completamente i computer con l'agente di Log Analytics, è necessario aggiornare l'agente di Log Analytics per Windows o l'agente di Log Analytics per Linux. Per informazioni su come aggiornare l'agente, vedere How to upgrade an Operations Manager agent (Come aggiornare un agente di Operations Manager). Negli ambienti che usano Operations Manager è necessario eseguire System Center Operations Manager 2012 R2 UR 14 o versioni successive.

Frequenza di raccolta dati

Gestione aggiornamenti analizza i computer gestiti per individuare i dati usando le regole seguenti. La visualizzazione nel dashboard dei dati aggiornati dei computer gestiti può richiedere da 30 minuti a 6 ore.

  • Ogni computer Windows - Gestione aggiornamenti esegue l'analisi due volte al giorno per ogni computer.

  • Ogni computer Linux - Gestione aggiornamenti esegue un'analisi ogni ora.

L'utilizzo medio dei dati da parte dei log di Monitoraggio di Azure per un computer che usa Gestione aggiornamenti è di circa 25 MB al mese. Questo valore è solo un'approssimazione ed è soggetto a modifiche, in base all'ambiente in uso. È consigliabile monitorare l'ambiente per tenere traccia dell'utilizzo esatto. Per altre informazioni sull'analisi dell'utilizzo dei dati dei log di Monitoraggio di Azure, vedere Dettagli sui prezzi dei log di Monitoraggio di Azure.

Classificazioni degli aggiornamenti

La tabella seguente definisce le classificazioni supportate da Gestione aggiornamenti per gli aggiornamenti di Windows.

Classificazione Descrizione
Aggiornamenti critici Un aggiornamento per un problema specifico che risolve un bug critico non correlato alla sicurezza.
Aggiornamenti per la sicurezza Un aggiornamento per un problema specifico del prodotto correlato alla sicurezza.
Aggiornamenti cumulativi Un set cumulativo di aggiornamenti rapidi, contenuti nello stesso pacchetto per facilitarne la distribuzione.
Feature Pack Nuove funzionalità del prodotto distribuite di fuori di una versione del prodotto.
Service Pack Un set cumulativo di aggiornamenti rapidi applicati a un'applicazione.
Aggiornamenti della definizione Un aggiornamento per un virus o altri file di definizione.
Strumenti Utilità o funzionalità che consente di completare una o più attività.
Aggiornamenti Un aggiornamento di un'applicazione o un file attualmente installati.

La tabella seguente definisce le classificazioni supportate per gli aggiornamenti di Linux.

Classificazione Descrizione
Aggiornamenti critici e della sicurezza Aggiornamenti per un problema specifico o specifico del prodotto, correlato alla sicurezza.
Altri aggiornamenti Tutti gli altri aggiornamenti non critici per loro natura o che non sono aggiornamenti della sicurezza.

Nota

La classificazione degli aggiornamenti per i computer Linux è disponibile solo se usata nelle aree cloud pubbliche di Azure supportate. Non esiste alcuna classificazione degli aggiornamenti di Linux quando si usa Gestione aggiornamenti nelle aree cloud nazionali seguenti:

  • Azure US Government
  • 21Vianet in Cina

Invece di essere classificati, gli aggiornamenti vengono segnalati nella categoria Altri aggiornamenti .

Gestione aggiornamenti usa i dati pubblicati dalle distribuzioni supportate, in particolare i file OVAL (Open Vulnerability and Assessment Language) rilasciati. Poiché l'accesso a Internet è limitato da questi cloud nazionali, Gestione aggiornamenti non può accedere ai file.

Per Linux, Gestione aggiornamenti può distinguere tra gli aggiornamenti critici e gli aggiornamenti della sicurezza nel cloud in Sicurezza di classificazione e altri, visualizzando i dati di valutazione a causa dell'arricchimento dei dati nel cloud. Per l'applicazione di patch, Gestione aggiornamenti si affida ai dati di classificazione disponibili nel computer. A differenza di altre distribuzioni, CentOS non mette a disposizione queste informazioni nella versione RTM. Se i computer CentOS sono configurati in modo da restituire dati sulla sicurezza per il comando seguente, Gestione aggiornamenti è in grado di applicare patch in base alle classificazioni.

sudo yum -q --security check-update

Attualmente non è supportato alcun metodo per abilitare la disponibilità dei dati di classificazione nativi in CentOS. Al momento, viene fornito supporto limitato ai clienti che potrebbero aver abilitato questa funzionalità autonomamente.

Per classificare gli aggiornamenti in Red Hat Enterprise versione 6, è necessario installare il plug-in yum-security. In Red Hat Enterprise Linux 7 il plug-in fa già parte di yum e non è necessario eseguire alcuna installazione supplementare. Per altre informazioni, vedere questo file di caratteristiche del caso su Red Hat.

Quando si pianifica un aggiornamento da eseguire in un computer Linux, che ad esempio è configurato per installare solo gli aggiornamenti corrispondenti alla classificazione Sicurezza , gli aggiornamenti installati potrebbero essere diversi da o sono un subset di, gli aggiornamenti corrispondenti a questa classificazione. Quando viene eseguita una valutazione degli aggiornamenti del sistema operativo in sospeso per il computer Linux, i file OVAL ( Open Vulnerability and Assessment Language ) forniti dal fornitore della distribuzione Linux vengono usati da Gestione aggiornamenti per la classificazione.

La categorizzazione viene eseguita per gli aggiornamenti di Linux come sicurezza o altri in base ai file OVAL, inclusi gli aggiornamenti che affrontano problemi di sicurezza o vulnerabilità. Tuttavia, quando viene eseguita la pianificazione degli aggiornamenti, viene eseguita nel computer Linux usando la gestione pacchetti appropriata, ad esempio YUM, APT o ZYPPER per installarli. La gestione pacchetti per la distribuzione linux può avere un meccanismo diverso per classificare gli aggiornamenti, in cui i risultati possono differire da quelli ottenuti dai file OVAL da Gestione aggiornamenti. Per controllare manualmente il computer e comprendere quali aggiornamenti sono rilevanti per la sicurezza da parte di Gestione pacchetti, vedere Risolvere i problemi di distribuzione degli aggiornamenti di Linux.

Nota

Durante la valutazione degli aggiornamenti, la classificazione degli aggiornamenti mancanti come sicurezza e critici potrebbe non funzionare correttamente per le distribuzioni Linux supportate da Gestione aggiornamenti. Si tratta di un problema identificato con lo schema di denominazione dei file OVAL, usato da Gestione aggiornamenti per classificare gli aggiornamenti durante la valutazione. Ciò impedisce a Gestione aggiornamenti di associare correttamente le classificazioni in base alle regole di filtro durante la valutazione degli aggiornamenti mancanti.
Ciò non influisce sulla distribuzione degli aggiornamenti. Poiché viene usata una logica diversa nelle valutazioni degli aggiornamenti della sicurezza, i risultati potrebbero differire dagli aggiornamenti della sicurezza applicati durante la distribuzione. Se la classificazione è impostata su Critico e Sicurezza, la distribuzione degli aggiornamenti funzionerà come previsto. È interessata solo la classificazione degli aggiornamenti durante una valutazione.
Gestione aggiornamenti per i computer server Windows non è interessato. Le distribuzioni e la classificazione degli aggiornamenti non sono modificate.

Integrare Gestione aggiornamenti con Configuration Manager

I clienti che hanno investito in Microsoft Endpoint Configuration Manager per gestire PC, server e dispositivi mobili si affidano alle caratteristiche potenti e avanzate di questa soluzione anche per gestire gli aggiornamenti software. Per informazioni su come integrare Gestione aggiornamenti con Configuration Manager, vedere Integrare Gestione aggiornamenti con Windows Endpoint Configuration Manager.

Aggiornamenti di terze parti in Windows

Gestione aggiornamenti si basa sul repository di aggiornamento configurato in locale per aggiornare i sistemi di Windows supportati, ovvero WSUS o Windows Update. Strumenti come System Center Updates Publisher consentono di importare e pubblicare aggiornamenti personalizzati con WSUS. Questo scenario consente a Gestione aggiornamenti di aggiornare i computer che usano Configuration Manager come repository degli aggiornamenti del software di terze parti. Per informazioni su come configurare Updates Publisher, vedere Installare Updates Publisher.

Passaggi successivi