Panoramica di Gestione aggiornamenti
Attenzione
Questo articolo fa riferimento a CentOS, una distribuzione Linux che ha raggiunto lo stato End Of Life (EOL). Valutare le proprie esigenze e pianificare di conseguenza. Per ulteriori informazioni, consultare la Guida alla fine del ciclo di vita di CentOS.
Importante
Gestione aggiornamenti di Automazione è stato ritirato il 31 agosto 2024 ed è consigliabile usare Gestore aggiornamenti di Azure. Seguire le linee guida per la migrazione da Gestione aggiornamenti di Automazione a Gestore aggiornamenti di Azure.
Importante
L'agente di Azure Log Analytics, noto anche come Microsoft Monitoring Agent (MMA) verrà ritirato ad agosto 2024. La soluzione Gestione degli aggiornamenti di Automazione di Azure si basa su questo agente e potrebbero riscontrarsi problemi dopo il ritiro dell'agente, in quanto non funziona con l'agente di Monitoraggio di Azure (AMA). Pertanto, se si usa la soluzione Gestione aggiornamenti di Automazione di Azure, è consigliabile andare a Gestore aggiornamenti di Azure per le esigenze di aggiornamento software. Tutte le funzionalità della soluzione Gestione degli aggiornamenti di Automazione di Azure saranno disponibili in Gestore aggiornamenti di Azure prima della data di ritiro.
È possibile usare Gestione aggiornamenti in Automazione di Azure per gestire gli aggiornamenti del sistema operativo per le macchine virtuali Windows e Linux in Azure, i computer fisici o le macchine virtuali in ambienti locali e in altri ambienti cloud. È possibile valutare rapidamente lo stato degli aggiornamenti disponibili e gestire il processo di installazione degli aggiornamenti necessari per i computer che inviano report a Gestione aggiornamenti.
I provider di servizi potrebbero aver integrato più tenant di clienti in Azure Lighthouse. Gestione aggiornamenti può essere usato per valutare e pianificare le distribuzioni degli aggiornamenti nei computer in più sottoscrizioni nello stesso tenant di Microsoft Entra o tra tenant che usano Azure Lighthouse.
Microsoft offre altre funzionalità che consentono di gestire gli aggiornamenti per le macchine virtuali di Azure o i set di scalabilità di macchine virtuali di Azure da considerare come parte della strategia generale di gestione degli aggiornamenti.
Se si è interessati a valutare e aggiornare automaticamente le macchine virtuali di Azure per mantenere la conformità alla sicurezza con gli aggiornamenti critici e della sicurezza rilasciati ogni mese, vedere Applicazione automatica di patch guest alle macchine virtuali. Si tratta di una soluzione alternativa di gestione degli aggiornamenti per le macchine virtuali di Azure per aggiornarle automaticamente durante le ore non di punta, incluse le macchine virtuali all'interno di un set di disponibilità, rispetto alla gestione delle distribuzioni di aggiornamenti a tali macchine virtuali da Gestione aggiornamenti in Automazione di Azure.
Se si gestiscono set di scalabilità di macchine virtuali di Azure, vedere come eseguire aggiornamenti automatici delle immagini del sistema operativo per aggiornare in modo sicuro e automaticamente il disco del sistema operativo per tutte le istanze nel set di scalabilità.
Prima di distribuire Gestione aggiornamenti e abilitare i computer per la gestione, assicurarsi di comprendere le informazioni nelle sezioni seguenti.
Informazioni su Gestione aggiornamenti
Il diagramma seguente mostra in che modo Gestione aggiornamenti valuta e applica aggiornamenti della sicurezza a tutti i server Windows Server e Linux connessi.
Gestione aggiornamenti si integra con i log di Monitoraggio di Azure per archiviare le valutazioni degli aggiornamenti e i risultati della distribuzione degli aggiornamenti come dati di log, da computer Azure e non Azure assegnati. Per raccogliere questi dati, l'account di Automazione e l'area di lavoro Log Analytics sono collegati tra loro e nel computer è necessario l'agente di Log Analytics per Windows e Linux, configurato per fare riferimento all'area di lavoro.
Gestione aggiornamenti supporta la raccolta di informazioni sugli aggiornamenti di sistema da agenti in un gruppo di gestione di System Center Operations Manager connesso all'area di lavoro. Non è consentito avere un computer registrato per Gestione aggiornamenti in più di un'area di lavoro Log Analytics (definito anche multihoming).
La tabella seguente offre un riepilogo delle origini connesse supportate con Gestione aggiornamenti.
| Origine connessa | Supportata | Descrizione |
|---|---|---|
| Windows | Sì | Gestione aggiornamenti raccoglie informazioni sugli aggiornamenti di sistema da computer Windows con l'agente di Log Analytics e l'installazione degli aggiornamenti obbligatori. I computer devono fare riferimento a Microsoft Update o Windows Server Update Services (WSUS). |
| Linux | Sì | Gestione aggiornamenti raccoglie informazioni sugli aggiornamenti di sistema da computer Linux con l'agente di Log Analytics e l'installazione degli aggiornamenti obbligatori nelle distribuzioni supportate. I computer devono fare riferimento a un repository locale o remoto. |
| Gruppo di gestione di Operations Manager | Sì | Gestione aggiornamenti raccoglie informazioni sugli aggiornamenti software dagli agenti in un gruppo di gestione connesso. Non è necessaria una connessione diretta dall'agente di Operations Manager ai log di Monitoraggio di Azure. I dati di log vengono inoltrati dal gruppo di gestione all'area di lavoro Log Analytics. |
I computer assegnati a Gestione aggiornamenti segnalano il modo in cui sono aggiornati in base all'origine con cui sono configurati per la sincronizzazione. I computer Windows devono essere configurati per il reporting a Windows Server Update Services o Microsoft Update, mentre i computer Linux devono essere configurati per eseguire il reporting a un repository locale o pubblico. È anche possibile usare Gestione aggiornamenti con Microsoft Configuration Manager. Per altre informazioni, vedere Integrare Gestione aggiornamenti con Windows Configuration Manager.
Se l'agente di Windows Update nel computer Windows è configurato per l'invio di report a WSUS, in base a quando WSUS ha eseguito l'ultima sincronizzazione con Microsoft Update i risultati possono differire da quanto visualizzato da Microsoft Update. Questo comportamento è lo stesso per i computer Linux configurati per l'invio di report a un repository locale anziché a un repository pubblico. In un computer Windows l'analisi della conformità viene eseguita ogni 12 ore per impostazione predefinita. Per un computer Linux, l'analisi della conformità viene eseguita ogni ora per impostazione predefinita. Se l'agente di Log Analytics viene riavviato, viene avviata un'analisi della conformità entro 15 minuti. Quando un computer ha completato l'analisi di conformità degli aggiornamenti, l'agente inoltra le informazioni in blocco ai log di Monitoraggio di Azure.
È possibile distribuire e installare gli aggiornamenti software nei computer che richiedono gli aggiornamenti creando una distribuzione pianificata. Gli aggiornamenti classificati come facoltativi non sono inclusi nell'ambito della distribuzione per i computer Windows. Nell'ambito della distribuzione vengono inclusi solo gli aggiornamenti obbligatori.
La distribuzione pianificata definisce i computer di destinazione che ricevono gli aggiornamenti applicabili, specificando in modo esplicito determinate macchine virtuali o selezionando un gruppo di computer basato sulle ricerche nei log di un set specifico di macchine virtuali oppure sulla base di una query di Azure che seleziona dinamicamente le macchine virtuali di Azure in base ai criteri specificati. Questi gruppi sono diversi dalla configurazione dell'ambito, che viene usata per controllare la selezione dei computer di destinazione che ricevono la configurazione per abilitare Gestione aggiornamenti. Questo approccio impedisce ai computer di eseguire e segnalare la conformità degli aggiornamenti e di installare gli aggiornamenti obbligatori.
Durante la definizione di una distribuzione, si specifica anche una pianificazione per approvare e impostare un periodo di tempo durante il quale è possibile installare gli aggiornamenti. Questo periodo viene definito finestra di manutenzione. Un intervallo di 10 minuti della finestra di manutenzione viene riservato per i riavvii, presupponendo che sia necessario un riavvio e che sia stata selezionata l'opzione di riavvio appropriata. Se l'applicazione di patch richiede più tempo del previsto e sono disponibili meno di 10 minuti nella finestra di manutenzione, non verrà eseguito il riavvio.
Dopo la pianificazione di un pacchetto di aggiornamento per la distribuzione, per la visualizzazione dell'aggiornamento per i computer Linux per la valutazione sono richieste tra 2 e 3 ore. Per i computer Windows, la visualizzazione dell'aggiornamento per la valutazione dopo il rilascio richiede tra 12 e 15 ore. Prima e dopo l'installazione dell'aggiornamento, viene eseguita un'analisi della conformità degli aggiornamenti e i risultati dei dati del log vengono inoltrati all'area di lavoro.
Gli aggiornamenti vengono installati da runbook in Automazione di Azure. Questi runbook non richiedono alcuna configurazione e non possono essere visualizzati. Quando si crea una distribuzione degli aggiornamenti, viene creata una pianificazione che avvia un runbook di aggiornamento master alla data e ora specificata per i computer inclusi. Il runbook master avvia un runbook figlio in ogni agente che avvia l'installazione degli aggiornamenti necessari con l'agente di Windows Update in Windows o il comando applicabile nella distribuzione Linux supportata.
Alla data e ora specificate nella distribuzione degli aggiornamenti, i computer di destinazione eseguono la distribuzione in parallelo. Prima dell'installazione viene eseguita un'analisi per verificare che gli aggiornamenti siano ancora necessari. Per i computer client WSUS, la distribuzione degli aggiornamenti ha esito negativo se gli aggiornamenti non sono approvati in WSUS.
Limiti
Di seguito sono riportati i limiti che si applicano a Gestione aggiornamenti:
| Conto risorse | Limite | Note |
|---|---|---|
| Numero di computer per ogni distribuzione di aggiornamenti | 1000 | |
| Numero di gruppi dinamici per distribuzione degli aggiornamenti | 500 |
Autorizzazioni
Per creare e gestire le distribuzioni degli aggiornamenti, sono necessarie autorizzazioni specifiche. Per informazioni su queste autorizzazioni, vedere Controllo degli accessi in base al ruolo - Gestione aggiornamenti.
Componenti di Gestione aggiornamenti
Gestione aggiornamenti usa le risorse descritte in questa sezione. Queste risorse vengono aggiunte automaticamente all'account di Automazione quando si abilita Gestione aggiornamenti.
Gruppi di computer di lavoro runbook ibridi
Dopo l'abilitazione di Gestione degli aggiornamenti, qualsiasi computer Windows direttamente connesso all'area di lavoro Log Analytics viene configurato automaticamente come ruolo di lavoro ibrido per runbook di sistema per supportare i runbook che supportano Gestione degli aggiornamenti.
Ogni computer Windows gestito da Gestione aggiornamenti è elencato nella pagina dei gruppi di ruoli di lavoro ibridi come gruppo di ruoli di lavoro ibridi per il sistema per l'account di Automazione. I gruppi usano la convenzione di denominazione Hostname FQDN_GUID. Non è possibile applicare runbook a questi gruppi nell'account. Se si prova, il tentativo avrà esito negativo. Questi gruppi sono destinati solo al supporto di Gestione aggiornamenti. Per altre informazioni sulla visualizzazione dell'elenco dei computer Windows configurati come ruolo di lavoro ibrido per runbook, vedere Visualizzare i ruoli di lavoro ibridi per runbook.
È possibile aggiungere i computer Windows a un gruppo di ruoli di lavoro ibridi per runbook dell'utente nell'account di Automazione per supportare i runbook di Automazione, se si usa lo stesso account sia per Gestione degli aggiornamenti che per l'appartenenza al gruppo di ruoli di lavoro ibridi per runbook. Questa funzionalità è stata aggiunta alla versione 7.2.12024.0 del ruolo di lavoro ibrido per runbook.
Dipendenze esterne
Gestione degli aggiornamenti di Automazione di Azure dipende dalle dipendenze esterne seguenti per distribuire gli aggiornamenti software.
- Windows Server Update Services (WSUS) o Microsoft Update è necessario per i pacchetti di aggiornamenti software e per l'analisi dell'applicabilità degli aggiornamenti software nei computer basati su Windows.
- Il client Agente di Windows Update (WUA) è necessario nei computer basati su Windows in modo che possano connettersi al server WSUS o a Microsoft Update.
- Un repository locale o remoto per recuperare e installare gli aggiornamenti del sistema operativo nei computer basati su Linux.
Management Pack
I Management Pack seguenti vengono installati nei computer gestiti da Gestione degli aggiornamenti. Se il gruppo di gestione di Operations Manager è connesso all'area di lavoro Log Analytics, i Management Pack vengono installati nel gruppo di gestione di Operations Manager. Non è necessario configurare o gestire questi Management Pack.
- Microsoft System Center Advisor Update Assessment Intelligence Pack (Microsoft.IntelligencePacks.UpdateAssessment)
- Microsoft.IntelligencePack.UpdateAssessment.Configuration (Microsoft.IntelligencePack.UpdateAssessment.Configuration)
- Management Pack Distribuzione aggiornamento
Nota
Se è presente un gruppo di gestione di Operations Manager 1807 o 2019 connesso a un'area di lavoro Log Analytics con agenti configurati nel gruppo di gestione per raccogliere dati di log, sarà necessario eseguire l'override del parametro IsAutoRegistrationEnabled e impostarlo su True nella regola Microsoft.IntelligencePacks.AzureAutomation.HybridAgent.Init.
Per altre informazioni sugli aggiornamenti ai Management Pack, vedere Connettere Operations Manager ai log di Monitoraggio di Azure.
Nota
Per consentire a Gestione aggiornamenti di gestire completamente i computer con l'agente di Log Analytics, è necessario aggiornare l'agente di Log Analytics per Windows o l'agente di Log Analytics per Linux. Per informazioni su come aggiornare l'agente, vedere How to upgrade an Operations Manager agent (Come aggiornare un agente di Operations Manager). Negli ambienti che usano Operations Manager è necessario eseguire System Center Operations Manager 2012 R2 UR 14 o versioni successive.
Frequenza di raccolta dei dati
Gestione aggiornamenti analizza i computer gestiti per individuare i dati usando le regole seguenti. La visualizzazione nel dashboard dei dati aggiornati dei computer gestiti può richiedere da 30 minuti a 6 ore.
Ogni computer Windows - Gestione aggiornamenti esegue l'analisi due volte al giorno per ogni computer.
Ogni computer Linux - Gestione aggiornamenti esegue un'analisi ogni ora.
L'utilizzo medio dei dati da parte dei log di Monitoraggio di Azure per un computer che usa Gestione aggiornamenti è di circa 25 MB al mese. Questo valore è solo un'approssimazione ed è soggetto a modifiche, in base all'ambiente in uso. È consigliabile monitorare l'ambiente per tenere traccia dell'utilizzo esatto. Per altre informazioni sull'analisi dell'utilizzo dei dati dei log di Monitoraggio di Azure, vedere Dettagli sui prezzi dei log di Monitoraggio di Azure.
Classificazioni degli aggiornamenti
La tabella seguente definisce le classificazioni supportate da Gestione aggiornamenti per gli aggiornamenti di Windows.
| Classificazione | Descrizione |
|---|---|
| Aggiornamenti critici | Un aggiornamento per un problema specifico che risolve un bug critico non correlato alla sicurezza. |
| Aggiornamenti per la sicurezza | Un aggiornamento per un problema specifico del prodotto correlato alla sicurezza. |
| Aggiornamenti cumulativi | Un set cumulativo di aggiornamenti rapidi, contenuti nello stesso pacchetto per facilitarne la distribuzione. |
| Feature Pack | Nuove funzionalità del prodotto distribuite di fuori di una versione del prodotto. |
| Service Pack | Un set cumulativo di aggiornamenti rapidi applicati a un'applicazione. |
| Aggiornamenti della definizione | Un aggiornamento per un virus o altri file di definizione. |
| Strumenti | Utilità o funzionalità che consente di completare una o più attività. |
| Aggiornamenti | Un aggiornamento di un'applicazione o un file attualmente installati. |
La tabella seguente definisce le classificazioni supportate per gli aggiornamenti di Linux.
| Classificazione | Descrizione |
|---|---|
| Aggiornamenti critici e della sicurezza | Aggiornamenti per un problema specifico o specifico del prodotto, correlato alla sicurezza. |
| Altri aggiornamenti | Tutti gli altri aggiornamenti non critici per loro natura o che non sono aggiornamenti della sicurezza. |
Nota
La classificazione degli aggiornamenti per i computer Linux è disponibile solo se usata nelle aree del cloud pubblico di Azure supportate. Non è disponibile alcuna classificazione degli aggiornamenti di Linux quando si usa Gestione degli aggiornamenti nelle aree del cloud nazionali seguenti:
- Azure Governo Statunitense
- 21Vianet in Cina
Invece di essere classificati, gli aggiornamenti vengono riportati nella categoria Altri aggiornamenti.
Gestione degli aggiornamenti usa i dati pubblicati dalle distribuzioni supportate, in particolare i relativi file OVAL (Open Vulnerability and Assessment Language) rilasciati. Poiché l'accesso a Internet è limitato da questi cloud nazionali, Gestione degli aggiornamenti non può accedere ai file.
Logica per la classificazione degli aggiornamenti Linux
Per la valutazione, Gestione degli aggiornamenti classifica gli aggiornamenti in tre categorie: Sicurezza, Critici o Altri. Questa classificazione degli aggiornamenti si basa sui dati provenienti da due origini:
- I file OVAL (Open Vulnerability and Assessment Language) vengono forniti dal fornitore della distribuzione Linux che include i dati relativi ai problemi di sicurezza o alle vulnerabilità che vengono risolti dall'aggiornamento.
- Gestione pacchetti nel computer come YUM, APT o ZYPPER.
Per l'applicazione di patch, Gestione degli aggiornamenti classifica gli aggiornamenti in due categorie: Critici e della sicurezza o Altri. Questa classificazione degli aggiornamenti si basa esclusivamente sui dati provenienti da gestioni pacchetti come YUM, APT o ZYPPER.
CentOS: a differenza di altre distribuzioni, per CentOS non sono disponibili dati di classificazione dalla gestione pacchetti. Se i computer CentOS sono configurati in modo da restituire dati sulla sicurezza per il comando seguente, Gestione aggiornamenti è in grado di applicare patch in base alle classificazioni.
sudo yum -q --security check-update
Nota
Attualmente non è supportato alcun metodo per abilitare la disponibilità dei dati di classificazione nativi in CentOS. In questa fase viene offerto il miglior supporto possibile ai clienti che hanno abilitato autonomamente questa funzionalità.
Redhat: per classificare gli aggiornamenti in Red Hat Enterprise versione 6, è necessario installare il plug-in di sicurezza YUM. In Red Hat Enterprise Linux 7 il plug-in fa già parte di YUM e non è necessario eseguire alcuna installazione supplementare. Per altre informazioni, vedere questo file di caratteristiche del caso su Red Hat.
Integrare Gestione aggiornamenti con Configuration Manager
I clienti che hanno investito in Microsoft Configuration Manager per gestire PC, server e dispositivi mobili si affidano alle caratteristiche potenti e avanzate di questa soluzione anche per gestire gli aggiornamenti software. Per informazioni su come integrare Gestione degli aggiornamenti con Configuration Manager, vedere Integrare Gestione degli aggiornamenti con Windows Configuration Manager.
Aggiornamenti di terze parti in Windows
Gestione aggiornamenti si basa sul repository di aggiornamento configurato in locale per aggiornare i sistemi di Windows supportati, ovvero WSUS o Windows Update. Strumenti come System Center Updates Publisher consentono di importare e pubblicare aggiornamenti personalizzati con WSUS. Questo scenario consente a Gestione aggiornamenti di aggiornare i computer che usano Configuration Manager come repository degli aggiornamenti del software di terze parti. Per informazioni su come configurare Updates Publisher, vedere Installare Updates Publisher.
Aggiornare l'agente di Windows Log Analytics alla versione più recente
Gestione degli aggiornamenti richiede l'agente di Log Analytics per il funzionamento. È consigliabile aggiornare l'agente di Windows Log Analytics (noto anche come Windows Microsoft Monitoring Agent (MMA)) alla versione più recente per ridurre le vulnerabilità di sicurezza e trarre vantaggio dalle correzioni di bug. Le versioni dell'agente di Log Analytics precedenti a 10.20.18053 (bundle) e 1.0.18053.0 (estensione) usano un metodo precedente di gestione dei certificati e pertanto non sono consigliabili. Gli agenti di Windows Log Analytics meno recenti non sarebbero in grado di connettersi ad Azure e Gestione degli aggiornamenti smetterebbe di usarli.
È necessario aggiornare l'agente di Log Analytics alla versione più recente, seguendo questa procedura:
Controllare la versione corrente dell'agente di Log Analytics per il computer: passare al percorso di installazione - C:\ProgramFiles\Microsoft Monitoring Agent\Agent e fare clic con il pulsante destro del mouse su HealthService.exe per controllare Proprietà. Nella scheda Dettagli il campo Versione prodotto indica il numero di versione dell'agente di Log Analytics.
Se la versione dell'agente di Log Analytics è precedente a 10.20.18053 (bundle) e 1.0.18053.0 (estensione), eseguire l'aggiornamento alla versione più recente dell'agente di Windows Log Analytics, seguendo queste linee guida.
Nota
Durante il processo di aggiornamento, le pianificazioni di gestione degli aggiornamenti potrebbero non riuscire. Assicurarsi di eseguire questa operazione quando non è presente alcuna pianificazione.
Passaggi successivi
Prima di abilitare e usare Gestione degli aggiornamenti, vedere Pianificare la distribuzione di Gestione degli aggiornamenti.
Esaminare le domande più comuni su Gestione aggiornamenti nelle Domande frequenti di Automazione di Azure.