Preparare la distribuzione degli aggiornamenti di sicurezza estesa per Windows Server 2012
Poiché Windows Server 2012 e Windows Server 2012 R2 ha raggiunto la fine del supporto il 10 ottobre 2023, i server abilitati per Azure Arc consentono di registrare i computer Windows Server 2012/2012 R2 esistenti in Aggiornamenti della sicurezza estesa (ESU). Grazie sia alla flessibilità dei costi che a un'esperienza di distribuzione avanzata, Azure Arc offre posizioni migliori per la migrazione ad Azure.
Lo scopo di questo articolo è comprendere i vantaggi e come prepararsi all'uso di server abilitati per Arc per abilitare la distribuzione degli aggiornamenti della sicurezza estesa.
Nota
I computer con soluzioni Azure VMware (AVS) sono idonei per gli aggiornamenti della sicurezza estesa gratuiti e non devono essere registrati negli aggiornamenti della sicurezza estesa abilitati tramite Azure Arc.
Vantaggi chiave
La distribuzione degli aggiornamenti della sicurezza estesa ai computer Windows Server 2012/2012 R2 offre i vantaggi principali seguenti:
Pagamento in base al consumo: flessibilità di iscrizione a un servizio di sottoscrizione mensile con la possibilità di eseguire la migrazione a metà anno.
Fattura in Azure: è possibile prelevare dal Microsoft Azure Consumption Commitment (MACC) esistente e analizzare i costi usando Gestione dei costi e fatturazione Microsoft.
Inventario predefinito: lo stato di copertura e registrazione degli aggiornamenti della sicurezza estesa per Windows Server 2012/2012 R2 nei server abilitati per Arc idonei viene identificato nel portale di Azure, evidenziando le lacune e le modifiche dello stato.
Distribuzione senza chiave: la registrazione degli aggiornamenti della sicurezza estesa nei computer Windows Server 2012/2012 R2 abilitati per Azure Arc non richiederà l'acquisizione o l'attivazione delle chiavi.
Accesso ai servizi di Azure
Per i server abilitati per Azure Arc registrati negli aggiornamenti della sicurezza estesa WS2012 abilitati da Azure Arc, viene fornito l'accesso gratuito a questi servizi di Azure dal 10 ottobre 2023:
- Gestore aggiornamenti di Azure: gestione unificata e governance della conformità degli aggiornamenti che include non solo i computer Azure e ibridi, ma anche la conformità degli aggiornamenti della sicurezza estesa per tutti i computer Windows Server 2012/2012 R2. La registrazione negli aggiornamenti della sicurezza estesa non influisce su Gestore aggiornamenti di Azure. Dopo la registrazione negli aggiornamenti della sicurezza estesa tramite Azure Arc, il server diventa idoneo per le patch degli aggiornamenti della sicurezza estesa. Queste patch possono essere distribuite tramite Gestore aggiornamenti di Azure o qualsiasi altra soluzione di applicazione di patch. Sarà comunque necessario configurare gli aggiornamenti da Microsoft Updates o Windows Server Update Services.
- Rilevamento modifiche e inventario di Automazione di Azure: tenere traccia delle modifiche nelle macchine virtuali ospitate in Azure, in locale e in altri ambienti cloud.
- Configurazione guest di Criteri di Azure: verificare le impostazioni di configurazione in una macchina virtuale. La configurazione guest supporta macchine virtuali di Azure in modo nativo e server fisici e virtuali non Azure tramite server abilitati per Azure Arc.
Sono disponibili anche altri servizi di Azure tramite server abilitati per Azure Arc, con offerte come:
- Microsoft Defender per il cloud : nell'ambito del pilastro CSPM (Cloud Security Posture Management), fornisce protezioni server tramite Microsoft Defender per server per proteggere l'utente da varie minacce informatiche e vulnerabilità.
- Microsoft Sentinel: raccogliere eventi di sicurezza e correlarli con altre origini dati.
Preparare la distribuzione degli aggiornamenti della sicurezza estesa
Pianificare e preparare l'onboarding dei computer nei server abilitati per Azure Arc tramite l'installazione dell'agente di Azure Connected Machine (versione 1.34 o successiva) per stabilire una connessione ad Azure. Gli aggiornamenti della sicurezza estesa di Windows Server 2012 supportano le edizioni Standard e Datacenter di Windows Server 2012 e R2. Windows Server 2012 Storage non è supportato.
È consigliabile distribuire i computer in Azure Arc come preparazione per quando i servizi di Azure correlati offriranno funzionalità supportate per gestire l'aggiornamento della sicurezza estesa. Dopo aver eseguito l'onboarding di questi computer nei server abilitati per Azure Arc, si avrà visibilità sulla copertura dell'aggiornamento della sicurezza estesa e sulla registrazione tramite il portale di Azure o con Criteri di Azure. La fatturazione per questo servizio inizia da ottobre 2023 (ovvero, dopo la fine del supporto di Windows Server 2012).
Nota
Per acquistare gli aggiornamenti della sicurezza estesa, è necessario disporre di Software Assurance con programmi multilicenza, ad esempio Enterprise Agreement (EA), Enterprise Agreement Subscription (EAS), Enrollment for Education Solutions (EES), Server and Cloud Enrollment (SCE) o tramite i programmi Microsoft Open Value. In alternativa, se i computer Windows Server 2012/2012 R2 sono concessi in licenza tramite SPLA o con una sottoscrizione server, non è richiesta la copertura Software Assurance per acquistare gli aggiornamenti di sicurezza estesa.
È necessario scaricare sia il pacchetto di licenza sia l'aggiornamento dello stack di manutenzione (SSU) per il server abilitato per Azure Arc, come documentato in KB5031043: Procedura per continuare a ricevere gli aggiornamenti della sicurezza dopo che il supporto esteso è terminato il 10 ottobre 2023.
Opzioni di distribuzione
Sono disponibili diverse opzioni di onboarding su larga scala per i server abilitati per Azure Arc, tra cui l'esecuzione di una sequenza di attività personalizzata tramite Configuration Manager e la distribuzione di un'attività pianificata tramite Criteri di gruppo. Sono disponibili anche opzioni di distribuzione degli aggiornamenti della sicurezza estesa su larga scala per macchine virtuali gestite da VMware vCenter e macchine virtuali gestite da SCVMM tramite Azure Arc.
Nota
La distribuzione degli aggiornamenti della sicurezza estesa tramite Azure Arc alle macchine virtuali in esecuzione nell'infrastruttura VDI (Virtual Desktop Infrastructure) non è consigliata. I sistemi VDI devono usare più chiavi di attivazione (MAK) per applicare gli aggiornamenti della sicurezza estesa. Per altre informazioni, vedere Accedere alla chiave di attivazione multipla dall'interfaccia di amministrazione di Microsoft 365.
Rete
Le opzioni di connettività includono endpoint pubblico, server proxy e collegamento privato o Azure Express Route. Esaminare i prerequisiti di rete per preparare gli ambienti non Azure per la distribuzione in Azure Arc.
Se si usano server abilitati per Azure Arc solo per gli aggiornamenti della sicurezza estesi per uno o entrambi i prodotti seguenti:
- Windows Server 2012
- SQL Server 2012
È possibile abilitare il sottoinsieme di endpoint seguente:
| Risorsa dell'agente | Descrizione | Se necessario | Endpoint utilizzati con collegamento privato |
|---|---|---|---|
aka.ms |
Usate per risolvere lo script di download durante l'installazione | Al momento dell'installazione, solo | Pubblico |
download.microsoft.com |
Usato per scaricare il pacchetto di installazione di Windows | Al momento dell'installazione, solo | Pubblico |
login.windows.net |
Microsoft Entra ID | Sempre | Pubblico |
login.microsoftonline.com |
Microsoft Entra ID | Sempre | Pubblico |
*login.microsoft.com |
Microsoft Entra ID | Sempre | Pubblico |
management.azure.com |
Azure Resource Manager - per creare o eliminare la risorsa server di Arc | Quando si connette o si disconnette un server, solo | Pubblico, a meno che non sia configurato anche un collegamento privato gestione risorse |
*.his.arc.azure.com |
Metadati e servizi di identità ibrida | Sempre | Privata |
*.guestconfiguration.azure.com |
Gestione delle estensioni e servizi di configurazione guest | Sempre | Privata |
www.microsoft.com/pkiops/certs |
Aggiornamenti intermedi dei certificati per le ESU (nota: usa HTTP/TCP 80 e HTTPS/TCP 443) | Sempre per gli aggiornamenti automatici o temporaneamente se si scaricano manualmente i certificati. | Pubblico |
*.<region>.arcdataservices.com |
Servizio di elaborazione dati di Azure Arc telemetria del servizio. | ESU di SQL Server | Pubblico |
*.blob.core.windows.net |
Scaricare il pacchetto dell'estensione SQL Server | ESU di SQL Server | Non obbligatorio se si usa il collegamento privato |
Suggerimento
Per sfruttare la gamma completa di offerte per i server abilitati per Arc, ad esempio le estensioni e la connettività remota, assicurarsi di consentire gli URL aggiuntivi applicabili allo scenario. Per altre informazioni, vedere Requisiti di rete dell'agente di Azure Connected Machine.
Autorità di certificazione consentite
Per gli aggiornamenti della sicurezza estesa per Windows Server 2012 sono necessarie le autorità di certificazione seguenti:
- Microsoft Azure RSA TLS Issuing CA 03
- Microsoft Azure RSA TLS Issuing CA 04
- Microsoft Azure RSA TLS Issuing CA 07
- Microsoft Azure RSA TLS Issuing CA 08
Se necessario, queste autorità di certificazione possono essere scaricate e installate manualmente.
Passaggi successivi
Altre informazioni sulla pianificazione per la fine del supporto di Windows Server e SQL Server e sull'ottenimento degli aggiornamenti della sicurezza estesa.
Informazioni sulle procedure consigliate e sui modelli di progettazione tramite l'acceleratore di zona di destinazione di Azure Arc per ambienti ibridi e multi-cloud.
Altre informazioni su server abilitati per Arc e su come funzionano con Azure tramite l'agente di Azure Connected Machine.
Esplorare le opzioni per l'onboarding dei computer nei server abilitati per Azure Arc.