Linee guida sulla migrazione di macchine virtuali da Microsoft Configuration Manager a Gestore aggiornamenti di Azure
Si applica a: ✔️ Macchine virtuali Windows ✔️ Macchine virtuali Linux ✔️ Ambiente locale ✔️ Server abilitati per Azure Arc.
Questo articolo fornisce una guida alla modernizzazione della gestione dei server per i quali si usa attualmente Microsoft Configuration Manager (MCM). Microsoft si concentrerà su Gestore aggiornamenti di Azure che offre esperienze basate su Azure per la gestione delle patch, la funzionalità principale di MCM.
Per iniziare, è possibile elencare i servizi di Azure che forniscono funzionalità equivalenti per i diversi componenti di System Center.
| Componente di System Center | Servizio equivalente di Azure |
|---|---|
| System Center Operations Manager (SCOM). | Istanza gestita SCOM di Monitoraggio di Azure |
| System Center Configuration Manager (SCCM), ora denominato Microsoft Configuration Manager (MCM) | Gestore aggiornamenti di Azure, Rilevamento modifiche e inventario, Configurazione macchina di Azure (in precedenza denominata Configurazione guest di Criteri di Azure), Automazione di Azure, Microsoft Defender per il cloud |
| System Center Data Protection Manager (SCDPM) | Backup di Azure |
| System Center Orchestrator (SCORCH) | Azure Automation |
| System Center Service Manager (SCSM) | - |
Nota
Come parte del percorso di migrazione, è consigliabile usare le opzioni seguenti:
- Eseguire la migrazione completa delle macchine virtuali ad Azure e sostituire System Center con i servizi nativi di Azure.
- Adottare un approccio ibrido e sostituire System Center con i servizi nativi di Azure. Dove le macchine virtuali sia locali che di Azure vengono gestite usando i servizi nativi di Azure. Per le macchine virtuali locali, le funzionalità della piattaforma Azure vengono estese in locale tramite Azure Arc.
Eseguire la migrazione a Gestore aggiornamenti di Azure
MCM consente di gestire PC e server, mantenere aggiornato il software, impostare criteri di configurazione e sicurezza e monitorare lo stato del sistema. MCM offre più funzionalità e funzioni, tra cui la gestione degli aggiornamenti software.
In particolare per la gestione degli aggiornamenti o l'applicazione delle patch, in base ai requisiti, è possibile usare Gestore aggiornamenti di Azure nativo per gestire la conformità degli aggiornamenti per i computer Windows e Linux nelle distribuzioni in modo coerente. A differenza di MCM che richiede la gestione delle macchine virtuali di Azure per l'hosting dei diversi ruoli di Configuration Manager, Gestore aggiornamenti di Azure è progettato come servizio di Azure autonomo per offrire un'esperienza SaaS in Azure per la gestione degli ambienti ibridi. Non è necessario disporre di una licenza per usare Gestore aggiornamenti di Azure.
Nota
- Per gestire client/dispositivi, Intune è la soluzione Microsoft consigliata.
- Gestore aggiornamenti di Azure non fornisce il supporto per la migrazione per le macchine virtuali di Azure in MCM, ad esempio le configurazioni.
Mappa delle funzionalità di gestione degli aggiornamenti software
Nella tabella seguente è riportato il mapping delle funzionalità di gestione degli aggiornamenti software tra MCM e Gestore aggiornamenti di Azure.
| Funzionalità | Microsoft Configuration Manager | Gestore aggiornamenti di Azure |
|---|---|---|
| Sincronizzare gli aggiornamenti software tra siti (sito Amministrazione centrale, siti primari, siti secondari) | Il sito principale (sito Amministrazione centrale o sito primario autonomo) si connette a Microsoft Update per recuperare l'aggiornamento software. Altre informazioni. Dopo la sincronizzazione dei siti principali, i siti figlio vengono sincronizzati. | Non esiste alcuna gerarchia di computer in Azure e quindi tutti i computer connessi ad Azure ricevono gli aggiornamenti dal repository di origine. |
| Sincronizzare gli aggiornamenti software/verificare la disponibilità degli aggiornamenti (recuperare i metadati delle patch) | È possibile verificare periodicamente la presenza di eventuali aggiornamenti impostando la configurazione in corrispondenza del punto di aggiornamento software. Ulteriori informazioni | È possibile abilitare la valutazione periodica per abilitare la verifica dell'eventuale presenza di patch ogni 24 ore. Ulteriori informazioni |
| Configurazione di classificazioni/prodotti da sincronizzare/analizzare/valutare | È possibile scegliere le classificazioni degli aggiornamenti (aggiornamenti di sicurezza o critici) da sincronizzare/analizzare/valutare. Ulteriori informazioni | Questa funzionalità in questo caso non è disponibile. Vengono analizzati tutti i metadati software. |
| Distribuire gli aggiornamenti software (installare le patch) | Fornisce tre modalità di distribuzione degli aggiornamenti: Distribuzione manuale Distribuzione automatica Distribuzione in più fasi Altre informazioni |
- Viene eseguito il mapping della distribuzione manuale da distribuire gli aggiornamenti una tantum - La distribuzione automatica viene mappata agli aggiornamenti pianificati - Non è disponibile alcuna opzione di distribuzione in più fasi. |
| Distribuire gli aggiornamenti software nei computer Windows e Linux (in Azure o in locale o in altri cloud) | SCCM consente di gestire il rilevamento e l'applicazione di aggiornamenti software ai computer Windows (attualmente non sono supportati i computer Linux). | Gestore aggiornamenti di Azure supporta gli aggiornamenti software nei computer Windows e Linux. |
Linee guida per l'uso di Gestore aggiornamenti di Azure in computer gestiti da MCM
Come primo passaggio del percorso dell'utente MCM verso l'uso di Gestore aggiornamenti di Azure, è prevista l'abilitazione di Gestore aggiornamenti di Azure nei server gestiti da MCM esistenti, ad esempio assicurandosi che sia possibile la coesistenza di Gestore aggiornamenti di Azure e MCM. La sezione seguente tratta alcuni problemi che potrebbero verificarsi in questo primo passaggio.
Prerequisiti per la coesistenza di Gestore aggiornamenti di Azure e MCM
Assicurarsi che gli aggiornamenti automatici siano disabilitati nel computer. Per altre informazioni, vedere Gestire impostazioni aggiuntive di Windows Update - Configurazione degli aggiornamenti automatici modificando il Registro di sistema.
Assicurarsi che la chiave del Registro di sistema NoAutoUpdate sia impostata su 1 nel percorso del Registro di sistema seguente:
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AUGestore aggiornamenti di Azure può ottenere aggiornamenti dal server WSUS e a tale scopo assicurarsi di configurare il server WSUS come parte di SCCM.
- Verificare che il server WSUS disponga di spazio sufficiente.
- Assicurarsi di aggiornare l'opzione lingua per scaricare i pacchetti nella configurazione di WSUS. È consigliabile selezionare le lingue necessarie. Per altre informazioni, vedere Passaggio 2 - Configurare WSUS.
- Assicurarsi di creare una regola per l'approvazione automatica degli aggiornamenti in WSUS per scaricare i pacchetti applicabili nel server WSUS in modo che Gestore aggiornamenti di Azure possa ottenere gli aggiornamenti da questo server WSUS.
- Selezionare le classificazioni desiderate in base ai requisiti o lasciare invariate le selezioni in SCCM.
- Selezionare i prodotti in base ai requisiti o lasciare invariate le selezioni in SCCM.
- Per iniziare, creare un gruppo di computer di test e applicare la regola a tale gruppo per testare queste modifiche.
- Dopo aver testato il gruppo di test, è possibile espandere la regola a tutti i gruppi di computer.
- Creare un gruppo di computer di esclusione in WSUS, se necessario.
Panoramica della configurazione corrente di MCM
Il client MCM usa il server WSUS per eseguire la verifica dell'eventuale presenza di aggiornamenti di prima parte, pertanto il server WSUS è configurato come parte della configurazione iniziale.
Il contenuto degli aggiornamenti di terze parti viene pubblicato anche in questo server WSUS. Gestore aggiornamenti di Azure ha la possibilità di analizzare e installare gli aggiornamenti da WSUS, quindi è possibile usare il server WSUS configurato come parte dell'installazione di MCM per fare in modo che Gestore aggiornamenti di Azure funzioni insieme a MCM.
Aggiornamenti di prima parte
Per consentire a Gestore aggiornamenti di Azure di analizzare e installare gli aggiornamenti di prima parte (aggiornamenti di Windows e Microsoft), è necessario iniziare ad approvare gli aggiornamenti necessari nel server WSUS configurato. Questa operazione viene eseguita configurando una regola di approvazione automatica in WSUS, ad esempio ciò che gli utenti hanno configurato nel server MCM.
Aggiornamenti di terze parti
Gli aggiornamenti di terze parti dovrebbero funzionare come previsto con Gestore aggiornamenti di Azure, purché MCM sia già stato configurato per l'applicazione delle patch di terze parti e che sia in grado di applicare correttamente le patch agli aggiornamenti di terze parti tramite MCM. Assicurarsi di continuare a pubblicare gli aggiornamenti di terze parti in WSUS seguendo il passaggio 3 di MCM Abilitare gli aggiornamenti di terze parti. Dopo la pubblicazione in WSUS, Gestore aggiornamenti di Azure sarà in grado di rilevare e installare questi aggiornamenti dal server WSUS.
Gestire gli aggiornamenti software con Gestore aggiornamenti di Azure
Accedere al portale di Azure e cercare Gestore aggiornamenti di Azure.
Nella home page di Gestore aggiornamenti di Azure, in Gestisci>Computer, selezionare la sottoscrizione per visualizzare tutti i computer.
Filtrare in base alle opzioni disponibili per conoscere lo stato dei computer specifici.
Selezionare le opzioni di valutazione e applicazione di patch appropriate in base alle esigenze.
Applicare patch ai computer
Dopo aver impostato la configurazione per la valutazione e l'applicazione di patch, è possibile eseguire la distribuzione/installazione tramite aggiornamenti su richiesta (aggiornamento una tantum o manuale) o pianificare solo gli aggiornamenti (aggiornamento automatico). È anche possibile distribuire gli aggiornamenti usando l'API di Gestore aggiornamenti di Azure.
Limitazioni in Gestore aggiornamenti di Azure
Di seguito sono riportate le limitazioni correnti:
- Gruppi di orchestrazione con script pre/post - I gruppi di orchestrazione non possono essere creati in Gestore aggiornamenti di Azure per specificare una sequenza di manutenzione, consentire gli aggiornamenti contemporanei di alcuni computer e così via. I gruppi di orchestrazione consentono di usare gli script pre/post per eseguire attività prima e dopo una distribuzione di patch.
Domande frequenti
Da dove Gestore aggiornamenti di Azure ottiene gli aggiornamenti?
Gestore aggiornamenti di Azure fa riferimento al repository a cui puntano i computer. La maggior parte dei computer Windows per impostazione predefinita punta al catalogo di Windows Update, mentre i computer Linux sono configurati per ottenere gli aggiornamenti dai repository apt o yum. Se i computer puntano a un altro repository, ad esempio WSUS o un repository locale, Gestore aggiornamenti di Azure ottiene gli aggiornamenti da tale repository.
Gestore aggiornamenti di Azure è in grado di applicare patch al sistema operativo, a SQL e al software di terze parti?
Gestore aggiornamenti di Azure fa riferimento ai repository (o agli endpoint) a cui puntano le macchine virtuali. Se il repository o gli endpoint contengono aggiornamenti per i prodotti Microsoft, software di terze parti e così via, Gestore aggiornamenti di Azure può installare queste patch.
Per impostazione predefinita, le macchine virtuali Windows puntano al server Windows Update. Il server Windows Update non contiene aggiornamenti per i prodotti Microsoft e software di terze parti. Se le macchine virtuali puntano a Microsoft Update, Gestore aggiornamenti di Azure applica le patch al sistema operativo e ai prodotti Microsoft.
Per l'applicazione delle patch software di terze parti, Gestore aggiornamenti di Azure deve essere connesso a WSUS ed è necessario pubblicare gli aggiornamenti di terze parti. Non è possibile applicare patch al software di terze parti per le macchine virtuali Windows, a meno che non siano disponibili in WSUS.
È necessario configurare WSUS per l'uso di Gestore aggiornamenti di Azure?
WSUS è un modo per gestire le patch. Gestore aggiornamenti di Azure farà riferimento all'endpoint a cui punta. (Windows Update, Microsoft Update o WSUS).
È necessario distribuire la patch mensile tramite MCM?
No, solo l'approvazione delle patch in WSUS mensilmente o l'impostazione delle regole di distribuzione automatica analizzerà e installerà le patch nei server.
Come è possibile usare Gestore aggiornamenti di Azure per gestire le macchine virtuali locali?
Gestore aggiornamenti di Azure può essere usato in locale mediante Azure Arc. Azure Arc è un bridge che estende la piattaforma Azure per creare applicazioni e servizi con la flessibilità necessaria per l'esecuzione tra data center, dispositivi perimetrali e ambienti multi-cloud. La gestione delle macchine virtuali di Azure Arc consente di effettuare il provisioning e la gestione di macchine virtuali Windows e Linux ospitate in locale. Questa funzionalità consente agli amministratori IT di gestire macchine virtuali Arc usando gli strumenti di gestione di Azure, tra cui il portale di Azure, l'interfaccia della riga di comando di Azure, Azure PowerShell e i modelli di Azure Resource Manager (ARM).