Diretrizes sobre a migração de máquinas virtuais do Microsoft Configuration Manager para o Gerenciador de Atualizações do Azure
Aplica-se a: ✔️ VMs do Windows ✔️ VMs do Linux ✔️ Ambiente local ✔️ Servidores habilitados para Azure Arc.
Este artigo fornece um guia para começar a usar o Gerenciador de Atualizações do Azure (para gerenciamento de atualizações) em máquinas virtuais que estão usando atualmente o Microsoft Configuration Manager (MCM).
Antes de iniciar a migração, você precisa entender o mapeamento entre componentes do System Center e os serviços equivalentes no Azure.
| Componente do System Center | Serviço equivalente do Azure |
|---|---|
| SCOM (System Center Operations Manager) | Instância Gerenciada SCOM do Azure Monitor |
| System Center Configuration Manager (SCCM), agora chamado de Microsoft Configuration Manager (MCM) | Gerenciador de Atualizações do Azure, Controle de Alterações e Inventário, Configuração de Convidado, Automação do Azure, Desired State Configuration (DSC), Defender para Nuvem |
| SCVMM (System Center Virtual Machine Manager) | VMM do System Center habilitado para Azure Arc |
| System Center Data Protection Manager (SCDPM) | DPM habilitado para Arc |
| System Center Orchestrator (SCORCH) | DPM habilitado para Arc |
| SCSM (System Center Service Manager) | - |
Observação
Como parte de seu percurso de migração, recomendamos as seguintes opções:
- Migrar totalmente suas máquinas virtuais para o Azure e substituir o System Center pelos serviços nativos do Azure.
- Adotar uma abordagem híbrida e substituir o System Center pelos serviços nativos do Azure. Nessa abordagem as máquinas virtuais locais e do Azure são gerenciadas usando serviços nativos do Azure. Para máquinas virtuais locais, as capacidades da plataforma do Azure são estendidas para o local por meio do Azure Arc.
Migrar para o Gerenciador de Atualizações do Azure
O MCM ajuda você a gerenciar PCs e servidores, manter o software atualizado, definir políticas de configuração e segurança e monitorar o status do sistema. O MCM oferece vários recursos e capacidades e o gerenciamento de atualizações de software é um deles.
Especificamente para gerenciamento de atualizações ou aplicação de patch, de acordo com seus requisitos, você pode usar o Gerenciador de Atualizações do Azure nativo para gerenciar e controlar a conformidade de atualização para computadores Windows e Linux em suas implantações de maneira consistente. Ao contrário do MCM, que precisa manter as máquinas virtuais do Azure para hospedar as diferentes funções do Configuration Manager, o Gerenciador de Atualizações do Azure foi projetado como um serviço autônomo do Azure para fornecer experiência de SaaS no Azure para gerenciar ambientes híbridos. Você não precisa de uma licença para usar o Gerenciador de Atualizações do Azure.
Observação
- Para gerenciar clientes/dispositivos, o Intune é a solução da Microsoft recomendada.
- O Gerenciador de Atualizações do Azure não fornece suporte de migração para VMs do Azure no MCM. Por exemplo, configurações.
Mapa das capacidades de gerenciamento de atualizações de software
A tabela a seguir mapeia as capacidades de gerenciamento das atualizações de software do MCM para o Gerenciador de Atualizações do Azure.
| Recurso | Microsoft Configuration Manager | Gerenciador de Atualizações do Azure |
|---|---|---|
| Sincronizar atualizações de software entre sites (site da administração central, site primário, site secundário) | O site superior (site de administração central ou site primário autônomo) conecta-se ao Microsoft Update para recuperar a atualização de software. Saiba mais. Depois que os principais sites são sincronizados, os sites filho são sincronizados. | Não há hierarquia de computadores no Azure e, portanto, todos os computadores conectados ao Azure recebem atualizações do repositório de origem. |
| Sincronizar atualizações de software/verificar se há atualizações (recuperar metadados de patch) | Você pode verificar se há atualizações periodicamente definindo a configuração no ponto de atualização de software. Saiba mais | Você pode habilitar a avaliação periódica para habilitar a verificação de patches a cada 24 horas. Saiba mais |
| Configurar classificações/produtos para sincronizar/verificar/avaliar | Você pode escolher as classificações de atualização ( atualizações de segurança ou críticas) para sincronizar/verificar/avaliar. Saiba mais | Não há essa capacidade aqui. Todos os metadados do software são verificados. |
| Implantar atualizações de software (instalar patches) | Fornece três modos de implantação de atualizações: Implantação manual Implantação automática implantação em fases Saiba mais |
– A implantação manual é mapeada para implantar atualizações únicas – A implantação automática é mapeada para atualizações agendadas – Não há nenhuma opção de implantação em fases. |
| Implantar atualizações de software em computadores Windows e Linux (no Azure ou local ou em outras nuvens) | O SCCM ajuda a gerenciar o acompanhamento e a aplicação de atualizações de software a computadores Windows (atualmente, não oferecemos suporte a computadores Linux). | O Gerenciador de Atualizações do Azure dá suporte a atualizações de software em computadores Windows e Linux. |
Diretrizes para usar o Gerenciador de Atualizações do Azure em computadores gerenciados por MCM
Como uma primeira etapa no percurso do usuário do MCM em direção ao Gerenciador de Atualizações do Azure, você precisa habilitar o Gerenciador de Atualizações do Azure em seus servidores gerenciados pelo MCM existentes (ou seja, garantir que a coexistência do Azure Update Manager e do MCM seja alcançada). A seção a seguir aborda alguns desafios que você pode encontrar nesta primeira etapa.
Visão geral da configuração atual do MCM
O cliente MCM usa o servidor do WSUS para verificar se há atualizações internas. Portanto, você tem o servidor do WSUS definido como parte da configuração inicial.
O conteúdo de atualizações de terceiros também é publicado nesse servidor do WSUS. O Gerenciador de Atualizações do Azure tem a capacidade de verificar e instalar atualizações do WSUS. Portanto, recomendamos aproveitar o servidor do WSUS definido como parte da configuração do MCM para fazer o Gerenciador de Atualizações do Azure funcionar junto com o MCM.
Atualizações de primeira parte
Para o Gerenciador de Atualizações do Azure verificar e instalar atualizações de primeira parte (atualizações do Windows e da Microsoft), você deve começar a aprovar as atualizações necessárias no servidor WSUS configurado. Isso é feito configurando uma regra de aprovação automática no WSUS, como a que os usuários configuraram no servidor MCM.
Atualizações de terceiros
As atualizações de terceiros devem funcionar conforme o esperado com o Gerenciador de Atualizações do Azure, desde que você já tenha configurado o MCM para aplicação de patch de terceiros e ele possa aplicar patches com êxito em atualizações de terceiros por meio do MCM. Verifique se você continua publicando atualizações de terceiros no WSUS da Etapa 3 do MCM em Habilitar atualizações de terceiros. Depois de publicar no WSUS, o Gerenciador de Atualizações do Azure poderá detectar e instalar essas atualizações do servidor do WSUS.
Gerenciar atualizações de software usando o Gerenciador de Atualizações do Azure
Entre no portal do Azure e pesquise Gerenciador de Atualizações do Azure.
Na home page do Gerenciador de Atualizações do Azure, em Gerenciar >Computadores, selecione sua assinatura para exibir todos os seus computadores.
Filtre de acordo com as opções disponíveis para saber o status de seus computadores específicos.
Selecione as opções de avaliação e aplicação de patch adequadas de acordo com suas necessidades.
Computadores de patch
Depois de definir a configuração para avaliação e aplicação de patch, você pode fazer a implantação/instalação por meio de atualizações sob demanda (atualização única ou manual) ou atualizações agendadas (atualização automática) somente. Você também pode implantar atualizações usando a API do Gerenciador de Atualizações do Azure.
Limitações no Gerenciador de Atualizações do Azure
Veja a seguir as limitações atuais:
- Grupos de orquestração com pré/pós-scripts - grupos de orquestração não podem ser criados no Gerenciador de Atualizações do Azure para especificar uma sequência de manutenção, permitir atualizações para alguns computadores ao mesmo tempo e assim por diante. (Os grupos de orquestração permitem que você use os pré/pós-scripts para executar tarefas antes e depois de uma implantação de patch).
Perguntas frequentes
De onde o Gerenciador de Atualizações do Azure obtém suas atualizações?
O Gerenciador de Atualizações do Azure refere-se ao repositório para o qual os computadores apontam. A maioria dos computadores Windows por padrão aponta para o catálogo do Windows Update e computadores Linux são configurados para obter atualizações do repositório aptou do repositório yum. Se os computadores apontarem para outro repositório, como o WSUS ou um repositório local, o Gerenciador de Atualizações do Azure receberá as atualizações desse repositório.
O Azure Update Manager pode aplicar patches no sistema operacional, SQL e em software de terceiros?
O Gerenciador de Atualizações do Azure refere-se aos repositórios (ou pontos de extremidade) para os quais as VMs apontam. Se o repositório (ou pontos de extremidade) contiver atualizações para produtos da Microsoft, softwares de terceiros etc., o Gerenciador de Atualizações do Azure poderá instalar esses patches.
Por padrão, as VMs do Windows apontam para o servidor do Windows Update. O servidor do Windows Update não contém atualizações para produtos da Microsoft e software de terceiros. Se as VMs apontarem para o Microsoft Update, o Gerenciador de Atualizações do Azure aplicará patches no sistema operacional e em produtos da Microsoft.
Para a aplicação de patch em software de terceiros, o Gerenciador de Atualizações do Azure deve estar conectado ao WSUS e você deve publicar as atualizações de terceiros. Não podemos aplicar patches em softwares de terceiros para VMs do Windows, a menos que os patches estejam disponíveis no WSUS.
Preciso configurar o WSUS para usar o Gerenciador de Atualizações do Azure?
O WSUS é uma maneira de gerenciar patches. O Gerenciador de Atualizações do Azure se referirá a qualquer ponto de extremidade que for apontado. (Windows Update, Microsoft Update ou WSUS).
Devo implantar o patch mensal por meio do MCM?
Não, apenas aprovar patches no WSUS mensalmente ou definir as Regras de Implantação Automática (ADRs) verificará se há patches e os instalará em seus servidores.
Como o Gerenciador de Atualizações do Azure pode ser usado para gerenciar máquinas virtuais locais?
O Gerenciador de Atualizações do Azure pode ser usado localmente usando o Azure Arc. O Azure Arc é uma ponte que estende a plataforma do Azure para ajudar você a criar aplicativos e serviços com a flexibilidade de execução entre datacenters, na borda e em ambientes multinuvem. O gerenciamento de VMs do Azure Arc permite provisionar e gerenciar VMs Windows e Linux hospedadas localmente. Esse recurso permite que os administradores de TI gerenciem VMs do Arc usando ferramentas de gerenciamento do Azure, incluindo o portal do Azure, a CLI do Azure, o Azure PowerShell e os modelos do Azure Resource Manager (ARM).