Descrição geral da Gestão de Atualizações
Atenção
Este artigo faz referência ao CentOS, uma distribuição Linux que está se aproximando do status de Fim da Vida Útil (EOL). Por favor, considere o seu uso e planejamento de acordo. Para obter mais informações, consulte as diretrizes de Fim da Vida Útil do CentOS.
Importante
- O Azure Automation Update Management será desativado em 31 de agosto de 2024. Siga as diretrizes para migração para o Azure Update Manager.
- O agente do Azure Log Analytics, também conhecido como Microsoft Monitoring Agent (MMA), será desativado em agosto de 2024. A solução Azure Automation Update Management depende desse agente e pode encontrar problemas quando o agente for retirado, pois não funciona com o Azure Monitoring Agent (AMA). Portanto, se você estiver usando a solução Azure Automation Update Management, recomendamos que você mude para o Azure Update Manager para suas necessidades de atualização de software. Todos os recursos da solução de gerenciamento de Atualização de Automação do Azure estarão disponíveis no Azure Update Manager antes da data de desativação. Siga as orientações para mover suas máquinas e agendas do Automation Update Management para o Azure Update Manager.
Pode utilizar a Gestão de Atualizações na Automatização do Azure para gerir atualizações do sistema operativo das máquinas virtuais do Windows e do Linux no Azure, em VMs físicas ou em VMs em ambientes no local e noutros ambientes na cloud. Pode avaliar rapidamente o estado das atualizações disponíveis e gerir o processo de instalação das atualizações necessárias para os computadores que comunicam com a Gestão de Atualizações.
Como fornecedor de serviços, pode ter integrado vários inquilinos de clientes no Azure Lighthouse. O Gerenciamento de Atualizações pode ser usado para avaliar e agendar implantações de atualização para máquinas em várias assinaturas no mesmo locatário do Microsoft Entra ou entre locatários usando o Azure Lighthouse.
A Microsoft oferece outras capacidades para o ajudar a gerir as atualizações das VMs do Azure ou dos conjuntos de dimensionamento de máquinas virtuais do Azure, que deve considerar como parte da estratégia geral de gestão de atualizações.
Se estiver interessado em avaliar e atualizar automaticamente as suas máquinas virtuais do Azure para manter a conformidade de segurança com as atualizações Críticas e de Segurança lançadas todos os meses, reveja Correção automática de convidado de VM. Esta é uma solução de gestão de atualizações alternativa para as VMs do Azure de forma a atualizá-las automaticamente fora do horário de pico, incluindo as VMs num conjunto de disponibilidade, em comparação com a gestão de implementações de atualizações para essas VMs a partir da Gestão de Atualizações na Automatização do Azure.
Se você gerenciar conjuntos de dimensionamento de máquina virtual do Azure, revise como executar atualizações automáticas de imagem do sistema operacional para atualizar de forma segura e automática o disco do sistema operacional para todas as instâncias no conjunto de escala.
Antes de implantar o Gerenciamento de Atualizações e habilitar suas máquinas para gerenciamento, certifique-se de entender as informações nas seções a seguir.
Sobre o Gerenciamento de Atualizações
O diagrama a seguir ilustra como o Gerenciamento de Atualizações avalia e aplica atualizações de segurança a todos os servidores Windows Server e Linux conectados.
O Gerenciamento de Atualizações integra-se aos Logs do Azure Monitor para armazenar avaliações de atualização e atualizar resultados de implantação como dados de log, de máquinas Azure e não Azure atribuídas. Para coletar esses dados, o espaço de trabalho Conta de automação e o Log Analytics são vinculados entre si, e o agente do Log Analytics para Windows e Linux é necessário na máquina e configurado para gerar relatórios para esse espaço de trabalho.
O Gerenciamento de Atualizações oferece suporte à coleta de informações sobre atualizações do sistema de agentes em um grupo de gerenciamento do System Center Operations Manager conectado ao espaço de trabalho. Não é suportado ter um computador registado para a Gestão de Atualizações em mais do que uma área de trabalho do Log Analytics (também denominado multihoming).
A tabela a seguir resume as fontes conectadas suportadas com o Gerenciamento de Atualizações.
| Origem ligada | Suportado | Description |
|---|---|---|
| Windows | Sim | O Gerenciamento de Atualizações coleta informações sobre atualizações do sistema de máquinas Windows com o agente do Log Analytics e a instalação das atualizações necessárias. As máquinas precisam se reportar ao Microsoft Update ou ao WSUS (Windows Server Update Services). |
| Linux | Sim | O Gerenciamento de Atualizações coleta informações sobre atualizações do sistema de máquinas Linux com o agente do Log Analytics e a instalação das atualizações necessárias nas distribuições suportadas. As máquinas precisam gerar relatórios para um repositório local ou remoto. |
| Grupo de gestão do Operations Manager | Sim | O Gerenciamento de Atualizações coleta informações sobre atualizações de software de agentes em um grupo de gerenciamento conectado. Não é necessária uma conexão direta do agente do Operations Manager com os logs do Azure Monitor. Os dados de log são encaminhados do grupo de gerenciamento para o espaço de trabalho do Log Analytics. |
Os computadores atribuídos à Gestão de Atualizações comunicam o respetivo estado de atualização com base na origem configurada para a sincronização. As máquinas Windows precisam ser configuradas para relatar ao Windows Server Update Services ou ao Microsoft Update, e as máquinas Linux precisam ser configuradas para relatar a um repositório local ou público. Também pode utilizar a Gestão de Atualizações com o Microsoft Configuration Manager. Para saber mais, veja Integrar a Gestão de Atualizações com o Windows Configuration Manager.
Se o Agente do Windows Update (WUA) no computador Windows estiver configurado para comunicar com o WSUS, dependendo da última vez que o WSUS foi sincronizado com o Microsoft Update, os resultados poderão ser diferentes face àquilo que o Microsoft Update mostra. Este comportamento é o mesmo para computadores Linux que estão configurados para comunicar com um repositório local em vez de um repositório público. Em computadores Windows, a análise de conformidade é realizada todas as 12 horas, por predefinição. Nos computadores Linux, a análise de conformidade é realizada todas as horas, por predefinição. Se o agente do Log Analytics for reiniciado, será iniciada uma análise de compatibilidade no prazo de 15 minutos. Quando um computador realiza uma análise quanto à conformidade de atualizações, o agente reencaminha as informações em massa para os Registos do Azure Monitor.
Pode criar uma implementação agendada para implementar e instalar atualizações de software em computadores que precisam das atualizações. As atualizações classificadas como Opcionais não estão incluídas no escopo de implantação para máquinas Windows. Só as atualizações necessárias são incluídas no âmbito da implementação.
A implementação agendada define quais os computadores de destino que recebem as atualizações aplicáveis. Ele faz isso especificando explicitamente determinadas máquinas ou selecionando um grupo de computadores baseado em pesquisas de log de um conjunto específico de máquinas (ou com base em uma consulta do Azure que seleciona dinamicamente VMs do Azure com base em critérios especificados). Esses grupos diferem da configuração de escopo, que é usada para controlar a segmentação de máquinas que recebem a configuração para habilitar o Gerenciamento de Atualizações. Esses computadores são, assim, impedidos de executarem e comunicarem a conformidade de atualizações e de instalarem as atualizações necessárias aprovadas.
Ao definir uma implementação, também especifica um agendamento para aprovar e definir um período de tempo durante o qual as atualizações podem ser instaladas. Este período é denominado janela de manutenção. Um período de 10 minutos da janela de manutenção é reservado para reinicializações, supondo que uma seja necessária e você tenha selecionado a opção de reinicialização apropriada. Se a aplicação de patches demorar mais tempo do que o esperado e existir menos de 10 minutos na janela de manutenção, não ocorrerá um reinício.
Depois que um pacote de atualização é agendado para implantação, leva de 2 a 3 horas para que a atualização apareça para máquinas Linux para avaliação. Para máquinas Windows, leva de 12 a 15 horas para que a atualização apareça para avaliação após o lançamento. Antes e depois da instalação da atualização, é feita uma análise da conformidade de atualizações e os resultados dos dados de registo são reencaminhados para a área de trabalho.
As atualizações são instaladas por runbooks na Automatização do Azure. Não pode ver estes runbooks, que não exigem nenhuma configuração. Quando é criada uma implementação de atualização, é criada uma agenda que inicia um runbook de atualização principal num momento especificado nos computadores incluídos. O runbook principal inicia um runbook subordinado em cada agente que inicia a instalação das atualizações necessárias com o agente Windows Update no Windows ou o comando aplicável na distribuição do Linux suportada.
Na data e na hora especificadas na implementação de atualização, os computadores de destino executam a implementação em paralelo. Antes da instalação, é executada uma análise para verificar se as atualizações ainda são necessárias. Nos computadores cliente WSUS, se as atualizações não estiverem aprovadas no WSUS, a implementação da atualização falhará.
Limites
Para limites que se aplicam ao Gerenciamento de Atualizações, consulte Limites do serviço de Automação do Azure.
Permissões
Para criar e gerir implementações de atualizações, precisa de permissões específicas. Para saber mais sobre estas permissões, veja Acesso baseado em funções – Gestão de Atualizações.
Componentes de gerenciamento de atualizações
O Gerenciamento de Atualizações usa os recursos descritos nesta seção. Esses recursos são adicionados automaticamente à sua conta de Automação quando você habilita o Gerenciamento de Atualizações.
Grupos de trabalhadores de runbook híbrido
Depois de habilitar o Gerenciamento de Atualizações, qualquer máquina Windows conectada diretamente ao espaço de trabalho do Log Analytics será configurada automaticamente como um Runbook Worker Híbrido do sistema para dar suporte aos runbooks que oferecem suporte ao Gerenciamento de Atualizações.
Cada máquina Windows gerenciada pelo Gerenciamento de Atualizações é listada no painel Grupos de trabalhadores híbridos como um grupo de trabalhadores híbridos do sistema para a conta de Automação. Os grupos usam a Hostname FQDN_GUID convenção de nomenclatura. Não é possível segmentar esses grupos com runbooks em sua conta. Se você tentar, a tentativa falhará. Esses grupos destinam-se a oferecer suporte apenas ao Gerenciamento de Atualizações. Para saber mais sobre como exibir a lista de máquinas Windows configuradas como um Runbook Worker Híbrido, consulte Exibir Runbook Workers Híbrido.
Você pode adicionar a máquina Windows a um grupo de Trabalhador de Runbook Híbrido de usuário em sua conta de Automação para dar suporte a runbooks de Automação se usar a mesma conta para Gerenciamento de Atualizações e a associação ao grupo de Trabalhador de Runbook Híbrido. Esta funcionalidade foi adicionada na versão 7.2.12024.0 do Hybrid Runbook Worker.
Dependências externas
O Azure Automation Update Management depende das seguintes dependências externas para fornecer atualizações de software.
- O Windows Server Update Services (WSUS) ou o Microsoft Update é necessário para pacotes de atualizações de software e para a verificação de aplicabilidade de atualizações de software em máquinas baseadas no Windows.
- O cliente Windows Update Agent (WUA) é necessário em máquinas baseadas no Windows para que possam se conectar ao servidor WSUS ou ao Microsoft Update.
- Um repositório local ou remoto para recuperar e instalar atualizações do sistema operacional em máquinas baseadas em Linux.
Pacotes de gestão
Os seguintes pacotes de gerenciamento são instalados nas máquinas gerenciadas pelo Gerenciamento de Atualizações. Se o grupo de gerenciamento do Operations Manager estiver conectado a um espaço de trabalho do Log Analytics, os pacotes de gerenciamento serão instalados no grupo de gerenciamento do Operations Manager. Não precisa de configurar nem de gerir estes pacotes de gestão.
- Pacote de Informações de Avaliação de Atualização do Microsoft System Center Advisor (Microsoft.IntelligencePacks.UpdateAssessment)
- Microsoft.IntelligencePack.UpdateAssessment.Configuration (Microsoft.IntelligencePack.UpdateAssessment.Configuration)
- Pacote de Gestão de Implementação de Atualização
Nota
Se você tiver um grupo de gerenciamento do Operations Manager 1807 ou 2019 conectado a um espaço de trabalho do Log Analytics com agentes configurados no grupo de gerenciamento para coletar dados de log, precisará substituir o parâmetro IsAutoRegistrationEnabled e defini-lo como True na regra Microsoft.IntelligencePacks.AzureAutomation.HybridAgent.Init .
Para obter mais informações sobre atualizações de pacotes de gerenciamento, consulte Conectar o Operations Manager aos logs do Azure Monitor.
Nota
Para que o Update Management gerencie totalmente as máquinas com o agente do Log Analytics, você deve atualizar para o agente do Log Analytics para Windows ou para o agente do Log Analytics para Linux. Para saber como atualizar o agente, consulte Como atualizar um agente do Operations Manager. Em ambientes que usam o Operations Manager, você deve estar executando o System Center Operations Manager 2012 R2 UR 14 ou posterior.
Frequência da recolha de dados
O Gerenciamento de Atualizações verifica os dados das máquinas gerenciadas usando as regras a seguir. Pode levar entre 30 minutos e 6 horas para que o painel exiba dados atualizados de máquinas gerenciadas.
Cada máquina Windows - Gerenciamento de atualizações faz uma verificação duas vezes por dia para cada máquina.
Cada máquina Linux - Gerenciamento de atualizações faz uma verificação a cada hora.
O uso médio de dados pelos logs do Azure Monitor para uma máquina usando o Gerenciamento de Atualizações é de aproximadamente 25 MB por mês. Este valor é apenas uma aproximação e está sujeito a alterações, dependendo do seu ambiente. Recomendamos que você monitore seu ambiente para acompanhar seu uso exato. Para obter mais informações sobre como analisar o uso de dados dos Logs do Azure Monitor, consulte Detalhes de preços dos Logs do Azure Monitor.
Classificações de atualizações
A tabela seguinte define as classificações suportadas pela Gestão de Atualizações para atualizações do Windows.
| Classificação | Descrição |
|---|---|
| Atualizações críticas | Uma atualização para um problema específico que corrige um erro crítico não relacionado com segurança. |
| Atualizações de segurança | Uma atualização para um problema específico do produto relacionado com a segurança. |
| Update rollups | Um conjunto cumulativo de correções que são agrupadas para facilitar a implementação. |
| Pacotes de funcionalidades | Novas funcionalidades de produto distribuídas fora de uma versão de produto. |
| Service packs | Um conjunto cumulativo de correções que são aplicadas a uma aplicação. |
| Atualizações de definições | Uma atualização para vírus ou outros ficheiros de definição. |
| Ferramentas | Um utilitário ou funcionalidade que ajuda a realizar uma ou mais tarefas. |
| Atualizações | Uma atualização para uma aplicação ou um ficheiro que está atualmente instalado. |
A próxima tabela define as classificações suportadas para atualizações do Linux.
| Classificação | Descrição |
|---|---|
| Atualizações críticas e de segurança | Atualizações para um problema específico ou para um problema relacionado com segurança num produto específico. |
| Outras atualizações | Todas as outras atualizações que não são críticas por natureza ou que não são atualizações de segurança. |
Nota
A classificação de atualização para máquinas Linux só está disponível quando usada em regiões de nuvem pública do Azure com suporte. Não há classificação de atualizações do Linux ao usar o Gerenciamento de Atualizações nas seguintes regiões de nuvem nacionais:
- Azure US Government
- 21Vianet na China
Em vez de serem classificadas, as atualizações são relatadas na categoria Outras atualizações .
O Gerenciamento de Atualizações usa dados publicados pelas distribuições suportadas, especificamente seus arquivos OVAL (Open Vulnerability and Assessment Language) lançados. Como o acesso à Internet é restrito a partir dessas nuvens nacionais, o Gerenciamento de Atualizações não pode acessar os arquivos.
Lógica da classificação de atualizações do Linux
Para avaliação, o Gerenciamento de Atualizações classifica as atualizações em três categorias: Segurança, Crítica ou Outras. Esta classificação das atualizações segue os dados de duas origens:
- Os arquivos Open Vulnerability and Assessment Language (OVAL) são fornecidos pelo fornecedor da distribuição Linux, que inclui dados sobre problemas de segurança ou vulnerabilidades corrigidas pela atualização.
- Gestor de pacotes na sua máquina, como YUM, APT ou ZYPPER.
Para aplicação de patches, o Gerenciamento de Atualizações classifica as atualizações em duas categorias: Crítica e Segurança ou Outras. Esta classificação das atualizações baseia-se exclusivamente nos dados de gestores de pacotes como YUM, APT ou ZYPPER.
CentOS - Ao contrário de outras distribuições, o CentOS não tem dados de classificação disponíveis no gerenciador de pacotes. Se tiver máquinas CentOS configuradas para devolver dados de segurança para o seguinte comando, a Gestão de Atualizações pode corrigir com base em classificações.
sudo yum -q --security check-update
Nota
Atualmente, não há nenhum método suportado para habilitar a disponibilidade de dados de classificação nativos no CentOS. No momento, fornecemos suporte limitado aos clientes que podem ter ativado esse recurso por conta própria.
Redhat - Para classificar as atualizações no Red Hat Enterprise versão 6, você deve instalar o plug-in de segurança YUM. No Red Hat Enterprise Linux 7, o plug-in já faz parte do próprio YUM e não é necessário instalar nada. Para obter mais informações, veja o seguinte artigo de conhecimento da Red Hat.
Integrar o Gerenciamento de Atualizações ao Configuration Manager
Os clientes que investiram no Microsoft Configuration Manager para gerenciar PCs, servidores e dispositivos móveis também confiam na força e maturidade do Configuration Manager para ajudar a gerenciar atualizações de software. Para saber como integrar o Gerenciamento de Atualizações com o Configuration Manager, consulte Integrar o Gerenciamento de Atualizações ao Windows Configuration Manager.
Atualizações de terceiros no Windows
O Gerenciamento de Atualizações depende do repositório de atualizações configurado localmente para atualizar os sistemas Windows suportados, seja o WSUS ou o Windows Update. Ferramentas como o System Center Updates Publisher permitem importar e publicar atualizações personalizadas com o WSUS. Este cenário permite que o Gerenciamento de Atualizações atualize máquinas que usam o Configuration Manager como seu repositório de atualizações com software de terceiros. Para saber como configurar o Updates Publisher, consulte Instalar o Updates Publisher.
Atualizar o agente do Windows Log Analytics para a versão mais recente
O Gerenciamento de Atualizações requer o agente do Log Analytics para seu funcionamento. Recomendamos que você atualize o agente do Windows Log Analytics (também conhecido como Windows Microsoft Monitoring Agent (MMA)) para a versão mais recente para reduzir as vulnerabilidades de segurança e se beneficiar de correções de bugs. As versões do agente do Log Analytics anteriores a 10.20.18053 (pacote) e 1.0.18053.0 (extensão) usam um método mais antigo de manipulação de certificados e, portanto, não é recomendado. Os agentes mais antigos do Windows Log Analytics não poderiam se conectar ao Azure e o Gerenciamento de Atualizações pararia de trabalhar neles.
Você deve atualizar o agente do Log Analytics para a versão mais recente, seguindo as etapas abaixo:
Verifique a versão atual do agente do Log Analytics para sua máquina: Vá para o caminho de instalação - C:\ProgramFiles\Microsoft Monitoring Agent\Agent e clique com o botão direito do mouse em HealthService.exe para verificar Propriedades. Na guia Detalhes, o campo Versão do produto fornece o número da versão do agente do Log Analytics.
Se a versão do agente do Log Analytics for anterior a 10.20.18053 (pacote) e 1.0.18053.0 (extensão), atualize para a versão mais recente do agente do Windows Log Analytics, seguindo estas diretrizes.
Nota
Durante o processo de atualização, as agendas de gerenciamento de atualizações podem falhar. Certifique-se de fazer isso quando não houver um cronograma planejado.
Próximos passos
Antes de habilitar e usar o Gerenciamento de Atualizações, revise Planejar sua implantação do Gerenciamento de Atualizações.
Analise as perguntas frequentes sobre o Gerenciamento de Atualizações na Automação do Azure.