Partilhar via

Faça upgrade do Microsoft Tunnel para Microsoft Intune

  • Artigo

O Microsoft Tunnel, uma solução de gateway de VPN para Microsoft Intune, recebe periodicamente atualizações de software que devem ser instaladas nos servidores de encapsulamento para mantê-las em suporte. Para manter o suporte, os servidores devem executar a versão mais recente ou, no máximo, a última versão anterior. As informações neste artigo explicam:

  • O processo de atualização
  • Controlos de atualização
  • Relatórios de estado que pode utilizar para compreender a versão de software dos servidores de túnel
  • Quando as atualizações estão disponíveis
  • Como controlar quando ocorrem atualizações.

O Intune lida com a atualização de servidores atribuídos a todos os sites de túnel para você. Quando as atualizações para o site começam, todos os servidores no site atualizam um de cada vez, o que é referido como um ciclo de atualização. Enquanto o servidor atualiza, o Microsoft Tunnel no servidor fica indisponível para uso. A atualização de um único servidor por vez ajuda a minimizar as interrupções para os usuários quando o site inclui vários servidores.

Durante um ciclo de atualização:

  • O Intune começa atualizando um servidor no site. A atualização pode iniciar 10 minutos depois que a versão é disponibilizada.
  • Se um servidor estiver desativado, a atualização começará depois que o servidor for ativado.
  • Após uma atualização bem-sucedida de um servidor no site, o Intune aguarda um curto período antes de iniciar a atualização do próximo servidor.

Usar controles de atualização

Para ajudar a controlar quando o Intune inicia o ciclo de atualização, defina as configurações a seguir em cada site. Você pode definir as configurações ao criar um novo site ou editar as propriedades de um site existente:

  • Atualizar automaticamente os servidores neste site
  • Limitar atualizações do servidor à janela de manutenção

Atualizar automaticamente os servidores neste site

Esta configuração determina se um ciclo de atualização no site pode ser iniciado automaticamente ou se um administrador deve aprovar explicitamente a atualização antes que o ciclo possa começar.

  • Sim(predefinição) – quando definido como Sim, o site atualiza automaticamente os servidores assim que possível após a disponibilização de uma nova versão do túnel. As atualizações começam sem intervenção do administrador.

    Se você definir uma janela de manutenção no site, o ciclo de atualização começará entre a hora de início e de término da janela. Quando nenhuma janela de manutenção é definida, o ciclo de atualização é iniciado assim que possível.

  • Não – quando definido como Não, o Intune não atualiza os servidores até que um administrador opte explicitamente por iniciar o ciclo de atualização.

    Depois que a atualização for aprovada em um site com uma janela de manutenção, o ciclo de atualização começará entre a hora de início e de término da janela. Quando nenhuma janela de manutenção está definida, o ciclo de atualização é iniciado assim que possível.

    Importante

    Quando você configura atualizações manuais para o site, examine periodicamente a guia Verificação de integridade para saber quando versões mais recentes do Microsoft Tunnel estão disponíveis para instalação. O relatório também identifica quando a versão de túnel atual no site está sem suporte.

Limitar atualizações do servidor à janela de manutenção

Use essa configuração para definir uma janela de manutenção para o site.

Quando configurado no site, o ciclo de atualização do servidor pode começar somente durante o período configurado. No entanto, uma vez iniciado, o ciclo continua atualizando os servidores um a um até que todos os servidores atribuídos ao site concluam a atualização.

  • Não(predefinição) – não está definida nenhuma janela de manutenção. Os sites que estão configurados para atualizar automaticamente fazem-no o mais rapidamente possível. Os sites configurados para exigir uma ação explícita para iniciar a atualização o farão assim que possível depois que a atualização for aprovada.

  • Sim – excluir uma janela de manutenção. A janela limita quando um ciclo de atualização do servidor pode começar no site. A janela de manutenção não define quando servidores individuais atribuídos ao site podem começar a ser atualizados.

    Os sites configurados para atualização iniciam automaticamente o ciclo de atualização apenas durante o período configurado. Os sites configurados para exigir que o administrador aprove a atualização antes do início o farão durante a próxima janela de manutenção após a aprovação da atualização.

    Quando definida como Sim, configure as seguintes opções:

    • Fuso horário – o fuso horário selecionado determina quando a janela de manutenção começa e termina em todos os servidores do site. O fuso horário dos servidores individuais não é usado.
    • Hora de início – especifique o primeiro horário em que o ciclo de atualização pode iniciar, com base no fuso horário selecionado.
    • Hora de término – especifique o último horário em que o ciclo de atualização pode iniciar, com base no fuso horário selecionado. Os ciclos de atualização que começam antes desse horário continuarão sendo executados e poderão ser concluídos após esse período.

Ver o status do servidor de túnel

Você pode exibir informações sobre o status dos servidores do Microsoft Tunnel, incluindo a versão do Microsoft Tunnel em um servidor.

Em sites que não dão suporte à atualização automática, também é possível exibir quando as atualizações para uma nova versão estão disponíveis.

Inicie sessão no Centro > de administração do Microsoft IntuneAdministração> de inquilinos Estado de Funcionamento do Gateway > doTúnelda Microsoft. Selecione um servidor e, em seguida, abra a guia Verificação de integridade para exibir as seguintes informações sobre ele:

  • Versão do servidor – o status do software do servidor de gateway de túnel, no contexto da versão mais recente disponível.

    • Íntegro – atualizado com a versão mais recente do software.
    • Aviso – uma versão anterior.
    • Não íntegro – duas ou mais versões anteriores e sem suporte.

Quando um servidor não executa a versão mais recente do software, planeje instalar uma atualização disponível para manter o Microsoft Tunnel em suporte.

Aprovar atualizações

Os sites que têm a definição Atualizar automaticamente os servidores neste site definidos para Não não atualizam automaticamente os servidores. Em vez disso, um administrador deverá aprovar a atualizações dos servidores nesse site antes do início do ciclo de atualização.

Para saber quando uma atualização está disponível para os servidores, use a guia Verificação de integridade para examinar o status do servidor.

Para aprovar uma atualização

  1. Inicie sessão nosSites deGateway do Microsoft Tunnel para>administração de inquilinosdo Centro > de administração > do Microsoft Intune.

  2. Selecione o site com um Tipo de atualizaçãoManual.

  3. Nas propriedades do site, selecione Atualizar servidores.

Depois de optar por atualizar os servidores, o Intune inicia o processo para o fazer, o que não pode ser cancelado. O horário de início das atualizações no site depende da configuração das janelas de manutenção do site.

Histórico de atualizações do Microsoft Tunnel

As atualizações do Microsoft Tunnel são lançadas periodicamente. Quando uma nova versão estiver disponível, leia sobre as alterações aqui.

Após o lançamento de uma atualização, ela é distribuída para os locatários nos dias sucessivos. Esse tempo de distribuição significa que novas atualizações podem não estar disponíveis para seus servidores de túnel por alguns dias.

A versão do Microsoft Tunnel para um servidor não está disponível na interface do usuário do Intune no momento. Em vez disso, execute o seguinte comando no servidor Linux que aloja o túnel para identificar os valores hash de agentImageDigest e serverImageDiegest: cat /etc/mstunnel/images_configured

Importante

As versões de contentores ocorrem por fases. Se reparar que as imagens de contentor não são as mais recentes, certifique-se de que serão atualizadas e entregues na semana seguinte.

20 de junho de 2024

Valores de hash de imagem:

  • agentImageDigest: sha256:2c700282bbb525ca42c4da0827a62bee6e8079b36572cf777db72810dac3a788

  • serverImageDigest: sha256:5ba3c960be6b9da4569a019fcd57509c25a89106fc689fbf4fe38f0bdb98fbdd

Alterações nessa versão:

  • Imagem de base al - Utilize o Linux do Azure como imagem de base para os contentores de Túnel
  • Melhoria na verificação de revogação de certificados

16 de maio de 2024

Valores de hash de imagem:

  • agentImageDigest: sha256:50b62c1d7f81e2941fc73a09856583ea752fe821e9fef448114fe7e00f90f25a

  • serverImageDigest: sha256:f6249bc16f90abc9e6fb278c74e07b1c3e295cc0614d38ae20036cee50ff5c56

Alterações nessa versão:

  • Contentores endurecidos ao reduzir as capacidades de contentor para o mínimo
  • Atualizações de segurança na imagem de base

22 de abril de 2024

Valores de hash de imagem:

  • agentImageDigest: sha256:987028e043434cabf9a85a8be232a35cb10d6499ab9fa2b0ac33bd214455cdf6

  • serverImageDigest: sha256:95106796faa4648ffe877c1ae4635037fd8bd630498bb3caea366e3c832f84cc

Alterações nessa versão:

  • Foi adicionado suporte de contentor do Podman sem raiz
  • Foi corrigido o comando "mst-cli server capture"
  • Foram corrigidas algumas falhas de verificação da revogação de certificados TLS

14 de março de 2024

Valores de hash de imagem:

  • agentImageDigest: sha256:a0fa473b477c051445548f9e024cd58b3f87b0a87da7bafdf0d71ad6bb49a7c5

  • serverImageDigest: sha256:5f3f34f3f11a4d45efdd369e86d183cae0fafdd78c9c1d0a9275f26ce64e5510

Alterações nessa versão:

  • Correção de erros: recrie a pasta /tmp/mstunnel durante a atualização, se estiver em falta.
  • Atualize o OpenConnect VPN Server para a versão 1.2.3.
  • Melhorias na ferramenta de diagnóstico.
  • Atualizações de segurança na imagem de base.

1 de fevereiro de 2024

Valores de hash de imagem:

  • agentImageDigest: sha256:845aee9cbe3e4c9bd70b1b8108cd5108e454aff38237b236f75092164c885023

  • serverImageDigest: sha256:6f444d251b56e467b8791201f554b22d1431a135a5f66bc45638cec453e22b47

Alterações nessa versão:

  • Correção de erros: não emita o comando "docker network reload" para repor a rede. O comando não é suportado no Docker.
  • Atualizações de segurança na imagem de base.

4 de janeiro de 2024

Valores de hash de imagem:

  • agentImageDigest: sha256:9cd55c3f4ea4b4ff8212db46a81a0ceda29c3e9c534226ee4d0ce896bcc32596

  • serverImageDigest: sha256:0389d8c16794cf2f982a955a528b0bbba79b7c7180fd5706f444bb691ca61734d

Alterações nessa versão:

  • Correção de erros: Correção do contentor sem raiz
  • Processamento de MTG para pedido de Diagnóstico e Carregamento de Registos na resposta HB

14 de novembro de 2023

Valores de hash de imagem:

  • agentImageDigest: sha256:fd64c2f2ae3c2f41188a35da65e23385c9124c8f98b3614e0fb6500f59cf485

  • serverImageDigest: sha256:7385c838ed95f3f5fea48a3e277223e4faa502d64205f182cf43740ad4dd9573

Alterações nessa versão:

  • Correção de erros: resolveu o problema que fazia com que o contentor do servidor MSTunnel ficasse bloqueado num estado incorrido
  • Impor a utilização do TLS 1.2 nas aplicações do agente e do mstunnel

4 de outubro de 2023

Valores de hash de imagem:

  • agentImageDigest: sha256:6c19b0aa077692b0d70ede9928f02b13512951708f83655041d0a40e8448039

  • serverImageDigest: sha256:9b477e6bc029d2ebadcafd4db3f516e87f0209b50d44fa2a5933aa7f17e9203b

Alterações nessa versão:

  • Correção de erros: adicione tabelas NAT legadas para o contentor mstunnel-server nos anfitriões Cent OS 7 e Red Hat 7
  • Correção de erros: adicione a política SELinux para permitir o tráfego de DNS TCP para os contentores em anfitriões Red Hat
  • Aumentar o limite de pid de contentor mstunnel-server para 10000

Próximas etapas

Referência para o Microsoft Tunnel