Visão geral do Gerenciamento de Atualizações

Cuidado

Este artigo faz referência ao CentOS, uma distribuição do Linux que está se aproximando do status de EOL (fim da vida útil). Considere seu uso e planejamento adequadamente. Para obter mais informações, veja as Diretrizes sobre fim da vida útil do CentOS.

Importante

  • O Gerenciamento de Atualizações da Automação do Azure será desativado em 31 de agosto de 2024. Siga as diretrizes de migração para o Gerenciador de Atualizações do Azure.
  • O agente do Azure Log Analytics, também conhecido como MMA (Microsoft Monitoring Agent), será desativado em agosto de 2024. A solução de Gerenciamento de Atualizações de Automação do Azure depende desse agente e pode encontrar problemas depois que o agente for desativado, pois ele não funciona com o AMA (Agente de Monitoramento do Azure). Portanto, se você estiver usando a solução de Gerenciamento de Atualizações de Automação do Azure, recomendamos que você mude para o Gerenciador de Atualizações do Azure para suas necessidades de atualização de software. Todos os recursos da solução de gerenciamento de Atualizações de Automação do Azure estarão disponíveis no Gerenciador de Atualizações do Azure antes da data de desativação. Siga as diretrizes para mover seus computadores e agendamentos do Gerenciamento de Atualizações de Automação para o Gerenciador de Atualizações do Azure.

Você pode usar o Gerenciamento de Atualizações na Automação do Azure para gerenciar atualizações do sistema operacional para suas máquinas virtuais do Windows e do Linux no Azure, físicas ou VMs em ambientes locais e em outros ambientes de nuvem. Você pode rapidamente avaliar o status de atualizações disponíveis e gerenciar o processo de instalação das atualizações necessárias para as máquinas que relatam para o Gerenciamento de Atualizações.

Como um provedor de serviços, você poderá ter integrado vários locatários do cliente ao Azure Lighthouse. O Gerenciamento de Atualizações pode ser usado para avaliar e agendar implantações de atualização para computadores em várias assinaturas no mesmo locatário do Microsoft Entra ou em locatários usando o Azure Lighthouse.

A Microsoft oferece outros recursos para ajudá-lo a gerenciar atualizações para suas VMs do Azure ou conjuntos de dimensionamento de máquinas virtuais do Azure que você deve considerar como parte de sua estratégia geral de gerenciamento de atualizações.

  • Se você estiver interessado em avaliar e atualizar automaticamente suas máquinas virtuais do Azure para manter a conformidade de segurança com as atualizações críticas e de segurança lançadas a cada mês, consulte Aplicação de patch automática de convidado da VM (versão prévia). Essa é uma solução alternativa de gerenciamento de atualizações para suas VMs do Azure para atualizá-las automaticamente fora do horário de pico, incluindo VMs dentro de um conjunto de disponibilidade, em comparação com o gerenciamento de implantações de atualização para essas VMs do Gerenciamento de Atualizações na Automação do Azure.

  • Se você gerenciar conjuntos de dimensionamento de máquinas virtuais do Azure, revise como executar atualizações automáticas de imagem do sistema operacional para atualizar com segurança e de forma automática o disco do sistema operacional para todas as instâncias no conjunto de dimensionamento.

Antes de implantar o Gerenciamento de Atualizações e habilitar seus computadores para gerenciamento, verifique se você entendeu as informações nas seções a seguir.

Sobre o Gerenciamento de Atualizações

O diagrama a seguir ilustra como o Gerenciamento de Atualizações avalia e aplica atualizações de segurança em todos os servidores conectados do Windows Server e Linux.

Fluxo de trabalho do Gerenciamento de Atualizações

O Gerenciamento de Atualizações integra-se aos logs do Azure Monitor para armazenar avaliações de atualização e atualizar os resultados da implantação como dados de log, de máquinas atribuídas do Azure e não Azure. Para coletar esses dados, a Conta de Automação e o workspace do Log Analytics são vinculados e o agente do Log Analytics para Windows e Linux é necessário no computador e configurado para relatar a esse workspace.

O Gerenciamento de Atualizações dá suporte à coleta de informações sobre atualizações do sistema de agentes em um grupo de gerenciamento System Center Operations Manager conectado ao workspace. Registrar um computador para Gerenciamento de Atualizações em mais de um workspace do Log Analytics (também chamado de hospedagem múltipla) não é um procedimento compatível.

A tabela a seguir resume as fontes conectadas com suporte com Gerenciamento de Atualizações.

Fonte conectada Com suporte Descrição
Windows Sim O Gerenciamento de Atualizações coleta informações sobre atualizações do sistema de computadores com Windows com o agente do Log Analytics e a instalação de atualizações necessárias.
Os computadores precisam relatar para Microsoft Update ou WSUS (Windows Server Update Services).
Linux Sim O Gerenciamento de Atualizações coleta informações sobre atualizações do sistema de computadores com Linux com o agente do Log Analytics e a instalação de atualizações necessárias em distribuições com suporte.
Os computadores precisam relatar para um repositório local ou remoto.
Grupo de gerenciamento do Operations Manager Sim O Gerenciamento de Atualizações coleta informações sobre atualizações de software de agentes em um grupo de gerenciamento conectado.

Não é necessária uma conexão direta entre o agente do Operations Manager e os logs do Azure Monitor. Os dados de log são encaminhados do grupo de gerenciamento para o workspace do Log Analytics.

Os computadores atribuídos ao Gerenciamento de Atualizações relatam o nível de atualização com base na origem com a qual eles estão configurados para sincronizar. Os computadores com Windows precisam ser configurados para relatar para Windows Server Update Services ou Microsoft Update, e os computadores com Linux precisam ser configurados para relatar a um repositório local ou público. Você também pode usar o Gerenciamento de Atualizações com o Microsoft Configuration Manager; para saber mais, consulte Integrar o Gerenciamento de Atualizações com o Windows Configuration Manager.

Se WUA (Agente do Windows Update) no computador do Windows estiver configurado para relatar ao WSUS, dependendo de quando o WSUS tiver sincronizado pela última vez com o Microsoft Update, os resultados podem ser diferentes do que é mostrado pelo Microsoft Update. Esse comportamento é o mesmo para computadores com Linux configurados para relatar a um repositório local em vez de um repositório público. Em um computador com Windows, a verificação de conformidade é executada a cada 12 horas por padrão. Para um computador com Linux, a verificação de conformidade é executada a cada hora por padrão. Se o agente do Log Analytics for reiniciado, uma verificação de conformidade será iniciada dentro de 15 minutos. Quando um computador conclui uma verificação de conformidade de atualizações, o agente encaminha as informações em massa para os Logs do Azure Monitor.

Você pode implantar e instalar atualizações de software em computadores que precisam de atualizações, criando uma implantação agendada. As atualizações classificadas como opcionais não são incluídas no escopo de implantação para computadores com Windows. Somente as atualizações necessárias são incluídas no escopo de implantação.

A implantação agendada define quais computadores de destino recebem as atualizações aplicáveis. Ele faz isso especificando explicitamente determinados computadores ou selecionando um grupo de computadores com base em pesquisas de logs de um conjunto específico de computadores (ou com base em uma consulta do Azure que seleciona dinamicamente as VMs do Azure com base em critérios especificados). Esses grupos diferem da configuração de escopo, que é usada para controlar o direcionamento de computadores que recebem a configuração para habilitar o Gerenciamento de Atualizações. Isso impede que eles executem e relatem a conformidade de atualizações e instalem atualizações necessárias aprovadas.

Ao definir uma implantação, você também pode especificar uma agenda para aprovar e definir um período de tempo durante o qual as atualizações podem ser instaladas. Esse período é chamado de janela de manutenção. Um período de 10 minutos da janela de manutenção é reservado para reinicializações, supondo que uma seja necessária e você tenha selecionado a opção de reinicialização apropriada. Se a aplicação de patch demorar mais do que o esperado e houver menos de 10 minutos na janela de manutenção, uma reinicialização não ocorrerá.

Depois que um pacote de atualização é agendado para implantação, leva de duas a três horas para a atualização aparecer nos computadores com Linux para avaliação. Para computadores com Windows, leva de 12 a 15 horas para que o lançamento de uma atualização seja exibida para avaliação. Antes e após a instalação da atualização, uma verificação de conformidade de atualização é executada e os resultados dos dados de log são encaminhados para o workspace.

As atualizações são instaladas por runbooks na Automação do Azure. Você não consegue exibir esses runbooks e eles não exigem nenhuma configuração. Quando uma implantação de atualizações é criada, ela cria uma agenda que inicia um runbook de atualização mestre no momento especificado para os computadores incluídos. O runbook mestre inicia um runbook filho em cada agente que inicia a instalação das atualizações necessárias com o agente do Windows Update no Windows ou o comando aplicável na distribuição do Linux com suporte.

Na data e hora especificadas na implantação da atualização, os computadores de destino executam a implantação em paralelo. Antes da instalação, uma verificação é executada para verificar se as atualizações ainda são necessárias. Para computadores cliente WSUS, se as atualizações não forem aprovadas no WSUS, a implantação da atualização falhará.

Limites

Para ver os limites que se aplicam ao Gerenciamento de Atualizações, confira Limites de serviço da Automação do Azure.

Permissões

Para criar e gerenciar implantações de atualização, você precisa ter permissões específicas. Para saber mais sobre essas permissões, consulte Acesso baseado em Função - Gerenciamento de Atualizações.

Componentes do Gerenciamento de Atualizações

O Gerenciamento de Atualizações usa os recursos descritos nesta seção. Esses recursos são adicionados automaticamente à sua conta de Automação quando você habilita o Gerenciamento de Atualizações.

Grupos de Runbook Worker Híbrido

Depois que você habilita o Gerenciamento de Atualizações, qualquer computador com Windows conectado diretamente a seu workspace do Log Analytics é automaticamente configurado como um sistema Hybrid Runbook Worker para dar suporte aos runbooks compatíveis com o Gerenciamento de Atualizações.

Cada computador com Windows que é gerenciado pelo Gerenciamento de Atualizações é listado no painel de grupos do Hybrid Worker como um grupo do Hybrid Worker do sistema para a conta de Automação. Os grupos usam a convenção de nomenclatura Hostname FQDN_GUID. Não é possível direcionar esses grupos com runbooks em sua conta. Se você tentar fazê-lo, a tentativa falhará. Esses grupos são destinados a dar suporte somente ao Gerenciamento de Atualizações. Para saber mais sobre como exibir a lista de computadores Windows configurados como um Hybrid Runbook Worker, confira Exibir Hybrid Runbook Workers.

Você pode adicionar o computador com Windows a um usuário do grupo do Hybrid Runbook Worker em sua conta de Automação para dar suporte a runbooks de Automação se você usar a mesma conta para o Gerenciamento de Atualizações e para a associação de grupo do Hybrid Runbook Worker. Essa funcionalidade foi adicionada à versão 7.2.12024.0 do Hybrid Runbook Worker.

Dependências externas

O Gerenciamento de Atualizações da Automação do Azure depende das dependências externas a seguir para fornecer atualizações de software.

  • O WSUS (Windows Server Update Services) ou o Microsoft Update é necessário para os pacotes de atualizações de software e para a verificação de aplicabilidade das atualizações de software nos computadores baseados em Windows.
  • O cliente do WUA (Windows Update Agent) é necessário em computadores baseados em Windows para que eles possam se conectar ao servidor do WSUS ou ao Microsoft Update.
  • Um repositório local ou remoto para recuperar e instalar atualizações do sistema operacional em computadores baseados em Linux.

Pacotes de gerenciamento

Os pacotes de gerenciamento a seguir são instalados nos computadores gerenciados pelo Gerenciamento de Atualizações. Se o grupo de gerenciamento do Operations Manager estiver conectado a um workspace do Log Analytics, os pacotes de gerenciamento serão instalados no grupo de gerenciamento do Operations Manager. Você não precisa configurar ou gerenciar esses pacotes de gerenciamento.

  • Microsoft System Center Advisor Update Assessment Intelligence Pack (Microsoft.IntelligencePacks.UpdateAssessment)
  • Microsoft.IntelligencePack.UpdateAssessment.Configuration (Microsoft.IntelligencePack.UpdateAssessment.Configuration)
  • MP de Implantação de Atualizações

Observação

Se você tiver um grupo de gerenciamento do Operations Manager 1807 ou 2019 conectado a um workspace do Log Analytics com agentes configurados no grupo de gerenciamento para coletar dados de log, será necessário substituir o parâmetro IsAutoRegistrationEnabled e defini-lo como True na regra Microsoft.IntelligencePacks.AzureAutomation.HybridAgent.Init.

Para obter mais informações sobre atualizações para pacotes de gerenciamento, confira Conectar o Operations Manager aos logs do Azure Monitor.

Observação

Para que o Gerenciamento de Atualizações gerencie totalmente os computadores com o agente do Log Analytics, você precisa atualizar para o agente do Log Analytics para Windows ou o agente do Log Analytics para Linux. Para saber como atualizar o agente, consulte como atualizar um agente do Operations Manager. Em ambientes que usam o Operations Manager, você precisa estar executando o System Center Operations Manager 2012 R2 UR 14 ou posterior.

Frequência da coleta de dados

O Gerenciamento de Atualizações verifica os dados em computadores gerenciados usando as regras a seguir. Pode demorar entre 30 minutos e seis horas para o painel exibir os dados atualizados dos computadores gerenciados.

  • Cada computador com Windows – o Gerenciamento de Atualizações faz uma verificação duas vezes por dia para cada computador.

  • Cada computador com Linux – o Gerenciamento de Atualizações faz uma verificação a cada hora.

A média de uso de dados por logs do Azure Monitor para um computador usando o Gerenciamento de Atualizações é de aproximadamente 25 MB por mês. Esse valor é somente uma aproximação e está sujeito a alterações, dependendo do seu ambiente. Recomendamos que você monitore seu ambiente para controlar seu uso exato. Para obter mais informações sobre como analisar o uso de dados dos Logs do Azure Monitor, consulte os detalhes de preços dos Logs do Azure Monitor.

Classificações de origem

A tabela a seguir define as classificações compatíveis com o Gerenciamento de Atualizações para atualizações do Windows.

classificação Descrição
Atualizações críticas Uma atualização para um problema específico que aborda um bug crítico não relacionado à segurança.
Atualizações de segurança Uma atualização para um problema específico do produto relacionadas à segurança.
Pacotes cumulativos de atualização Um conjunto cumulativo de hotfixes que são reunidos para facilitar a implantação.
Feature packs Novos recursos do produto que são distribuídos fora de uma versão do produto.
Service packs Um conjunto cumulativo de hotfixes que são aplicados a um aplicativo.
Atualizações de definição Uma atualização para vírus ou outros arquivos de definição.
Ferramentas Um utilitário ou recurso que ajuda a concluir uma ou mais tarefas.
Atualizações Uma atualização para um aplicativo ou arquivo que está atualmente instalado.

A tabela a seguir define as classificações compatíveis para atualizações do Linux.

classificação Descrição
Atualizações críticas ou de segurança Atualizações para um problema específico ou um problema relacionado à segurança específico do produto.
Outras atualizações Todas as outras atualizações que não são críticas nem de segurança.

Observação

A classificação de atualizações para computadores Linux só está disponível quando usada em regiões de nuvem pública do Azure com suporte. Não há nenhuma classificação de atualizações do Linux ao usar o Gerenciamento de Atualizações nas seguintes regiões nacionais de nuvem:

  • Azure US Government
  • 21Vianet na China

Em vez de serem classificadas, as atualizações são relatadas na categoria Outras atualizações.

O Gerenciamento de Atualizações usa os dados publicados pelas distribuições com suporte, especificamente seus arquivos lançados de OVAL (linguagem de avaliação e de vulnerabilidade aberta). Como o acesso à Internet é restrito a nessas nuvens nacionais, o Gerenciamento de Atualizações não pode acessar os arquivos.

Classificação da lógica de atualizações do Linux

  1. Para avaliação, o Gerenciamento de Atualizações classifica as atualizações em três categorias: Segurança, Crítica ou Outras. Essa classificação de atualizações é de acordo com os dados de duas fontes:

    • Os arquivos OVAL (Linguagem de Avaliação e Vulnerabilidade) abertos são fornecidos pelo fornecedor de distribuição do Linux, que inclui dados sobre problemas de segurança ou vulnerabilidades que a atualização corrige.
    • Gerenciador de pacotes em seu computador, como YUM, APT ou ZYPPER.
  2. Para aplicação de patch, o Gerenciamento de Atualizações classifica as atualizações em duas categorias: Crítica e Segurança ou Outras. Essa classificação de atualizações é baseada apenas no dados de gerenciadores de pacotes, como YUM, APT ou ZYPPER.

CentOS – ao contrário de outras distribuições, o CentOS não tem dados de classificação disponíveis no gerenciador de pacotes. Se você tiver computadores com o CentOS configurados para retornar dados de segurança para o comando a seguir, o Gerenciamento de Atualizações poderá aplicar o patch com base nas classificações.

sudo yum -q --security check-update

Observação

Atualmente, não há nenhum método com suporte para habilitar a disponibilidade de dados nativos de classificação em CentOS. No momento, oferecemos suporte limitado aos clientes que podem ter habilitado esse recurso por conta própria.

Redhat – para classificar atualizações no Red Hat Enterprise versão 6, você deve instalar o plug-in de segurança YUM. No Red Hat Enterprise Linux 7, esse plug-in já faz parte do YUM propriamente dito e não há necessidade de instalar nada. Para obter mais informações, confira o artigo de conhecimento do Red Hat a seguir.

Integração do Gerenciamento de Atualizações com o Configuration Manager

Os clientes que investiram no Microsoft Configuration Manager para gerenciar PCs, servidores e dispositivos móveis também dependem da força e maturidade do Configuration Manager para ajudá-los a gerenciar as atualizações de software. Para saber mais sobre como integrar o Gerenciamento de Atualizações com o Configuration Manager, confira Integrar o Gerenciamento de Atualizações com o Windows Configuration Manager.

Atualizações de terceiros no Windows

O Gerenciamento de Atualizações se baseia no repositório de atualização configurado localmente para atualizar sistemas Windows compatíveis, ou seja, o WSUS ou o Windows Update. Ferramentas como System Center Updates Publisher permitem que você publique atualizações personalizadas com o WSUS. Esse cenário permite que o Gerenciamento de Atualizações atualize computadores que usam o Configuration Manager como repositório de atualização com software de terceiros. Para saber como configurar o Updates Publisher, veja Instalar o Updates Publisher.

Atualizar o agente Windows do Log Analytics para a versão mais recente

O Gerenciamento de Atualizações requer o agente do Log Analytics para seu funcionamento. Recomendamos que você atualize o agente Windows do Log Analytics (também conhecido como MMA (Microsoft Monitoring Agent)) para a versão mais recente para reduzir as vulnerabilidades de segurança e se beneficiar de correções de bugs. As versões do agente do Log Analytics anteriores às versões 10.20.18053 (pacote) e 1.0.18053.0 (extensão) usam um método mais antigo de tratamento de certificado e, portanto, não são recomendadas. Os agentes Windows do Log Analytics mais antigos não são capazes de se conectar ao Azure e o Gerenciamento de Atualizações pararia de funcionar neles.

Você deve atualizar o agente do Log Analytics para a versão mais recente seguindo as etapas abaixo:

  1. Verifique a versão atual do agente do Log Analytics para seu computador: Vá para o caminho de instalação – C:\ProgramFiles\Microsoft Monitoring Agent\Agent e clique com o botão direito do mouse em HealthService.exe para verificar as Propriedades. Na guia Detalhes, o campo Versão do produto fornece o número da versão do agente do Log Analytics.

  2. Se a versão do agente do Log Analytics for anterior às versões 10.20.18053 (pacote) e 1.0.18053.0 (extensão),atualize para a versão mais recente do agente Windows do Log Analytics, seguindo estas diretrizes. 

Observação

Durante o processo de atualização, os agendamentos de gerenciamento de atualizações podem falhar. Certifique-se de fazer isso quando não houver um agendamento planejado.

Próximas etapas