Compartilhar via

Fornecer atualizações de segurança estendidas para o Windows Server 2012

Este artigo fornece etapas para habilitar a entrega de ESUs (Atualizações de Segurança Estendidas) para computadores do Windows Server 2012 integrados a servidores habilitados para Arc. Você pode habilitar ESUs para esses computadores individualmente ou em escala.

Antes de começar

Planeje e prepare-se para integrar seus computadores aos servidores habilitados para Azure Arc. Consulte Preparar para fornecer atualizações de segurança estendidas para o Windows Server 2012 para saber mais.

Você também precisa da função Colaborador no RBAC do Azure para criar e atribuir ESUs a servidores habilitados para Arc.

Gerenciar licenças de ESU

  1. Por meio de um navegador, entre no portal do Azure.

  2. No menu de serviço, em Licenças, selecione licenças de ESU do Windows Server.

    Captura de tela da janela principal da ESU mostrando a guia de licenças e a guia de recursos qualificados.

    A partir daqui, você pode exibir e criar Licenças de ESU e exibir Recursos qualificados para ESUs.

Criar licenças do Windows Server 2012 do Azure Arc

A primeira etapa é provisionar licenças de Atualização de Segurança Estendida do Windows Server 2012 e 2012 R2 do Azure Arc. Você vincula essas licenças a um ou mais servidores habilitados para Arc selecionados na próxima seção.

Depois de provisionar uma licença de ESU, você precisará especificar o SKU (Standard ou Datacenter), o tipo de núcleos (Físico ou vCore) e o número de núcleos para provisionar uma licença de ESU. Você também pode provisionar uma licença de Atualização de Segurança Estendida em estado desativado para que ela não inicie a cobrança nem seja funcional na criação. Além disso, os núcleos associados à licença podem ser modificados após o provisionamento.

Observação

O provisionamento de licenças de ESU exige que você ateste a cobertura SA ou SPLA deles.

A guia Licenças exibe as licenças do Windows Server 2012 do Azure Arc disponíveis. A partir daqui, você pode selecionar uma licença existente para aplicar ou criar uma nova licença.

Captura de tela mostrando as licenças existentes e a opção de criar uma nova.

  1. Para criar uma nova licença do Windows Server 2012, selecione Criar e forneça as informações necessárias para configurar a licença na página.

    Para obter detalhes sobre como concluir esta etapa, consulte Diretrizes de provisionamento de licença para atualizações de segurança estendidas para o Windows Server 2012.

  2. Examine as informações fornecidas e selecione Criar.

    A licença criada aparece na lista. Você pode vinculá-lo a um ou mais servidores habilitados para Arc seguindo as etapas na próxima seção.

Você pode selecionar um ou mais servidores habilitados para Arc para vincular a uma licença de Atualização de Segurança Estendida. Depois de vincular um servidor a uma licença de ESU ativada, o servidor estará qualificado para receber ESUs do Windows Server 2012 e 2012 R2.

Observação

Você tem a flexibilidade de configurar sua solução de aplicação de patch de sua escolha para receber essas atualizações, seja Gerenciador de Atualizações, Windows Server Update Services, Microsoft Updates, Microsoft Endpoint Configuration Manager ou uma solução de gerenciamento de patch de terceiros.

  1. Selecione a guia Recursos qualificados para exibir uma lista de todos os servidores habilitados para Arc que executam o Windows Server 2012 e 2012 R2.

    Captura de tela da guia de recursos qualificados mostrando servidores qualificados para receber ESUs.

    A coluna de status ESUs indica se a máquina está habilitada ou não para ESUs.

  2. Para habilitar ESUs para um ou mais computadores, selecione-os na lista e selecione Habilitar ESUs.

  3. No painel Habilitar Atualizações de Segurança Estendidas , ele mostra o número de computadores selecionados para habilitar as licenças do ESU e do Windows Server 2012 disponíveis para aplicação. Selecione uma licença para vincular aos computadores selecionados e selecione Habilitar.

    Captura de tela das opções para selecionar a licença a ser aplicada a computadores escolhidos anteriormente.

    Observação

    Você pode criar uma licença a partir desta página, em vez de escolher uma existente, selecionando Criar uma licença de ESUs.

Ao retornar à guia Recursos qualificados , você verá o status dos computadores selecionados mostra Habilitado.

Se ocorrerem problemas durante o processo de habilitação, consulte Solucionar problemas de entrega de Atualizações de Segurança Estendidas para Windows Server 2012 para obter assistência.

Habilitar ESUs em escala usando Azure Policy

Para vincular em escala os servidores a uma licença de Atualização de Segurança Estendida do Azure Arc e bloquear a modificação ou a criação da licença, considere usar as seguintes políticas internas do Azure:

As políticas do Azure podem ser especificadas para uma assinatura ou grupo de recursos de destino para cenários de auditoria e gerenciamento.

Cenários adicionais

Há alguns cenários em que você pode estar qualificado para receber patches de Atualizações de Segurança Estendidas sem custo adicional. Dois desses cenários com suporte no Azure Arc são Desenvolvimento/Teste (Visual Studio) e Recuperação de Desastre (instâncias DR com benefícios de Software Assurance ou apenas para assinatura. Esses dois cenários exigem que você já esteja usando as ESUs do Windows Server 2012/R2 habilitadas pelo Azure Arc para computadores de produção faturáveis.

Aviso

Não crie uma licença de ESU do Windows Server 2012/R2 apenas para cargas de trabalho de Desenvolvimento/Teste ou Recuperação de Desastre. Você não deve provisionar uma licença de ESU apenas para cargas de trabalho não faturáveis. Além disso, você será cobrado integralmente por todos os núcleos provisionados com uma licença de ESU, e os núcleos de desenvolvimento/teste na licença não serão cobrados contanto que sejam marcados de acordo com as qualificações a seguir.

Para se qualificar para esses cenários, você já deve ter:

  • Licença de ESU faturável. Você já deve ter provisionado e ativado uma Licença ESU do Arc WS2012 destinada a ser vinculada a servidores habilitados para Azure Arc em ambientes de produção (como cenários de ESU normalmente cobrados). Essa licença deve ser provisionada apenas para núcleos faturáveis, não para núcleos qualificados para atualizações de segurança estendidas gratuitas, por exemplo, núcleos de desenvolvimento/teste.

  • Servidores habilitados para Arc. Integrou seus computadores Windows Server 2012 e Windows Server 2012 R2 para servidores habilitados para Azure Arc para fins de Desenvolvimento/Teste com assinaturas do Visual Studio ou recuperação de desastre.

Para registrar servidores habilitados para Azure Arc qualificados para ESUs sem custo adicional, siga estas etapas para marcar e vincular:

  1. Rotule a Licença ESU do Arc WS2012 (criada para o ambiente de produção com núcleos apenas para os servidores do ambiente de produção) e os servidores habilitados para Azure Arc não produtivos com um dos seguintes pares nome-valor, correspondentes à exceção apropriada:

    1. Nome: "Uso do ESU"; Valor: "WS2012 VISUAL STUDIO DEV TEST"

    2. Nome: "Uso do ESU"; Valor: "WS2012 DISASTER RECOVERY"

    No caso de você estar usando a Licença ESU para vários cenários de exceção, marque a licença com a marca: Nome: "Uso de ESU"; Valor: "WS2012 MULTIPURPOSE"

  2. Vincule a licença rotulada (criada para o ambiente de produção com núcleos apenas para os servidores do ambiente de produção) aos seus computadores Windows Server 2012 e Windows Server 2012 R2 não produtivos habilitados para Azure Arc. Não licencia núcleos para esses servidores ou crie uma nova licença de ESU apenas para esses servidores.

Essa integração não resultará em uma violação de conformidade ou bloqueio de execução, permitindo que você amplie o uso de uma licença além de seus núcleos provisionados. A expectativa é de que a licença inclua apenas núcleos para servidores de produção e faturados. Qualquer núcleo adicional será cobrado e resultará em superfaturamento.

Importante

Adicionar essas etiquetas à sua licença NÃO torna a licença gratuita nem reduz o número de núcleos de licença que são cobrados. Essas marcas permitem vincular seus computadores do Azure a licenças existentes que já estão configuradas com núcleos a pagar sem a necessidade de criar novas licenças ou adicionar outros núcleos aos seus computadores gratuitos.

Exemplo:

  • Você tem oito instâncias do Windows Server 2012 R2 Standard, cada uma com oito núcleos físicos. Seis desses computadores Windows Server 2012 R2 Standard são para produção, e dois desses computadores Windows Server 2012 R2 Standard são elegíveis para ESUs gratuitas porque o sistema operacional foi licenciado por meio de uma assinatura de Desenvolvimento/Teste do Visual Studio.
    • Primeiro você deve provisionar e ativar uma licença ESU regular para Windows Server 2012/R2, que é a edição Standard e tem 48 núcleos físicos, para contemplar os seis computadores de produção. Você deve vincular essa licença de ESU de produção regular aos seis servidores de produção.
    • Em seguida, você deve reutilizar essa licença existente, não adicionar mais núcleos ou provisionar uma licença separada e vincular essa licença a seus dois computadores padrão não produtivos do Windows Server 2012 R2. Você deve rotular a licença ESU e os dois computadores Windows Server 2012 R2 Standard não produtivos com Nome: "ESU Usage" e Valor: "WS2012 VISUAL STUDIO DEV TEST".
    • Isso resulta em uma licença de ESU para 48 núcleos e você será cobrado por esses 48 núcleos. Você não será cobrado pelos outros 16 núcleos dos servidores de teste de desenvolvimento que você adicionou a essa licença, contanto que a licença ESU e os recursos do servidor de teste de desenvolvimento sejam marcados adequadamente.

Observação

Você precisaria de uma licença de produção regular para começar e será cobrado apenas pelos núcleos de produção.

Atualização do Windows Server 2012/2012 R2

Ao atualizar um computador Windows Server 2012/2012R para o Windows Server 2016 ou superior, não é necessário remover o agente do Computador Conectado do computador. O novo sistema operacional ficará visível para o computador no Azure alguns minutos após a conclusão da atualização. Os computadores atualizados não exigem mais ESUs e não estão mais qualificados para essas licenças. As licenças ESU associadas ao computador não são desvinculadas automaticamente do computador. Confira Desvincular uma licença para obter instruções sobre como fazer isso manualmente.

Avaliar o status das atualizações de segurança estendidas (ESU) do Windows Server 2012

Para detectar se os servidores habilitados para Azure Arc são corrigidos com as atualizações de segurança estendidas mais recentes do Windows Server 2012/R2, você pode usar as Atualizações de Segurança Estendidas do Azure Policy que devem ser instaladas em computadores Windows Server 2012 Arc. Essa definição de política, alimentada pela Configuração do Computador, identifica se o servidor recebeu os patches de ESU mais recentes. Isso pode ser observado nas exibições Conformidade de Atribuição de Convidado e Política do Azure integradas ao portal do Azure.