Agendar atualizações recorrentes para computadores usando o portal do Azure e o Azure Policy

Aplica-se a: ✔️ VMs do Windows ✔️ VMs do Linux ✔️ Ambiente local ✔️ Servidores habilitados para Azure Arc.

Importante

• Para uma experiência de aplicação de patch agendada perfeita, recomendamos que, para todas as VMs (máquinas virtuais) do Azure, você atualize a orquestração de patch para Agendas Gerenciadas pelo Cliente até 30 de junho de 2023. Se você não atualizar a orquestração de patch até 30 de junho de 2023, poderá enfrentar uma interrupção na continuidade dos negócios porque os agendamentos não corrigirão as VMs. Saiba mais.
• O agendamento de atualizações recorrentes por meio do Azure Policy não está disponível no Azure US Government e no Azure China operado pela 21 Vianet.

Você pode usar o Gerenciador de Atualizações do Azure para criar e salvar agendas de implantação recorrentes. Você pode criar uma agenda em uma cadência diária, semanal ou por hora. Você pode especificar os computadores que devem ser atualizados como parte do agendamento e as atualizações a serem instaladas.

Esse agendamento instala automaticamente as atualizações de acordo com o agendamento criado para uma única VM e em escala.

O Gerenciador de Atualizações usa um agendamento de controle de manutenção em vez de criar seus próprios agendamentos. O controle de manutenção permite que os clientes gerenciem atualizações de plataforma. Para obter mais informações, consulte adocumentação do controle de manutenção.

Pré-requisitos para aplicação de patch agendada

1. Consulte Pré-requisitos do Gerenciador de Atualizações.

2. A orquestração de patch dos computadores do Azure deve ser definida como Agendas Gerenciadas pelo Cliente. Para obter mais informações, consulte Habilitar a aplicação de patch de agendamento em VMs existentes. Para computadores habilitados para Azure Arc, ela não é um requisito.

   Observação

   Se você definir o modo de patch como orquestrado pelo Azure (AutomaticByPlatform), mas não ativar o sinalizador BypassPlatformSafetyChecksOnUserSchedule e não anexar uma configuração de manutenção a uma máquina do Azure, ela será tratada como uma máquina habilitada para patches automáticos de convidados. A plataforma do Azure instala automaticamente as atualizações de acordo com sua própria agenda. Saiba mais.

Agendar a aplicação de patches em um conjunto de disponibilidade

Todas as VMs de um conjunto de disponibilidade em comum não são atualizadas simultaneamente.

As VMs em um conjunto de disponibilidade comum são atualizadas dentro dos limites do Domínio de Atualização. As VMs em vários Domínios de Atualização não são atualizadas simultaneamente.

Em cenários nos quais os patches são aplicados às máquinas do mesmo conjunto de disponibilidade ao mesmo tempo em diferentes agendamentos, é provável que o patch não seja aplicado ou possa falhar se a janela de manutenção for excedida. Para evitar isso, recomendamos que você aumente a janela de manutenção ou divida as máquinas que pertencem ao mesmo conjunto de disponibilidade entre vários agendamentos em horários diferentes.

Definir configurações reinicialização

As chaves do Registro listadas em Configurar Atualizações Automáticas editando o registro e Chaves do Registro usadas para gerenciar a reinicialização podem fazer com que seus computadores sejam reinicializados. Uma reinicialização pode ocorrer mesmo se você especificar Nunca Reinicializar nas configurações de Agendamento. Configure essas chaves do registro para se adequar melhor ao seu ambiente.

Limites de serviço

Recomendamos os seguintes limites para os indicadores.

Indicador	Limite
Número de agendas por assinatura por região	250
Número total de associações de recursos a um agendamento	3\.000
Associações de recursos em cada escopo dinâmico	1.000
Número de escopos dinâmicos por grupo de recursos ou assinatura por região	250
Número de escopos dinâmicos por agendamento	30
Número total de assinaturas anexadas a todos os escopos dinâmicos por agendamento	30

Para obter mais informações, consulte os limites de serviço para o escopo dinâmico.

Agendar atualizações recorrentes em uma única VM

Você pode agendar atualizações no painel Visão Geral ou Computadores na página gerenciador de atualizações ou na VM selecionada.

Para agendar atualizações recorrentes em uma única VM:

1. Entre no portal do Azure.

2. Na página Gerenciador de Atualizações do Azure | Visão geral, selecione sua assinatura e selecione Agendar atualizações.

3. Na página Criar nova configuração de manutenção, você pode criar um agendamento para uma única VM.

   Atualmente, há suporte para VMs e configuração de manutenção na mesma assinatura.

4. Na página Noções básicas, selecione Assinatura, Grupo de Recursos e todas as opções nos detalhes da Instância.

   • Selecione escopo de Manutenção como Convidado (VM do Azure, VMs/servidores habilitadas para Azure Arc).

   • Selecione Adicionar um agendamento. Em Adicionar/Modificar agendamento, especifique os detalhes do agendamento, como:

     • Iniciar em
     • Janela de manutenção (em horas). A janela de manutenção superior é de 3 horas e 55 minutos.
     • Repetições (mensais, diárias ou semanais)
     • Adicionar data de término
     • Resumo da agenda

   A opção por hora não tem suporte no portal, mas pode ser usada por meio da API.

   

   Para repetições mensais, há duas opções:

   • Repita em uma data de calendário (opcionalmente, execute na última data do mês).
   • Repetir no dia x (primeiro, segundo, etc.) (por exemplo, segunda, terça-feira) do mês. Você também pode especificar um deslocamento do conjunto de dias. Pode ser +6/-6. Por exemplo, se você quiser aplicar patch no primeiro sábado após um patch na terça-feira, defina a recorrência como a segunda terça-feira do mês com um deslocamento de +4 dias. Opcionalmente, você também pode especificar uma data de término quando quiser que a agenda expire.

5. Na guia Computadores, selecione seu computador e selecione Avançar.

   O Gerenciador de Atualizações não dá suporte a atualizações de driver.

6. Na guia Marcas, atribua marcas a configurações de manutenção.

7. Na guia Revisar + criar, verifique as opções de implantação de atualização e, em seguida, selecione Criar.

No painel Computadores

1. Entre no portal do Azure.

2. Na página Gerenciador de Atualizações do Azure | Computadores, selecione sua assinatura, selecione seu computador e, em seguida, selecione Agendar atualizações.

3. Em Criar nova configuraçãode manutenção, você pode criar um agendamento para uma única VM e atribuir um computador e marcas. Siga o procedimento da etapa 3 listada no painel Visão Geral de Agendar atualizações recorrentes em uma única VM para criar uma configuração de manutenção e atribuir um agendamento.

Em uma VM selecionada

1. Selecione sua máquina virtual para abrir as máquinas virtuais | Página atualizações.
2. Selecione Atualizações em Operações.
3. Na guia Atualizações, selecione Ir para Atualizações usando o Centrode Atualizações.
4. Na versão préviade Atualizações, selecione Agendar atualizações. Em Criar nova configuração de manutenção, você pode criar um agendamento para uma única VM. Siga o procedimento da etapa 3 listada no painel Visão Geral de Agendar atualizações recorrentes em uma única VM para criar uma configuração de manutenção e atribuir um agendamento.

Uma notificação confirma que a implantação foi criada.

Agendamento de atualizações recorrentes em escala

Para agendar atualizações recorrentes em escala, siga estas etapas.

Você pode agendar atualizações no painel Visão Geral ou Computadores.

No painel Visão Geral

1. Entre no portal do Azure.

2. Na página Gerenciador de Atualizações do Azure | Visão geral, selecione sua assinatura e selecione Agendar atualizações.

3. Na página Criar nova configuração de manutenção, você pode criar um agendamento para vários computadores.

   Atualmente, há suporte para VMs e configuração de manutenção na mesma assinatura.

4. Na guia Noções básicas, selecione Assinatura, Grupo de Recursos e todas as opções nos detalhes da Instância.

   • Selecione Adicionar um agendamento. Em Adicionar/Modificar agendamento, especifique os detalhes do agendamento, como:

     • Iniciar em
     • Janela de manutenção (em horas)
     • Repetições (mensais, diárias ou semanais)
     • Adicionar data de término
     • Resumo da agenda

   A opção por hora não tem suporte no portal, mas pode ser usada por meio da API.

5. Na guia Computadores, verifique se os computadores selecionados estão listados. Você pode adicionar ou remover computadores da lista. Selecione Avançar.

6. Na guia Atualizações, especifique as atualizações a serem incluídas na implantação, como classificações de atualização ou ID/pacotes de KB que devem ser instalados quando você dispara sua agenda.

   O Gerenciador de Atualizações não dá suporte a atualizações de driver.

7. Na guia Marcas, atribua marcas a configurações de manutenção.

8. Na guia Revisar + criar, verifique as opções de implantação de atualização e, em seguida, selecione Criar.

No painel Computadores

1. Entre no portal do Azure.

2. Na página Gerenciador de Atualizações do Azure | Computadores, selecione sua assinatura, selecione seus computadores e selecione Agendar atualizações.

Na página Criar nova configuração de manutenção, você pode criar um agendamento para uma única VM. Siga o procedimento da etapa 3 listada no painel Visão Geral de Agendar atualizações recorrentes em uma única VM para criar uma configuração de manutenção e atribuir um agendamento.

Uma notificação confirma que a implantação foi criada.

Anexar uma configuração de manutenção

Uma configuração de manutenção pode ser anexada a vários computadores. Ele pode ser anexado a computadores no momento da criação de uma nova configuração de manutenção ou até mesmo depois de criar uma.

1. Na página do Gerenciador de Atualizações do Azure, selecione Computadores, e selecione sua assinatura.

2. Selecione seu computador e, no painel Atualizações, selecione Atualizações agendadas para criar uma configuração de manutenção ou anexar uma configuração de manutenção existente às atualizações recorrentes agendadas.

3. Na guia Agendamento, selecione Anexar configuração de manutenção.

4. Selecione a configuração de manutenção que você deseja anexar e selecione Anexar.

5. No painel Atualizações, selecione Agendamento>Configuração de manutenção.

6. Na página Anexar configuração de manutenção existente, selecione a configuração de manutenção que você deseja anexar e selecione Anexar.

   

Agendar atualizações recorrentes da configuração de manutenção

Você pode navegar e gerenciar todas as configurações de manutenção de um único local.

1. Pesquise Configurações de manutenção no portal do Azure. Isso mostra uma lista de todas as configurações de manutenção, juntamente com o escopo de manutenção, o grupo de recursos, o local e a assinatura à qual ele pertence.

2. Você pode filtrar as configurações de manutenção usando filtros na parte superior. As configurações de manutenção relacionadas às atualizações do sistema operacional convidado são as que têm escopo de manutenção como InGuestPatch.

Você pode criar uma nova configuração de manutenção de atualização do sistema operacional convidado ou modificar uma configuração existente.

Criar uma configuração de manutenção

1. Vá em Computadores e selecione computadores na lista.

2. No painel Atualizações, selecione Atualizações agendadas.

3. No painel Criar uma configuração de manutenção, siga a etapa 3 neste procedimento para criar uma configuração de manutenção.

4. Na guia Noções básicas , selecione oescopo de manutenção como convidado (VM do Azure, VMs/servidores habilitadas para Arc).

   

Adicionar ou remover computadores da configuração de manutenção

1. Vá em Computadores e selecione computadores na lista.

2. Na página Atualizações, selecione atualizações pontuais.

3. No painel Instalar atualizações pontuais, selecione Máquinas>Adicionar computador.

   

Alterar critérios de seleção de atualização

1. No painel Instalar atualizações pontuais, selecione os recursos e os computadores para instalar as atualizações.

2. Na guia Computadores, selecione Adicionar computador para adicionar computadores que não foram selecionados anteriormente e selecione Adicionar.

3. Na guia Atualizações, especifique as atualizações a serem incluídas na implantação.

4. Selecione Incluir KB ID/pacote e Excluir KB ID/pacote KB, respectivamente, para selecionar atualizações como Críticas, Segurança e Atualização de recursos.

   

Integrar para agendar usando o Azure Policy

O Gerenciador de Atualizações permite que você direcione um grupo de VMs do Azure ou não Azure para implantação de atualização por meio do Azure Policy. O agrupamento usando uma política impede que você precise editar sua implantação para atualizar computadores. Você pode usar assinatura, grupo de recursos, marcas ou regiões para definir o escopo. Você pode usar esse recurso para as políticas internas, que podem ser personalizadas de acordo com seu caso de uso.

Observação

Essa política também garante que a propriedade de orquestração de patch para computadores do Azure esteja definida como Agendas Gerenciadas pelo Cliente porque é um pré-requisito para aplicação de patch agendada.

Atribuir uma política

O Azure Policy permite atribuir padrões e avaliar a conformidade em escala. Para saber mais, confira Visão geral do Azure Policy. Para atribuir uma política ao escopo:

1. Entre no portal do Azure e selecione Política.

2. Em Atribuições, selecione Atribuir política.

3. Na página Atribuir política, na guia Noções básicas:

   • Para Escopo, escolha sua assinatura e grupo de recursos e escolha Selecionar.

   • Selecione Definição de política para exibir uma lista de políticas.

   • No painel Definições Disponíveis, selecione Interno para Tipo. Na Pesquisa, insira Agendar atualizações recorrentes usando o Gerenciador de Atualizações do Azure e clique em Selecionar.

     

   • Verifique se a imposição de política está definida como Habilitada e selecione Avançar.

4. Na guia Parâmetros, por padrão, somente a ID do ARM de configuração de manutenção está visível.

   Se você não especificar outros parâmetros, todos os computadores na assinatura e no grupo de recursos selecionados na guia Noções Básicas serão abordados no escopo. Se você quiser definir o escopo com base no grupo de recursos, local, sistema operacional, marcas e assim por diante, desmarque apenas os parâmetros que precisam de entrada ou revisão para exibir todos os parâmetros:

   • ID do ARM de Configuração de Manutenção: um parâmetro obrigatório a ser fornecido. Ele indica a ID do ARM (Azure Resource Manager) da agenda que você deseja atribuir aos computadores.
   • Grupos de recursos: opcionalmente, você pode especificar um grupo de recursos se quiser defini-lo para um grupo de recursos. Por padrão, todos os grupos de recursos da assinatura são selecionados.
   • Tipos de sistema operacional: você pode selecionar Windows ou Linux. Por padrão, ambos são pré-selecionados.
   • Locais do computador: opcionalmente, você pode especificar as regiões que deseja selecionar. Por padrão, todos são selecionados.
   • Marcas em computadores: você pode usar marcas para reduzir ainda mais o escopo. Por padrão, todos são selecionados.
   • Operador de marcas: se você selecionar várias marcas, poderá especificar se deseja que o escopo seja computadores que tenham todas as marcas ou computadores que tenham qualquer uma dessas marcas.

   

5. Na guia Correção, no Identidade Gerenciada>Tipo de Identidade Gerenciada, selecione Identidade gerenciada atribuída pelo sistema. Permissões já estão definidas como Colaborador de acordo com a definição de política.

   Se você selecionar Correção, a política estará em vigor em todos os computadores existentes no escopo ou então ela será atribuída a qualquer novo computador adicionado ao escopo.

6. Na guia Revisar + criar, verifique suas seleções e, em seguida, selecione Criar para identificar os recursos não compatíveis para entender o estado de conformidade do seu ambiente.

Exibir conformidade

Para exibir o estado de conformidade atual dos recursos existentes:

1. Em Atribuições de Política, selecione Escopo para selecionar sua assinatura e grupo de recursos.

2. No tipo de definição, selecione a política. Na lista, selecione o nome da atribuição.

3. Selecione Exibir conformidade. Conformidade de recursos lista os computadores e os motivos da falha.

   

Verificar sua execução de aplicação de patch agendada

Você pode verificar o status da implantação e o histórico de execuções da configuração de manutenção no portal do Gerenciador de Atualizações. Para obter mais informações, consulte Histórico de implantação de atualização por ID de execução de manutenção.

Linha do tempo da janela de manutenção

A janela de manutenção controla o número de atualizações que podem ser instaladas em sua máquina virtual e servidores habilitados para Arc. Recomendamos que você percorra a tabela a seguir para entender a linha do tempo de uma janela de manutenção durante a instalação de uma atualização:

Por exemplo, se uma janela de manutenção for de 3 horas e começar às 15h, veja a seguir os detalhes sobre como as atualizações são instaladas:

Windows

Tipo de atualização	Detalhes
Service Pack	Se você estiver instalando um Service Pack, precisará de 20 minutos restantes na janela de manutenção para que as atualizações sejam instaladas com êxito, caso contrário, a atualização será ignorada. Neste exemplo, você deve concluir a instalação do service pack às 17h40.
Outras atualizações	Se você estiver instalando qualquer outra atualização além do Service Pack, precisará ter 15 minutos restantes na janela de manutenção, caso contrário, ela será ignorada. Neste exemplo, você deve concluir a instalação das outras atualizações até as 17h45.
Reboot	Se os computadores precisarem de uma reinicialização, você precisará ter 10 minutos restantes na janela de manutenção, caso contrário, a reinicialização será ignorada. Neste exemplo, você deve iniciar a reinicialização às 17h50. Observação: para máquinas virtuais do Azure e servidores habilitados para Arc, o Gerenciador de Atualizações do Azure aguarda no máximo 15 minutos por VMs do Azure e 25 minutos para servidores Arc após uma reinicialização para concluir a operação de reinicialização antes de marcá-la como falha.

Linux

Tipo de atualização	Detalhes
Reboot	Se as VMs precisarem de uma reinicialização, você precisará ter 15 minutos restantes na janela de manutenção, caso contrário, a reinicialização será ignorada. Observação: isso só é aplicável para VMs do Azure e não para servidores habilitados para Arc. Neste exemplo, você deve iniciar a reinicialização às 17h45.
Atualizações instaladas em lotes	Se o tamanho do lote for X, o tempo mínimo necessário para atualizar os pacotes será calculado da seguinte maneira : se X for menor ou igual a 3, o tempo mínimo necessário = 5 x X minutos. - Se X for maior que 3, o tempo mínimo necessário = 15+2 x (X-3) minutos. Observação: somente o serviço do Gerenciador de Atualizações do Azure controla o tamanho do lote (X) das atualizações.

Observação

• O Gerenciador de Atualizações do Azure não para de instalar as novas atualizações se estiver se aproximando do fim da janela de manutenção.
• O Gerenciador de Atualizações do Azure não encerrará as atualizações em andamento se a janela de manutenção for excedida e apenas as atualizações restantes que devem ser instaladas não forem tentadas. É recomendável reavaliar a duração da janela de manutenção para garantir que todas as atualizações sejam instaladas.
• Se a janela de manutenção é excedida no Windows, isso geralmente ocorre devido a uma longa instalação de atualização do service pack.

Próximas etapas

• Saiba mais sobre o Escopo dinâmico, uma funcionalidade avançada de aplicação agendada de patches.
• Saiba mais sobre como Configurar a aplicação de patch de agendamento em VMs do Azure para continuidade dos negócios.
• Siga as instruções sobre como gerenciar várias operações de Escopo dinâmico
• Saiba mais sobre pré e pós-eventos para executar tarefas automaticamente antes e depois de uma configuração de manutenção agendada.