你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站，请访问 https://docs.azure.cn。

关于 Azure 更新管理器

重要

Azure Log Analytics 代理（也称为 Microsoft Monitoring Agent，MMA）将于 2024 年 8 月 停用。 Azure 自动化更新管理解决方案依赖于此代理，并且在代理停用后可能会遇到问题，因为它不适用于 Azure Monitoring Agent (AMA)。 因此，如果使用 Azure 自动化更新管理解决方案，建议迁移到 Azure 更新管理器以满足软件更新需求。 Azure 自动化更新管理解决方案的所有功能将在停用日期之前在 Azure 更新管理器上提供。 按照指南将计算机和计划从自动化更新管理移动到 Azure 更新管理器。

更新管理器是一项统一的服务，可帮助管理和治理所有计算机的更新。 可以从单个仪表板监视 Azure、本地及其他云平台上的部署的 Windows 和 Linux 更新合规性。 还可使用更新管理器进行实时更新或将更新计划在定义的维护时段内完成。

可以使用 Azure 中的更新管理器来实现以下目的：

• 监督 Azure、本地和其他云环境中整个计算机舰队的更新合规性。
• 立即部署关键更新来帮助保护计算机。
• 使用灵活的修补选项，例如 Azure 中的自动虚拟机 (VM) 来宾修补、热修补和客户定义的维护计划。

我们还提供其他功能来帮助你管理 Azure VM 的更新，应将其看作总体更新管理策略的一部分。 若要详细了解可用的选项，请参阅 Azure VM 更新选项。

在为计算机启用更新管理器之前，请确保了解以下部分中的信息。

主要优点

更新管理器已根据 Azure 自动化更新管理功能的要求重新设计，不再依赖于 Azure 自动化或 Azure Monitor 日志。 更新管理器提供许多新功能，并提供优于 Azure 自动化中的原始版本的增强功能。 此处列出了其中的一些优势：

• 提供无需执行加入过程的原生体验。
  • 在 Azure 计算和 Azure Arc for Servers 平台上作为易用的原生功能构建。
  • 不依赖于 Log Analytics 和 Azure 自动化。
  • Azure Policy 支持。
  • 在所有 Azure 计算和 Azure Arc 区域中全局可用。
• 使用 Azure 角色和标识。
  • 在每个资源的级别进行精细访问控制，而不是在 Azure 自动化帐户和 Log Analytics 工作区的级别进行访问控制。
  • 更新管理器现在有基于 Azure 资源管理器的操作。 它允许 Azure 中基于角色的访问控制和基于 Azure 资源管理器的角色。
• 提供增强的灵活性。
  • 能够通过立即安装更新或将更新计划在今后安装来立即采取措施。
  • 自动或按需检查更新。
  • 通过新的修补方式来帮助保护计算机，例如 Azure 中的自动 VM 来宾修补、热修补或自定义维护计划。
  • 同步与“周二修补程序”（Microsoft 在每个月的第二个星期二发布的计划性安全修复的非官方术语）相关的修补程序周期。

下图演示了更新管理器如何评估和应用适用于 Windows 与 Linux 的所有 Azure 计算机和已启用 Azure Arc 的服务器的更新。

为了支持 Azure VM 或非 Azure 计算机的管理，更新管理器依赖于新的 Azure 扩展，该扩展旨在提供所需的所有功能来与操作系统交互，以管理更新的评估和应用。 在计算机上启动任何更新管理器操作（例如更新检查、一次性更新安装和定期评估）时，会自动安装此扩展。 该扩展支持使用扩展框架部署到 Azure VM 或已启用 Azure Arc 的服务器。 使用以下方式安装和管理更新管理器扩展：

• 适用于 Azure VM 的 Azure VM Windows 代理或 Azure VM Linux 代理。
• 适用于非 Azure Linux 和 Windows 计算机或物理服务器的已启用 Azure Arc 的服务器代理。

更新管理器管理扩展代理安装和配置。 只要 Azure VM 代理或已启用 Azure Arc 的服务器代理正常运行，就不需要手动干预。 更新管理器扩展在计算机本地运行代码来与操作系统交互，它包括：

• 检索 Windows 更新客户端或 Linux 包管理器为操作系统指定的系统更新的状态评估信息。
• 启动通过 Windows 更新客户端或 Linux 包管理器下载和安装已批准更新的过程。

所有评估信息和更新安装结果将通过扩展报告给更新管理器，可使用 Azure Resource Graph 进行分析。 可以查看过去最多 7 天的评估数据，以及过去最多 30 天的更新安装结果。

分配给更新管理器的计算机会根据所配置的要与之同步的源来报告其更新状态。 可以在 Windows 计算机上配置 Windows 更新代理 (WUA)，以向 Windows Server Update Services 或 Microsoft 更新（默认）报告。 可以将 Linux 计算机配置为向本地或公共 YUM 或 APT 包存储库报告。 如果 Windows 更新代理配置为向 WSUS 报告，则更新管理器中的结果可能与 Microsoft 更新所显示的内容不同，具体取决于 WSUS 上次与 Microsoft 更新同步的时间。 对于配置为向本地存储库（而不是公共包存储库）报告的 Linux 计算机来说，此行为也是如此。

注意

由世纪互联运营的 Azure 中国不提供 WSUS。

可以直接管理 Azure VM 或已启用 Azure Arc 的服务器，也可以使用更新管理器进行大规模管理。

先决条件

除了以下先决条件外，另请参阅更新管理器的支持矩阵。

角色

资源	角色
Azure VM	Azure 虚拟机参与者或 Azure 所有者
已启用 Azure Arc 的服务器	Azure Connected Machine 资源管理员

权限

需要拥有以下权限，以便能够创建和管理更新部署。 该表显示使用更新管理器时所需的权限。

操作	权限	范围
读取 Azure VM 属性	Microsoft.Compute/virtualMachines/read
在 Azure VM 上更新评估	Microsoft.Compute/virtualMachines/assessPatches/action
读取 Azure VM 的评估数据	Microsoft.Compute/virtualMachines/patchAssessmentResults/latest Microsoft.Compute/virtualMachines/patchAssessmentResults/latest/softwarePatches
在 Azure VM 上安装更新	Microsoft.Compute/virtualMachines/installPatches/action
读取 Azure VM 的补丁安装数据	Microsoft.Compute/virtualMachines/patchInstallationResults Microsoft.Compute/virtualMachines/patchInstallationResults/softwarePatches
读取已启用 Azure Arc 的服务器属性	Microsoft.HybridCompute/machines/read
在已启用 Azure Arc 的服务器上更新评估	Microsoft.HybridCompute/machines/assessPatches/action
读取已启用 Azure Arc 的服务器的评估数据	Microsoft.HybridCompute/machines/patchAssessmentResults Microsoft.HybridCompute/machines/patchAssessmentResults/softwarePatches
在已启用 Azure Arc 的服务器上安装更新	Microsoft.HybridCompute/machines/installPatches/action
读取已启用 Azure Arc 的服务器的补丁安装数据	Microsoft.HybridCompute/machines/patchInstallationResults Microsoft.HybridCompute/machines/patchInstallationResults/softwarePatches
注册 Microsoft.Maintenance 资源提供程序的订阅	Microsoft.Maintenance/register/action	订阅
创建/修改维护配置	Microsoft.Maintenance/maintenanceConfigurations/write	订阅/资源组
创建/修改配置分配	Microsoft.Maintenance/configurationAssignments/write	订阅
维护更新资源的读取权限	Microsoft.Maintenance/updates/read	计算机
维护应用更新资源的读取权限	Microsoft.Maintenance/applyUpdates/read	计算机

VM 映像

有关详细信息，请参阅支持的操作系统和 VM 映像的列表。

Azure 更新管理器支持专用映像，包括由 Azure Migrate、Azure 备份和 Azure Site Recovery 创建的 VM。

VM 扩展

Azure VM 扩展和已启用 Azure Arc 的 VM 扩展可用。

Azure VM 扩展

操作系统	分机
Windows	Microsoft.CPlat.Core.WindowsPatchExtension
Linux	Microsoft.CPlat.Core.LinuxPatchExtension

已启用 Azure Arc 的 VM 扩展

操作系统	分机
Windows	Microsoft.CPlat.Core.WindowsPatchExtension（定期评估） Microsoft.SoftwareUpdateManagement.WindowsOsUpdateExtension（按需操作和排期修补）
Linux	Microsoft.SoftwareUpdateManagement.LinuxOsUpdateExtension（按需操作和排期修补） Microsoft.CPlat.Core.LinuxPatchExtension（定期评估）

在 Azure 门户中查看 VM 的可用扩展：

1. 转到 Azure 门户并选择一个 VM。
2. 在 VM 主页的“设置”下，选择“扩展 + 应用程序”。
3. 在“扩展”选项卡上，可以查看可用的扩展。

网络规划

为了准备网络以支持更新管理器，可能需要配置一些基础结构组件。

对于 Windows 计算机，必须允许将流量发送到 Windows 更新代理所需的任何终结点。 可以在与 HTTP/Proxy 相关的问题中找到所需终结点的更新列表。 如果你有本地 WSUS 部署，则还必须允许流量发送到 WSUS 密钥中指定的服务器。

对于 Red Hat Linux 计算机，请参阅适用于 RHUI 内容分发服务器的 IP 了解所需的终结点。 对于其他 Linux 发行版，请参阅提供程序文档。

后续步骤

• 查看单台计算机的更新
• 立即（按需）为单台计算机部署更新
• 安排重复更新
• 通过门户管理更新设置
• 使用更新管理员管理多台计算机