使用 Azure 入口網站和 Azure 原則排程機器的週期性更新

適用於：✔️ Windows VM ✔️ Linux VM ✔️ 內部部署環境 ✔️ 已啟用 Azure Arc 的伺服器。

重要

• 如需順暢的排程修補體驗，建議您在 2023 年 6 月 30 日前，針對所有 Azure 虛擬機器 (VM)，將修補程式協調流程更新為客戶自控排程。 如果您無法在 2023 年 6 月 30 日前更新修補程式協調流程，可能會遇到商務持續性中斷，因為排程將無法修補 VM。 深入了解。

您可以使用 Azure 更新管理員來建立及儲存週期性部署排程。 您可以建立以每天、每週或每小時為週期的排程。 您可以指定必須隨排程更新的機器，以及要安裝的更新。

接著，此排程會根據您針對單一 VM 和大規模範圍所建立的排程，自動安裝更新。

更新管理員會使用維護控制排程，而不是建立自己的排程。 維護控制可讓客戶管理平台更新。 如需詳細資訊，請參閱維護控制文件。

排程修補的必要條件

1. 請參閱更新管理員的必要條件。

2. Azure 機器的修補程式協調流程應設定為客戶自控排程。 如需詳細資訊，請參閱在現有 VM 上啟用排程修補。 對於啟用 Azure Arc 的機器，這不是必需的。

   注意

   如果您將修補模式設定為由 Azure 協調 (AutomaticByPlatform)，但未啟用 BypassPlatformSafetyChecksOnUserSchedule 旗標，且未將維護設定附加至 Azure 機器，則會將其視為已啟用自動客體修補的機器。 Azure 平台會根據自己的排程自動安裝更新。 深入了解。

在可用性設定組中排程修補

在一般可用性設定組中的所有 VM 不會同時更新。

一般可用性設定組中的 VM 會在升級網域界限內更新。 跨多個升級網域的 VM 不會同時更新。

當相同可用性設定組的電腦在相同時間於不同的排程中進行修補時，可能會無法修補，或者如果超過維護時段，則可能會失敗。 若要避免這種情況，建議您增加維護期間，或在不同時間將屬於相同可用性設定組的電腦分割成多個排程。

設定重新開機設定

藉由編輯登錄來設定自動更新和用來管理重新啟動的登錄機碼中列出的登錄機碼可能會導致您的機器重新開機。 即使您在 [排程] 設定中指定 [一律不重新開機]，機器仍會重新開機。 請依據您的環境需求設定這些登錄機碼。

服務限制

建議針對指標使用下列限制。

指標	限制
每個區域中每個訂用帳戶的排程數目	250
排程的資源關聯總數	3,000
每個動態範圍上的資源關聯	1,000
每個區域中每個資源群組或訂用帳戶的動態範圍數目	250
每個排程的動態範圍數目	30
連結至每個排程中所有動態範圍的訂用帳戶總數	30

如需詳細資訊，請參閱動態範圍的服務限制。

為單一 VM 排程週期性更新

您可以從 [更新管理員] 頁面的 [概觀] 或 [機器] 窗格，或從選取的 VM，排程更新。

若要為單一 VM 排程週期性更新：

1. 登入 Azure 入口網站。

2. 在 [Azure 更新管理員] | [概觀]頁面中，選取您的訂用帳戶，然後選取 [排程更新]。

3. 在 [建立新維護設定] 頁面中，您可以為單一 VM 建立排程。

   目前支援在同一訂用帳戶中建立 VM 和維護設定。

4. 在 [基本] 頁面上，依序選取 [訂用帳戶] 和 [資源群組]，並選取 [執行個體詳細資料] 中的所有選項。

   • 選取 [維護範圍] 作為 [客體 (Azure VM、已啟用 Azure Arc 的 VM/伺服器)]。

   • 然後選取 [新增排程]。 在 [新增/修改排程] 中，指定排程詳細資料，例如：

     • 開始時間
     • 維護期間 (以小時為單位)。 維護期間上限為 3 小時 55 分鐘。
     • 重複 (每月、每日或每週)
     • 新增結束日期
     • 排程摘要

   入口網站不支援每小時更新的選項，不過您可透過 API 使用。

   

   [每月重複] 提供兩個選項：

   • 在某一天重複 (可選擇在當月的最後一天執行)。
   • 在當月第幾個 (第一個、第二個等等) 禮拜的某一天 (例如週一、週二) 重複。 您也可以指定從所設定的日子起算， 設定 +6/-6 天的調整天數。 例如，如果您想在星期二完成修補作業後的第一個星期六再次修補，可將時間設於當月的第二個星期二，並加上 +4 天的調整天數。 您也可以選擇是否指定排程到期的結束日期。

5. 在 [機器] 索引標籤上，選取您的電腦，然後選取 [下一步]。

   更新管理員不支援驅動程式更新。

6. 在 [標籤] 索引標籤上，將標籤指派給維護設定。

7. 在 [檢閱 + 建立] 索引標籤上，確認您的更新部署選項，然後選取 [建立]。

從 [機器] 窗格

1. 登入 Azure 入口網站。

2. 在 [Azure 更新管理員] | [機器] 頁面上，選取您的訂用帳戶並選取您的機器，然後選取 [排程更新]。

3. 在 [建立新維護設定] 中，您可以為單一 VM 建立排程，並指定機器和標籤。 依照為單一 VM 排程週期性更新中從概觀窗格所列的步驟 3 程序操作，建立維護設定及指派排程。

選取的 VM

1. 選取虛擬機器，以開啟 [虛擬機器 | 更新] 頁面。
2. 在 [作業] 底下選取 [更新]。
3. 在 [更新] 索引標籤中，選取 [使用更新中心前往更新]。
4. 在 [更新預覽] 中，選取 [已排程的更新]。 在 [建立新維護設定] 中，您可以為單一 VM 建立排程。 依照為單一 VM 排程週期性更新中從概觀窗格所列的步驟 3 程序操作，建立維護設定及指派排程。

畫面上會顯示通知，確認已建立部署。

排程大規模週期性更新

若要排程大規模週期性更新，請依以下步驟操作。

您可以在 [概觀] 或 [機器] 窗格中排程更新。

從 [概觀] 窗格

1. 登入 Azure 入口網站。

2. 在 [Azure 更新管理員] | [概觀]頁面中，選取您的訂用帳戶，然後選取 [排程更新]。

3. 在 [建立新維護設定] 頁面中，您可以為多部機器建立排程。

   目前支援在同一訂用帳戶中建立 VM 和維護設定。

4. 在 [基本] 索引標籤中，依序選取 [訂用帳戶] 和 [資源群組]，並選取 [執行個體詳細資料] 中的所有選項。

   • 然後選取 [新增排程]。 在 [新增/修改排程] 中，指定排程詳細資料，例如：

     • 開始時間
     • 維護期間 (以小時為單位)
     • 重複 (每月、每日或每週)
     • 新增結束日期
     • 排程摘要

   入口網站不支援每小時更新的選項，不過您可透過 API 使用。

5. 在 [機器] 索引標籤中，確認是否已列出選取的機器。 您可以在清單中新增或移除機器。 選取 [下一步]。

6. 在 [更新] 索引標籤中，指定要包含在部署作業中的更新，例如更新分類或您觸發排程時必須安裝的 KB 識別碼/套件。

   更新管理員不支援驅動程式更新。

7. 在 [標籤] 索引標籤上，將標籤指派給維護設定。

8. 在 [檢閱 + 建立] 索引標籤上，確認您的更新部署選項，然後選取 [建立]。

從 [機器] 窗格

1. 登入 Azure 入口網站。

2. 在 [Azure 更新管理員] | [機器] 頁面上，選取您的訂用帳戶並選取機器，然後選取 [排程更新]。

在 [建立新維護設定] 頁面中，您可以為單一 VM 建立排程。 依照為單一 VM 排程週期性更新中從概觀窗格所列的步驟 3 程序操作，建立維護設定及指派排程。

畫面上會顯示通知，確認已建立部署。

附加維護設定

維護設定可以附加至多部機器。 您可以在建立新的維護設定時，將設定附加至機器，甚至在您建立維護設定後也能附加。

1. 在 [Azure 更新管理員] 頁面上，選取 [機器]，然後選取您的訂用帳戶。

2. 選取您的機器，接著在 [更新] 窗格中選取 [已排程的更新]，以建立維護設定，或將現有的維護設定附加至已排程的週期性更新。

3. 在 [排程] 索引標籤中，選取 [附加維護設定]。

4. 選取您要附加的維護設定，然後選取 [附加]。

5. 在 [更新] 窗格中，選取 [排程]>[附加維護設定]。

6. 在 [附加現有維護設定] 頁面中，選取您要附加的維護設定，然後選取 [附加]。

   

從維護設定排定週期性更新時程

您可以從單一位置瀏覽及管理所有維護設定。

1. 在 Azure 入口網站搜尋「Maintenance configurations」(維護設定)。 畫面會隨即顯示所有維護設定的清單，以及其所屬的維護範圍、資源群組、位置和訂用帳戶。

2. 您可以使用頂端的篩選條件，篩選維護設定。 維護範圍為 InGuestPatch 的項目，即為與客體 OS 更新相關的維護設定。

您可以建立新的客體 OS 更新維護設定或修改現有的設定。

建立新維護設定

1. 前往 [機器]，接著從清單中選取機器。

2. 在 [更新] 窗格中，選取 [已排程的更新]。

3. 在 [建立維護設定] 窗格中，依照此程序中的步驟 3 操作，建立維護設定。

4. 在 [基本] 索引標籤上，選取 [維護範圍] 作為 [客體 (Azure VM、已啟用 Arc 的 VM/伺服器)]。

   

在維護設定中新增或移除機器

1. 前往 [機器]，接著從清單中選取機器。

2. 在 [更新] 頁面上，選取 [一次性更新]。

3. 在 [安裝一次性更新] 窗格中，選取 [機器]>[新增機器]。

   

變更更新選取準則

1. 在 [安裝一次性更新] 窗格中，選取要安裝更新的資源和機器。

2. 在 [機器] 索引標籤上，選取 [新增機器] 以新增先前未選取的機器，然後選取 [新增]。

3. 在 [更新] 索引標籤中，指定要包含在部署作業中的更新。

4. 分別選取 [包含 KB 識別碼/套件] 和 [排除 KB 識別碼/套件]，以選取 [重大]、[安全性] 和 [功能更新] 等更新。

   

使用 Azure 原則將排程上線

更新管理員可讓您透過 Azure 原則，以 Azure 或非 Azure VM 的群組作為更新部署目標。 使用原則分組可讓您不必編輯部署來更新機器。 您可以使用訂用帳戶、資源群組、標籤或區域來定義範圍。 您可以將此功能用於內建原則，以依據使用案例自訂原則。

注意

此原則也可確保 Azure 機器的修補協調流程屬性確實設為 [客戶自控排程]，因為這是排程修補作業的先決條件。

指派原則

Azure 原則可讓您大規模指派標準及評估合規性。 如需詳細資訊，請參閱 Azure 原則概觀。 若要將原則指派給範圍：

1. 登入 Azure 入口網站並選取 [原則]。

2. 在 [指派] 下方，選取 [指派原則]。

3. 在 [指派原則] 頁面的 [基本] 索引標籤上：

   • 在 [範圍] 部分，選擇您的訂用帳戶和資源群組，然後選擇 [選取]。

   • 選取 [原則定義]，檢視原則清單。

   • 在 [可用的定義] 窗格的 [類型] 部分，選取 [內建]。 在 [搜尋] 中，輸入使用 Azure 更新管理員排程週期性更新，然後按一下 [選取]。

     

   • 確認 [原則強制執行] 已設為 [已啟用]，然後選取 [下一步]。

4. 依照預設，[參數] 索引標籤只會顯示 [維護設定 ARM 識別碼]。

   如果您未指定其他任何參數，您在 [基本] 索引標籤中所選訂用帳戶和資源群組中的所有機器都會涵蓋於範圍內。 如果您想根據資源群組、位置、作業系統和標籤等條件進一步設定範圍，請清除 [只顯示需要輸入或檢閱的參數]，以檢視所有參數：

   • 維護設定 ARM 識別碼：要提供的必要參數。 這代表您要指派給機器的排程 Azure Resource Manager (ARM) 識別碼。
   • 資源群組：如果您要將範圍限制於資源群組，您可以選擇指定資源群組。 預設情形下，系統會選取訂用帳戶中的所有資源群組。
   • 作業系統類型：您可以選取 [Windows] 或 [Linux]。 預設情形下，系統會預先選取這兩者。
   • 機器位置：您可以選擇指定您要選取的區域。 依預設，系統會選取所有選項。
   • 機器上的標籤：您可以使用標籤進一步縮小範圍。 依預設，系統會選取所有選項。
   • 標籤運算子：如果您選取多個標籤，您可以指定範圍是否為具有所有標籤或任何標籤的機器。

   

5. 在 [補救] 索引標籤的 [受控識別]>[受控識別的類型]中，選取 [系統指派的受控識別]。 根據原則定義，權限已設定為參與者。

   如果您選取 [補救]，原則會在範圍內的所有現有機器上生效，否則會指派給新增至範圍的任何新電腦。

6. 在 [檢閱 + 建立] 索引標籤中確認您所選取的項目，然後選取 [建立] 找出不符合規範的資源，以瞭解環境的合規性狀態。

檢視合規性

若要檢視現有資源目前的合規性狀態，請依以下步驟操作：

1. 在 [原則指派] 中選取 [範圍]，選取您的訂用帳戶和資源群組。

2. 在 [定義類型] 中，選取原則。 在清單中，選取指派名稱。

3. 選取 [檢視合規性]。 資源合規性清單會列出機器和不符規範的原因。

   

查看排程修補作業的執行情況

您可以從更新管理員入口網站查看維護設定執行作業的部署狀態和歷程記錄。 如需詳細資訊，請參閱依維護執行識別碼更新部署歷程記錄。

維護期間的時間表

維護期間會控制可在虛擬機器和已啟用 Arc 的伺服器上安裝的更新數目。 建議您瀏覽下表，以了解安裝更新時的維護期間時間表：

例如，如果維護期間為 3 小時，且從下午 3：00 開始，以下是如何安裝更新的詳細資料：

Windows

更新類型	詳細資料
Service Pack	如果您要安裝 Service Pack，則需要留下 20 分鐘的維護期間，才能成功安裝更新，否則會略過更新。 在本例中，您必須在下午 5:40 之前完成 Service Pack 安裝。
其他更新	如果除了 Service Pack 外，您還要安裝任何其他更新，則必須留下 15 分鐘的維護期間，否則會略過更新。 在本例中，您必須在下午 5:45 之前完成安裝其他更新。
重新啟動	如果機器需要重新開機，您必須留下 10 分鐘的維護期間，否則會略過重新開機。 在本例中，您必須在下午 5:50 重新開機。 備註：針對 Azure 虛擬機器和啟用 Arc 的伺服器，Azure 更新管理員會在重新開機後等候 Azure VM 最多 15 分鐘，和等候 Arc 伺服器最多 25 分鐘，讓其完成重新開機作業，之後才會標示重新開機失敗。

Linux

更新類型	詳細資料
重新啟動	如果 VM 需要重新開機，您必須留下 15 分鐘的維護期間，否則會略過重新開機。 備註：這只適用於 Azure VM，不適用於已啟用 Arc 的伺服器。 在本例中，您必須在下午 5:45 重新開機。
批次安裝更新	如果批次大小為 X，則更新套件所需的最短時間計算方式為： - 如果 X 小於或等於 3，則所需的最短時間 = 5 x X 分鐘。 - 如果 X 大於 3，則所需的最短時間 = 15+2 x (X-3) 分鐘。 備註：只有 Azure 更新管理員服務會控制更新的批次大小 (X)。

注意

• 如果維護期間即將結束，Azure 更新管理員並不會停止安裝新的更新。
• 如果超過維護期間，且只剩下必須安中的更新尚未嘗試安裝，則 Azure 更新管理員不會終止進行中的更新。 建議您重新評估維護期間的持續時間，以確保安裝所有更新。
• 如果在 Windows 上超出維護時間範圍，通常是因為 Service Pack 更新需要很長的時間才能安裝完成。

下一步

• 深入了解動態範圍，這是排程修補的進階功能。
• 深入了解如何設定 Azure VM 上的排程修補，以獲得商務持續性。
• 遵循如何管理各種動態範圍作業的指示
• 了解事件前與事件後，以在排程的維護設定的前後自動執行工作。