更新管理概觀
警告
本文參考 CentOS,這是接近結束生命週期 (EOL) 狀態的 Linux 發行版本。 請據此考量您的使用方式和規劃。 如需詳細資訊,請參閱 CentOS 生命週期結束指引。
重要
- Azure 自動化更新管理將於 2024 年 8 月 31 日淘汰。 請遵循移轉至 Azure 更新管理員的指引。
- Azure Log Analytics 代理程式 (也稱為 Microsoft Monitoring Agent (MMA))將於 2024 年 8 月淘汰。 Azure 自動化更新管理解決方案仰賴此代理程式,且可能會在此代理程式淘汰後發生問題,因為它無法使用 Azure 監視代理程式 (AMA)。 因此,如果您是使用 Azure 自動化更新管理解決方案,建議您移至 Azure 更新管理員以滿足您的軟體更新需求。 在淘汰日之前,Azure 更新管理員將可提供 Azure 自動化更新管理解決方案的所有功能。 請遵循指引,將機器和排程從自動化更新管理移至 Azure 更新管理員。
您可以使用 Azure 自動化中的「更新管理」,針對 Azure 中 Windows 和 Linux 虛擬機器、內部部署環境中的實體或 VM,以及其他雲端環境中的作業系統更新進行管理。 您可以快速評估可用更新的狀態,並針對負責報告更新管理的機器管理安裝必要更新的程序。
身為服務提供者,您可能已將多個客戶租用戶上線至 Azure Lighthouse。 「更新管理」可用來在相同 Microsoft Entra 租用戶的多個訂用帳戶中,或使用 Azure Lighthouse 跨租用戶評估及排程機器的更新部署。
Microsoft 提供其他功能來協助您管理 Azure VM 或 Azure 虛擬機器擴展集的更新,您應該將其視為整體更新管理策略的一部分。
如果您想自動評估及更新 Azure 虛擬機器,以持續遵循每個月發行的重大和安全性更新法規,請檢閱自動 VM 客體修補。 相較於從 Azure 自動化的更新管理中管理 Azure VM 的更新部署,這是 Azure VM 的替代更新管理解決方案,可在離峰時段自動更新 VM (包括可用性設定組中的 VM)。
如果您要管理 Azure 虛擬機器擴展集,請檢閱如何執行自動 OS 映像升級,以安全地自動升級擴展集中所有執行個體的 OS 磁碟。
在部署「更新管理」並啟用機器以進行管理之前,請確定您已了解下列各節中的資訊。
關於「更新管理」
下圖說明更新管理如何評估安全性更新,並將其套用至所有已連線的 Windows Server 和 Linux 伺服器。
更新管理會與 Azure 監視器記錄整合,以便從指派的 Azure 和非 Azure 機器,將更新評量和更新部署結果儲存為記錄資料。 為收集此資料,自動化帳戶和 Log Analytics 工作區會連結在一起,且電腦上需要適用於 Windows 和 Linux 的 Log Analytics 代理程式,並設定為向此工作區報告。
更新管理支援從連線至工作區的 System Center Operations Manager 管理群組中的代理程式收集系統更新的相關資訊。 不支援讓一部機器在多個 Log Analytics 工作區 (亦稱為多重主目錄) 註冊更新管理。
下表摘要說明使用「更新管理」支援的連線來源。
| 連線來源 | 支援 | 描述 |
|---|---|---|
| Windows | Yes | 更新管理會使用 Log Analytics 代理程式從 Windows 電腦收集系統更新的相關資訊,並安裝必要的更新。 電腦需要向 Microsoft Update 或 Windows Server Update Services (WSUS) 報告。 |
| Linux | Yes | 更新管理會使用 Log Analytics 代理程式從 Windows 電腦收集系統更新的相關資訊,並在支援的發行版本上安裝必要的更新。 電腦需要向本機或遠端存放庫報告。 |
| Operations Manager 管理群組 | Yes | 更新管理會從所連線管理群組中的代理程式收集軟體更新的相關資訊。 不需要從 Operations Manager 代理程式直接連線到 Azure 監視器記錄。 記錄資料會從管理群組轉送至 Log Analytics 工作區。 |
指派給「更新管理」的機器會根據其設定的同步來源,回報其最新狀態。 Windows 機器必須設定為向 Windows Server Update Services 或 Microsoft Update報告,而 Linux 機器必須設定為向本機或公用存放庫報告。 您也可以搭配 Microsoft Configuration Manager 使用更新管理,若要深入了解,請參閱整合更新管理與 Windows Configuration Manager。
如果已將 Windows 機器上的 Windows Update Agent (WUA) 設定為向 WSUS 回報,則視 WSUS 上次與 Microsoft Update 同步的時間而定,結果可能與 Microsoft Update 所顯示的結果不同。 針對設定為向本機存放庫 (而非公用存放庫) 回報的 Linux 機器,此行為也相同。 在 Windows 機器上,合規性掃描預設每 12 小時執行一次。 針對 Linux 機器,合規性掃描預設每小時執行一次。 如果重新啟動 Log Analytics 代理程式,則會在 15 分鐘內啟動合規性掃描。 在機器完成更新合規性掃描時,代理程式會將資訊大量轉送到 Azure 監視器記錄。
您可以藉由建立排定的部署,在需要更新的機器上部署和安裝軟體更新。 歸類為選擇性的更新不會包含在 Windows 機器的部署範圍內。 部署範圍中僅包含必要更新。
排定的部署會定義哪些目標機器要收到適用的更新。 這會藉由明確指定特定的機器,或根據一組特定機器的記錄搜尋選取電腦群組 (或根據依指定準則動態選取 Azure VM 的 Azure 查詢) 來執行。 這些群組與範圍設定 \(部分機器翻譯\) 不同,其可用來控制接收設定以啟用更新管理之機器的目標。 這可防止其執行及回報更新合規性,以及安裝已核准的必要更新。
定義部署時,您也可以指定排程,以核准並設定一段可安裝更新的期間。 這段期間稱為維護時間範圍。 假設您需要維護且已選取適當的重新開機選項,則會保留 10 分鐘的維護時間範圍來重新開機。 如果修補所花費的時間超出預期,且維護時間範圍少於 10 分鐘,則不會重新開機。
針對 Linux 機器,當更新套件的部署排定之後,需要 2 到 3 小時的時間,才會顯示更新以進行評量。 針對 Windows 機器,在發行之後,需要 12 到 15 小時的時間,才會顯示更新以進行評量。 更新合規性掃描會在更新安裝之前和之後執行,並將記錄資料結果轉送到工作區。
在 Azure 自動化中,會由 Runbook 安裝更新。 您無法檢視這些 Runbook,而其也不需要任何設定。 更新部署在建立後便會建立排程,以在指定的時間為所包含的機器啟動主要更新 Runbook。 主要 Runbook 會在每個代理程式上啟動子 Runbook,以在 Windows 上透過 Windows Update Agent 或在支援的 Linux 發行版本上使用適用命令,起始必要的更新安裝。
到了更新部署中指定的日期和時間時,目標機器就會以平行方式執行部署。 在安裝之前,系統會先執行掃描,以確認仍然需要更新。 針對 WSUS 用戶端電腦,若 WSUS 中並未核准更新,則更新部署會失敗。
限制
如需了解適用於更新管理的限制,請參閱 Azure 自動化服務限制。
權限
若要建立及管理更新部署,您必須具有特定權限。 若要了解這些權限,請參閱角色型存取 - 更新管理。
更新管理元件
更新管理會使用此節所述的資源。 當您啟用更新管理時,這些資源會自動新增至您的自動化帳戶。
混合式 Runbook 背景工作群組
當您啟用更新管理之後,任何直接連線到您 Log Analytics 工作區的 Windows 機器都會自動設定為系統混合式 Runbook 背景工作角色,以支援要支援更新管理的 Runbook。
更新管理所管理的每部 Windows 機器都會列於混合式背景工作角色群組窗格中,以作為自動化帳戶的系統混合式背景工作角色群組。 這些群組會使用 Hostname FQDN_GUID 命名慣例。 您不能讓這些群組以您帳戶中的 Runbook 為目標。 如果您嘗試,則嘗試會失敗。 這些群組僅用於支援更新管理。 若要深入了解如何檢視設定為混合式 Runbook 背景工作角色的 Windows 機器清單,請參閱檢視混合式 Runbook 背景工作角色。
如果您針對更新管理和混合式 Runbook 背景工作角色群組成員資格使用相同的帳戶,則可將 Windows 機器新增到自動化帳戶中的使用者混合式 Runbook 背景工作角色群組,以支援自動化 Runbook。 此功能已新增至混合式 Runbook 背景工作角色 7.2.12024.0 版。
外部相依性
Azure 自動化更新管理依賴下列外部相依性來傳遞軟體更新。
- 在以 Windows 為基礎的機器上,Windows Server Update Services (WSUS) 或 Microsoft Update 是用戶端軟體更新套件及軟體更新適用性掃描的必要條件。
- 以 Windows 為基礎的機器上需要有 Windows Update Agent (WUA) 用戶端,才能連線至 WSUS 伺服器或 Microsoft Update。
- 本機或遠端存放庫,用於在以 Linux 為基礎的機器上擷取和安裝 OS 更新。
管理組件
下列管理組件會安裝在更新管理所管理的機器上。 如果您的 Operations Manager 管理群組已連線到 Log Analytics 工作區,則管理組件會安裝在 Operations Manager 管理群組中。 您不需要設定或管理這些管理組件。
- Microsoft System Center Advisor 更新評估智慧套件 (Microsoft.IntelligencePacks.UpdateAssessment)
- Microsoft.IntelligencePack.UpdateAssessment.Configuration (Microsoft.IntelligencePack.UpdateAssessment.Configuration)
- 更新部署 MP
注意
如果您的 Operations Manager 1807 或 2019 管理群組已連線到 Log Analytics 工作區,且在管理群組中設定代理程式來收集記錄資料,則您需要覆寫參數 IsAutoRegistrationEnabled,並在 Microsoft.IntelligencePacks.AzureAutomation.HybridAgent.Init 規則中將其設為 True。
如需如何更新管理組件的詳細資訊,請參閱將 Operations Manager 連線到 Azure 監視器記錄。
注意
若要讓更新管理使用 Log Analytics 代理程式完全管理機器,您必須更新為適用於 Windows 的 Log Analytics 代理程式或適用於 Linux 的 Log Analytics 代理程式。 若要深入了解如何更新代理程式,請參閱如何升級 Operations Manager 代理程式。 在使用 Operations Manager 的環境中,您必須執行 System Center Operations Manager 2012 R2 UR 14 或更新版本。
資料收集頻率
更新管理會使用下列規則來掃描受控機器的資料。 其可能需要針對儀表板花費 30 分鐘到 6 小時的時間,才能顯示來自受控機器的更新資料。
每部 Windows 機器:更新管理會針對每部機器每天執行兩次掃描。
每部 Linux 機器:更新管理每小時都會執行一次掃描。
針對使用更新管理的機器,透過 Azure 監視器記錄所取得的平均資料使用量大約是每個月 25 MB。 這只是個近似值,其會根據您的環境而變更。 我們建議您監視環境,以持續追蹤確切的使用量。 如需有關分析 Azure 監視器記錄資料使用量的詳細資訊,請參閱 Azure 監視器記錄定價詳細資料。
更新分類
下表定義更新管理支援的 Windows 更新分類。
| 分類 | 描述 |
|---|---|
| 重大更新 | 特定問題的更新,負責處理與安全性無關的重大錯誤。 |
| 安全性更新 | 特定產品的安全性相關更新。 |
| 更新彙總套件 | 一組累計的 Hotfix,封裝在一起以便於部署。 |
| Feature Pack | 在產品版本之外散發的新產品功能。 |
| Service Pack | 一組套用到應用程式的累計 Hotfix。 |
| 定義更新 | 病毒或其他定義檔案的更新。 |
| 工具 | 有助於完成一或多個工作的公用程式或功能。 |
| 更新 | 目前安裝之應用程式或檔案的更新。 |
下表定義支援的 Linux 更新分類。
| 分類 | 描述 |
|---|---|
| 重大更新和安全性更新 | 特定問題或特定產品的安全性相關問題的更新, |
| 其他更新 | 本質上不重要或非安全性更新的所有其他更新。 |
注意
只有在支援的 Azure 公用雲端區域中使用時,才能使用 Linux 機器的更新分類。 在下列國家雲端區域中使用更新管理時,沒有 Linux 更新分類:
- Azure US Gov
- 中國的 21Vianet
更新不會加以分類,而是在 [其他更新] 類別下回報。
更新管理會使用所支援發行版本所發行的資料,特別是其發行的 OVAL (開放式漏洞和評估語言) 檔案。 由於網際網路存取受限於這些國家雲端,因此更新管理無法存取檔案。
Linux 更新分類的邏輯
為了進行評估,更新管理將更新分為三個類別:安全性、重大或其他類別。 此更新分類是依據兩個來源中的資料,如下所示:
- Open Vulnerability and Assessment Language (OVAL) 檔案是由 Linux 散發版本廠商所提供,其中包含更新修正的安全性問題或弱點相關資料。
- 您電腦上的套件管理員,例如 YUM、APT 或 ZYPPER。
針對修補,更新管理將更新分為兩個類別:重大和安全性或其他類別。 這項更新分類僅以套件管理員中的資料為基礎,例如 YUM、APT 或 ZYPPER。
CentOS - 不同於其他散發套件,CentOS 沒有套件管理員所提供的分類資料。 如果您將 CentOS 機器設定為傳回下列命令的安全性資料,則 [更新管理] 就能根據分類進行修補。
sudo yum -q --security check-update
注意
目前不支援在 CentOS 上啟用原生分類資料可用性。 目前,我們只為可能已自行啟用此功能的客戶提供有限支援。
Redhat - 若要將 Red Hat Enterprise 版本 6 上的更新進行分類,您必須安裝 YUM 安全性外掛程式。 在 Red Hat Enterprise Linux 7 上,此外掛程式已經是 YUM 本身的一部分,因此不需要安裝任何項目。 如需詳細資訊,請參閱下列 Red Hat 知識文章。
整合更新管理與 Configuration Manager
已投資 Microsoft Configuration Manager 來管理電腦、伺服器和行動裝置的客戶,也需仰賴 Configuration Manager 的強度和成熟度,以協助管理軟體更新。 若要了解如何整合更新管理與 Configuration Manager,請參閱整合更新管理與 Windows Configuration Manager。
Windows 上的協力廠商更新
更新管理依賴本機設定的更新存放庫來更新支援的 Windows 系統 (WSUS 或 Windows Update)。 System Center Updates Publisher 之類的工具允許您使用 WSUS 來匯入和發佈自訂更新。 此案例允許更新管理,更新透過協力廠商軟體使用 Configuration Manager 作為其更新存放庫的機器。 若要了解如何設定 Updates Publisher,請參閱安裝Updates Publisher。
將 Windows Log Analytics 代理程式更新為最新版本
更新管理需要使用 Log Analytics 代理程式才能運作。 我們建議您將 Windows Log Analytics 代理程式 (也稱為 Windows Microsoft Monitoring Agent (MMA)) 更新為最新版本,以減少安全性弱點並因錯誤修正而受益。 10.20.18053 (組合) 和 1.0.18053.0 (延伸模組) 之前的 Log Analytics 代理程式版本使用較舊的憑證處理方法,因此不建議使用。 較舊的 Windows Log Analytics 代理程式無法連線到 Azure,而更新管理會停止處理這些代理程式。
您必須遵循下列步驟,將 Log Analytics 代理程式更新為最新版本:
檢查您機器目前的 Log Analytics 代理程式版本:移至安裝路徑 - C:\ProgramFiles\Microsoft Monitoring Agent\Agent,並以滑鼠右鍵按一下 HealthService.exe 以檢查 [內容]。 在 [詳細資料] 索引標籤中,[產品版本] 欄位提供 Log Analytics 代理程式的版本號碼。
如果您的 Log Analytics 代理程式版本在 10.20.18053 (組合) 和 1.0.18053.0 (延伸模組) 之前,請依照下列指引升級至最新版本的 Windows Log Analytics 代理程式。
注意
在升級程序期間,更新管理排程可能會失敗。 請務必在沒有任何規劃的排程時執行此作業。
下一步
啟用和使用更新管理之前,請先檢閱規劃更新管理部署。
檢閱 Azure 自動化常見問題中有關更新管理的常見問題集。