共用方式為

從自動化更新管理移至 Azure 更新管理員

  • 發行項

適用於:✔️ Windows VM ✔️ Linux VM ✔️ 內部部署環境 ✔️ 已啟用 Azure Arc 的伺服器

本文提供將虛擬機器從自動化更新管理移至 Azure 更新管理員的指引。

Azure 更新管理員提供 SaaS 解決方案,可跨 Azure、內部部署和多雲端環境管理 Windows 和 Linux 機器的軟體更新。 這是 Azure 自動化更新管理解決方案的進化,具有許多新功能,可讓您在單一機器或多部機器上大規模評估及部署軟體更新。

針對 Azure 更新管理員,AMA 和 MMA 都不是管理軟體更新工作流程的需求,因為它依賴適用於 Azure VM 的 Microsoft Azure VM 代理程式和 Azure Connected Machine Agent (用於已啟用 Arc 的伺服器)。 您第一次在機器上執行更新作業時,延伸項目會推送至機器,並與代理程式互動,以評估遺漏的更新並安裝更新。

注意

  • 如果您使用 Azure 自動化更新管理解決方案,建議您不要從機器移除 MMA 代理程式,而不需要完成移轉至 Azure 更新管理員以符合機器修補程式的管理需求。 如果您從機器移除 MMA 代理程式,而不移至 Azure 更新管理員,它會中斷該機器的修補工作流程。

  • 在淘汰日之前,Azure 更新管理員可提供 Azure 自動化更新管理的所有功能。

Azure 入口網站體驗

本節說明如何使用入口網站體驗,將排程和機器從自動化更新管理移至 Azure 更新管理員。 如果您未以自動化更新管理解決方案為基礎建立自訂項目,則以最少的點按動作和自動化方式來移動資源,是最簡單的移動方式。

若要存取入口網站移轉體驗,您可以使用數個進入點。

選取下列進入點上的 [立即遷移] 按鈕。 選取之後,系統會引導您完成將排程和機器移至 Azure 更新管理員的流程。 此流程的設計訴求是方便使用且簡單明瞭,可讓您以最少的心力完成移轉。

您可以從下列任何進入點進行移轉:

選取 [立即遷移] 按鈕,移轉刀鋒視窗會隨即開啟。 其中包含所有資源摘要,包括機器,以及自動化帳戶排程。 根據預設,如果您透過此路徑進行,則會預先選取您用來存取此刀鋒視窗的自動化帳戶。

顯示如何從自動化更新管理進入點進行移轉的螢幕擷取畫面。

在這裡,您可以看到自動化更新管理中有多少 Azure、已啟用 Arc 的伺服器、非 Azure 非 Arc 啟用伺服器及排程已啟用,且必須移至 Azure 更新管理員。 您也可檢視這些資源的詳細資料。

移轉]刀鋒視窗提供將移動資源概觀,可讓您在繼續之前檢閱並確認移轉。 在準備好之後,您可繼續進行移轉流程,移動排程與機器至 Azure 更新管理員。

顯示如何從自動化帳戶遷移所有資源的螢幕擷取畫面。

在檢閱必須移動的資源之後,您可繼續進行移轉流程,此流程包括三個步驟:

  1. 先決條件

    這包括兩個步驟:

    a. 將非 Azure 非 Arc 啟用機器上架至 Arc - 這是因為 Arc 連線是 Azure 更新管理員的必要條件。 將機器上線至 Azure Arc 為免費提供,一旦上線,即可以像任何 Azure 機器一樣使用所有管理服務。 如需詳細資訊,請參閱 Azure Arc 文件,以了解如何將機器上架。

    b. 在本機下載並執行 PowerShell 指令碼 - 這是建立使用者身分識別和適當角色指派以利移轉進行的必要動作。 此指令碼會將適當 RBAC 提供給自動化帳戶所屬訂用帳戶的使用者識別、已上線至自動化更新管理的機器、屬於動態查詢的範圍等等,以便您可指派設定至機器、建立 MRP 設定,及移除更新解決方案。 如需詳細資訊,請參閱 Azure 更新管理員文件

    顯示移轉必要條件的螢幕擷取畫面。

  2. 將自動化帳戶中的資源移至 Azure 更新管理員

    移轉梳程的下個步驟是讓機器的 Azure 更新管理員能夠移動,並建立欲移轉排程的對等維護設定。 當您選取 [立即遷移] 按鈕時,系統會將 MigrateToAzureUpdateManager Runbook 匯入至您的自動化帳戶,並將詳細資訊記錄設定為 True

    顯示如何在自動化帳戶中遷移工作負載的螢幕擷取畫面。

    選取 [啟動 Runbook],其會顯示必須傳遞至 Runbook 的參數。

    顯示如何啟動 Runbook 以允許參數傳遞至 Runbook 的螢幕擷取畫面。

    如需應擷取的參數詳細資訊,以及必須從中擷取的位置,請參閱移轉機器與排程。 在傳遞所有參數並啟動 Runbook 之後,Azure 更新管理員就會開始在機器上啟用,Azure 更新管理員的維護設定將開始建立。 您可監視 Azure Runbook 記錄,以取得排程的執行狀態與移轉狀態。

  3. 將資源從自動化更新管理中下架

    執行清除指令碼,從自動化更新管理解決方案中下架機器,並停用自動化更新管理排程。

    選取 [執行清除指令碼] 按鈕之後,Runbook DeboardFromAutomationUpdateManagement 將會匯入至您的自動化帳戶,而且其詳細資訊記錄會設定為 True

    顯示如何執行移轉後動作的螢幕擷取畫面。

    當您選取啟動 Runbook 時,這會要求將參數傳遞至 Runbook。 如需詳細資訊,請參閱從自動化更新管理解決方案中下架,以擷取要傳遞至 Runbook 的參數。

    此螢幕擷取畫面顯示如何從自動化更新管理中下架並啟動 Runbook。

移轉指令碼

使用移轉 Runbook 時,您可以將所有工作負載 (機器和排程) 從自動化更新管理遷移至 Azure 更新管理員。 本節會詳細說明如何執行指令碼、指令碼在後端執行的動作、預期的行為,以及適用的任何限制。 指令碼可以一次遷移一個自動化帳戶中的所有機器和排程。 如果您有多個自動化帳戶,則必須針對所有自動化帳戶執行 Runbook。

概括而言,您必須遵循下列步驟,將機器和排程從自動化更新管理遷移至 Azure 更新管理員。

必要條件摘要

  1. 將非 Azure 機器上架至 Azure Arc
  2. 下載並執行 PowerShell 指令碼,以在本機系統上建立使用者身分識別和角色指派。 請參閱逐步指南中的詳細指示,因為其中也有一些必要條件。

步驟摘要

  1. 執行移轉自動化 Runbook,將機器和排程從自動化更新管理遷移至 Azure 更新管理員。 請參閱逐步指南中的詳細指示。
  2. 執行清除指令碼,從自動化更新管理中下架。 請參閱逐步指南中的詳細指示。

不支援的情節

  • 非 Azure 儲存的搜尋查詢不會遷移;這些項目必須手動遷移。

如需要注意的限制和事項完整清單,請參閱本文的最後一節。

逐步解說指南

上述每個步驟中提及的資訊如下所述。

必要條件 1:將非 Azure 機器上架至 Arc

怎麼辦?

移轉自動化 Runbook 會忽略未上架至 Arc 的資源。因此,在執行移轉 Runbook 之前,必須先將所有非 Azure 機器上架至 Azure Arc。 請遵循將機器上架至 Azure Arc 的步驟。

必要條件 2:執行 PowerShell 指令碼來建立使用者身分識別和角色指派

A. 令馬行只的必要條件

  • 在 PowerShell 中執行 Install-Module -Name Az -Repository PSGallery -Force 命令。 必要條件指令碼取決於 Az.Modules。 如果 Az.Modules 不存在或已更新,則需要此步驟。
  • 若要執行此必要條件指令碼,您必須在包含自動化更新管理資源 (例如機器、排程、Log Analytics 工作區和自動化帳戶) 的所有訂用帳戶上擁有 Microsoft.Authorization/roleAssignments/write 權限。 請參閱 如何指派 Azure 角色
  • 您必須擁有更新管理權限

顯示命令如何安裝模組的螢幕擷取畫面。

B. 執行指令碼

在本機下載並執行 PowerShell 指令碼 MigrationPrerequisiteScript。 此指令碼會採用自動化帳戶的 AutomationAccountResourceId 進行移轉,並採用 AutomationAccountAzureEnvironment 作為輸入。 AutomationAccountAzureEnvironment 的接受值為 AzureCloud、AzureUSGovernment 和 AzureChina,這些表示自動化帳戶所屬的雲端。

顯示如何下載和執行指令碼的螢幕擷取畫面。

您可以移至 [自動化帳戶]>[屬性] 來擷取 AutomationAccountResourceId。

顯示如何擷取資源識別碼的螢幕擷取畫面。

C. Verify

執行指令碼之後,請確認自動化帳戶中已建立使用者受控識別。 [自動化帳戶]>[身分識別]>[使用者指派]

顯示如何確認已建立使用者受控識別的螢幕擷取畫面。

D. 指令碼的後端作業

  1. 更新自動化帳戶的 Az.Modules,這是執行移轉和下架指令碼的必要項目。

  2. 建立名稱為 AutomationAccountAzureEnvironment 的自動化變數,以用來儲存自動化帳戶所屬的 Azure 雲端環境。

  3. 在與自動化帳戶相同的訂用帳戶和資源群組中建立使用者身分識別。 使用者身分識別的名稱會如同 AutomationAccount_aummig_umsi

  4. 將使用者身分識別附加至自動化帳戶。

  5. 指令碼會將下列權限指派給使用者受控識別:需要的更新管理權限

    1. 為此,指令碼會擷取此自動化帳戶下上架至自動化更新管理的所有機器,並剖析其訂用帳戶識別碼,以提供所需的 RBAC 給使用者身分識別。
    2. 指令碼會將適當的 RBAC 提供給自動化帳戶所屬訂用帳戶上的使用者身分識別,以便在這裡建立 MRP 設定。
    3. 指令碼會為 Log Analytics 工作區和解決方案指派必要角色。

  6. 註冊 Microsoft.Maintenance 和 Microsoft.EventGrid 資源提供者的必要訂用帳戶。

步驟 1:機器和排程的移轉

此步驟牽涉到使用自動化 Runbook 將所有機器及排程從自動化帳戶遷移至 Azure 更新管理員。

請遵循這些步驟:

  1. 從 Runbook 資源庫匯入移轉 Runbook 並發佈。 從瀏覽資源庫中搜尋 Azure 自動化更新,並匯入名為從 Azure 自動化更新管理遷移至 Azure 更新管理員的移轉 Runbook,然後發佈 Runbook。

    顯示如何從自動化更新管理遷移的螢幕擷取畫面。

    Runbook 支援 PowerShell 5.1。

    顯示 Runbook 在匯入時支援 PowerShell 5.1 的螢幕擷取畫面。

  2. 將 Runbook 的詳細資訊記錄設定為 True。

    顯示如何設定詳細資訊記錄檔記錄的螢幕擷取畫面。

  3. 執行 Runbook 並傳遞必要的參數,例如 AutomationAccountResourceId、UserManagedServiceIdentityClientId 等。

    顯示如何執行 Runbook 並傳遞所需參數的螢幕擷取畫面。

    1. 您可以從 [自動化帳戶]>[屬性] 中擷取 AutomationAccountResourceId。

      顯示如何擷取自動化帳戶資源識別碼的螢幕擷取畫面。

    2. 您可以從 [自動化帳戶]>[身分識別]>[使用者指派]>[身分識別]>[屬性]>[用戶端識別碼] 中擷取 UserManagedServiceIdentityClientId。

      顯示如何擷取用戶端識別碼的螢幕擷取畫面。

    3. 若將 [EnablePeriodicAssessmentForMachinesOnboardedToUpdateManagement] 設定為 TRUE,將會在所有上架至自動化更新管理的機器上啟用定期評量屬性。

    4. 若將 [MigrateUpdateSchedulesAndEnablePeriodicAssessmentonLinkedMachines] 設定為 TRUE,則會將自動化更新管理中的所有更新排程遷移至 Azure 更新管理員,並且也會在所有連結至這些排程的機器上,將定期評量屬性設為 True

    5. 您必須指定 ResourceGroupForMaintenanceConfigurations,其中會建立 Azure 更新管理員中的所有維護設定。 如果您提供新的名稱,則會建立資源群組,而其中會建立所有維護設定。 不過,如果您提供資源群組已經存在的名稱,則會在現有的資源群組中建立所有維護設定。

  4. 檢查 Azure Runbook 記錄,以取得 SUC 的執行狀態和移轉狀態。

    顯示 Runbook 記錄的螢幕擷取畫面。

後端中的 Runbook 作業

Runbook 的移轉會執行下列工作:

  • 在所有機器上啟用定期評量。
  • 自動化帳戶中的所有排程都會遷移至 Azure 更新管理員,並針對每個排程建立對應的維護設定,所有排程都具有相同的屬性。

關於指令碼

以下是移轉指令碼的行為:

  • 檢查以其名稱為輸入的資源群組是否已經存在於自動化帳戶的訂用帳戶中。 如果沒有,請以客戶指定的名稱建立資源群組。 此資源群組用於建立 V2 的 MRP 設定。

  • Azure 更新管理員中無法使用 RebootOnly 設定。 具有 RebootOnly 設定的排程不會遷移。

  • 篩選出狀態為 errored/expired/provisioningFailed/disabled 的 SUC,並將其標示為未移轉,然後列印指出這類 SUC 未移轉的適當記錄。

  • 設定指派名稱是格式為 AUMMig_AAName_SUCName 的字串

  • 透過檢查 Azure Resource Graph,找出是否已將此動態範圍指派給維護設定。 如果未指派,則只會以格式為 AUMMig_ AAName_SUCName_SomeGUID 的指派名稱指派。

  • 針對已設定前置/後置工作的排程,指令碼會為前置/後置工作中的 Runbook 建立自動化 Webhook,並為維護前/後事件建立事件方格訂用帳戶。 如需詳細資訊,請參閱Azure 更新管理員中的前置/後置工作的運作方式

  • 彙總的記錄集會列印至輸出資料流,以提供機器和 SUC 的整體狀態。

  • 詳細記錄會列印至詳細資訊資料流。

  • 移轉後,軟體更新設定的移轉狀態可能是下列四種的其中一種:

    • MigrationFailed
    • PartiallyMigrated
    • NotMigrated
    • Migrated

下表顯示與每個移轉狀態相關聯的案例。

MigrationFailed PartiallyMigrated NotMigrated Migrated
無法建立軟體更新設定的維護設定。 非零數目的機器無法套用 Patch-Settings。 無法從 API 取得軟體更新設定,因為某些用戶端/伺服器錯誤,例如內部服務錯誤
非零數目的機器具有失敗的設定指派。 軟體更新設定的重新啟動設定為僅限重新啟動。 Azure 更新管理員目前不支援此功能。
非零數目的動態查詢無法解析,無法對 Azure Resource Graph 執行查詢。
非零數目的動態範圍設定指派失敗。 軟體更新設定在 DB 中沒有成功佈建狀態。
軟體更新設定具有儲存的搜尋查詢。 軟體更新設定在 DB 中的狀態為 errored。
軟體更新設定具有尚未成功遷移的前置/後置工作。 與軟體更新設定相關聯的排程已在移轉時過期。
與軟體更新設定相關聯的排程已停用。
遷移軟體更新設定時未處理的例外狀況。 零部機器無法套用 Patch-Settings。

And

零部機器具有失敗的設定指派。

And

零個動態查詢無法解析,無法對 Azure Resource Graph 執行查詢。

And

零個動態範圍設定指派失敗。

And

軟體更新設定具有零個儲存的搜尋查詢。

若要從上述資料表中找出軟體更新設定為何有特定狀態的相對應案例,請查看詳細資訊/失敗/警告記錄,以取得錯誤碼和錯誤訊息。

您也可以使用更新排程的名稱進行搜尋,以取得其專屬記錄來進行偵錯。

顯示如何檢視專屬記錄以進行偵錯的螢幕擷取畫面。

步驟 2:從自動化更新管理解決方案中下架

請遵循這些步驟:

  1. 從 Runbook 資源庫匯入移轉 Runbook。 從瀏覽資源庫中搜尋 Azure 自動化更新,並匯入名為從 Azure 自動化更新管理下架的移轉 Runbook,然後發佈 Runbook。

    顯示如何匯入下架移轉 Runbook 的螢幕擷取畫面。

    Runbook 支援 PowerShell 5.1。

    顯示 Runbook 在下架時支援 PowerShell 5.1 的螢幕擷取畫面。

  2. 將 Runbook 的詳細資訊記錄設定為 True

    顯示下架時記錄檔詳細資訊記錄設定的螢幕擷取畫面。

  3. 啟動 Runbook 並傳遞 Automation AccountResourceId、UserManagedServiceIdentityClientId 等參數。

    顯示如何在下架時啟動 Runbook 並傳遞參數的螢幕擷取畫面。

    您可以從 [自動化帳戶]>[屬性] 中擷取 AutomationAccountResourceId。

    顯示如何在下架時擷取資源識別碼的螢幕擷取畫面。

    您可以從 [自動化帳戶]>[身分識別]>[使用者指派]>[身分識別]>[屬性]>[用戶端識別碼] 中擷取 UserManagedServiceIdentityClientId。

    顯示如何在下架時擷取用戶端識別碼的螢幕擷取畫面。

  4. 檢查 Azure Runbook 記錄,以取得機器和排程的下架狀態。

    顯示下架時 Runbook 記錄方式的螢幕擷取畫面。

後端的下架指令碼作業

  • 停用此自動化帳戶中所有軟體更新設定的所有基礎排程。 這樣做可確保 Patch-MicrosoftOMSComputers Runbook 不會針對部分移轉至 V2 的 SUC 觸發。
  • 針對從 V1 中自動化更新管理下架的自動化帳戶,在已連結的 Log Analytics 工作區中刪除更新解決方案。
  • 已停用所有 SUC 的摘要記錄,從連結的 Log Analytics 工作區移除更新解決方案的狀態也會列印至輸出資料流。
  • 詳細記錄會列印在詳細資訊資料流上。

移轉流程的圖說文字:

  • 非 Azure 儲存的搜尋查詢不會遷移。
  • 移轉和下架 Runbook 必須更新 Az.Modules 才能運作。
  • 必要條件指令碼會將 Az.Modules 更新為最新版本 8.0.0。
  • MRP 排程的 StartTime 將等於軟體更新設定的 nextRunTime。
  • Log Analytics 中的資料不會遷移。
  • 使用者受控識別不支援跨租用戶案例。
  • Azure 更新管理員中無法使用 RebootOnly 設定。 具有 RebootOnly 設定的排程將不會遷移。
  • 針對週期,自動化排程的每小時/每日/每週/每月排程支援介於 (1 到 100) 之間的值,而 Azure 更新管理員維護設定的每小時排程支援介於 (6 到 35) 之間的值,每日/每週/每月排程則支援介於 (1 到 35) 之間的值。
    • 例如,如果自動化排程的週期為每 100 小時一次,則對等的維護設定排程會以 100/24 = 4.16 (四捨五入到最接近的值) 計算 -> 維護設定的週期將會是四天。
    • 例如,如果自動化排程每隔 1 小時重複一次,則對等的維護設定排程將會每隔 6 小時進行一次。
    • 針對每周和每日套用相同的慣例。
      • 如果自動化排程的每日週期為 100 天,則 100/7 = 14.28 (四捨五入至最接近值) -> 14 週將是維護設定排程的週期。
      • 如果自動化排程的每週週期為 100 週,則 100/4.34 = 23.04 (四捨五入至最接近值) -> 23 個月將是維護設定排程的週期。
      • 如果自動化排程應每 100 週重複一次,而且必須在星期五執行。 當轉譯為維護設定時,這將會是每 23 個月 (100/4.34) 一次。 但 Azure 更新管理員中沒有辦法指示每 23 個月在該月的所有星期五執行,因此不會遷移該排程。
      • 如果自動化排程的週期超過 35 個月,則在維護設定中,其週期一律是 35 個月一次。
    • SUC 支援的維護期間為 30 分鐘到 6 小時。 MRP 支援 1 小時 30 分到 4 小時。
      • 例如,如果 SUC 的維護期間為 30 分鐘,則對等的 MRP 排程將會是 1 小時 30 分鐘。
      • 例如,如果 SUC 的維護期間為 6 小時,則對等的 MRP 排程將會是 4 小時。
  • 當移轉 Runbook 執行多次時,假設您「遷移所有」自動化排程,然後再次嘗試遷移所有排程,那麼移轉 Runbook 會執行相同的邏輯。 如果 SUC 中有任何新的變更,再次進行此動作會更新 MRP 排程。 其不會進行重複的設定指派。 此外,只有啟用排程的自動化排程才會進行作業。 如果 SUC 先前已遷移,則會在下一回合中略過,因為其基礎排程將會停用
  • 最後,您可以在 Azure 更新管理員中解析更多來自 Azure Resource Graph 的機器;您無法檢查混合式 Runbook 背景工作角色是否提出報告,與自動化更新管理不同,這是動態查詢和混合式 Runbook 背景工作角色的交集。

手動移轉指導

以下資料表提供移動各種功能的指導:

序號 功能 自動化更新管理 Azure 更新管理員 使用 Azure 入口網站的步驟 使用 API/指令碼的步驟
1 Off-Azure 機器的修補程式管理。 可以搭配或不使用 Arc 連線來執行。 Azure Arc 是非 Azure 機器的必要條件。 1.建立服務主體
2. 產生安裝指令碼
3. 安裝代理程式並連線至 Azure		 1. 建立服務主體
2.產生安裝指令碼
3. 安裝代理程式並連線至 Azure
2 啟用定期評定,每隔幾小時自動檢查最新更新。 Windows 機器會自動每隔 12 小時收到最新更新,Linux 機器為每隔 3 小時一次。 定期評定是機器上的更新設定。 如果開啟,更新管理員會每隔 24 小時擷取機器的更新,並顯示最新的更新狀態。 1.單一機器
2. 大規模
3. 使用原則大規模進行		 1.針對 Azure VM
2.針對啟用 Arc 的 VM
3 靜態更新部署排程 (更新部署的機器靜態清單)。 自動化更新管理有自己的排程。 Azure 更新管理員會建立排程的維護設定物件。 因此,您需要建立此物件,將所有排程設定從自動化更新管理複製到 Azure 更新管理員排程。 1.單一 VM
2. 大規模
3. 使用原則大規模進行		 建立靜態範圍
4 動態更新部署排程 (使用資源群組、標籤等定義在執行階段動態評估的機器範圍)。 與靜態更新排程相同。 與靜態更新排程相同。 新增動態範圍 建立動態範圍
5 從 Azure 自動化更新管理中登出。 完成步驟 1、2 和 3 之後,您需要清理 Azure 更新管理物件。 移除更新管理解決方案
NA
6 報表 使用 Log Analytics 查詢自訂更新報告。 更新資料會儲存在 Azure Resource Graph (ARG) 中。 客戶可以查詢 ARG 資料,以建置自訂儀表板、活頁簿等。 您可以存取儲存在 Log Analytics 中的舊自動化更新管理資料,但無法佈建將資料移至 ARG。 您可以撰寫 ARG 查詢,以存取透過 Azure 更新管理員修補虛擬機器之後,儲存至 ARG 的資料。 透過 ARG 查詢,您可以使用下列指示來建置儀表板和活頁簿:
1. Azure Resource Graph 的記錄結構更新資料
2. ARG 查詢範例
3. 建立活頁簿		 NA
7 使用前置和後置指令碼自訂工作流程。 作為自動化 Runbook 提供。 建議您嘗試在非生產用機器上使用前置和後置指令碼的公開預覽版,並在功能正式發行之後,再於生產用工作負載上使用此功能。 管理前置和後置事件 (預覽)教學課程:使用 Webhook 搭配自動化建立前置和後置事件
8 根據環境的更新資料建立警示 您可以在 Log Analytics 中儲存的更新資料上設定警示。 建議您嘗試在非生產用機器上使用警示的公開預覽版,並在功能正式發行之後,再於生產用工作負載上使用此功能。 建立警示 (預覽)

下一步