將虛擬機器從 Microsoft Configuration Manager 移轉至 Azure 更新管理員的指引
適用於:✔️ Windows VM ✔️ Linux VM ✔️ 內部部署環境 ✔️ 已啟用 Azure Arc 的伺服器。
本文提供您目前使用 Microsoft Configuration Manager (MCM) 的伺服器現代化管理指南。 我們將著重於 Azure 更新管理員,以提供以 Azure 為基礎的修補程式管理體驗,這是 MCM 的主要功能。
首先,讓我們列出為不同 System Center 元件提供對等功能的 Azure 服務。
| System Center 元件 | Azure 對等服務 |
|---|---|
| System Center Operations Manager (SCOM) | Azure 監視器 SCOM 受控執行個體 |
| System Center Configuration Manager (SCCM) 現在稱為 Microsoft Configuration Manager (MCM) | Azure 更新管理員、 變更追蹤和清查 、Azure 機器設定 (先前稱為 Azure 原則來賓設定)、 Azure 自動化 、適用於雲端的 Microsoft Defender |
| System Center Data Protection Manager (SCDPM) | Azure 備份 |
| System Center Orchestrator (SCORCH) | Azure 自動化 |
| System Center Service Manager (SCSM) | - |
注意
在移轉旅程中,我們建議使用下列選項:
- 將虛擬機器完全移轉至 Azure,並以 Azure 原生服務取代 System Center。
- 採用混合式方法,並以 Azure 原生服務取代 System Center。 其中 Azure 和內部部署虛擬機器都是使用 Azure 原生服務來管理。 針對內部部署虛擬機器,Azure 平台的功能會透過 Azure Arc 延伸至內部部署環境。
移轉至 Azure 更新管理員
MCM 可協助您管理 PC 和伺服器、讓軟體保持最新狀態、設定設定和安全性策略,以及監視系統狀態。 MCM 提供多項功能,而軟體更新管理是其中之一。
特別是針對更新管理或修補,您可根據您的需求,使用原生 Azure 更新管理員,以一致的方式管理及控管 Windows 和 Linux 機器的更新合規性。 不同於需要維護 Azure 虛擬機器以便託管不同 Configuration Manager 角色的 MCM,Azure 更新管理員設計成獨立的 Azure 服務,以提供 Azure 上的 SaaS 體驗來管理混合式環境。 您不需要授權即可使用 Azure 更新管理員。
注意
- 若要管理用戶端/裝置,Intune 是建議的 Microsoft 解決方案。
- Azure 更新管理員不提供 MCM 中 Azure VM 的移轉支援。 例如,組態。
軟體更新管理功能對應
下表會將 MCM 的軟體更新管理功能對應至 Azure 更新管理員。
| 功能 | Microsoft Configuration Manager | Azure 更新管理員 |
|---|---|---|
| 同步處理網站之間的軟體更新 (管理中心網站、主要網站、次要網站) | 最上層網站 (管理中心網站或獨立主要網站) 會連線到 Microsoft Update 以擷取軟體更新。 深入了解。 同步處理最上層網站之後,子網站就會同步處理。 | Azure 中沒有機器的階層,因此連線到 Azure 的所有機器都會從來源存放庫接收更新。 |
| 同步處理軟體更新/檢查更新 (擷取修補程式中繼資料) | 您可以在軟體更新點上設定組態,定期掃描更新。 深入了解 | 您可以啟用定期評估,每隔 24 小時掃描一次修補程式。 深入了解 |
| 設定分類/產品以同步處理/掃描/評估 | 您可選擇更新分類 (安全性或重大更新) 來同步處理/掃描/評估。 深入了解 | 這裡沒有這樣的功能。 整個軟體中繼資料都會進行掃描。 |
| 部署軟體更新 (安裝修補程式) | 提供三種部署更新模式: 手動部署 自動部署 階段式部署 深入了解 |
- 手動部署會對應至部署一次性更新 - 自動部署會對應至排定的更新 - 沒有階段式部署選項。 |
| 在 Windows 和 Linux 機器上部署軟體更新 (在 Azure 或內部部署或其他雲端中) | SCCM 可協助管理追蹤及將軟體更新套用至 Windows 機器 (我們目前不支援 Linux 機器)。 | Azure 更新管理員支援 Windows 和 Linux 機器上的軟體更新。 |
在 MCM 受控機器上使用 Azure 更新管理員的指引
在 MCM 使用者前往 Azure 更新管理員旅程的第一個步驟中,您必須在現有的 MCM 受控伺服器上啟用 Azure 更新管理員 (也就是確保已達成 Azure 更新管理員和 MCM 共存)。 下一節解決您在第一個步驟中可能遇到的一些挑戰。
Azure 更新管理員和 MCM 共存的必要條件
確定電腦上已停用自動更新。 如需詳細資訊,請參閱 管理其他 Windows Update 設定 - 編輯登錄來設定自動更新。
確定 下列登入路徑中的 NoAutoUpdate 登入機碼設定為 1:
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AUAzure 更新管理員可以從 WSUS 伺服器取得更新,為此,務必將 WSUS 伺服器設定為 SCCM 的一部分。
- 確定 WSUS 伺服器有足夠的空間。
- 務必更新語言選項,以下載 WSUS 組態中的套件。建議您選取所需的語言。 如需詳細資訊,請參閱步驟 2 - 設定 WSUS。
- 務必在 WSUS 中建立自動核准更新的規則,以在 WSUS 伺服器上下載適用的套件,讓 Azure 更新管理員可以從此 WSUS 伺服器取得更新。
- 根據需求選取您想要的分類,或使其與 SCCM 中選取的分類相同。
- 依據需求選取產品,或使其與 SCCM 中選取的產品相同。
- 若要開始,請建立測試電腦群組,並將此規則套用至該群組,以測試這些變更。
- 測試測試群組之後,您可以將它擴充至所有電腦群組。
- 視需要在 WSUS 中建立排除電腦群組。
目前 MCM 設定的概觀
MCM 用戶端會使用 WSUS 伺服器掃描第一方更新,因此您已將 WSUS 伺服器設定為初始設定的一部分。
第三方更新內容也會發佈至此 WSUS 伺服器。 Azure 更新管理員能夠掃描及安裝來自 WSUS 的更新,因此我們會利用設為 MCM 設定一部分的 WSUS 伺服器,讓 Azure 更新管理員與 MCM 一起運作。
第一方更新
若要讓 Azure 更新管理員掃描並安裝第一方更新 (Windows 和 Microsoft 更新),您應該開始核准已設定 WSUS 伺服器中所需的更新。 這是透過在 WSUS 中設定自動核准規則來完成,就像使用者在 MCM 伺服器上設定那樣。
第三方更新
第三方更新應可使用 Azure 更新管理員如預期般運作,前提是您已設定 MCM 以進行第三方修補,且能夠透過 MCM 成功修補第三方更新。 確定您繼續從 MCM 將第三方更新發佈至 WSUS:啟用第三方更新的步驟 3。 發佈至 WSUS 之後,Azure 更新管理員將能夠從 WSUS 伺服器偵測並安裝這些更新。
使用 Azure 更新管理員管理軟體更新
登入 [Azure 入口網站],然後搜尋 [Azure 更新管理員]。
在 [Azure 更新管理員] 首頁的 [管理]>[機器] 之下,選取您的訂用帳戶以檢視所有機器。
根據可用的選項進行篩選,以得知特定機器的狀態。
修補機器
設定評定和修補的組態之後,您可透過隨選更新 (一次性或手動更新) 來部署/安裝,或只排程更新 (自動更新)。 您也可使用 Azure 更新管理員的 API 來部署更新。
Azure 更新管理員中的限制
以下是目前的限制:
- 具有前置/後置指令碼的協調流程群組 - 協調流程群組無法在 Azure 更新管理員中建立以指定維護順序、允許某些機器同時進行更新等等。 (協調流程群組可讓您使用前置/後置指令碼在修補程式部署前後執行工作)。
常見問題集
Azure 更新管理員從哪裡取得其更新?
Azure 更新管理員會參考機器所指向的存放庫。 根據預設,大部分的 Windows 機器都會指向 Windows Update 目錄和 Linux 機器,以從 apt 或 yum 存放庫取得更新。 如果機器指向另一個存放庫,例如 WSUS 或本機存放庫,則 Azure 更新管理員會從該存放庫取得更新。
Azure 更新管理員可以修補 OS、SQL 和第三方軟體嗎?
Azure 更新管理員會參考 VM 指向的存放庫 (或端點)。 如果存放庫 (或端點) 包含 Microsoft 產品、第三方軟體等的更新,則 Azure 更新管理員可以安裝這些修補程式。
根據預設,Windows VM 會指向 Windows Update 伺服器。 Windows Update 伺服器不包含 Microsoft 產品和第三方軟體的更新。 如果 VM 指向 Microsoft Update,則 Azure 更新管理員會修補作業系統和 Microsoft 產品。
針對第三方軟體修補,Azure 更新管理員應該連線到 WSUS,而且您必須發佈第三方更新。 除非 WSUS 提供第三方軟體,否則我們無法修補 Windows VM 的第三方軟體。
我需要設定 WSUS 才能使用 Azure 更新管理員嗎?
WSUS 是管理修補程式的方法。 Azure 更新管理員會參考其所指向的端點。 (Windows Update、Microsoft Update 或 WSUS)。
我應該透過 MCM 部署每月修補程式嗎?
否,只有每月核准 WSUS 中的修補程式,或設定自動部署規則 (ADR) 才會在您的伺服器上掃描並安裝修補程式。
如何使用 Azure 更新管理員來管理內部部署虛擬機?
使用 Azure Arc 即可在內部部署環境使用 Azure 更新管理員。Azure Arc 是延伸 Azure 平台的橋樑,可協助您建置應用程式和服務,並彈性地跨資料中心、在邊緣和在多重雲端環境中執行。 Azure Arc VM 管理可讓您佈建和管理裝載於內部部署環境的 Windows 和 Linux VM。 此功能可讓 IT 系統管理員使用 Azure 管理工具來管理 Arc VM,包括 Azure 入口網站、Azure CLI、Azure PowerShell 和 Azure Resource Manager (ARM) 範本。