Compartir vía


Introducción a Update Management

Precaución

Este artículo hace referencia a CentOS, una distribución de Linux que ha alcanzado el estado de finalización del servicio (EOL). Tenga en cuenta su uso y planeación en consecuencia. Para más información, consulte la Guía de fin de ciclo de vida de CentOS.

Importante

Update Management en Automation se ha retirado el 31 de agosto de 2024 y se recomienda usar Administrador de actualizaciones de Azure. Siga la guía de migración de Update Management en Automation a Administrador de actualizaciones de Azure.

Importante

El agente de Azure Log Analytics, también conocido como Microsoft Monitoring Agent (MMA) se ha retirado en agosto de 2024. La solución Update Management de Azure Automation se basa en este agente y podría encontrar problemas una vez que el agente se retire, ya que no funciona con Azure Monitoring Agent (AMA). Por lo tanto, si usa la solución Update Management de Azure Automation, se recomienda pasar a Azure Update Manager para sus necesidades de actualización de software. Todas las funcionalidades de la solución Update Management de Azure Automation estarán disponibles en Azure Update Manager antes de la fecha de retirada.

Puede usar Update Management en Azure Automation para administrar las actualizaciones del sistema operativo de las máquinas virtuales Windows y Linux en Azure, máquinas virtuales o físicas en entornos locales, y en otros entornos en la nube. Puede evaluar rápidamente el estado de las actualizaciones disponibles y administrar el proceso de instalación de las actualizaciones necesarias para las máquinas que informan a Update Management.

Como proveedor de servicios, es posible que haya incorporado varios inquilinos de cliente para Azure Lighthouse. Update Management se puede usar para evaluar y programar implementaciones de actualizaciones en máquinas de varias suscripciones del mismo inquilino de Microsoft Entra o entre inquilinos mediante Azure Lighthouse.

Microsoft ofrece otras funcionalidades que le ayudarán a administrar las actualizaciones de las máquinas virtuales de Azure o los conjuntos de escalado de máquinas virtuales de Azure que debe tener en cuenta como parte de la estrategia general de administración de actualizaciones.

  • Si desea mantener el cumplimiento de la seguridad y le interesa evaluar y actualizar automáticamente las máquinas virtuales de Azure con las actualizaciones Crítica y Seguridad que se publican cada mes, consulte Aplicación de revisiones automática a invitados de las máquinas virtuales. Se trata de una solución alternativa de administración de actualizaciones para que las máquinas virtuales de Azure se actualicen automáticamente durante las horas de poca actividad, incluidas las máquinas virtuales que están dentro de un conjunto de disponibilidad; este proceso es diferente de la administración de implementaciones de actualizaciones en las máquinas virtuales con Update Management en Azure Automation.

  • Si administra conjuntos de escalado de máquinas virtuales de Azure, consulte cómo realizar actualizaciones automáticas de imágenes de sistema operativo para actualizar de forma segura y automática el disco del sistema operativo de todas las instancias del conjunto de escalado.

Antes de implementar Update Management y habilitar las máquinas para su administración, asegúrese de que comprende la información de las secciones siguientes.

Acerca de Update Management

El siguiente diagrama muestra cómo Update Management evalúa y aplica las actualizaciones de seguridad a todos los servidores Windows Server y Linux conectados.

Flujo de trabajo de Update Management

Update Management se integra en los registros de Azure Monitor para almacenar las evaluaciones de las actualizaciones y los resultados de la implementación de actualizaciones como datos de registro, desde máquinas asignadas de Azure y no de Azure. Para recopilar estos datos, la cuenta de Automation y el área de trabajo de Log Analytics se vinculan entre sí, y se necesita el agente de Log Analytics para Windows y Linux en la máquina, configurado para informar a esta área de trabajo.

Update Management permite recopilar información sobre las actualizaciones del sistema de los agentes de un grupo de administración de System Center Operations Manager que esté conectado al área de trabajo. No se permite tener registrada una máquina para Update Management en más de un área de trabajo de Log Analytics (también conocido como hospedaje múltiple).

En la tabla siguiente se resumen los orígenes conectados que se admiten con Update Management.

Origen conectado Compatible Descripción
Windows Update Management recopila información acerca de las actualizaciones del sistema de las máquinas Windows con el agente de Log Analytics y la instalación de las actualizaciones necesarias.
Las máquinas deben informar a Microsoft Update o Windows Server Update Services (WSUS).
Linux Update Management recopila información acerca de las actualizaciones del sistema de las máquinas Linux con el agente de Log Analytics y la instalación de las actualizaciones necesarias en las distribuciones admitidas.
Las máquinas deben informar a un repositorio local o remoto.
Grupo de administración de Operations Manager Update Management recopila información sobre las actualizaciones de software de los agentes de un grupo de administración conectado.

No se requiere ninguna conexión directa entre el agente de Operations Manager y los registros de Azure Monitor. Los datos de registro se reenvían desde el grupo de administración al área de trabajo de Log Analytics.

Las máquinas asignadas a Update Management informan de su actualización en función del origen con el que tienen configurada la sincronización. Las máquinas Windows tienen que estar configuradas para informar a Windows Server Update Services o Microsoft Update, y las máquinas Linux, para informar a un repositorio local o público. También puede usar Update Management con Microsoft Configuration Manager. Para obtener más información, consulte Integración de Update Management con Windows Configuration Manager.

Si el agente de Windows Update (WUA) en la máquina Windows está configurado para informar a WSUS, los resultados pueden diferir de lo que se muestra en Microsoft Update en función de cuándo WSUS se sincronizó por última vez con Microsoft Update. Este comportamiento es el mismo para las máquinas Linux que están configuradas para informar a un repositorio local en lugar de a un repositorio público. En una máquina Windows, el examen de cumplimiento se ejecuta cada 12 horas de forma predeterminada. En una máquina Linux, el examen de cumplimiento se realiza cada hora de manera predeterminada. Si se reinicia el agente de Log Analytics, se inicia un examen de cumplimiento al cabo de 15 minutos. Después de que una máquina finalice un examen de cumplimiento de actualizaciones, el agente reenvía la información de forma masiva a los registros de Azure Monitor.

Puede implementar e instalar las actualizaciones de software en las máquinas que requieren las actualizaciones mediante la creación de una implementación programada. Las actualizaciones clasificadas como Opcional no se incluyen en el ámbito de implementación en máquinas Windows. Solo se incluyen las actualizaciones necesarias.

La implementación programada define qué máquina de destino reciben las actualizaciones aplicables. Lo hace mediante la especificación explícita de determinadas máquinas o por medio de la selección de un grupo de equipos que se basa en las búsquedas de registros de un conjunto determinado de máquinas (o en una consulta de Azure que selecciona de forma dinámica las máquinas virtuales de Azure en función de los criterios especificados). Estos grupos difieren de la configuración de ámbito, que se usa para controlar los destinos de las máquinas que reciben la configuración para habilitar Update Management. Esto evita que realicen la comprobación de actualizaciones e informen sobre la misma, además de instalar las actualizaciones necesarias aprobadas.

Al definir una implementación, también se especifica una programación para aprobar y establecer un período de tiempo durante el que se pueden instalar actualizaciones. Este período se denomina ventana de mantenimiento. Se reserva un intervalo de 10 minutos de la ventana de mantenimiento para los reinicios, suponiendo que sea necesario reiniciar y que haya seleccionado la opción de reinicio adecuada. Si la aplicación de revisiones tarda más de lo esperado y quedan menos de 10 minutos en la ventana de mantenimiento, no se producirá un reinicio.

Una vez que se programa un paquete de actualización para su implementación, la actualización tarda entre 2 y 3 horas en mostrarse para su evaluación para las máquinas Linux. En el caso de las máquinas Windows, la revisión tarda de 12 a 15 horas en aparecer para su evaluación tras su publicación. Antes y después de la instalación de la actualización, se evalúa el cumplimiento de las actualizaciones y los resultados de los datos de registro se reenvían al área de trabajo.

Los Runbooks instalan las actualizaciones en Azure Automation. No puede ver estos runbooks, que no requieren ninguna configuración. Cuando se crea una implementación de actualizaciones, esta crea una programación que inicia un runbook de actualización maestro a la hora especificada para las máquinas incluidas. El runbook maestro inicia un runbook secundario en cada agente que inicia la instalación de las actualizaciones necesarias con el agente de Windows Update en Windows, o con el comando correspondiente en la distribución de Linux admitida.

En la fecha y hora especificadas en la implementación de actualizaciones, las máquinas de destino ejecutan la implementación en paralelo. Antes de la instalación, se ejecuta un examen para comprobar que las actualizaciones siguen siendo necesarias. En las máquinas cliente de WSUS, si no se aprueban las actualizaciones en WSUS, se produce un error en la implementación de actualizaciones.

Límites

A continuación se muestran los límites que se aplican a Update Management:

Recurso Límite Notas
Número de máquinas por implementación de actualizaciones 1000
Número de grupos dinámicos por implementación de actualizaciones. 500

Permisos

Para crear y administrar implementaciones de actualizaciones, necesita permisos concretos. Para más información sobre estos permisos, consulte Acceso basado en rol: Update Management.

Componentes de Update Management

Update Management usa los recursos descritos en esta sección. Estos recursos se agregan automáticamente a la cuenta de Automation al habilitar Update Management.

Grupos de Trabajos híbridos de runbook

Después de habilitar Update Management, las máquinas Windows conectadas directamente al área de trabajo de Log Analytics se configuran de modo automático como un sistema Hybrid Runbook Worker para admitir los runbooks que admiten a su vez Update Management.

Cada máquina Windows administrada por Update Management se muestra en el panel Grupos de Hybrid Worker como un grupo Hybrid Worker del sistema para la cuenta de Automation. Los grupos usan la convención de nomenclatura Hostname FQDN_GUID. No puede usar estos grupos como destino con runbooks de su cuenta. Si lo intenta, se producirá un error. Estos grupos están diseñados únicamente para admitir Update Management. Para más información sobre la visualización de la lista de máquinas Windows configuradas como Hybrid Runbook Worker, consulte Hybrid Runbook Worker.

Puede agregar la máquina Windows a un grupo de Hybrid Runbook Worker de usuario en la cuenta de Automation para admitir runbooks de Automation si usa la misma cuenta para Update Management y la pertenencia a grupos de Hybrid Runbook Worker. Esta funcionalidad se agregó en la versión 7.2.12024.0 de Hybrid Runbook Worker.

Dependencias externas

La solución Update Management de Azure Automation depende de las siguientes dependencias externas para ofrecer actualizaciones de software.

  • Se necesita Windows Server Update Services (WSUS) o Microsoft Update para los paquetes de actualizaciones de software y para el análisis de su aplicabilidad en máquinas basadas en Windows.
  • Se necesita el cliente de Agente de Windows Update (WUA) para que las máquinas basadas en Windows puedan conectarse al servidor de WSUS o a Microsoft Update.
  • Un repositorio local o remoto para recuperar e instalar las actualizaciones del sistema operativo en máquinas basadas en Linux.

Módulos de administración

Los siguientes módulos de administración se instalan en las máquinas administradas por Update Management. Si el grupo de administración de Operations Manager está conectado a un área de trabajo de Log Analytics, se instalarán los siguientes módulos de administración en dicho grupo. No es necesario configurar ni administrar dichos módulos.

  • Intelligence Pack Update Assessment de Microsoft System Center Advisor (Microsoft.IntelligencePacks.UpdateAssessment)
  • Microsoft.IntelligencePack.UpdateAssessment.Configuration (Microsoft.IntelligencePack.UpdateAssessment.Configuration)
  • Módulo de administración de implementación de actualizaciones

Nota:

Si tiene un grupo de administración de Operations Manager 1807 o 2019 conectado a un área de trabajo de Log Analytics con agentes configurados en el grupo de administración para recopilar los datos de registro, debe invalidar el parámetro IsAutoRegistrationEnabled y establecerlo en True en la regla Microsoft.IntelligencePacks.AzureAutomation.HybridAgent.Init.

Para más información sobre las actualizaciones de los módulos de administración, consulte Conexión de Operations Manager con registros de Azure Monitor.

Nota:

Para que Update Management administre totalmente las máquinas que tengan el agente de Log Analytics, debe actualizar al agente de Log Analytics para Windows o Linux. Para aprender a actualizar el agente, consulte Actualización de Operations Manager Agent. En entornos que usan Operations Manager, debe ejecutar System Center Operations Manager 2012 R2 UR 14 o posterior.

Frecuencia de recopilación de datos

Update Management examina los datos de las máquinas administradas con las siguientes reglas. Puede que transcurran entre 30 minutos y 6 horas antes de que se muestren los datos actualizados de las máquinas administradas.

  • Cada máquina Windows: Update Management realiza un examen dos veces al día de cada máquina.

  • Cada máquina Linux: Update Management realiza un examen cada hora.

El uso medio de datos de los registros de Azure Monitor para una máquina que utiliza Update Management es aproximadamente de 25 MB al mes. Este valor es solo una aproximación y está sujeto a cambios en función de su entorno. Se recomienda supervisar el entorno para realizar un seguimiento del uso exacto. Para más información sobre el análisis del uso de datos de los registros de Azure Monitor, consulte Detalles de precios de los registros de Azure Monitor.

Clasificaciones de actualizaciones

En la tabla siguiente se definen las clasificaciones que Update Management admite para las actualizaciones de Windows.

clasificación Descripción
Actualizaciones críticas Actualización para un problema específico que resuelve un error crítico no relacionado con la seguridad.
Actualizaciones de seguridad Actualización para un problema específico del producto relacionado con la seguridad.
Paquetes acumulativos de actualizaciones Conjunto acumulativo de revisiones que se empaquetan para facilitar la implementación.
Feature Packs Nuevas características del producto que se distribuyen fuera de una versión del producto.
Service Packs Un conjunto acumulativo de revisiones que se aplican a una aplicación.
Actualizaciones de definiciones Una actualización de archivos de definiciones de virus o de otra índole.
Herramientas Utilidad o característica que ayuda a realizar una o más tareas.
Actualizaciones Actualización de una aplicación o archivo que están instalados actualmente.

En la tabla siguiente se definen las clasificaciones admitidas para las actualizaciones de Linux.

Clasificación Descripción
Actualizaciones críticas y de seguridad Actualizaciones para un problema específico o un problema de un producto específico relacionado con la seguridad.
Otras actualizaciones Todas las demás actualizaciones que ni son críticas por naturaleza ni son actualizaciones de seguridad.

Nota:

La clasificación de actualizaciones para máquinas Linux solo está disponible en las regiones de nube pública de Azure admitidas. No hay clasificación de actualizaciones de Linux si se usa Update Management en las siguientes regiones de nube nacional:

  • Azure US Government
  • 21Vianet en China

En lugar de clasificarse, las actualizaciones se muestran en la categoría Otras actualizaciones.

Update Management usa los datos publicados por las distribuciones admitidas, en concreto, sus archivos de OVAL (Open Vulnerability and Assessment Language). Dado que el acceso a Internet está restringido desde estas nubes nacionales, Update Management no puede acceder a los archivos.

Lógica de clasificación de actualizaciones de Linux

  1. En las evaluaciones, Update Management clasifica las actualizaciones en tres categorías: Seguridad, Críticas u Otros. Esta clasificación de actualizaciones se basa en los datos procedentes de dos orígenes:

    • El proveedor de distribución de Linux proporciona archivos Open Vulnerability and Assessment Language (OVAL) que incluyen datos sobre los problemas de seguridad o las vulnerabilidades que la actualización corrige.
    • Administrador de paquetes en el equipo, como YUM, APT o ZYPPER.
  2. En la aplicación de revisiones, Update Management clasifica las actualizaciones en dos categorías: Críticas y de seguridad u Otros. Esta clasificación de actualizaciones se basa únicamente en los datos de los administradores de paquetes como YUM, APT o ZYPPER.

CentOS: a diferencia de otras distribuciones, CentOS no tiene datos de clasificación disponibles del administrador de paquetes. Si tiene máquinas de CentOS configuradas para devolver datos de seguridad para el siguiente comando, Update Management puede aplicar revisiones basadas en clasificaciones.

sudo yum -q --security check-update

Nota:

Actualmente no hay ningún método compatible para habilitar la disponibilidad de datos de clasificación nativos en CentOS. En este momento, proporcionamos un soporte técnico limitado a clientes que puedan haber habilitado esta característica por su cuenta.

Redhat: para clasificar las actualizaciones en la versión 6 de Red Hat Enterprise, hay que instalar el complemento de seguridad de YUM. En Red Hat Enterprise Linux 7, el complemento ya forma parte de YUM y no es necesario instalar nada. Para más información, consulte el siguiente artículo de conocimientos de Red Hat.

Integración de Update Management con Configuration Manager.

Los clientes que han invertido en Microsoft Configuration Manager para administrar equipos, servidores y dispositivos móviles también dependen de la fortaleza y la madurez de Configuration Manager para que les ayude a administrar las actualizaciones de software. Para aprender a integrar Update Management con Configuration Manager, consulte este artículo sobre la integración de Update Management con Configuration Manager de Windows.

Actualizaciones de terceros en Windows

Update Management se basa en el repositorio de actualización configurado localmente para actualizar los sistemas Windows compatibles, ya sea WSUS o Windows Update. Herramientas como System Center Updates Publisher le permiten importar y publicar actualizaciones personalizadas con WSUS. Este escenario permite que Update Management actualice las máquinas que usan Configuration Manager como repositorio de actualizaciones con software de terceros. Para obtener información sobre cómo configurar Updates Publisher, consulte Instalar Updates Publisher.

Actualización del agente de Log Analytics de Windows a la versión más reciente

Update Management requiere el agente de Log Analytics para su funcionamiento. Se recomienda actualizar el agente de Log Analytics de Windows (también conocido como Microsoft Monitoring Agent (MMA) de Windows) a la versión más reciente para reducir las vulnerabilidades de seguridad y beneficiarse de las correcciones de errores. Las versiones del agente de Log Analytics anteriores a 10.20.18053 (agrupación) y 1.0.18053.0 (extensión) usar un método anterior de control de certificados y, por tanto, no se recomienda. Los agentes anteriores de Log Analytics de Windows no podrían conectarse a Azure y Update Management dejaría de funcionar en ellos.

Para actualizar el agente de Log Analytics a la versión más reciente, debe seguir los pasos siguientes:

  1. Compruebe la versión actual del agente de Log Analytics de la máquina: Vaya a la ruta de instalación: C:\ProgramFiles\Microsoft Monitoring Agent\Agent y haga clic con el botón derecho en HealthService.exe para comprobar Propiedades. En la pestaña Detalles, el campo Versión del producto proporciona el número de versión del agente de Log Analytics.

  2. Si la versión del agente de Log Analytics es anterior a 10.20.18053 (agrupación) y 1.0.18053.0 (extensión), actualice a la versión más reciente del agente de Windows Log Analytics, siguiendo estas directrices. 

Nota:

Durante el proceso de actualización, es posible que se produzca un error en las programaciones de Update Management. Asegúrese de llevar a cabo este proceso cuando no haya ninguna programación planeada.

Pasos siguientes