Partager via


Fournir des mises à jour de sécurité étendues pour Windows Server 2012

Cet article décrit les étapes permettant d’activer la remise des mises à jour de sécurité étendues (ESU) sur les machines Windows Server 2012 intégrées aux serveurs avec Arc. Vous pouvez activer les unités d’ESU sur ces machines individuellement ou à grande échelle.

Avant de commencer

Planifiez et préparez l’intégration de vos machines à des serveurs avec Azure Arc. Consultez Préparer la mise à jour de sécurité étendue pour Windows Server 2012 pour en savoir plus.

Vous aurez également besoin du rôle Contributeur dans Azure RBAC pour créer et affecter des ESU aux serveurs avec Arc.

Gérer les licences ESU

  1. Dans votre navigateur, connectez-vous au portail Azure.

  2. Dans la page Azure Arc, sélectionnez mises à jour de sécurité étendues dans le volet gauche.

    Capture d’écran de la fenêtre principale de l’ESU montrant l’onglet des licences et l’onglet des ressources admissibles.

    À partir de là, vous pouvez afficher et créer des licences ESU et afficher ressources éligibles pour les ESU.

Remarque

Lors de l’affichage de tous vos serveurs avec Arc à partir de la page Serveurs, une bannière spécifie le nombre d’ordinateurs Windows 2012 éligibles pour les ESU. Vous pouvez ensuite sélectionner Afficher les serveurs dans les mises à jour de sécurité étendues pour afficher la liste des ressources éligibles pour les ESU, ainsi que les machines déjà activées.

Créer des licences Azure Arc WS2012

La première étape consiste à provisionner des licences de mise à jour de sécurité étendues Windows Server 2012 et 2012 R2 à partir d’Azure Arc. Vous liez ces licences à un ou plusieurs serveurs avec Arc que vous sélectionnez dans la section suivante.

Après avoir approvisionné une licence ESU, vous devez spécifier la référence SKU (Standard ou Datacenter), le type de cœurs (physique ou vCore) et le nombre de packs 16 cœurs et 2 cœurs pour approvisionner une licence ESU. Vous pouvez également provisionner une licence de mise à jour de sécurité étendue dans un état désactivé afin qu’elle ne lance pas la facturation ou ne soit pas fonctionnelle lors de la création. En outre, les cœurs associés à la licence peuvent être modifiés après l’approvisionnement.

Remarque

L’approvisionnement des licences ESU vous oblige à attester de leur couverture SA ou SPLA.

L’onglet Licences affiche les licences Azure Arc WS2012 disponibles. À partir de là, vous pouvez sélectionner une licence existante à appliquer ou créer une licence.

Capture d’écran montrant les licences existantes.

  1. Pour créer une licence WS2012, sélectionnez Créer, puis fournissez les informations requises pour configurer la licence sur la page.

    Pour plus d’informations sur la procédure d’exécution de cette étape, consultez instructions d’approvisionnement de licence pour les mises à jour de sécurité étendues pour Windows Server 2012.

  2. Passez en revue les informations fournies, puis sélectionnez Créer.

    La licence que vous avez créée apparaît dans la liste et vous pouvez la lier à un ou plusieurs serveurs avec Arc en suivant les étapes décrites dans la section suivante.

    Capture d’écran de l’onglet Licences montrant la licence nouvellement créée dans la liste.

Vous pouvez sélectionner un ou plusieurs serveurs avec Arc pour établir un lien vers une licence de mise à jour de sécurité étendue. Une fois que vous avez lié un serveur à une licence ESU activée, le serveur est éligible pour recevoir Windows Server 2012 et 2012 ESU R2.

Remarque

Vous avez la possibilité de configurer votre solution de mise à jour corrective de choix pour recevoir ces mises à jour, que ce soit Update Manager, Windows Server Update Services, Microsoft Updates, Microsoft Endpoint Configuration Managerou une solution de gestion des correctifs tiers.

  1. Sélectionnez l’onglet Ressources éligibles pour afficher la liste de tous vos serveurs avec Arc exécutant Windows Server 2012 et 2012 R2.

    Capture d’écran de l’onglet Ressources admissibles montrant les serveurs admissibles pour recevoir des unités d’ESU.

    L’état ESU colonne indique si l’ordinateur est activé ou non.

  2. Pour activer les unités d’ESU pour une ou plusieurs machines, sélectionnez-les dans la liste, puis sélectionnez Activer les unités d’ESU.

  3. Dans la page Activer les mises à jour de sécurité étendues, il affiche le nombre d’ordinateurs sélectionnés pour activer les licences ESU et WS2012 disponibles pour s’appliquer. Sélectionnez une licence pour créer un lien vers la ou les machines sélectionnées, puis sélectionnez Activer.

    Capture d’écran de la fenêtre permettant de sélectionner la licence à appliquer aux machines précédemment choisies.

    Remarque

    Vous pouvez également créer une licence à partir de cette page en sélectionnant Créer une licence ESU.

L’état des machines sélectionnées passe à activé.

Capture d’écran de l’onglet Ressources admissibles montrant l’état activé pour les serveurs précédemment sélectionnés.

Si des problèmes se produisent pendant le processus d’activation, consultez Résoudre les problèmes de remise des mises à jour de sécurité étendues pour Windows Server 2012 pour obtenir de l’aide.

Azure Policy à grande échelle

Pour établir une liaison à grande échelle de serveurs à une licence de mise à jour de sécurité étendue Azure Arc et verrouiller la modification ou la création de licences, envisagez l’utilisation des stratégies Azure intégrées suivantes :

Les stratégies Azure peuvent être spécifiées dans un abonnement ou un groupe de ressources ciblé pour les scénarios d’audit et de gestion.

Autres cas de figure

Il existe certains scénarios dans lesquels vous pouvez être éligible pour recevoir des correctifs de mises à jour de sécurité étendues sans frais supplémentaires. Deux de ces scénarios pris en charge par Azure Arc sont (1) Dev/Test (Visual Studio) et (2) reprise d’activité après sinistre (avec l’avantage des instances de récupération d’urgence de Software Assurance ou d’abonnement uniquement. Ces deux scénarios nécessitent que le client utilise déjà les ESU Windows Server 2012/R2 activés par Azure Arc pour les machines de production facturables.

Avertissement

Ne créez pas de licence ESU Windows Server 2012/R2 uniquement pour les charges de travail Dev/Test ou Reprise d’activité après sinistre. Vous ne devez pas approvisionner une licence ESU uniquement pour des charges de travail non facturables. En outre, vous êtes facturé en totalité pour tous les cœurs approvisionnés avec une licence ESU. Les cœurs dev/test sur la licence ne sont pas facturés tant qu’ils sont étiquetés en conséquence selon les qualifications suivantes.

Pour bénéficier de ces scénarios, vous devez déjà disposer des éléments suivants :

  • Licence ESU facturable. Vous devez déjà avoir configuré et activé une licence WS2012 Arc ESU destinée à être liée à des serveurs avec Azure Arc standard s’exécutant dans des environnements de production (c’est-à-dire des scénarios ESU facturés normalement). Cette licence ne doit être approvisionnée que pour les cœurs facturables, et non pour les cœurs pouvant bénéficier de correctifs de sécurité étendus gratuits, par exemple les cœurs dev/test.

  • Serveurs compatibles avec Arc. Intégrez vos machines Windows Server 2012 et Windows Server 2012 R2 aux serveurs avec Azure Arc à des fins de développement/test avec des abonnements Visual Studio ou une récupération d’urgence.

Pour inscrire des serveurs avec Azure Arc éligibles pour les ESU sans coût supplémentaire, procédez comme suit pour baliser et lier :

  1. Balisez à la fois la licence WS2012 Arc ESU (créée pour l’environnement de production avec des cœurs uniquement pour les serveurs d’environnement de production) et les serveurs avec Azure Arc sans production avec l’une des paires nom-valeur suivantes, correspondant à l’exception appropriée :

    1. Nom : « Utilisation de l’ESU»; Valeur : « WS2012 VISUAL STUDIO DEV TEST »

    2. Nom : « Utilisation de l’ESU »; Valeur : « RÉCUPÉRATION D’URGENCE WS2012 »

    Dans le cas où vous utilisez la licence ESU pour plusieurs scénarios d’exception, marquez la licence avec la balise : Nom : « Utilisation de l’ESU »; Valeur : « WS2012 MULTIPURPOSE »

  2. Liez la licence étiquetée (créée pour l’environnement de production avec des cœurs uniquement pour les serveurs d’environnement de production) aux machines Windows Server 2012 et Windows Server 2012 R2 avec Azure Arc étiquetées. Ne pas autoriser les cœurs de licence pour ces serveurs ou à créer une licence ESU uniquement pour ces serveurs.

Cette liaison ne déclenche pas de violation de conformité ni de bloc d’application, ce qui vous permet d’étendre l’application d’une licence au-delà de ses cœurs approvisionnés. L’attente est que la licence inclut uniquement les cœurs pour les serveurs de production et facturés. Tous les cœurs supplémentaires seront facturés et entraînent une surfacturation.

Important

L’ajout de ces étiquettes à votre licence ne rend pas la licence gratuite et ne réduit pas le nombre de cœurs de licence facturables. Ces étiquettes vous permettent de lier vos machines Azure à des licences existantes déjà configurées avec des cœurs payables sans avoir besoin de créer des licences ou d’ajouter des cœurs supplémentaires à vos machines gratuites.

Exemple :

  • Vous avez 8 instances Windows Server 2012 R2 Standard, chacune avec 8 cœurs physiques. Six de ces machines Windows Server 2012 R2 Standard sont destinées à la production, et deux de ces machines Windows Server 2012 R2 Standard sont éligibles pour des ESU gratuits parce que le système d’exploitation a été licencié par le biais d’un abonnement Visual Studio Dev Test.
    • Vous devez d’abord approvisionner et activer une licence ESU standard pour Windows Server 2012/R2 édition Standard avec 48 cœurs physiques pour couvrir les six machines de production. Vous devez lier cette licence ESU de production régulière à vos 6 serveurs de production.
    • Ensuite, vous devez réutiliser cette licence existante, ne pas ajouter de cœurs ou approvisionner une licence distincte, et lier cette licence à vos deux machines Windows Server 2012 R2 Standard hors production. Vous devez étiqueter la licence ESU et les deux machines Windows Server 2012 R2 Standard hors production avec le nom « ESU Usage » et la valeur « WS2012 VISUAL STUDIO DEV TEST ».
    • Le résultat est une licence ESU pour 48 cœurs, et vous êtes facturé pour ces 48 cœurs. Tant que la licence ESU et que les ressources des serveurs dev/test sont étiquetées de manière appropriée, vous n’êtes pas facturé pour les 16 cœurs supplémentaires des serveurs dev/test.

Remarque

Vous avez besoin d’une licence de production régulière pour commencer, et vous ne serez facturé que pour les cœurs de production.

Mise à niveau à partir de Windows Server 2012/2012 R2

Lors de la mise à niveau d’une machine Windows Server 2012/2012R vers Windows Server 2016 ou version ultérieure, il n’est pas nécessaire de supprimer l’agent Connected Machine de la machine. La machine dans Azure peut voir le nouveau système d’exploitation quelques minutes après la fin de la mise à niveau. Les machines mises à niveau ne nécessitent plus de correctifs ESU et ne peuvent plus en bénéficier. Toute licence ESU associée à la machine n’est pas automatiquement dissociée de la machine. Consultez Dissocier une licence pour savoir comment procéder manuellement.

Évaluer l’état des correctifs ESU pour WS2012

Pour détecter si les derniers correctifs de sécurité étendus Windows Server 2012/R2 ont été appliqués à vos serveurs avec Azure Arc, vous pouvez utiliser la stratégie Azure suivante : Les correctifs de sécurité étendus doivent être installés sur des machines Windows Server 2012 avec Arc – Microsoft Azure. Cette stratégie Azure, alimentée par la configuration d’ordinateur, identifie si le serveur a reçu les correctifs ESU les plus récents. Vous pouvez observer ceci dans les vues Attribution d’invité et Conformité à Azure Policy intégrées au portail Azure.