Décrire Update Management

  • 6 minutes

Les mises à jour de Windows sont évidemment constituées d’une série récurrente d’événements. Des mises à jour peuvent être publiées rapidement et fréquemment quand des failles de sécurité ou des vecteurs d’attaque récemment découverts sont corrigés. Des mises à jour arrivent aussi régulièrement, en fonction d’événements comme des modifications apportées aux pilotes de périphérique ou des déploiements planifiés de nouvelles fonctionnalités du système.

Le personnel du support informatique de Contoso réalise qu’une mise à jour de sécurité urgente peut devenir disponible à tout moment, et qu’il est impératif dans de nombreux cas de déployer une telle mise à jour dès que possible. Cette approche s’applique que le système soit un hôte physique, une machine virtuelle locale ou une machine virtuelle Azure. Ils doivent être vigilants lors de l’examen des mises à jour Windows sur leurs machines virtuelles Azure.

Azure Automation et Update Management

Azure Automation vous permet de gérer les mises à jour du système d’exploitation des machines virtuelles Azure exécutant le système d’exploitation Windows. La fonctionnalité Update Management est gratuite, et le seul coût est celui du stockage des journaux dans Azure Log Analytics.

Le tableau suivant décrit comment la fonctionnalité Update Management peut aider à gérer les mises à jour de vos machines virtuelles Azure.

Fonctionnalité Aide apportée
Passer en revue l’état des mises à jour sur vos serveurs. Le service comprend une console cloud où vous pouvez passer en revue l’état des mises à jour dans votre organisation Azure et pour une machine virtuelle spécifique.
Configurer des groupes dynamiques de machines virtuelles à cibler Il vous permet également de définir une requête basée sur un groupe d’ordinateurs. Un groupe d’ordinateurs est défini en fonction d’une autre requête ou importé depuis une autre source, comme WSUS ou Microsoft Endpoint Configuration Manager.
Rechercher dans les journaux Azure Monitor. Update Management collecte les enregistrements des journaux Azure Monitor.

Pour implémenter Azure Update Management dans votre environnement hybride, vous devez effectuer les grandes étapes suivantes :

  1. Créer un compte Azure Automation.
  2. Activer Update Management.
  3. Intégrer vos serveurs locaux.
  4. Sélectionner les machines à gérer.
  5. Planifier les mises à jour

Notes

Ces étapes sont les mêmes pour les serveurs physiques locaux et les machines virtuelles locales, et pour les machines virtuelles Azure exécutant Windows Server.

Interaction avec Windows Update

Azure Automation Update Management s’appuie sur le client Windows Update pour télécharger et installer les mises à jour de Windows. Des paramètres spécifiques sont utilisés par le client Windows Update lors de la connexion à WSUS ou à Windows Update. Vous pouvez gérer un grand nombre de ces paramètres comme ceci :

  • Utilisation de l’Éditeur de stratégie de groupe locale
  • Utilisation de la stratégie de groupe
  • Utilisation de Windows PowerShell
  • Modification directe du Registre

Update Management respecte un grand nombre des paramètres spécifiés pour contrôler le client Windows Update.

Conseil

Si vous utilisez des paramètres pour activer les mises à jour non-Windows, Update Management gère également ces mises à jour.

Configurer WSUS pour la gestion des mises à jour

WSUS améliore la sécurité des systèmes chez Contoso en appliquant des mises à jour de sécurité aux produits Microsoft et aux produits de tiers au moment approprié. Il fournit l’infrastructure nécessaire pour télécharger, tester et approuver les mises à jour de sécurité. L’application rapide des mises à jour de sécurité contribue à éviter les incidents de sécurité qui résultent de vulnérabilités connues. Lors de l’implémentation de WSUS, vous devez garder à l’esprit la configuration matérielle et logicielle nécessaire pour WSUS, les paramètres à configurer, et les mises à jour à approuver ou à supprimer en fonction des besoins de Contoso.

Update Management dans Azure prend en charge les paramètres WSUS. Vous pouvez spécifier les sources à utiliser pour l’analyse et le téléchargement des mises à jour en suivant les instructions de la rubrique Spécifier l’emplacement intranet du service de mise à jour Microsoft. Par défaut, le client Windows Update est configuré pour télécharger les mises à jour à partir de Windows Update. Quand vous spécifiez un serveur WSUS comme source pour vos machines, si les mises à jour ne sont pas approuvées dans WSUS, leur déploiement échoue.

Capture d’écran de l’Éditeur de stratégie de groupe dans Windows. L’administrateur a accédé au dossier Windows Update et a configuré les valeurs de Configurer les mises à jour automatiques, Spécifier l’emplacement intranet du service de Mise à jour Microsoft et Ne pas se connecter à des emplacements Internet Windows Update.

Conseil

Pour limiter les machines au service de mise à jour interne, activez l’option Ne pas se connecter à des emplacements Internet Windows Update.