Orientação para migrar máquinas virtuais do Microsoft Configuration Manager para o Gestor de Atualizações do Azure
Aplica-se a: ✔️ VMs ✔️ do Windows VMs ✔️ Linux Ambiente local ✔️ Servidores habilitados para Azure Arc.
Este artigo fornece um guia para modernizar o gerenciamento de servidores para os quais você está usando o Microsoft Configuration Manager (MCM). Vamos nos concentrar no Azure Update Manager que fornece experiências baseadas no Azure para gerenciamento de patches, o principal recurso do MCM.
Para começar, vamos listar os Serviços do Azure que fornecem recursos equivalentes para os diferentes componentes do System Center.
| Componente do System Center | Serviço equivalente do Azure |
|---|---|
| Gerente de Operações do System Center (SCOM) | Instância gerenciada do Azure Monitor SCOM |
| System Center Configuration Manager (SCCM), agora chamado Microsoft Configuration Manager (MCM) | Azure Update Manager, Controle de Alterações e Inventário, Configuração de Máquina do Azure (anteriormente chamada Configuração de Convidado de Política do Azure), Automação do Azure, Microsoft Defender for Cloud |
| Gerenciador de Proteção de Dados do System Center (SCDPM) | Azure Backup |
| Orquestrador do System Center (SCORCH) | Azure Automation |
| System Center Service Manager (SCSM) | - |
Nota
Como parte de sua jornada de migração, recomendamos as seguintes opções:
- Migre totalmente suas máquinas virtuais para o Azure e substitua o System Center por serviços nativos do Azure.
- Adote uma abordagem híbrida e substitua o System Center por serviços nativos do Azure. Onde as máquinas virtuais do Azure e locais são gerenciadas usando os serviços nativos do Azure. Para máquinas virtuais locais, os recursos da plataforma Azure são estendidos para o local por meio do Azure Arc.
Migrar para o Azure Update Manager
O MCM ajuda você a gerenciar PCs e servidores, manter o software atualizado, definir políticas de configuração e segurança e monitorar o status do sistema. O MCM oferece vários recursos e capacidades e o gerenciamento de atualizações de software é um deles.
Especificamente para gerenciamento de atualizações ou aplicação de patches, de acordo com suas necessidades, você pode usar o Azure Update Manager nativo para gerenciar e controlar a conformidade de atualizações para máquinas Windows e Linux em suas implantações de maneira consistente. Ao contrário do MCM, que precisa manter máquinas virtuais do Azure para hospedar as diferentes funções do Configuration Manager, o Azure Update Manager foi projetado como um serviço autônomo do Azure para fornecer experiência SaaS no Azure para gerenciar ambientes híbridos. Você não precisa de uma licença para usar o Azure Update Manager.
Nota
- Para gerir clientes/dispositivos, o Intune é a solução Microsoft recomendada.
- O Azure Update Manager não fornece suporte de migração para VMs do Azure no MCM. Por exemplo, as configurações.
Mapa de recursos de gerenciamento de atualizações de software
A tabela a seguir mapeia os recursos de gerenciamento de atualização de software do MCM para o Azure Update Manager.
| Capacidade | Gestor de Configuração da Microsoft | Azure Update Manager |
|---|---|---|
| Sincronizar atualizações de software entre sites (site de administração central, sites primários, secundários) | O site superior (site de administração central ou site primário autônomo) se conecta ao Microsoft Update para recuperar a atualização de software. Mais informações. Depois que os principais sites são sincronizados, os sites filho são sincronizados. | Não há hierarquia de máquinas no Azure e, portanto, todas as máquinas conectadas ao Azure recebem atualizações do repositório de origem. |
| Sincronizar atualizações de software/verificar se há atualizações (recuperar metadados de patch) | Você pode procurar atualizações periodicamente definindo a configuração no ponto de atualização de software. Mais informações | Você pode habilitar a avaliação periódica para habilitar a varredura de patches a cada 24 horas. Mais informações |
| Configurando classificações/produtos para sincronizar/digitalizar/avaliar | Você pode escolher as classificações de atualização (atualizações críticas ou de segurança) para sincronizar/verificar/avaliar. Mais informações | Não há essa capacidade aqui. Todos os metadados do software são verificados. |
| Implantar atualizações de software (instalar patches) | Fornece três modos de implantação de atualizações: Implantação manual Implantação automática Implantação em fases Saiba mais |
- A implantação manual é mapeada para implantar atualizações únicas - A implantação automática é mapeada para atualizações agendadas - Não há opção de implantação em fases. |
| Implantar atualizações de software em máquinas Windows e Linux (no Azure ou no local ou em outras nuvens) | O SCCM ajuda a gerenciar, rastrear e aplicar atualizações de software a máquinas Windows (atualmente, não suportamos máquinas Linux.) | O Azure Update Manager dá suporte a atualizações de software em máquinas Windows e Linux. |
Orientação para usar o Azure Update Manager em máquinas gerenciadas MCM
Como um primeiro passo na jornada do usuário do MCM em direção ao Azure Update Manager, você precisa habilitar o Azure Update Manager em seus servidores gerenciados MCM existentes (ou seja, garantir que a coexistência entre o Azure Update Manager e o MCM seja alcançada). A seção a seguir aborda alguns desafios que você pode encontrar nesta primeira etapa.
Pré-requisitos para o Azure Update Manager e a coexistência do MCM
Certifique-se de que as Atualizações automáticas estão desativadas no computador. Para obter mais informações, consulte Gerenciar configurações adicionais do Windows Update - Configurando atualizações automáticas editando o registro.
Verifique se a chave do Registro NoAutoUpdate está definida como 1 no seguinte caminho do Registro:
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AUO Azure Update Manager pode obter atualizações do servidor WSUS e, para isso, certifique-se de configurar o servidor WSUS como parte do SCCM.
- Certifique-se de que o servidor WSUS tem espaço suficiente.
- Certifique-se de que atualiza a opção de idioma para transferir os pacotes na configuração do WSUS. Recomendamos que selecione os idiomas necessários. Para mais informações, consulte Passo 2 - Configurar o WSUS para obter mais informações.
- Certifique-se de que cria uma regra de aprovação automática de atualizações no WSUS para descarregar os pacotes aplicáveis no servidor WSUS, de modo a que o Azure Update Manager possa obter as atualizações a partir deste servidor WSUS.
- Selecione as classificações que pretende de acordo com os seus requisitos ou mantenha-as iguais às selecionadas no SCCM.
- Selecione os produtos de acordo com os requisitos ou mantenha-os iguais aos selecionados no SCCM.
- Para começar, crie um grupo de computadores de teste e aplique-lhe esta regra, para testar estas alterações.
- Depois de testar o grupo de teste, pode expandi-lo para todos os grupos de computadores.
- Crie um grupo de computadores de exclusão no WSUS, se necessário.
Visão geral da atual configuração do MCM
O cliente MCM utiliza o servidor WSUS para procurar atualizações originais, portanto, tem o servidor WSUS configurado como parte da configuração inicial.
O conteúdo das atualizações de terceiros também é publicado neste servidor WSUS. O Azure Update Manager tem a capacidade de analisar e instalar atualizações a partir do WSUS, por isso, aproveitamos o servidor WSUS configurado como parte da configuração do MCM para fazer com que o Gestor de Atualizações do Azure funcione juntamente com o MCM.
Atualizações do primeiro partido
Para que o Azure Update Manager analise e instale atualizações primárias (atualizações do Windows e da Microsoft), você deve começar a aprovar as atualizações necessárias no servidor WSUS configurado. Isso é feito configurando uma regra de aprovação automática no WSUS como o que os usuários configuraram no servidor MCM.
Atualizações de terceiros
As atualizações de terceiros devem funcionar como esperado com o Gestor de Atualizações do Azure, desde que já tenha configurado o MCM para a aplicação de patches de terceiros e seja capaz de aplicar patches de atualizações de terceiros com êxito através do MCM. Certifique-se de que continua a publicar atualizações de terceiros no WSUS a partir do MCM Passo 3 em Ativar atualizações de terceiros. Depois de publicar no WSUS, o Azure Update Manager poderá detetar e instalar estas atualizações a partir do servidor WSUS.
Gerenciar atualizações de software usando o Azure Update Manager
Entre no portal do Azure e procure o Azure Update Manager.
Na home page do Azure Update Manager , em Gerenciar>Máquinas, selecione sua assinatura para exibir todas as suas máquinas.
Filtre de acordo com as opções disponíveis para saber o status de suas máquinas específicas.
Selecione as opções adequadas de avaliação e aplicação de patches de acordo com sua necessidade.
Máquinas de remendo
Depois de configurar a configuração para avaliação e aplicação de patches, você pode implantar/instalar somente por meio de atualizações sob demanda (atualização única ou manual) ou agendar atualizações (atualização automática). Você também pode implantar atualizações usando a API do Azure Update Manager.
Limitações no Azure Update Manager
As limitações atuais são as seguintes:
- Grupos de orquestração com scripts - pré/pós Os grupos de orquestração não podem ser criados no Azure Update Manager para especificar uma sequência de manutenção, permitir que algumas máquinas sejam atualizadas ao mesmo tempo e assim por diante. (Os grupos de orquestração permitem que você use os scripts pré/pós para executar tarefas antes e depois de uma implantação de patch).
Perguntas mais frequentes
De onde o Azure Update Manager obtém suas atualizações?
O Azure Update Manager refere-se ao repositório para o qual as máquinas apontam. Por padrão, a maioria das máquinas Windows aponta para o catálogo do Windows Update e as máquinas Linux são configuradas para obter atualizações dos apt yum repositórios. Se as máquinas apontarem para outro repositório, como o WSUS ou um repositório local, o Azure Update Manager obterá as atualizações desse repositório.
O Azure Update Manager pode corrigir o SO, o SQL e o software de terceiros?
O Azure Update Manager refere-se aos repositórios (ou pontos de extremidade) para os quais as VMs apontam. Se o repositório (ou pontos de extremidade) contiver atualizações para produtos Microsoft, software de terceiros, etc., o Azure Update Manager pode instalar esses patches.
Por padrão, as VMs do Windows apontam para o servidor do Windows Update. O servidor Windows Update não contém atualizações para produtos Microsoft e software de terceiros. Se as VMs apontarem para o Microsoft Update, o Azure Update Manager corrigirá o SO e os produtos Microsoft.
Para o patch de software de terceiros, o Azure Update Manager deve estar conectado ao WSUS e você deve publicar as atualizações de terceiros. Não podemos corrigir software de terceiros para VMs do Windows, a menos que estejam disponíveis no WSUS.
Preciso configurar o WSUS para usar o Azure Update Manager?
O WSUS é uma forma de gerir patches. O Azure Update Manager fará referência a qualquer ponto de extremidade para o qual estiver apontado. (Windows Update, Microsoft Update ou WSUS).
Devo implementar a correção mensal através do MCM?
Não, apenas a aprovação de patches no WSUS mensalmente ou a definição das Regras de Implementação Automática (ADRs) irá verificar e instalar patches nos seus servidores.
Como é que o Gestor de Atualização do Azure pode ser utilizado para gerir máquinas virtuais no local?
O Gestor de Atualizações do Azure pode ser utilizado no local utilizando o Azure Arc. O Azure Arc é uma ponte que estende a plataforma Azure para o ajudar a criar aplicações e serviços com a flexibilidade de serem executados em datacenters, no edge e em ambientes multinuvem. A gestão de VMs do Azure Arc permite-lhe aprovisionar e gerir VMs do Windows e Linux alojadas no local. Esta funcionalidade permite aos administradores de TI gerir VMs Arc através de ferramentas de gestão do Azure, incluindo o portal do Azure, o Azure CLI, o Azure PowerShell e os modelos do Gestor de Recursos do Azure (ARM).