描述更新管理
當然,Windows 的更新是一系列週期性的事件。 解決新發現的安全性瑕疵或攻擊媒介時,更新可以快速且頻繁地進行。 也會根據事件 (例如設備磁碟機的變更或新系統功能的計畫推出) 定期更新。
Contoso IT 支援人員發現,緊急的安全性更新可能隨時會變成可用,而且很重要的是,在許多情況下都必須儘快部署這類更新。 無論系統是實體主機、內部部署 VM 或 Azure VM,都可以套用此方法。 在對 Azure VM 審核 Windows 更新時,他們必須非常小心。
Azure 自動化及更新管理
Azure 自動化可協助您管理執行 Windows 作業系統的 Azure VM 的 OS 更新。 更新管理功能是免費的,而且唯一的成本是 Azure Log Analytics 中的記錄儲存體成本。
下表說明更新管理功能如何協助您進行 Azure VM 更新。
| 功能 | 可提供的協助 |
|---|---|
| 追蹤您的 VM 上的更新狀態 | 此服務包含雲端式主控台,您可以在其中檢閱 Azure 組織和特定 VM 的更新狀態。 |
| 將 VM 的動態群組設定為目標 | 此功能也可讓您根據電腦群組來定義查詢。 電腦群組是根據另一個查詢定義的電腦群組,或從另一個來源匯入的電腦群組,例如 WSUS 或 Microsoft Endpoint Configuration Manager。 |
| 搜尋 Azure 監視器記錄 | 更新管理會從 Azure 監視器記錄檔收集記錄。 |
若要在您的混合式環境中執行 Azure 更新管理,必須完成下列高階步驟:
- 建立 Azure 自動化帳戶。
- 啟用更新管理。
- 將您的部署伺服器上線。
- 選取要管理的機器。
- 更新排程
注意
針對內部部署實體伺服器和 VM,以及執行 Windows Server 的 Azure VM,這些步驟都是相同的。
與 Windows Update 的互動
Azure 自動化更新管理會倚賴 Windows Update 用戶端來下載並安裝 Windows 更新。 連線至 Windows Server Update Services (WSUS) 或 Windows Update 時,Windows Update 用戶端會使用特定設定。 您可以透過下列方式來管理其中的許多設定:
- 使用 [本機群組原則編輯器]
- 使用群組原則
- 使用 Windows PowerShell
- 直接編輯登錄
更新管理會依循多項指定用來控制 Windows Update 用戶端的設定。
提示
如果您使用設定來啟用非 Windows 更新,更新管理也會管理這些更新。
設定 WSUS 以管理更新
WSUS 藉由及時將安全性更新套用至 Microsoft 產品和協力廠商產品,來改善 Contoso 系統的安全性。 可提供基礎結構以下載、測試及核准安全性更新。 您可以快速套用安全性更新,以防止因已知弱點而產生的安全性事件。 在執行 WSUS 時,您必須記住 WSUS 的硬體和軟體需求、應設定的設定,以及根據 Contoso 需求核准或移除的更新。
Azure 中的更新管理支援 WSUS 設定。 您可以使用指定內部網路 Microsoft Update 服務位置中的指示,指定掃描和下載更新的來源。 根據預設,Windows Update 用戶端會設定為從 Windows Update 下載更新。 當您將 WSUS 伺服器指定為機器的來源時,如果 WSUS 中未核准更新,更新部署就會失敗。
![Windows 中群組原則編輯器的螢幕擷取畫面。系統管理員已瀏覽至 [Windows Update] 資料夾,並已設定 [設定自動更新]、[指定內部網路 Microsoft Update 服務位置],而不連接到任何 Windows Update 的網際網路位置值。](../../wwl-azure/manage-azure-updates/media/m3-windows-update.png)
提示
若要將機器限制為內部更新服務,請設定 [不要連線到任何 Windows Update 網際網路位置]。