有关将虚拟机从 Microsoft Configuration Manager 迁移到 Azure 更新管理器的指南
适用于:✔️ Windows VM ✔️ Linux VM ✔️ 本地环境 ✔️ 已启用 Azure Arc 的服务器。
本文提供有关如何对当前正在使用 Microsoft Configuration Manager (MCM) 的服务器进行现代化管理的指南。 其中重点介绍了 Azure 更新管理器,它为修补程序管理(MCM 的主要功能)提供基于 Azure 的体验。
首先,让我们列出为不同 System Center 组件提供等效功能的 Azure 服务。
System Center 组件 | Azure 等效服务 |
---|---|
System Center Operations Manager (SCOM) | Azure Monitor SCOM 托管实例 |
System Center Configuration Manager (SCCM),现在称为 Microsoft Configuration Manager (MCM) | Azure 更新管理器、 更改跟踪和清单、 Azure 机器配置(以前称为 Azure Policy 来宾配置)、 Azure 自动化、 Microsoft Defender for Cloud |
System Center Data Protection Manager (SCDPM) | Azure 备份 |
System Center Orchestrator (SCORCH) | Azure 自动化 |
System Center Service Manager (SCSM) | - |
注意
在迁移过程中,建议使用以下选项:
- 将虚拟机完全迁移到 Azure,并将 System Center 替换为 Azure 本机服务。
- 采用混合方法,将 System Center 替换为 Azure 本机服务。 使用 Azure 本机服务管理 Azure 和本地虚拟机。 对于本地虚拟机,Azure 平台的功能通过 Azure Arc 扩展到本地。
迁移到 Azure 更新管理器
MCM 可帮助你管理电脑和服务器、使软件保持最新状态、设置配置和安全策略,以及监视系统状态。 MCM 提供多种特性和功能,软件更新管理就是其中之一。
具体于更新管理或修补,根据你的要求,可以使用本机 Azure 更新管理器以一致的方式管理和治理部署之间的 Windows 和 Linux 计算机的更新合规性。 与需要维护 Azure 虚拟机来托管不同 Configuration Manager 角色的 MCM 不同,Azure 更新管理器设计为独立的 Azure 服务,可提供 Azure 上的 SaaS 体验来管理混合环境。 不需要许可证即可使用 Azure 更新管理器。
注意
- 若要管理客户端/设备,Intune 是建议使用的 Microsoft 解决方案。
- Azure 更新管理器不在 MCM 中提供 Azure VM 的迁移支持。 例如,配置。
软件更新管理功能映射
下表将 MCM 的软件更新管理功能映射到 Azure 更新管理器。
功能 | Microsoft Configuration Manager | Azure 更新管理器 |
---|---|---|
同步站点之间的软件更新(管理中心站点、主站点、辅助站点) | 顶级站点(管理中心站点或独立主站点)连接到 Microsoft 更新以检索软件更新。 了解详细信息。 同步了顶级站点后,将同步子站点。 | Azure 中没有计算机的层次结构,因此连接到 Azure 的所有计算机都从源存储库接收更新。 |
同步软件更新/检查更新(检索补丁元数据) | 可以通过在软件更新点上设置配置来定期扫描更新。 了解详细信息 | 可以启用定期评估,每隔 24 小时扫描补丁一次。 了解详细信息 |
配置分类/产品以同步/扫描/评估 | 可以选择更新分类(安全或关键更新)来同步/扫描/评估。 了解详细信息 | 此处没有此类功能。 扫描整个软件元数据。 |
部署软件更新(安装补丁) | 提供三种部署更新模式: 手动部署 自动部署 分阶段部署 了解详细信息 |
- 映射手动部署以部署一次性更新 - 自动部署映射到计划更新 - 没有分阶段部署选项。 |
在 Windows 和 Linux 计算机上部署软件更新(在 Azure 中或本地或其他云中) | SCCM 可帮助管理对 Windows 计算机的跟踪和软件更新应用(目前,我们不支持 Linux 计算机)。 | Azure 更新管理器支持 Windows 和 Linux 计算机上的软件更新。 |
有关在 MCM 托管计算机上使用 Azure 更新管理器的指南
作为 MCM 用户迁移到 Azure 更新管理器的第一步,你需要在现有的 MCM 托管服务器上启用 Azure 更新管理器(即确保实现 Azure 更新管理器和 MCM 的共存)。 以下部分讨论了第一步可能会遇到的一些挑战。
Azure 更新管理器和 MCM 共存的先决条件
确保在计算机上禁用自动更新。 有关详细信息,请参阅管理其他 Windows 更新设置 - 通过编辑注册表配置自动更新。
确保在以下注册表路径中将 NoAutoUpdate 注册表项设置为 1:
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU
Azure 更新管理器可以从 WSUS 服务器获取更新,为此,请确保将 WSUS 服务器配置为 SCCM 的一部分。
- 确保 WSUS 服务器有足够的空间。
- 确保更新语言选项以下载 WSUS 配置中的包。建议选择必需的语言。 有关详细信息,请参阅步骤 2 - 配置 WSUS。
- 确保在 WSUS 中创建用于自动批准更新的规则,以在 WSUS 服务器上下载适用的包,以便 Azure 更新管理器可以从该 WSUS 服务器获取更新。
- 根据你的需求选择所需的分类,或使它们与 SCCM 中选择的项相同。
- 根据你的需求选择产品,或使它们与 SCCM 中选择的项相同。
- 若要开始,请创建一个测试计算机组并向其应用此规则,以测试这些更改。
- 测试该测试组后,可以将其扩展到所有计算机组。
- 如果需要,在 WSUS 中创建一个排除计算机组。
当前 MCM 设置概览
MCM 客户端使用 WSUS 服务器来扫描第一方更新,因此你在初始设置中配置了 WSUS 服务器。
第三方更新内容也将发布到此 WSUS 服务器。 Azure 更新管理器能够扫描和安装来自 WSUS 的更新,因此我们会利用 MCM 设置中配置的 WSUS 服务器,使 Azure 更新管理器与 MCM 协同工作。
第一方更新
若要让 Azure 更新管理器扫描并安装第一方更新(Windows 和 Microsoft 更新),你应开始审批配置的 WSUS 服务器中的所需更新。 这可以通过在 WSUS 中配置自动审批规则(就像用户在 MCM 服务器上配置的那样)来完成。
第三方更新
第三方更新应按预期工作,前提是你已为第三方修补配置了 MCM,并且能够通过 MCM 成功修补第三方更新。 确保在“启用第三方更新的第 3 步”中继续将第三方更新从 MCM 发布到 WSUS。 发布到 WSUS 后,Azure 更新管理器将能够从 WSUS 服务器检测和安装这些更新。
使用 Azure 更新管理器管理软件更新
登录到 Azure 门户,然后搜索“Azure 更新管理器”。
在“Azure 更新管理器”主页的“管理”>“计算机”下,选择你的订阅以查看所有计算机。
根据可用的选项进行筛选,了解你的特定计算机的状态。
修补计算机
设置评估和修补配置后,可以通过按需更新(一次性或手动更新)进行部署/安装。 还可以使用 Azure 更新管理器的 API 部署更新。
Azure 更新管理器中的限制
以下是当前限制:
- 包含“预/后”脚本的业务流程组 - 无法在 Azure 更新管理器中创建业务流程组来指定维护顺序,允许某些计算机同时进行更新等。 (业务流程组让你可以使用“预/后”脚本在补丁部署前后运行任务)。
常见问题解答
Azure 更新管理器从何处获取它的更新?
Azure 更新管理器会去找计算机指向的存储库。 默认情况下,大多数 Windows 计算机会指向 Windows 更新目录,Linux 计算机配置为从 apt
或 yum
存储库获取更新。 如果计算机指向另一个存储库(如 WSUS 或本地存储库),则 Azure 更新管理器将从该存储库获取更新。
Azure 更新管理器可以修补 OS、SQL 和第三方软件吗?
Azure 更新管理器会去找 VM 指向的存储库(或终结点)。 如果存储库(或终结点)包含 Microsoft 产品、第三方软件等的更新,则 Azure 更新管理器可以安装这些补丁。
默认情况下,Windows VM 会指向 Windows 更新服务器。 Windows 更新服务器不包含 Microsoft 产品和第三方软件的更新。 如果 VM 指向 Microsoft 更新,则 Azure 更新管理器会修补 OS 和 Microsoft 产品。
对于第三方软件修补,Azure 更新管理器应连接到 WSUS,并且你必须发布第三方更新。 我们无法修补 Windows VM 的第三方软件,除非它们在 WSUS 中可用。
我是否需要将 WSUS 配置为使用 Azure 更新管理器?
WSUS 是一种管理补丁的方法。 Azure 更新管理器会去找它被指向的任何终结点。 (Windows 更新、Microsoft 更新或 WSUS)。
我是否应该通过 MCM 部署每月补丁?
否,只有每月批准 WSUS 中的补丁或设置了自动部署规则 (ADR) 时才会扫描和安装服务器上的补丁。
如何使用 Azure 更新管理器来管理本地虚拟机?
可以使用 Azure Arc 在本地使用 Azure 更新管理器。Azure Arc 是扩展 Azure 平台的桥梁,它能够帮助构建可跨数据中心、在边缘和在多云环境中灵活运行的应用程序和服务。 Azure Arc VM 管理让你可以预配和管理本地托管的 Windows 和 Linux VM。 此功能使 IT 管理员能够使用 Azure 管理工具(包括 Azure 门户、Azure CLI、Azure PowerShell 和 Azure 资源管理器 (ARM) 模板)来管理 Arc VM。