Azure 更新管理器常见问题解答
本常见问题解答列出了有关 Azure 更新管理器的常见问题。 如果对其功能还有其他任何问题,请转到论坛并发布问题。 如果某个问题经常被问到,我们会将其添加到本文中,以便可以快捷轻松地找到该问题。
基础
使用 Azure 更新管理器有什么好处?
Azure 更新管理器提供 SaaS 解决方案,用于管理和治理跨 Azure、本地及多云环境的 Windows 和 Linux 计算机的软件更新。 以下是使用 Azure 更新管理器的好处:
- 监视 Azure (Azure VM)、本地和多云环境(已启用 Arc 的服务器)中整个计算机队列的更新合规性。
- 查看和部署挂起的更新以立即保护计算机。
- 使用自动虚拟机来宾修补在非高峰时间向 Azure 虚拟机增量推出更新,并通过启用热修补减少重新启动。
- 每 24 小时自动评估一次计算机的挂起更新,并标记不合规的计算机。 使用 Azure Policy 强制在多台计算机上大规模启用定期评估。
- 创建自定义报告,以便更深入地了解环境的更新数据。
- 使用 Azure 角色和标识对 Azure 资源进行细粒度访问管理,以控制谁可以执行更新操作和编辑计划。
新的 Azure 更新管理器如何在计算机上工作?
每当在计算机上触发任何 Azure 更新管理器操作时,它会在与 VM 代理(对于 Azure 计算机)或 Arc 代理(对于已启用 Arc 的计算机)交互的计算机上推送扩展来提取和安装更新。
对于未在 Azure 上运行的计算机的补丁管理,是否必须启用 Azure Arc?
是的,必须为未在 Azure 上运行的计算机启用 Arc,才能使用更新管理器进行管理。
新的 Azure 更新管理器是否依赖于 Azure 自动化和 Log Analytics?
否,它是虚拟机上的本机功能。
Azure 更新管理器中存储的更新数据在哪里?
所有 Azure 更新管理器数据存储在 Azure Resource Graph (ARG) 中。 可以对更新数据生成自定义报告,以便更深入地了解和使用 Azure 工作簿的模式 了解详细信息
是否存在与 Azure 更新管理器交互的编程方式?
是的,Azure 更新管理器对 Azure 计算机和已启用 Arc 的计算机支持 REST API、CLI 和 PowerShell。
是否需要 MMA 或 AMA 才能使用 Azure 更新管理器来管理计算机?
否,它是虚拟机上的本机功能,不依赖于 MMA 或 AMA。
Azure 更新管理器支持哪些操作系统?
有关详细信息,请参阅 Azure 更新管理器操作系统支持。
更新管理器是否支持 Windows 10、11?
自动化更新管理不支持修补 Windows 10 和 11。 Azure 更新管理器也是如此。 建议使用 Microsoft Intune 作为使 Windows 10 和 11 设备保持最新状态的解决方案。
Log Analytics 代理停用的影响
如何从自动化更新管理迁移到 Azure 更新管理器?
请按照指导从自动化更新管理迁移到 Azure 更新管理器。
LA 代理(也称为 MMA)即将停用,并将替换为 AMA。 是否需要迁移到更新管理器,或者是否可以继续将自动化更新管理与 AMA 配合使用?
Azure Log Analytics 代理(也称为 Microsoft Monitoring Agent (MMA))将于 2024 年 8 月停用。 Azure 自动化更新管理解决方案依赖于此代理,在代理停用后可能会遇到问题。 它也不能与 Azure 监视代理 (AMA) 配合使用。
因此,如果使用 Azure 自动化更新管理解决方案,建议迁移到 Azure 更新管理器以满足其软件更新需求。 在停用日期之前,Azure 自动化更新管理解决方案的所有功能将在 Azure 更新管理器上可用。 请按照指导将计算机的更新管理移动到 Azure 更新管理器。
如果我仍在使用自动化更新管理时迁移到 AMA,我的解决方案是否会中断?
是的。 自动化更新管理与 AMA 不兼容。 建议先将计算机移动到 Azure 更新管理器,然后再从计算机中删除 MMA。 更新管理器不依赖于 MMA 或 AMA。
如果迁移到 Azure 更新管理器,是否会丢失自动化更新管理更新相关的数据?
自动化更新管理使用 Log Analytics 工作区来存储更新数据。 Azure 更新管理器使用 Azure Resource Graph 来存储数据。 可以继续对旧数据使用 Log Analytics 工作区中的历史数据,并对新数据使用 Azure Resource Graph。
我为自动化更新管理构建了一些报表/仪表板。 如何迁移它们?
可以从 Azure Resource Graph (ARG) 重新生成有关更新数据的自定义仪表板/报表。 有关详细信息,请参阅如何查询 ARG 数据和示例查询。 这些是一些内置工作簿,可以根据需要进行修改以开始使用。 有关详细信息,请参阅如何使用工作簿创建报表。
我一直在使用自动化更新管理中保存的搜索来获取计划。 如何迁移到 Azure 更新管理器?
为计算机启用 Arc 是使用更新管理器进行管理的先决条件。 若要迁移保存的搜索, 可以为其启用 Arc,然后使用动态范围功能定义相同的计算机范围。 了解详细信息。
如果我在自动化更新管理中使用了前处理和后处理脚本或警报功能,如何迁移到 Azure 更新管理器?
这些功能将添加到 Azure 更新管理器。 有关详细信息,请参阅从自动化更新管理迁移到 Azure 更新管理器的指导。
我在主权云上使用自动化更新管理;是否将在新 Azure 更新管理器中获取区域支持?
是,你可以,因为 Azure 更新管理器在主权云中可用。
定价
Azure 更新管理器的定价是多少?
Azure 更新管理器可免费用于管理 Azure VM 和已启用 Arc 的 Azure Stack HCI VM(对于已启用 Azure 权益的虚拟机)。 对于已启用 Arc 的服务器,价格为每个服务器每月 5 美元(假设使用 31 天)。
如何计算已启用 Arc 的服务器的 Azure 更新管理器价格?
对于已启用 Arc 的服务器,Azure 更新管理器每月收取 5 美元/服务器的费用(假设联网使用 31 天)。 它按 0.16/服务器/天的每日比例计费。 已启用 Arc 的计算机只会在已连接并由 Azure 更新管理器管理的时间内收费。
已启用 Arc 的服务器何时被视为由 Azure 更新管理器管理?
在计算机满足以下两个条件的时间内,已启用 Arc 的服务器被视为由 Azure 更新管理器管理:
- Arc 在一天中的任何时间处于“已连接”状态。
- 在那一天触发了更新操作(按需或通过计划作业进行修补、按需或通过定期评估来进行评估),或者更新操作与计划相关联。
是否在某些情况下不会向已启用 Arc 的服务器收取 Azure 更新管理器的费用?
在以下情况下,不会向使用 Azure 更新管理器进行管理的已启用 Arc 的服务器收费:
- 如果计算机能够交付由 Azure Arc 启用的扩展安全更新 (ESU)。
- 为托管已启用 Arc 的服务器的订阅启用了 Microsoft Defender for Servers 计划 2。 但是,如果客户使用的是使用安全连接器的 Defender,则会收取费用。
如果我从自动化更新管理迁移到更新管理器,是否会收费?
自 2023 年 9 月 1 日起,对于免费使用自动化更新管理的已启用 Arc 的现有服务器,将不会向客户收取费用。 任何将加入同一订阅中的 Azure 更新管理器的已启用 Arc 的新计算机也将免除费用。 此例外情况将一直提供到 LA 代理停用为止。 在该日期之后,将向客户收取费用。
我是 Defender for Server 客户而且我使用由 Azure 更新管理器提供技术支持的更新建议,即“应在计算机上启用定期评估”和“应在计算机上安装系统更新”。 我是否会为 Azure 更新管理器付费?
如果已购买 Defender for Servers 计划 2,则无需支付费用就能修正上述两项建议中不正常的资源。 但如果对 Arc 计算机使用任何其他 Defender for Server 计划,则 Azure 更新管理器每天按 0.16 美元/服务器的价格向这些计算机收费。
Azure 更新管理器是否对 Azure Stack HCI 收费?
Azure更新管理器不为托管 Azure Stack HCI 群集的计算机收费,这些群集已启用 Azure 福利和 Azure Arc VM 管理。 了解详细信息。
更新管理器支持和集成
Azure 更新管理器是否支持与 Azure Lighthouse 集成?
Azure 更新管理器目前不支持 Azure Lighthouse 集成。
Azure 更新管理器是否支持 Azure Policy?
是的,Azure 更新管理器支持通过策略更新功能。 有关详细信息,请参阅如何使用策略大规模启用定期评估。
我在自动化更新管理中拥有跨多个订阅的计算机。 Azure 更新管理器是否支持此方案?
是的,Azure 更新管理器支持多订阅方案。
是否有指导可用于将 VM 和计划从 SCCM 迁移到 Azure 更新管理器?
客户可以按照本指南将更新配置从 SCCM 迁移到 Azure 更新管理器。
杂项
是否可以将计算机配置为从 WSUS (Windows) 和专用存储库 (Linux) 提取更新?
默认情况下,Azure 更新管理器依赖于计算机上运行的 Windows 更新 (WU) 客户端来提取更新。 可以将 WU 客户端配置为从 Microsoft 更新/WSUS 存储库提取更新,并使用 Azure 更新管理器管理补丁计划。
同样,对于 Linux,可以通过将计算机指向公共存储库或者克隆定期从上游拉取更新的专用存储库来提取更新。
Azure 更新管理器遵循计算机设置并相应地安装更新。
Azure 更新管理器是否存储客户数据?
Azure 更新管理器不会将客户数据移出部署的区域或存储到部署区域以外的区域。