Panduan tentang memigrasikan virtual machines dari Microsoft Configuration Manager ke Manajer Pembaruan Azure
Berlaku untuk: ✔️ VM Windows VM ✔️ ✔️ Linux Lingkungan ✔️ lokal server yang didukung Azure Arc.
Artikel ini menyediakan panduan untuk memodernisasi manajemen server yang saat ini Anda gunakan microsoft Configuration Manager (MCM). Kami akan fokus pada Azure Update Manager yang memberikan pengalaman berbasis Azure untuk manajemen patch, kemampuan utama MCM.
Untuk memulainya, mari kita cantumkan Layanan Azure yang menyediakan kemampuan yang setara untuk komponen Pusat Sistem yang berbeda.
| Komponen Pusat Sistem | Layanan setara Azure |
|---|---|
| Sistem Manajer Pengoperasian Pusat (SCOM) | Instans Terkelola Azure Monitor SCOM |
| System Center Configuration Manager (SCCM), sekarang disebut Microsoft Configuration Manager (MCM) | Azure Update Manager, Pelacakan Perubahan dan Inventarisasi, Konfigurasi Mesin Azure (sebelumnya disebut Konfigurasi Tamu Azure Policy), Azure Automation, Microsoft Defender untuk Cloud |
| System Center Data Protection Manager (SCDPM) | Pencadangan Azure |
| System Center Orchestrator (SCORCH) | Otomatisasi Azure |
| System Center Service Manager (SCSM) | - |
Catatan
Sebagai bagian dari perjalanan migrasi Anda, kami merekomendasikan opsi berikut:
- Migrasikan komputer virtual Anda sepenuhnya ke Azure dan ganti Pusat Sistem dengan layanan asli Azure.
- Ambil pendekatan hibrid dan ganti Pusat Sistem dengan layanan asli Azure. Di mana komputer virtual Azure dan lokal dikelola menggunakan layanan asli Azure. Untuk komputer virtual lokal, kemampuan platform Azure diperluas ke lokal melalui Azure Arc.
Migrasi ke Azure Update Manager
MCM membantu Anda mengelola PC dan server, menjaga perangkat lunak tetap terbaru, mengatur kebijakan konfigurasi dan keamanan, dan memantau status sistem. MCM menawarkan beberapa fitur dan kemampuan dan manajemen pembaruan perangkat lunak adalah salah satunya.
Khusus untuk manajemen pembaruan atau patching, sesuai kebutuhan Anda, Anda dapat menggunakan Azure Update Manager asli untuk mengelola dan mengatur kepatuhan pembaruan untuk komputer Windows dan Linux di seluruh penyebaran Anda secara konsisten. Tidak seperti MCM yang perlu mempertahankan komputer virtual Azure untuk menghosting peran Configuration Manager yang berbeda, Azure Update Manager dirancang sebagai layanan Azure mandiri untuk memberikan pengalaman SaaS di Azure untuk mengelola lingkungan hibrid. Anda tidak memerlukan lisensi untuk menggunakan Azure Update Manager.
Catatan
- Untuk mengelola klien/perangkat, Intune adalah solusi Microsoft yang direkomendasikan.
- Manajer Pembaruan Azure tidak menyediakan dukungan migrasi untuk VM Azure di MCM. Misalnya, konfigurasi.
Peta kemampuan manajemen pembaruan perangkat lunak
Tabel berikut memetakan kemampuan manajemen pembaruan perangkat lunak MCM ke Azure Update Manager.
| Kemampuan | Microsoft Configuration Manager | Azure Update Manager |
|---|---|---|
| Menyinkronkan pembaruan perangkat lunak antar situs (situs Admin Pusat, Utama, Situs sekunder) | Situs teratas (baik situs admin pusat atau situs utama yang berdiri sendiri) tersambung ke Microsoft Update untuk mengambil pembaruan perangkat lunak. Pelajari selengkapnya. Setelah situs teratas disinkronkan, situs anak disinkronkan. | Tidak ada hierarki komputer di Azure dan oleh karena itu semua komputer yang terhubung ke Azure menerima pembaruan dari repositori sumber. |
| Menyinkronkan pembaruan perangkat lunak/memeriksa pembaruan (mengambil metadata patch) | Anda dapat memindai pembaruan secara berkala dengan mengatur konfigurasi pada titik pembaruan Perangkat Lunak. Pelajari lebih lanjut | Anda dapat mengaktifkan penilaian berkala untuk mengaktifkan pemindaian patch setiap 24 jam. Pelajari lebih lanjut |
| Mengonfigurasi klasifikasi/produk untuk menyinkronkan/memindai/menilai | Anda dapat memilih klasifikasi pembaruan (pembaruan keamanan atau kritis) untuk menyinkronkan/memindai/menilai. Pelajari lebih lanjut | Tidak ada kemampuan seperti itu di sini. Seluruh metadata perangkat lunak dipindai. |
| Menyebarkan pembaruan perangkat lunak (memasang patch) | Menyediakan tiga mode penyebaran pembaruan: Penyebaran manual Penyebaran otomatis Penyebaran bertahap Pelajari selengkapnya |
- Penyebaran manual dipetakan untuk menyebarkan pembaruan satu kali - Penyebaran otomatis dipetakan ke pembaruan terjadwal - Tidak ada opsi penyebaran bertahap. |
| Menyebarkan pembaruan perangkat lunak pada komputer Windows dan Linux (di Azure atau lokal atau cloud lainnya) | SCCM membantu mengelola pelacakan dan menerapkan pembaruan perangkat lunak ke komputer Windows (Saat ini, kami tidak mendukung komputer Linux.) | Azure Update Manager mendukung pembaruan perangkat lunak pada komputer Windows dan Linux. |
Panduan untuk menggunakan Azure Update Manager di komputer terkelola MCM
Sebagai langkah pertama dalam perjalanan pengguna MCM menuju Azure Update Manager, Anda perlu mengaktifkan Azure Update Manager di server terkelola MCM yang ada (yaitu memastikan bahwa azure Update Manager dan mcm co-existence tercapai). Bagian berikut mengatasi beberapa tantangan yang mungkin Anda temui di langkah pertama ini.
Prasyarat untuk Azure Update Manager dan eksistensi MCM
Pastikan bahwa pembaruan Otomatis pada komputer telah dinonaktifkan. Untuk informasi selengkapnya, lihat Mengelola pengaturan Windows Update tambahan - Mengonfigurasi Pembaruan Otomatis dengan mengedit registri.
Pastikan bahwa kunci registri NoAutoUpdate diatur ke 1 di jalur registri berikut:
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AUAzure Update Manager bisa mendapatkan pembaruan dari server WSUS dan untuk ini, pastikan untuk mengonfigurasi server WSUS sebagai bagian dari SCCM.
- Pastikan bahwa server WSUS memiliki ruang yang cukup.
- Pastikan untuk memperbarui opsi bahasa untuk mengunduh paket dalam konfigurasi WSUS. Kami menyarankan agar Anda memilih bahasa yang diperlukan. Untuk informasi selengkapnya, lihat Langkah 2 - Mengonfigurasi WSUS.
- Pastikan telah membuat aturan untuk secara otomatis menyetujui pembaruan di WSUS guna mengunduh paket yang berlaku di server WSUS sehingga Manajer Pembaruan Azure bisa mendapatkan pembaruan dari server WSUS ini.
- Pilih klasifikasi yang Anda inginkan sesuai kebutuhan Anda atau pertahankan sama seperti yang dipilih di SCCM.
- Pilih produk sesuai persyaratan atau pertahankan sama seperti yang dipilih di SCCM.
- Untuk memulai, buat grup komputer uji dan terapkan aturan ini ke dalamnya, untuk menguji perubahan ini.
- Setelah menguji grup uji, Anda dapat memperluasnya ke semua grup komputer.
- Buat grup komputer pengecualian di WSUS jika diperlukan.
Gambaran umum penyiapan MCM saat ini
Klien MCM menggunakan server WSUS untuk memindai pembaruan pihak pertama, oleh karena itu Anda memiliki server WSUS yang dikonfigurasi sebagai bagian dari penyiapan awal.
Konten pembaruan pihak ketiga juga diterbitkan ke server WSUS ini. Manajer Pembaruan Azure memiliki kemampuan memindai & menginstal pembaruan dari WSUS, sehingga kami akan memanfaatkan server WSUS yang dikonfigurasi sebagai bagian dari penyiapan MCM untuk membuat Manajer Pembaruan Azure berfungsi bersama dengan MCM.
Pembaruan pihak pertama
Agar Manajer Pembaruan Azure dapat memindai dan menginstal pembaruan pihak pertama (pembaruan Windows dan Microsoft), Anda harus mulai menyetujui pembaruan yang diperlukan di server WSUS yang dikonfigurasi. Ini dilakukan dengan mengonfigurasi aturan persetujuan otomatis di WSUS seperti apa yang telah dikonfigurasi pengguna di server MCM.
Pembaruan pihak ketiga
Pembaruan pihak ketiga seharusnya berfungsi seperti yang diharapkan dengan Manajer Pembaruan Azure asalkan Anda telah mengonfigurasi MCM untuk patching pihak ketiga dan dapat berhasil melakukan patch pembaruan pihak Ketiga melalui MCM. Pastikan Anda terus menerbitkan pembaruan pihak ketiga ke WSUS dari MCM Langkah 3 di Mengaktifkan pembaruan pihak ketiga. Setelah Anda menerbitkan ke WSUS, Manajer Pembaruan Azure akan dapat mendeteksi dan menginstal pembaruan ini dari server WSUS.
Mengelola pembaruan perangkat lunak menggunakan Azure Update Manager
Masuk ke portal Azure dan cari Azure Update Manager.
Di beranda Azure Update Manager, di bawah Kelola>Komputer, pilih langganan Anda untuk melihat semua komputer Anda.
Filter sesuai opsi yang tersedia untuk mengetahui status komputer spesifik Anda.
Pilih opsi penilaian dan patching yang sesuai dengan persyaratan Anda.
Mesin patch
Setelah menyiapkan konfigurasi untuk penilaian dan patching, Anda dapat menyebarkan/menginstal baik melalui pembaruan sesuai permintaan (Pembaruan satu kali atau manual) atau menjadwalkan pembaruan (pembaruan otomatis) saja. Anda juga dapat menyebarkan pembaruan menggunakan API Azure Update Manager.
Batasan di Azure Update Manager
Berikut ini adalah batasan saat ini:
- Grup orkestrasi dengan grup Orkestrasi skrip - Pra/Posting tidak dapat dibuat di Azure Update Manager untuk menentukan urutan pemeliharaan, memungkinkan beberapa komputer untuk pembaruan secara bersamaan dan sebagainya. (Grup orkestrasi memungkinkan Anda menggunakan skrip pra/posting untuk menjalankan tugas sebelum dan sesudah penyebaran patch).
Tanya jawab umum
Dari mana Azure Update Manager mendapatkan pembaruannya?
Azure Update Manager mengacu pada repositori tempat komputer menunjuk. Sebagian besar komputer Windows secara default menunjuk ke katalog Windows Update dan komputer Linux dikonfigurasi untuk mendapatkan pembaruan dari apt repositori atau yum . Jika komputer menunjuk ke repositori lain seperti WSUS atau repositori lokal, Azure Update Manager mendapatkan pembaruan dari repositori tersebut.
Dapatkah Azure Update Manager menambal OS, SQL, dan perangkat lunak pihak ketiga?
Azure Update Manager mengacu pada repositori (atau titik akhir) yang diarahkan VM. Jika repositori (atau titik akhir) berisi pembaruan untuk produk Microsoft, perangkat lunak pihak ketiga, dll. Maka Azure Update Manager dapat menginstal patch ini.
Secara default, VM Windows menunjuk ke server Windows Update. Server Windows Update tidak berisi pembaruan untuk produk Microsoft, dan perangkat lunak pihak ketiga. Jika VM menunjuk ke Pembaruan Microsoft, Azure Update Manager menambal OS dan produk Microsoft.
Untuk patching perangkat lunak pihak ketiga, Azure Update Manager harus terhubung ke WSUS dan Anda harus menerbitkan pembaruan pihak ketiga. Kami tidak dapat menambal perangkat lunak pihak ketiga untuk VM Windows kecuali tersedia di WSUS.
Apakah saya perlu mengonfigurasi WSUS untuk menggunakan Azure Update Manager?
WSUS adalah cara untuk mengelola patch. Azure Update Manager akan merujuk ke titik akhir mana pun yang ditunjukkan. (Windows Update, Microsoft Update, atau WSUS).
Haruskah saya menyebarkan patch bulanan melalui MCM?
Tidak, hanya menyetujui patch di WSUS setiap bulan atau mengatur Aturan Penyebaran Otomatis (ADR) yang akan memindai dan menginstal patch di server Anda.
Bagaimana Manajer Pembaruan Azure dapat digunakan untuk mengelola virtual machines lokal?
Manajer Pembaruan Azure dapat digunakan secara lokal dengan menggunakan Azure Arc. Azure Arc adalah jembatan yang memperluas platform Azure untuk membantu Anda membangun aplikasi dan layanan dengan fleksibilitas untuk dijalankan di seluruh pusat data, di edge, dan di lingkungan multicloud. Manajemen VM Azure Arc memungkinkan Anda memprovisikan serta mengelola VM Windows dan Linux yang dihosting secara lokal. Fitur ini memungkinkan admin TI untuk mengelola VM Arc dengan menggunakan alat manajemen Azure, termasuk portal Azure, Azure CLI, Azure PowerShell, dan templat Azure Resource Manager (ARM).