Leitfaden zum Migrieren von Azure-VMs aus Microsoft Configuration Manager zu Azure Update Manager
Gilt für: ✔️ Windows-VMs ✔️ Linux-VMs ✔️ Lokale Umgebung ✔️ Azure Arc-fähige Server.
Dieser Artikel enthält einen Leitfaden zur Modernisierung der Verwaltung von Servern, für die Sie derzeit Microsoft Configuration Manager (MCM) verwenden. Der Schwerpunkt liegt auf Azure Update Manager, der Azure-basierte Erfahrungen für die Patchverwaltung bereitstellt – die Hauptfunktion von MCM.
Zunächst werden die Azure-Dienste aufgelistet, die gleichwertige Funktionen für die verschiedenen System Center-Komponenten bereitstellen.
| System Center-Komponente | Entsprechender Azure-Dienst |
|---|---|
| System Center Operations Manager (SCOM) | Verwaltete Azure Monitor SCOM-Instanz |
| System Center Configuration Manager (SCCM), jetzt Microsoft Configuration Manager (MCM) genannt | Azure Update Manager, Änderungsnachverfolgung und Bestand, Azure-Computerkonfiguration (ehemals Azure Policy-Gastkonfiguration), Azure Automation, Microsoft Defender for Cloud |
| System Center Data Protection Manager (SCDPM) | Azure Backup |
| System Center Orchestrator (SCORCH) | Azure Automation |
| System Center Service Manager (SCSM) | - |
Hinweis
Für Ihren Migrationsprozess empfehlen wir die folgenden Optionen:
- Migrieren Sie Ihre virtuellen Computer vollständig zu Azure, und ersetzen Sie System Center durch native Azure-Dienste.
- Nutzen Sie einen hybriden Ansatz, und ersetzen Sie System Center durch native Azure-Dienste. Dabei werden sowohl Azure-VMs als auch lokale virtuelle Computer mit nativen Azure-Diensten verwaltet. Für lokale virtuelle Computer werden die Funktionen der Azure-Plattform über Azure Arc auf lokale Funktionen erweitert.
Migrieren zu Azure Update Manager
Mit MCM können Sie Ihre PCs und Server verwalten, Software auf dem neuesten Stand halten, Konfigurations- und Sicherheitsrichtlinien festlegen und den Systemstatus überwachen. MCM bietet mehrere Features und Funktionen, u. a. die Updateverwaltung für Software.
Speziell für die Updateverwaltung oder Patching können Sie gemäß Ihren Anforderungen den nativen Azure Update Manager verwenden, um die Updatecompliance für Windows- und Linux-Computer in Ihren Bereitstellungen auf einheitliche Weise zu verwalten und zu steuern. Im Gegensatz zu MCM, bei dem virtuelle Azure-Maschinen für das Hosting der verschiedenen Configuration Manager-Rollen verwaltet werden müssen, ist Azure Update Manager als eigenständiger Azure-Dienst konzipiert, um SaaS-Erfahrung auf Azure für die Verwaltung hybrider Umgebungen zu bieten. Sie benötigen keine Lizenz für die Verwendung von Azure Update Manager.
Hinweis
- Zum Verwalten von Clients/Geräten ist Intune die empfohlene Microsoft-Lösung.
- Azure Update Manager bietet keine Migrationsunterstützung für Azure-VMs in MCM, z. B. Konfigurationen.
Zuordnung der Verwaltungsfunktionen für Softwareupdates
In der folgenden Tabelle werden die Funktionen für die Verwaltung von Softwareupdates in MCM den entsprechenden Azure Update Manager-Funktionen zugeordnet.
| Funktion | Microsoft Configuration Manager | Azure Update Manager |
|---|---|---|
| Synchronisieren von Softwareupdates zwischen Standorten (zentraler Verwaltungsstandort, primäre und sekundäre Standorte) | Der Standort der obersten Ebene (zentraler Verwaltungsstandort oder eigenständiger primärer Standort) stellt eine Verbindung mit Microsoft Update zum Abrufen von Softwareupdates her. Weitere Informationen Nachdem die Standorte der obersten Ebene synchronisiert wurden, werden die untergeordneten Standorte synchronisiert. | Es gibt keine Hierarchie von Computern in Azure, daher erhalten alle mit Azure verbundenen Computer Updates aus dem Quellrepository. |
| Synchronisieren von Softwareupdates/Suchen nach Updates (Patchmetadaten abrufen) | Sie können regelmäßig nach Updates suchen, indem Sie die Konfiguration auf dem Softwareupdatepunkt festlegen. Weitere Informationen | Sie können eine regelmäßige Bewertung aktivieren, um die Überprüfung von Patches alle 24 Stunden zu ermöglichen. Weitere Informationen |
| Konfigurieren von Klassifizierungen/Produkten für die Synchronisierung/Überprüfung/Bewertung | Sie können die Updateklassifizierungen (Sicherheits- oder kritische Updates) zum Synchronisieren/Überprüfen/Bewerten auswählen. Weitere Informationen | Hier gibt es keine solche Funktion. Die gesamten Softwaremetadaten werden gescannt. |
| Bereitstellen von Softwareupdates (Installieren von Patches) | Stellt drei Modi für die Bereitstellung von Updates bereit: Manuelle Bereitstellung Automatische Bereitstellung Bereitstellung in Phasen Weitere Informationen |
– Die manuelle Bereitstellung ist der Bereitstellung voneinmaligen Updates zugeordnet. – Die automatische Bereitstellung ist geplanten Updates zugeordnet. – Es gibt keine Option für die phasenweise Bereitstellung. |
| Bereitstellen von Softwareupdates auf Windows- und Linux-Computern (in Azure oder lokal oder in anderen Clouds) | SCCM hilft beim Nachverfolgen und Anwenden von Softwareupdates auf Windows-Computern (derzeit unterstützen wir keine Linux-Computer). | Azure Update Manager unterstützt Softwareupdates auf Windows- und Linux-Computern. |
Leitfaden zur Verwendung von Azure Update Manager auf verwalteten MCM-Computern
Als erster Schritt auf dem Weg eines MCM-Benutzers zu Azure Update Manager müssen Sie Azure Update Manager auf Ihren vorhandenen MCM-verwalteten Servern aktivieren (d. h. sicherstellen, dass Azure Update Manager und MCM gleichzeitig vorhanden sind). Im folgenden Abschnitt werden einige Herausforderungen behandelt, die bei diesem ersten Schritt auftreten können.
Voraussetzungen für Azure Update Manager- und MCM-Koexistenz
Stellen Sie sicher, dass die automatischen Updates auf dem Computer deaktiviert sind. Weitere Informationen finden Sie unter Verwalten zusätzlicher Windows Update-Instanzen – Windows-Bereitstellung.
Stellen Sie sicher, dass der Registrierungspfad HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU, NoAutoUpdate auf 1 festgelegt ist.
Azure Update Manager kann Updates vom WSUS-Server abrufen. Stellen Sie dafür sicher, dass der WSUS-Server als Teil von SCCM konfiguriert wird.
- Stellen Sie sicher, dass der WSUS-Server über genügend Speicherplatz verfügt.
- Stellen Sie sicher, dass die Sprachoption aktualisiert wird, um die Pakete in der WSUS-Konfiguration herunterzuladen. Es wird empfohlen, die erforderlichen Sprachen auszuwählen. Weitere Informationen finden Sie unter Schritt 2: Konfigurieren von WSUS.
- Stellen Sie sicher, dass Sie eine Regel zum automatischen Genehmigen von Updates in WSUS erstellen, um die entsprechenden Pakete auf dem WSUS-Server herunterzuladen, damit Azure Update Manager die Updates von diesem WSUS-Server abrufen kann.
- Wählen Sie Klassifizierungen aus, die Sie gemäß Ihren Anforderungen benötigen, oder behalten Sie die Auswahl von SCCM bei.
- Wählen Sie Produkte gemäß den Anforderungen aus, oder behalten Sie die Auswahl von SCCM bei.
- Erstellen Sie zunächst eine Testcomputergruppe, und wenden Sie diese Regel darauf an, um diese Änderungen zu testen.
- Nach dem Testen der Testgruppe können Sie sie auf alle Computergruppen ausdehnen.
- Erstellen Sie bei Bedarf eine Ausschlusscomputergruppe in WSUS.
Übersicht über das aktuelle MCM-Setup
Der MCM-Client verwendet den WSUS-Server zum Suchen nach Updates von Erstanbietern, daher wird der WSUS-Server im Rahmen des anfänglichen Setups konfiguriert.
Updates für Inhalte von Drittanbietern werden ebenfalls auf diesem WSUS-Server veröffentlicht. Azure Update Manager verfügt über die Möglichkeit, Updates von WSUS zu überprüfen und zu installieren, daher konnten wir den im Rahmen des MCM-Setups konfigurierten WSUS-Server nutzen, damit Azure Update Manager zusammen mit MCM funktioniert.
Erstanbieter-Updates
Damit Azure Update Manager Updates von Erstanbietern (Windows- und Microsoft-Updates) scannen und installieren kann, sollten Sie mit der Genehmigung der erforderlichen Updates auf dem konfigurierten WSUS-Server beginnen. Dies geschieht durch Konfigurieren einer automatischen Genehmigungsregel in WSUS, ähnlich der Konfiguration für Benutzer auf dem MCM-Server.
Drittanbieterupdates
Updates von Drittanbietern sollten mit Azure Update Manager wie erwartet funktionieren, vorausgesetzt, Sie haben MCM bereits für das Drittanbieterpatching konfiguriert, und es können Updates von Drittanbietern erfolgreich über MCM gepatcht werden. Stellen Sie sicher, dass Sie weiterhin Updates von Drittanbietern aus MCM in WSUS veröffentlichen (Schritt 3 in beim Veröffentlichen von Updates von Drittanbietern). Nach der Veröffentlichung in WSUS kann Azure Update Manager diese Updates vom WSUS-Server erkennen und installieren.
Verwalten von Softwareupdates mit Azure Update Manager
Melden Sie sich beim Azure-Portal an, und suchen Sie Azure Update Manager.
Wählen Sie auf der Startseite Azure Update Manager unter Verwalten>Computer Ihr Abonnement aus, um alle Ihre Computer anzuzeigen.
Filtern Sie mit den verfügbaren Optionen, um den Status Ihrer spezifischen Computer anzuzeigen.
Wählen Sie die geeigneten Optionen für Bewertung und Patching gemäß Ihrer Anforderung aus.
Patchen von Computern
Nachdem Sie die Konfiguration für Bewertung und Patching eingerichtet haben, können Sie Updates über On-Demand-Updates (einmaliges oder manuelles Update) bereitstellen und installieren oder nur Updates planen (automatisches Update). Sie können Updates auch mit der API für Azure Update Manager bereitstellen.
Einschränkungen für Azure Update Manager
Im Folgenden sind die aktuellen Einschränkungen aufgeführt:
- Orchestrierungsgruppen mit Pre-/Post-Skripts - Orchestrierungsgruppen können in Azure Update Manager nicht erstellt werden, um eine Wartungssequenz anzugeben, gleichzeitig mehrere Computer für Updates zuzulassen usw. (Mit den Orchestrierungsgruppen können Sie die Pre-/Post-Skripts verwenden, um Aufgaben vor und nach einer Patchbereitstellung auszuführen.)
Häufig gestellte Fragen
Woher erhält Azure Update Manager die Updates?
Azure Update Manager bezieht sich auf das Repository, auf das die Computer verweisen. Die meisten Windows-Computer verweisen standardmäßig auf den Windows Update-Katalog. Linux-Computer sind für das Abrufen von Updates aus dem apt- oder yum-Repository konfiguriert. Wenn die Computer auf ein anderes Repository verweisen, z. B. WSUS oder ein lokales Repository, ruft Azure Update Manager die Updates aus diesem Repository ab.
Kann Azure Update Manager Betriebssystem-, SQL- und Drittanbietersoftware patchen?
Azure Update Manager bezieht sich auf die Repositorys (oder Endpunkte), auf die die VMs verweisen. Wenn das Repository (oder Endpunkte) Updates für Microsoft-Produkte, Software von Drittanbietern usw. enthält, kann Azure Update Manager diese Patches installieren.
Standardmäßig verweisen Windows-VMs auf den Windows Update-Server. Der Windows Update-Server enthält keine Updates für Microsoft-Produkte und Software von Drittanbietern. Wenn die virtuellen Computer auf Microsoft Update verweisen, werden das Betriebssystem und Microsoft-Produkte von Azure Update Manager gepatcht.
Für das Patchen von Drittanbietersoftware sollte Azure Update Manager mit WSUS verbunden sein, und Sie müssen die Updates von Drittanbietern veröffentlichen. Es ist nicht möglich, Software von Drittanbietern für Windows-VMs zu patchen, es sei denn, sie sind in WSUS verfügbar.
Muss ich WSUS für die Verwendung von Azure Update Manager konfigurieren?
WSUS ist eine Möglichkeit zum Verwalten von Patches. Azure Update Manager bezieht sich auf den Endpunkt, auf den verwiesen wird. (Windows Update, Microsoft Update oder WSUS).
Sollte ich den monatlichen Patch über MCM bereitstellen?
Nein, nur durch die Genehmigung von Patches in WSUS (monatlich) oder das Festlegen der Regeln für die automatische Bereitstellung (Automatic Deployment Rules, ADRs) werden Ihre Server überprüft und Patches installiert.
Wie kann Azure Update Manager verwendet werden, um lokale virtuelle Computer zu verwalten?
Azure Update Manager kann lokal mithilfe von Azure Arc verwendet werden. Azure Arc ist eine Brücke, die die Azure-Plattform erweitert und dadurch das Erstellen von Anwendungen und Diensten ermöglicht, die flexibel in Rechenzentren, am Edge und in Multicloudumgebungen ausgeführt werden können. Mit der Azure Arc-VM-Verwaltung können Sie Windows- und Linux-VMs bereitstellen und verwalten, die lokal gehostet werden. Mit diesem Feature können IT-Administratoren Arc-VMs mithilfe von Azure-Verwaltungstools verwalten, u. a. Azure-Portal, Azure CLI, Azure PowerShell und ARM-Vorlagen (Azure Resource Manager).