Préparer la livraison des mises à jour de sécurité étendues pour Windows Server 2012
Windows Server 2012 et Windows Server 2012 R2 ayant atteint la fin de leur support le 10 octobre 2023, les serveurs avec Azure Arc vous permettent d’inscrire vos machines Windows Server 2012/2012 R2 existantes dans Mises à jour de sécurité étendues (ESU). Offrant une flexibilité des coûts et une expérience de livraison améliorée, Azure Arc vous permet de mieux migrer vers Azure.
L’objectif de cet article est de vous aider à comprendre les avantages et à préparer l’utilisation de serveurs avec Arc pour activer la livraison des ESU.
Remarque
Les machines Azure VMware Solutions (AVS) sont éligibles aux ESU gratuites et ne doivent pas s’inscrire aux ESU activées via Azure Arc.
Principaux avantages
Livrer les ESU à vos machines Windows Server 2012/2012 R2 offre les principaux avantages suivants :
Paiement à l’utilisation : la flexibilité de s’inscrire à un service d’abonnement mensuel avec la possibilité de migrer au milieu de l’année.
Azure facturé : vous pouvez tirer parti de votre Engagement de consommation Microsoft Azure (MACC) existant et analyser vos coûts à l’aide de Microsoft Cost Management and Billing.
Inventaire intégré : l’état de couverture et d’inscription de Windows Server 2012/2012 R2 sur les serveurs avec Arc éligibles est identifié dans le Portail Azure, en mettant en évidence les lacunes et les modifications d’état.
Livraison sans clé : l’inscription aux ESU sur les machines Windows Server 2012/2012 R2 avec Azure Arc ne nécessite pas l’acquisition ou l’activation de clés.
Accès aux services Azure
Pour les serveurs avec Azure Arc inscrits aux ESU WS2012 activés par Azure Arc, un accès gratuit est fourni à ces services Azure à partir du 10 octobre 2023 :
- Azure Update Manager : gestion unifiée et gouvernance de la conformité des mises à jour qui inclut non seulement les machines Azure et hybrides, mais également la conformité des mises à jour ESU pour toutes vos machines Windows Server 2012/2012 R2. L’inscription aux ESU n’a pas d’impact sur Azure Update Manager. Après l’inscription aux ESU via Azure Arc, le serveur devient éligible à recevoir les correctifs ESU. Ces correctifs peuvent être livrés via Azure Update Manager ou toute autre solution de mise à jour corrective. Vous devrez toujours configurer les mises à jour à partir depuis Microsoft Updates ou Windows Server Update Services.
- Suivi des modifications et inventaire Azure Automation : effectuez le suivi des modifications des machines virtuelles hébergées dans Azure, localement et dans d’autres environnements cloud.
- Configuration invité Azure Policy : auditez les paramètres de configuration d’une machine virtuelle. La configuration invité prend en charge les machines virtuelles Azure en mode natif et les serveurs physiques et virtuels non Azure via des serveurs compatibles avec Azure Arc.
D’autres services Azure via des serveurs avec Azure Arc sont également disponibles, avec des offres telles que :
- Microsoft Defender pour le cloud : dans le cadre du pilier CSPM (Cloud Security Posture Management), il fournit des protections de serveur via Microsoft Defender pour serveurs pour vous aider à vous protéger contre les diverses menaces et vulnérabilités informatiques.
- Microsoft Sentinel : collectez des évènements liés à la sécurité et mettez-les en corrélation avec d’autres sources de données.
Préparer la livraison des ESU
Planifier et se préparer à l’intégration de vos machines à des serveurs avec Azure Arc via l’installation de l’agent Azure Connected Machine (version 1.34 ou ultérieure) pour établir une connexion à Azure. Les mises à jour de sécurité étendues de Windows Server 2012 prennent en charge Windows Server 2012 et les éditions R2 Standard et Datacenter. Le stockage Windows Server 2012 n’est pas pris en charge.
Nous vous recommandons de déployer vos machines sur Azure Arc en préparation du moment où les services Azure associés fourniront les fonctionnalités prises en charge pour gérer les ESU. Une fois ces machines intégrées à des serveurs avec Azure Arc, vous aurez une visibilité sur leur couverture et leur inscription ESU via le Portail Azure ou en utilisant Azure Policy. La facturation de ce service commence à partir du mois d’octobre 2023 (c’est-à-dire après la fin du support de Windows Server 2012).
Remarque
Pour acheter des ESU, vous devez disposer de Software Assurance via les programmes de licence en volume comme un Contrat Entreprise (EA), un abonnement Contrat Entreprise (EAS), une Inscription aux Solutions Éducation (EES), une Inscription Serveur et Cloud (SCE) ou par le biais des programmes Microsoft Open Value. Sinon, si vos machines Windows Server 2012/2012 R2 sont concédées sous licence via SPLA ou avec un abonnement serveur, Software Assurance n’est pas nécessaire pour acheter des unités d’ESU.
Vous devez également télécharger le package de licences et la mise à jour de la pile de maintenance (SSU) pour le serveur avec Azure Arc, comme indiqué dans KB5031043 : procédure pour continuer à recevoir des mises à jour de sécurité après la fin du support étendu le 10 octobre 2023.
Options de déploiement
Il existe plusieurs options d’intégration à grande échelle pour les serveurs avec Azure Arc, notamment l’exécution d’une Séquence de tâches personnalisée via Configuration Manager et le déploiement d’une Tâche planifiée via une stratégie de groupe. Il existe également des options de livraison ESU mis à l’échelle pour les machines virtuelles managées VMware vCenter et les machines virtuelles managées par SCVMM via Azure Arc.
Remarque
La livraison des ESU via Azure Arc à des machines virtuelles s’exécutant sur Virtual Desktop Infrastructure (VDI) n’est pas recommandée. Les systèmes VDI doivent utiliser plusieurs clés d’activation (MAK) pour appliquer les ESU. Pour plus d’informations, consultez Accéder à votre clé d’activation multiple à partir du Centre d’administration Microsoft 365.
Mise en réseau
Les options de connectivité incluent le point de terminaison public, le serveur proxy et la liaison privée ou Azure Express Route. Passez en revue les conditions préalables de mise en réseau pour préparer des environnements non-Azure au déploiement vers Azure Arc.
Si vous utilisez des serveurs Azure Arc uniquement pour des mises à jour de sécurité étendues pour l’un ou l’autre des produits suivants, ou pour les deux :
- Windows Server 2012
- SQL Server 2012
Vous pouvez activer le sous-ensemble de points de terminaison suivant :
| Ressource de l’agent | Description | Requise quand ? | Point de terminaison utilisé avec une liaison privée |
|---|---|---|---|
aka.ms |
Utilisée pour résoudre le script de téléchargement lors de l’installation | Au moment de l’installation uniquement | Public |
download.microsoft.com |
Utilisée pour télécharger le package d’installation Windows | Au moment de l’installation uniquement | Public |
login.windows.net |
Microsoft Entra ID | Toujours | Public |
login.microsoftonline.com |
Microsoft Entra ID | Toujours | Public |
*login.microsoft.com |
Microsoft Entra ID | Toujours | Public |
management.azure.com |
Azure Resource Manager - pour créer ou supprimer la ressource du serveur Arc | Lors de la connexion ou de la déconnexion d’un serveur uniquement | Public, sauf si une liaison privée de gestion des ressources est également configurée |
*.his.arc.azure.com |
Services de métadonnées et d’identité hybride | Toujours | Privée |
*.guestconfiguration.azure.com |
Services de gestion d’extensions et de configuration Invité | Toujours | Privée |
www.microsoft.com/pkiops/certs |
Mise à jour des certificats intermédiaires pour les ESU ( remarque : utilise HTTP/TCP 80 et HTTPS/TCP 443) | Toujours pour les mises à jour automatiques, ou temporairement si vous téléchargez les certificats manuellement. | Publique |
*.<region>.arcdataservices.com |
Service de traitement de données Azure Arc et télémétrie du service. | ESU SQL Server | Publique |
*.blob.core.windows.net |
Télécharger le package de l’extension Sql Server | ESU SQL Server | Non obligatoire si vous utilisez Private Link |
Conseil
Pour tirer pleinement parti de la gamme complète des offres pour les serveurs avec Arc, comme les extensions et la connectivité à distance, veillez à autoriser les URL supplémentaires qui s’appliquent à votre scénario. Pour plus d’informations, consultez Exigences de mise en réseau de l’agent Azure Connected Machine.
Autorités de certification requises
Les autorités de certification suivantes sont requises pour les Mises à jour de sécurité étendues pour Windows Server 2012 :
- Microsoft Azure RSA TLS Issuing CA 03
- Microsoft Azure RSA TLS Issuing CA 04
- Microsoft Azure RSA TLS Issuing CA 07
- Microsoft Azure RSA TLS Issuing CA 08
Si nécessaire, ces autorités de certification peuvent être téléchargées et installées manuellement.
Étapes suivantes
Découvrir plus en détail la planification de la fin de la prise en charge de Windows Server et de SQL Server et l’obtention des mises à jour de sécurité étendues.
Découvrir les meilleures pratiques et les modèles de conception via les accélérateurs de zone d’atterrissage Azure Arc pour l’hybride et le multicloud.
En savoir plus sur les serveurs avec Arc et comment ils fonctionnent avec Azure via l’agent Azure Connected Machine.
Explorer les options d’intégration de vos machines à des serveurs avec Azure Arc.