Fornecer atualizações de segurança estendidas para o Windows Server 2012

Este artigo fornece etapas para habilitar a entrega de ESUs (Atualizações de Segurança Estendidas) para computadores do Windows Server 2012 integrados a servidores habilitados para Arc. Você pode habilitar ESUs para esses computadores individualmente ou em escala.

Antes de começar

Planeje e prepare-se para integrar seus computadores aos servidores habilitados para Azure Arc. Consulte Preparar para fornecer atualizações de segurança estendidas para o Windows Server 2012 para saber mais.

Você também precisará da função Colaborador no RBAC do Azure para criar e atribuir ESUs a servidores habilitados para Arc.

Gerenciar licenças de ESU

  1. Por meio de um navegador, entre no portal do Azure.

  2. Na página do Azure Arc, selecione Atualizações de Segurança Estendidas no painel esquerdo.

    Captura de tela da janela principal da ESU mostrando a guia de licenças e a guia de recursos qualificados.

    A partir daqui, você pode exibir e criar Licenças de ESU e exibir Recursos qualificados para ESUs.

Observação

Ao exibir todos os servidores habilitados para Arc na página Servidores, uma faixa especifica quantos computadores Windows 2012 são elegíveis para ESUs. Em seguida, você pode selecionar Exibir servidores em Atualizações de Segurança Estendidas para exibir uma lista de recursos qualificados para ESUs, juntamente com computadores já habilitados para ESU.

Criar licenças do Azure Arc WS2012

A primeira etapa é provisionar licenças de Atualização de Segurança Estendida do Windows Server 2012 e 2012 R2 do Azure Arc. Você vincula essas licenças a um ou mais servidores habilitados para Arc selecionados na próxima seção.

Depois de provisionar uma licença de ESU, você precisará especificar o SKU (Standard ou Datacenter), o tipo de núcleo (Físico ou vCore) e o número de pacotes de 16 núcleos e 2 núcleos para provisionar uma licença de ESU. Você também pode provisionar uma licença de Atualização de Segurança Estendida em um estado desativado para que ela não inicie a cobrança ou seja funcional na criação. Além disso, os núcleos associados à licença podem ser modificados após o provisionamento.

Observação

O provisionamento de licenças de ESU exige que você atesta a cobertura SA ou SPLA deles.

A guia Licenças exibe as licenças do Azure Arc WS2012 disponíveis. A partir daqui, você pode selecionar uma licença existente para aplicar ou criar uma nova licença.

Captura de tela mostrando as licenças existentes.

  1. Para criar uma nova licença do WS2012, selecione Criar, e forneça as informações necessárias para configurar a licença na página.

    Para obter detalhes sobre como concluir esta etapa, consulte Diretrizes de provisionamento de licença para atualizações de segurança estendidas para o Windows Server 2012.

  2. Examine as informações fornecidas e selecione Criar.

    A licença criada aparece na lista e você pode vinculá-la a um ou mais servidores habilitados para Arc seguindo as etapas na próxima seção.

    Captura de tela da guia de licenças mostrando a licença recém-criada na lista.

Você pode selecionar um ou mais servidores habilitados para Arc para vincular a uma licença de Atualização de Segurança Estendida. Depois de vincular um servidor a uma licença de ESU ativada, o servidor estará qualificado para receber as ESUs do Windows Server 2012 e 2012 R2.

Observação

Você tem a flexibilidade de configurar sua solução de aplicação de patch de opção para receber essas atualizações, seja Gerenciador de Atualizações, Windows Server Update Services, Microsoft Updates, Microsoft Endpoint Configuration Manager ou uma solução de gerenciamento de patch de terceiros.

  1. Selecione a guia Recursos Qualificados para exibir uma lista de todos os servidores habilitados para Arc que executam o Windows Server 2012 e 2012 R2.

    Captura de tela da guia de recursos qualificados mostrando servidores qualificados para receber ESUs.

    A coluna de status de ESUs indica se o computador está ou não habilitado para ESUs.

  2. Para habilitar ESUs para um ou mais computadores, selecione-os na lista e selecione Habilitar ESUs.

  3. Na página Habilitar Atualizações de Segurança Estendidas, ele mostra o número de computadores selecionados para habilitar as licenças ESU e WS2012 disponíveis para aplicação. Selecione uma licença para vincular aos computadores selecionados e selecione Habilitar.

    Captura de tela da janela para selecionar a licença a ser aplicada a computadores escolhidos anteriormente.

    Observação

    Você também pode criar uma licença nesta página selecionando Criar uma licença de ESU.

O status dos computadores selecionados muda para Habilitado.

Captura de tela da guia de recursos qualificados mostrando o status de habilitado para servidores selecionados anteriormente.

Se ocorrerem problemas durante o processo de habilitação, consulte Solucionar problemas de entrega de atualizações de segurança estendidas para o Windows Server 2012 para obter assistência.

Azure Policy em escala

Para vincular servidores em escala a uma licença de Atualização de Segurança Estendida do Azure Arc e bloquear a modificação ou a criação da licença, considere o uso das seguintes políticas internas do Azure:

As políticas do Azure podem ser especificadas para uma assinatura ou grupo de recursos de destino para cenários de auditoria e gerenciamento.

Cenários adicionais

Há alguns cenários em que você pode estar qualificado para receber patches de Atualizações de Segurança Estendidas sem custo adicional. Dois desses cenários compatíveis com o Azure Arc são (1) Desenvolvimento/Teste (Visual Studio) e (2) Recuperação de desastre (instâncias de recuperação de desastre com benefícios concedido do Software Assurance ou apenas assinatura. Esses dois cenários exigem que o cliente já esteja usando as ESUs do Windows Server 2012/R2 habilitadas pelo Azure Arc para computadores de produção faturáveis.

Aviso

Não crie uma licença de ESU do Windows Server 2012/R2 apenas para cargas de trabalho de Desenvolvimento/Teste ou Recuperação de Desastre. Você não deve provisionar uma Licença de ESU apenas para cargas de trabalho não faturáveis. Além disso, você será cobrado integralmente por todos os núcleos provisionados com uma licença de ESU, e os núcleos de desenvolvimento/teste na licença não serão cobrados contanto que sejam marcados de acordo com as qualificações a seguir.

Para se qualificar para esses cenários, você já deve ter:

  • Licença de ESU faturável. Você já deve ter provisionado e ativado uma licença WS2012 Arc ESU destinada a ser vinculada a servidores regulares habilitados para Azure Arc em execução em ambientes de produção (ou seja, cenários de ESU normalmente cobrados). Essa licença deve ser provisionada apenas para núcleos faturáveis, não para núcleos qualificados para atualizações de segurança estendidas gratuitas, por exemplo, núcleos de desenvolvimento/teste.

  • Servidores habilitados para Arc. Integrou seus computadores Windows Server 2012 e Windows Server 2012 R2 para servidores habilitados para Azure Arc para fins de Desenvolvimento/Teste com assinaturas do Visual Studio ou recuperação de desastre.

Para registrar servidores habilitados para Azure Arc qualificados para ESUs sem custo adicional, siga estas etapas para marcar e vincular:

  1. Marque a Licença de ESU do WS2012 Arc (criada para o ambiente de produção com núcleos apenas para os servidores de ambiente de produção) e os servidores habilitados para Azure Arc que não são de produção com um dos seguintes pares nome-valor, correspondente à exceção apropriada:

    1. Nome: "Uso do ESU"; Valor: "WS2012 VISUAL STUDIO DEV TEST"

    2. Nome: "Uso do ESU"; Valor: "RECUPERAÇÃO DE DESASTRE WS2012"

    No caso de você estar usando a Licença ESU para vários cenários de exceção, marque a licença com a marca: Nome: "Uso de ESU"; Valor: "WS2012 MULTIPURPOSE"

  2. Vincule a licença marcada (criada para o ambiente de produção com núcleos somente para os servidores de ambiente de produção) aos computadores Windows Server 2012 e Windows Server 2012 R2 habilitados para Azure Arc marcados para não produção. Não licencia núcleos para esses servidores ou crie uma nova licença de ESU apenas para esses servidores.

Essa vinculação não disparará uma violação de conformidade ou um bloco de imposição, permitindo que você estenda a aplicação de uma licença além de seus núcleos provisionados. A expectativa é que a licença inclua apenas núcleos para servidores de produção e cobrados. Todos os núcleos adicionais serão cobrados e resultarão em cobrança excessiva.

Importante

Adicionar essas marcas à sua licença NÃO tornará a licença gratuita ou reduzirá o número de núcleos de licença que podem ser cobrados. Essas marcas permitem vincular seus computadores do Azure a licenças existentes que já estão configuradas com núcleos a pagar sem a necessidade de criar novas licenças ou adicionar outros núcleos aos seus computadores gratuitos.

Exemplo:

  • Você tem 8 instâncias do Windows Server 2012 R2 Standard, cada uma com 8 núcleos físicos. Seis desses computadores Windows Server 2012 R2 Standard são para produção, e dois desses computadores Windows Server 2012 R2 Standard são elegíveis para ESUs gratuitas porque o sistema operacional foi licenciado por meio de uma assinatura de Desenvolvimento/Teste do Visual Studio.
    • Primeiro você deve provisionar e ativar uma licença ESU regular para Windows Server 2012/R2, que é a edição Standard e tem 48 núcleos físicos, para contemplar os seis computadores de produção. Você deve vincular essa licença de ESU de produção regular aos seus 6 servidores de produção.
    • Em seguida, você deve reutilizar essa licença existente, não adicionar mais núcleos ou provisionar uma licença separada e vincular essa licença a seus dois computadores padrão Windows Server 2012 R2 de não produção. Você deve marcar a licença ESU e os 2 computadores Standard do Windows Server 2012 R2 que não são de produção com Nome: "Uso de ESU" e Valor: "TESTE DE DESENVOLVIMENTO do VISUAL STUDIO WS2012".
    • Isso resultará em uma licença ESU para 48 núcleos e você será cobrado por esses 48 núcleos. Você não será cobrado pelos outros 16 núcleos dos servidores de teste de desenvolvimento que você adicionou a essa licença, contanto que a licença ESU e os recursos do servidor de teste de desenvolvimento sejam marcados adequadamente.

Observação

Você precisava de uma licença de produção regular para começar e será cobrado apenas pelos núcleos de produção.

Atualização do Windows Server 2012/2012 R2

Ao atualizar um computador Windows Server 2012/2012R para o Windows Server 2016 ou superior, não é necessário remover o agente do Computador Conectado do computador. O novo sistema operacional ficará visível para o computador no Azure alguns minutos após a conclusão da atualização. Os computadores atualizados não exigem mais ESUs e não estão mais qualificados para essas licenças. As licenças ESU associadas ao computador não são desvinculadas automaticamente do computador. Confira Desvincular uma licença para obter instruções sobre como fazer isso manualmente.

Avaliar o status do patch ESU do WS2012

Para detectar se os servidores habilitados para Azure Arc receberam um patch com as atualizações de segurança estendidas mais recentes do Windows Server 2012/R2, você pode usar o Azure Policy As Atualizações de Segurança Estendidas devem ser instaladas nos computadores com Windows Server 2012 Arc – Microsoft Azure. Esse Azure Policy, alimentado pela Configuração do Computador, identifica se o servidor recebeu os patches ESU mais recentes. Isso pode ser observado nas exibições de Atribuição de Convidado e Conformidade do Azure Policy integradas ao portal do Azure.