Preparar a disponibilização de Atualizações de Segurança Alargadas para o Windows Server 2012
Com o Windows Server 2012 e o Windows Server 2012 R2 tendo chegado ao fim do suporte em 10 de outubro de 2023, os servidores habilitados para Arco do Azure permitem que você registre suas máquinas Windows Server 2012/2012 R2 existentes em ESUs (Atualizações de Segurança Estendidas). Oferecendo flexibilidade de custos e uma experiência de entrega aprimorada, o Azure Arc posiciona melhor você para migrar para o Azure.
O objetivo deste artigo é ajudá-lo a entender os benefícios e como se preparar para usar servidores habilitados para Arc para habilitar a entrega de ESUs.
Nota
As máquinas do Azure VMware Solutions (AVS) são elegíveis para ESUs gratuitas e não devem se inscrever em ESUs habilitadas por meio do Azure Arc.
Principais benefícios
Fornecer ESUs para suas máquinas Windows Server 2012/2012 R2 oferece os seguintes benefícios principais:
Pagamento conforme o uso: flexibilidade para se inscrever em um serviço de assinatura mensal com a capacidade de migrar no meio do ano.
Azure faturado: pode retirar do seu Compromisso de Consumo (MACC) do Microsoft Azure existente e analisar os seus custos utilizando a Gestão de Custos e Faturação da Microsoft.
Inventário interno: a cobertura e o status de inscrição das ESUs do Windows Server 2012/2012 R2 em servidores habilitados para Arc qualificados são identificados no portal do Azure, destacando lacunas e alterações de status.
Entrega sem chave: o registro de ESUs em máquinas Windows Server 2012/2012 R2 habilitadas para Azure Arc não exigirá a aquisição ou ativação de chaves.
Acesso aos serviços do Azure
Para servidores habilitados para Azure Arc inscritos em ESUs WS2012 habilitadas pelo Azure Arc, o acesso gratuito é fornecido a estes serviços do Azure a partir de 10 de outubro de 2023:
- Azure Update Manager - Gerenciamento unificado e governança de conformidade de atualização que inclui não apenas máquinas Azure e híbridas, mas também conformidade de atualização ESU para todas as suas máquinas Windows Server 2012/2012 R2. O registro em ESUs não afeta o Azure Update Manager. Após o registro em ESUs por meio do Azure Arc, o servidor se torna elegível para patches ESU. Esses patches podem ser entregues por meio do Azure Update Manager ou de qualquer outra solução de patches. Você ainda precisará configurar atualizações do Microsoft Updates ou do Windows Server Update Services.
- Azure Automation Change Tracking and Inventory - Rastreie alterações em máquinas virtuais hospedadas no Azure, no local e em outros ambientes de nuvem.
- Azure Policy Guest Configuration - Audite as definições de configuração em uma máquina virtual. A configuração de convidado dá suporte a VMs do Azure nativamente e servidores físicos e virtuais não Azure por meio de servidores habilitados para Azure Arc.
Outros serviços do Azure por meio de servidores habilitados para Azure Arc também estão disponíveis, com ofertas como:
- Microsoft Defender for Cloud - Como parte do pilar CSPM (gerenciamento de postura de segurança na nuvem), ele fornece proteções de servidor por meio do Microsoft Defender for Servers para ajudar a protegê-lo de várias ameaças e vulnerabilidades cibernéticas.
- Microsoft Sentinel - Colete eventos relacionados à segurança e correlacione-os com outras fontes de dados.
Preparar a entrega de ESUs
Planeje e prepare-se para integrar suas máquinas a servidores habilitados para Azure Arc por meio da instalação do agente Azure Connected Machine (versão 1.34 ou superior) para estabelecer uma conexão com o Azure. As Atualizações de Segurança Estendidas do Windows Server 2012 oferecem suporte às edições Windows Server 2012 e R2 Standard e Datacenter. O Armazenamento do Windows Server 2012 não é suportado.
Recomendamos que você implante suas máquinas no Azure Arc em preparação para quando os serviços relacionados do Azure fornecerem funcionalidade suportada para gerenciar ESU. Depois que essas máquinas forem integradas aos servidores habilitados para Azure Arc, você terá visibilidade de sua cobertura ESU e se inscreverá por meio do portal do Azure ou usando a Política do Azure. A cobrança desse serviço começa a partir de outubro de 2023 (ou seja, após o fim do suporte ao Windows Server 2012).
Nota
Para comprar ESUs, você deve ter o Software Assurance por meio de Programas de Licenciamento por Volume, como Enterprise Agreement (EA), Enterprise Agreement Subscription (EAS), Enrollment for Education Solutions (EES), Server and Cloud Enrollment (SCE) ou por meio de Microsoft Open Value Programs. Como alternativa, se as suas máquinas Windows Server 2012/2012 R2 forem licenciadas através do SPLA ou com uma Subscrição de Servidor, o Software Assurance não será necessário para comprar ESUs.
Você também deve baixar o pacote de licenciamento e a SSU (atualização da pilha de serviços) para o servidor habilitado para Arco do Azure, conforme documentado em KB5031043: Procedimento para continuar recebendo atualizações de segurança após o término do suporte estendido em 10 de outubro de 2023.
Opções de implementação
Há várias opções de integração em escala para servidores habilitados para Azure Arc, incluindo a execução de uma Sequência de Tarefas Personalizada por meio do Configuration Manager e a implantação de uma Tarefa Agendada por meio da Política de Grupo. Também há opções de entrega ESU em escala para VMs gerenciadas VMware vCenter e VMs gerenciadas SCVMM por meio do Azure Arc.
Nota
A entrega de ESUs através do Azure Arc para máquinas virtuais em execução na Infraestrutura de Ambiente de Trabalho Virtual (VDI) não é recomendada. Os sistemas VDI devem usar chaves de ativação múltiplas (MAK) para aplicar ESUs. Consulte Aceder à sua Chave de Ativação Múltipla a partir do Centro de Administração do Microsoft 365 para saber mais.
Rede
As opções de conectividade incluem ponto de extremidade público, servidor proxy e link privado ou Rota Expressa do Azure. Analise os pré-requisitos de rede para preparar ambientes que não sejam do Azure para implantação no Azure Arc.
Se você estiver usando servidores habilitados para Azure Arc somente para Atualizações de Segurança Estendidas para um ou ambos os seguintes produtos:
- Windows Server 2012
- SQL Server 2012
Você pode habilitar o seguinte subconjunto de pontos de extremidade:
| Recursos do agente | Description | Quando necessário | Ponto de extremidade usado com link privado |
|---|---|---|---|
aka.ms |
Usado para resolver o script de download durante a instalação | No momento da instalação, apenas | Público |
download.microsoft.com |
Usado para baixar o pacote de instalação do Windows | No momento da instalação, apenas | Público |
login.windows.net |
Microsoft Entra ID | Sempre | Público |
login.microsoftonline.com |
Microsoft Entra ID | Sempre | Público |
*login.microsoft.com |
Microsoft Entra ID | Sempre | Público |
management.azure.com |
Azure Resource Manager - para criar ou excluir o recurso do servidor Arc | Ao conectar ou desconectar um servidor, somente | Público, a menos que um link privado de gerenciamento de recursos também esteja configurado |
*.his.arc.azure.com |
Serviços de metadados e identidade híbrida | Sempre | Privado |
*.guestconfiguration.azure.com |
Serviços de gerenciamento de extensões e configuração de convidados | Sempre | Privado |
www.microsoft.com/pkiops/certs |
Atualizações de certificado intermediárias para ESUs (observação: usa HTTP/TCP 80 e HTTPS/TCP 443) | Sempre para atualizações automáticas, ou temporariamente se baixar certificados manualmente. | Público |
*.<region>.arcdataservices.com |
Serviço de processamento de dados e telemetria de serviço do Azure Arc. | SQL Server ESUs | Público |
*.blob.core.windows.net |
Baixar pacote de extensão do Sql Server | SQL Server ESUs | Não é necessário se estiver usando o Private Link |
Gorjeta
Para aproveitar toda a gama de ofertas para servidores habilitados para Arc, como extensões e conectividade remota, certifique-se de permitir as URLs adicionais que se aplicam ao seu cenário. Para obter mais informações, consulte Requisitos de rede do agente de máquina conectado.
Autoridades de certificação necessárias
As seguintes Autoridades de Certificação são necessárias para as Atualizações de Segurança Estendidas do Windows Server 2012:
- Microsoft Azure RSA TLS Emissão CA 03
- Microsoft Azure RSA TLS Emissão CA 04
- Microsoft Azure RSA TLS Emissão CA 07
- Microsoft Azure RSA TLS Emissão CA 08
Se necessário, essas Autoridades de Certificação podem ser baixadas e instaladas manualmente.
Próximos passos
Saiba mais sobre como planejar o fim do suporte ao Windows Server e ao SQL Server e obter Atualizações de Segurança Estendidas.
Saiba mais sobre práticas recomendadas e padrões de design por meio do acelerador de zona de aterrissagem do Azure Arc para híbrida e multicloud.
Saiba mais sobre os servidores habilitados para Arc e como eles funcionam com o Azure por meio do agente do Azure Connected Machine.
Explore as opções de integração de suas máquinas aos servidores habilitados para Azure Arc.