Aide pour la migration de machines virtuelles à partir de Microsoft Configuration Manager vers le Gestionnaire de mise à jour Azure
S’applique à : ✔️ Machines virtuelles Windows ✔️ Machines virtuelles Linux ✔️ Environnement local ✔️ Serveurs avec Azure Arc.
Cet article fournit un guide pour moderniser la gestion des serveurs pour lesquels vous utilisez actuellement Microsoft Configuration Manager (MCM). Nous allons nous concentrer sur Gestionnaire de mise à jour Azure, qui fournit des expériences basées sur Azure pour la gestion des correctifs, la fonctionnalité majeure de MCM.
Pour commencer, nous allons répertorier les services Azure qui fournissent des fonctionnalités équivalentes pour les différents composants System Center.
Composants System Center | Services équivalents Azure |
---|---|
System Center Operations Manager (SCOM) | Instance SCOM gérée d’Azure Monitor |
System Center Configuration Manager (SCCM), maintenant appelé Microsoft Configuration Manager (MCM) | Gestionnaire de mise à jour Azure, Suivi des modifications et inventaire, Azure Machine Configuration (anciennement Azure Policy Guest Configuration), Azure Automation, Microsoft Defender pour le cloud |
System Center Data Protection Manager (SCDPM) | Azure Backup |
System Center Orchestrator (SCORCH) | Azure Automation |
System Center Service Manager (SCSM) | - |
Remarque
Dans le cadre de votre parcours de migration, nous vous recommandons les options suivantes :
- Migrez entièrement vos machines virtuelles vers Azure et remplacez System Center par des services natifs Azure.
- Adoptez une approche hybride et remplacez System Center par des services natifs Azure. Quand les machines virtuelles Azure et locales sont gérées à l’aide de services natifs Azure. Pour les machines virtuelles locales, les fonctionnalités de la plateforme Azure sont étendues localement via Azure Arc.
Migrer vers le Gestionnaire de mise à jour Azure
MCM vous aide à gérer les PC et les serveurs, à maintenir les logiciels à jour, à définir les stratégies de configuration et de sécurité et à surveiller l’état du système. MCM offre de multiples composants et fonctionnalités incluant la gestion des mises à jour logicielles.
Plus précisément pour la gestion des mises à jour ou pour les mises à jour correctives, selon vos besoins, vous pouvez utiliser le Gestionnaire de mise à jour Azure natif lors de vos déploiements afin de gérer et d’administrer la conformité des mises à jour de manière cohérente pour des machines Windows et Linux. Contrairement à MCM qui a besoin de maintenir des machines virtuelles Azure pour héberger les différents rôles Configuration Manager, Azure Update Manager est conçu comme un service Azure autonome pour fournir une expérience SaaS sur Azure afin de gérer les environnements hybrides. Vous n’avez pas besoin d’une licence pour utiliser le Gestionnaire de mise à jour Azure.
Remarque
- Pour gérer les clients/appareils, Intune est la solution Microsoft recommandée.
- Le Gestionnaire de mise à jour Azure ne fournit pas de prise en charge de la migration pour les machines virtuelles Azure dans MCM. Exemples de configuration.
Mappage des fonctionnalités de gestion des mises à jour logicielles
Le tableau suivant mappe les fonctionnalités de gestion des mises à jour logicielles de MCM vers le Gestionnaire de mise à jour Azure.
Fonctionnalité | Microsoft Configuration Manager | Gestionnaire de mise à jour Azure |
---|---|---|
Synchroniser les mises à jour logicielles entre les sites (site d’administration centrale, site principal, sites secondaires) | Le site principal (site d’administration centrale ou site principal autonome) se connecte à Microsoft Update pour récupérer la mise à jour logicielle. Plus d’informations Une fois que les sites principaux sont synchronisés, les sites enfants sont synchronisés. | Il n’existe aucune hiérarchie de machines dans Azure. Par conséquent, toutes les machines connectées à Azure reçoivent des mises à jour à partir du référentiel source. |
Synchroniser les mises à jour logicielles/rechercher les mises à jour (récupérer les métadonnées de patch) | Vous pouvez rechercher régulièrement des mises à jour en paramétrant la configuration sur le point de mise à jour logicielle. En savoir plus | Vous pouvez activer l’évaluation périodique pour effectuer l’analyse de patchs toutes les 24 heures. En savoir plus |
Configuration des classifications/produits pour synchroniser/analyser/évaluer | Vous pouvez choisir les classifications de mises à jour (mises à jour de sécurité ou critiques) pour synchroniser/analyser/évaluer. En savoir plus | Cette fonction n’existe pas ici. Les métadonnées logicielles sont analysées en totalité. |
Déployer des mises à jour logicielles (installer des patchs) | Il y a trois modes de déploiement des mises à jour : Déploiement manuel Déploiement automatique Déploiement par phases en savoir plus |
- Le déploiement manuel est mappé pour déployer des mises à jour ponctuelles - Le déploiement automatique est mappé pour des mises à jour planifiées - Il n’existe aucune option de déploiement par phases. |
Déployer des mises à jour logicielles sur des machines Windows et Linux (dans Azure ou localement ou dans d’autres clouds) | SCCM permet de gérer le suivi et l’application de mises à jour logicielles sur des machines Windows (actuellement, nous ne prenons pas en charge les machines Linux.) | Le Gestionnaire de mise à jour Azure prend en charge les mises à jour logicielles sur les machines Windows et Linux. |
Aide pour l’utilisation du Gestionnaire de mise à jour Azure sur des machines managées par MCM
Pour commencer le parcours utilisateur de MCM vers le Gestionnaire de mise à jour Azure, vous devez activer le Gestionnaire de mise à jour Azure sur vos serveurs existants gérés avec MCM (c’est-à-dire vérifier que le Gestionnaire de mise à jour Azure et MCM coexistent). La section suivante aborde quelques défis que vous pouvez rencontrer lors de cette première étape.
Prérequis pour la co-existence du Gestionnaire de mise à jour Azure et MCM
Vérifiez que les mises à jour automatiques sont désactivées sur l’ordinateur. Pour découvrir plus d’informations, consultez Gérer les paramètres Windows Update supplémentaires – Configurer Mises à jour automatiques en modifiant le Registre.
Veillez à ce que la clé de Registre NoAutoUpdate soit définie sur 1 dans le chemin d’accès au Registre suivante :
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU
Le Gestionnaire de mise à jour Azure peut obtenir des mises à jour à partir du serveur WSUS. Pour cela, veillez à configurer le serveur WSUS dans le cadre de SCCM.
- Vérifiez que le serveur WSUS dispose d’un espace suffisant.
- Veillez à mettre à jour l’option de langue pour télécharger les packages dans la configuration WSUS. Nous vous recommandons de sélectionner les langues requises. Pour plus d’informations, consultez Étape 2 : Configurer WSUS.
- Veillez à créer une règle pour approuver automatiquement les mises à jour dans WSUS afin de télécharger les packages applicables sur le serveur WSUS, de manière à ce que le Gestionnaire de mise à jour Azure puisse obtenir les mises à jour à partir de ce serveur WSUS.
- Sélectionnez les classifications souhaitées en fonction de vos exigences, ou conservez celles sélectionnées dans SCCM.
- Sélectionnez des produits en fonction des exigences, ou conservez ceux sélectionnés dans SCCM.
- Pour commencer, créez un groupe d’ordinateurs de test et appliquez-y cette règle pour tester ces modifications.
- Après avoir testé le groupe de test, vous pouvez l’étendre à tous les groupes d’ordinateurs.
- Créez un groupe d’ordinateurs d’exclusion dans WSUS si nécessaire.
Vue d’ensemble de la configuration actuelle de MCM
Le client MCM utilise un serveur WSUS pour analyser les mises à jour internes. Vous disposez donc d’un serveur WSUS configuré dans le cadre de la configuration initiale.
Le contenu des mises à jour tierces est également publié sur ce serveur WSUS. Le gestionnaire de mise à jour Azure a la capacité d’analyser et d’installer des mises à jour à partir de WSUS. Vous pouvez donc tirer profit du serveur WSUS configuré dans le cadre de la configuration MCM pour faire fonctionner le gestionnaire de mise à jour Azure avec MCM.
Mises à jour internes
Pour que le Gestionnaire de mise à jour Azure analyse et installe les mises à jour internes (Mises à jour Windows et Microsoft), vous devez commencer par approuver les mises à jour requises dans le serveur WSUS configuré. Pour ce faire, vous devez configurer une règle d’approbation automatique dans WSUS, telle que les utilisateurs l’ont configurée sur le serveur MCM.
Mises à jour tierces
Les mises à jour tierces doivent fonctionner comme prévu avec le Gestionnaire de mise à jour Azure, à condition que vous ayez déjà configuré MCM pour la mise à jour corrective tierce, et que les mises à jour tierces puissent être corrigées correctement via MCM. Veillez à continuer de publier des mises à jour tierces sur WSUS à partir de MCM, voir Étape 3 dans Activer les mises à jour tierces. Une fois que vous avez publié sur WSUS, le Gestionnaire de mise à jour Azure sera en mesure de détecter et d’installer ces mises à jour à partir du serveur WSUS.
Gérer les mises à jour logicielles à l’aide du Gestionnaire de mise à jour Azure
Connectez-vous au Portail Microsoft Azure et accédez au Gestionnaire de mise à jour Azure.
Dans la page d’accueil duGestionnaire de mise à jour Azure, sous Gérer>Machines, sélectionnez votre abonnement pour afficher toutes vos machines.
Filtrez en fonction des options disponibles pour connaître l’état de vos machines spécifiques.
Sélectionnez les options d’évaluation et de mise à jour corrective appropriées en fonction de vos besoins.
Mise à jour corrective des machines
Après avoir paramétré la configuration de l’évaluation et de la mise à jour corrective, vous pouvez déployer/installer uniquement via des mises à jour à la demande (mise à jour ponctuelle ou manuelle) ou des mises à jour planifiées (mise à jour automatique). Vous pouvez également déployer des mises à jour à l’aide de l’API du Gestionnaire de mise à jour Azure.
Limites dans le Gestionnaire de mise à jour Azure
Voici les limites actuelles :
- Groupes d’orchestration avec des pré/post-scripts - Groupes d’orchestration ne peuvent pas être créés dans le Gestionnaire de mise à jour Azure pour spécifier une séquence de maintenance, autoriser certaines machines à effectuer des mises à jour en même temps, et ainsi de suite. (Les groupes d’orchestration vous permettent d’utiliser les pré/post-scripts pour exécuter des tâches avant et après un déploiement de patchs).
Forum aux questions
D’où viennent les mises à jour du Gestionnaire de mise à jour Azure ?
Le Gestionnaire de mise à jour Azure se base sur le référentiel indiqué par les machines . La plupart des machines Windows par défaut se réfèrent au catalogue Windows Update et les machines Linux sont configurées pour obtenir des mises à jour à partir des référentiels apt
ou yum
. Si les machines indiquent un autre référentiel tel que WSUS ou un référentiel local, le Gestionnaire de mise à jour Azure obtient les mises à jour à partir de ce référentiel.
Le Gestionnaire de mise à jour Azure peut-il corriger le système d’exploitation, SQL et les logiciels tiers ?
Le Gestionnaire de mise à jour Azure se base sur les référentiels (ou points de terminaison) indiqués par les machines virtuelles. Si le référentiel (ou points de terminaison) contient des mises à jour pour les produits Microsoft, les logiciels tiers,etc., le Gestionnaire de mise à jour Azure peut installer ces correctifs.
Par défaut, les machines virtuelles Windows indiquent le serveur Windows Update. Le serveur Windows Update ne contient pas de mises à jour pour les produits Microsoft et les logiciels tiers. Si les machines virtuelles indiquent Microsoft Update, le Gestionnaire de mise à jour Azure met à jour le système d’exploitation et les produits Microsoft.
Pour la mise à jour corrective des logiciels tiers, le Gestionnaire de mise à jour Azure doit être connecté à WSUS et vous devez publier les mises à jour tierces. Nous ne pouvons pas corriger les logiciels tiers pour les machines virtuelles Windows, sauf s’ils sont disponibles dans WSUS.
Dois-je configurer WSUS pour utiliser le Gestionnaire de mise à jour Azure ?
WSUS est un moyen de gérer les patchs. Le Gestionnaire de mise à jour Azure se référera à tous les points de terminaison indiqués. (Windows Update, Microsoft Update ou WSUS).
Dois-je déployer le correctif mensuel via MCM ?
Non, seule l’approbation mensuelle des patchs dans WSUS ou la définition de règles de déploiement automatique (ADR) permettront l’analyse et l’installation de patchs sur vos serveurs.
Comment le Gestionnaire de mise à jour Azure peut-il être utilisé pour gérer des machines virtuelles locales ?
Le Gestionnaire de mise à jour Azure peut être utilisé localement à l’aide d’Azure Arc. Azure Arc est un pont qui étend la plateforme Azure, ce qui permet de générer des applications et des services qui peuvent s’exécuter sur des centres de données, en périphérie et dans des environnements multi-clouds. La gestion des machines virtuelles avec Azure Arc vous permet de provisionner et de gérer des machines virtuelles Windows et Linux hébergées localement. Cette fonctionnalité permet aux administrateurs informatiques de gérer des machines virtuelles Arc à l’aide d’outils de gestion Azure, notamment le portail Azure, Azure CLI, Azure PowerShell et les modèles Azure Resource Manager (ARM).