Azure Update Management permet de gérer de manière centralisée les mises à jour de sécurité, de fonctionnalités et diverses des machines virtuelles déployées sur Azure et celles présentes localement. Pour ce faire, la solution nécessite des ressources Azure : Azure Log Analytics & Azure Automation.
- Azure Automation : permet la gestion des tâches de déploiement des mises à jour vers les machines.
- Azure Log Analytics Workspace : espace de travail gérant les logs de mises à jour afin d’assurer le service et superviser l’état des mises à jour.
La solution est compatible avec Azure Lighthouse et prend en charge le déploiement sur de multiples abonnements au sein d’un même tenant.
Les systèmes d’exploitation suivants sont pris en charge :
- Windows : utilise l’agent Log Analytics et nécessite un rapport Microsoft Update.
- Linux : utilise l’agent Log Analytics et un référentiel local ou distant.
Par rapport aux services de gestion des mises à jour traditionnelles tels que WSUS, MDT ou autre, ici le service se gère au travers d’un point central Web.
Aussi, elle ne nécessite pas d’infrastructure couteuse et vous pouvez optimiser la gestion de vos mises à jour :
- Il n’est pas nécessaire d’être dépendant d’un AD pour gérer les mises à jour via GPO au travers de WSUS ou SCCM.
- La personnalisation des options de déploiement est plus facilement gérable et granulaire selon vos besoins par rapport à l’usage d’une GPO.
- La gestion des logs des MàJ est simplifiée grâce à Azure Workspace Log Analytics qui peut traiter massivement un ensemble de données rapidement et avoir des analytiques à jour instantanément.
- Prise en charge native de Linux.
- Programmation de l’installation à l’heure souhaitée (11h35 par exemple) selon la fenêtre de maintenance que vous définissez.
Il faut tout de même garder à l’esprit que nous sommes sur un service cloud et par conséquent, dépendant de la bande-passante.
Mise en œuvre d’Azure Update Management
Prérequis
Pour fonctionner, Azure Update Management dépend de 2 services Azure :
- Azure Automation : permet la gestion des tâches de déploiement des mises à jour vers les machines.
- Azure Log Analytics Workspace : espace de travail gérant les logs de mises à jour afin d’assurer le service et superviser l’état des mises à jour.
Nous allons déployer celles-ci et les interconnecter afin d’activer Azure Update Management.
Pour ce faire, vous devez avoir les droits de contributeur sur la souscription où le déploiement sera effectué.
Déploiement des ressources Azure
Azure Automation
Depuis le portail Azure, déployez une ressource Azure Automation, et définir les paramètres suivants puis créez la ressource :
- un nom de ressource
- un groupe de ressource
- une identité système
- un accès public
Azure Log Analytics Workspace
Ensuite, déployez une ressource Azure Log Analytics Workspace avec les paramètres suivants puis créez la ressource :
- un nom de ressource
- un groupe de ressource
Activer la gestion des mises à jour
Se rendre sur le compte Automation et cliquer sur « Gestion des mises à jour« .
Définir l’espace de travail Log Analytics à utiliser ; celui que l’on vient de créer et cliquez sur « Activer« .
Une fois l’activation effectuée, actualisez la page pour voir le dashboard de l’Update Management.
Intégration des VMs dans Update Management
Pour intégrer des VM à Azure Update Management, rendez-vous dans la liste des VMs Azure puis sélectionnez celles qui sont à intégrer. Celles-ci doivent être allumées.
Ensuite, cliquez sur « Services > Update Management« . Sélectionnez une configuration personnalisée puis sélectionnez l’espace de travail adéquat. Enfin, cliquez sur « Activer« .
Exploiter Update Management
Actions d’administration
Une fois intégrées, se rendre dans la Gestion des mises à jour depuis le compte Automation. Le menu d’actions propose plusieurs options :
- Planifier le déploiement de la mise à jour : planifier le déploiement des mises à jour disponibles sur les machines intégrées à Azure Update Management.
- Ajouter des machines virtuelles Azure : ajouter des VM déployées sur Azure sur lesquelles gérer les mises à jour.
- Ajouter une machine non-Azure : ajouter une machine hébergée au sein de votre infrastructure locale et installer l’agent.
- Gérer des machines : permet de gérer l’activation de la gestion des mises à jour des VM liées à l’espace de travail.
L’option d’activation sur les ordinateurs disponibles et à venir ne signifie pas que les VM déployées dans le futur seront automatiquement prises en compte. Il sera nécessaire d’ajouter manuellement la VM à l’espace de travail Log Analytics.
Information de débug : Une fois la gestion des mises à jour activée, Microsoft indique qu’un délai de 15 minutes est nécessaire pour que les informations remontent dans Azure. Nous remarquons rapidement que ce délai peut être plus long et aller jusqu’à 24 heures.
Dans le cas où aucune information n’est présente au-delà de 24 heures, vous pouvez déconnecter et reconnecter la/les VMs à l’espace de travail Azure Analytics. Cela aura pour effet de déclencher rapidement une récupération des informations d’état et de suivi des mises à jour de la/les VMs concernées.
Planifier un déploiement de MàJ
Maintenant que les machines sont intégrées à Azure Update Management, nous allons planifier un déploiement des dernières mises à jour disponibles. Dans notre exemple, il y aura une VM à mettre à jour.
Suivre les planifications
De retour sur le tableau de bord d’Azure Update Management, le déploiement créé est visible dans l’onglet « Planification de déploiement« .
Il est également possible de suivre un déploiement en cours d’exécution depuis l’onglet Historique. Un rapport plus détaillé par tâche est disponible en cliquant sur le nom d’une tâche historisée.
Vérifier sur un ordinateur Windows l’installation des MàJ
Enfin, pour vérifier l’installation des mises à jour sur votre VM ciblée, se rendre dans le Panneau de configuration > Programmes et fonctionnalités > Voir les mises à jour installées.
