Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Com o Windows Server 2012 e o Windows Server 2012 R2 tendo chegado ao fim do suporte em 10 de outubro de 2023, os servidores habilitados para Azure Arc permitem que você registre seus computadores existentes do Windows Server 2012/2012 R2 em Atualizações de Segurança Estendidas (ESUs). Proporcionando flexibilidade de custo e uma experiência de entrega aprimorada, o Azure Arc posiciona melhor você para migrar para o Azure.
A finalidade deste artigo é ajudar você a entender os benefícios e como se preparar para usar servidores habilitados para Arc para permitir a entrega de ESUs.
Observação
Os computadores da Solução VMware no Azure (AVS) são qualificados para ESUs gratuitas e não devem se registrar em ESUs habilitadas por meio do Azure Arc.
Principais benefícios
A entrega de ESUs em seus computadores Windows Server 2012/2012 R2 oferece os seguintes principais benefícios:
Pagamento conforme o uso: flexibilidade para se inscrever em um serviço de assinatura mensal com a capacidade de migração no meio do ano.
Cobrança do Azure: você pode deduzir do (Compromisso de Consumo do Microsoft Azure) (MACC) existente e analisar seus custos usando a Cobrança e Gerenciamento de Custos da Microsoft.
Inventário interno: a cobertura e o status de registro das ESUs do Windows Server 2012/2012 R2 em servidores habilitados para Arc qualificados são identificados no portal do Azure, realçando lacunas e alterações de status.
Entrega sem chave: o registro de ESUs em computadores Windows Server 2012/2012 R2 habilitados para Azure Arc não exigirá a aquisição ou ativação de chaves.
Acesso aos serviços do Azure
Para servidores habilitados para o Azure Arc que estão registrados nos ESUs do WS2012, com ativação feita pelo Azure Arc, é oferecido acesso gratuito a esses serviços do Azure a partir de 10 de outubro de 2023.
- Gerenciador de Atualizações do Azure – Gerenciamento e governança unificados de conformidade de atualização que inclui não apenas computadores do Azure e híbridos, mas também conformidade de atualização da ESU para todas os seus computadores Windows Server 2012/2012 R2. O registro em ESUs não afeta o Gerenciador de Atualizações do Azure. Após o registro em ESUs por meio do Azure Arc, o servidor se torna qualificado para patches de ESU. Esses patches podem ser entregues por meio do Gerenciador de Atualizações do Azure ou de qualquer outra solução de aplicação de patch. Você ainda precisará configurar atualizações do Microsoft Updates ou Windows Server Update Services.
- Controle de Alterações e Inventário – acompanhe as alterações em máquinas virtuais hospedadas no Azure, localmente e em outros ambientes de nuvem.
- Configuração de Convidado do Azure Policy – Audite as definições de configuração em uma máquina virtual. A configuração de hóspedes dá suporte nativo a VMs do Azure e a servidores físicos e virtuais não-Azure por meio de servidores habilitados pelo Azure Arc.
Outros serviços do Azure por meio de servidores habilitados para Azure Arc também estão disponíveis, com ofertas como:
- Microsoft Defender para Nuvem – Como parte do pilar do CSPM (gerenciamento de postura de segurança na nuvem), ele fornece proteções de servidor por meio do Microsoft Defender para servidores para ajudar a protegê-lo contra várias ameaças e vulnerabilidades cibernéticas.
- Microsoft Sentinel – Coleta eventos relacionados à segurança e correlaciona-os com outras fontes de dados.
Preparar a entrega de ESUs
Planeje e prepare-se para conectar seus computadores a servidores habilitados para Azure Arc por meio da instalação do agente do Azure Connected Machine (versão 1.34 ou superior) para estabelecer uma conexão com o Azure.
Depois de estabelecer essa conexão, você pode registrar seus servidores para receber ESUs (Atualizações de Segurança Estendidas). As Atualizações de Segurança Estendidas do Windows Server 2012 dão suporte às edições Windows Server 2012 e R2 Standard e Datacenter. Não há suporte para o Armazenamento do Windows Server 2012.
Recomendamos que você implante suas máquinas no Azure Arc em preparação para quando os serviços do Azure relacionados oferecerem funcionalidades com suporte para gerenciar a ESU. Depois que esses computadores forem integrados aos servidores habilitados para Azure Arc, você terá visibilidade de sua cobertura da ESU e se registrará por meio do portal do Azure ou usando o Azure Policy. A cobrança desse serviço começa a partir de outubro de 2023 (ou seja, após o fim do suporte do Windows Server 2012).
Observação
Para comprar ESUs, você deve ter o Software Assurance por meio de Programas de Licenciamento por Volume, como um EA (Contrato Enterprise), EAS (Assinatura de Contrato Enterprise), Registro para Soluções de Educação (EES), Servidor e Registro em Nuvem (SCE) ou por meio de Programas Microsoft Open Value. Como alternativa, se seus computadores Windows Server 2012/2012 R2 forem licenciados por meio de SPLA ou com uma Assinatura de Servidor, o Software Assurance não será necessário para comprar ESUs.
Você também deve baixar o pacote de licenciamento e a atualização da pilha de serviços (SSU) do servidor habilitado para Azure Arc, conforme documentado em KB5031043: Procedimento para continuar recebendo atualizações de segurança após o término do suporte estendido em 10 de outubro de 2023.
Opções de implantação
Há várias opções de integração em escala para servidores habilitados para Azure Arc:
Execute uma sequência de tarefas personalizada por meio do Configuration Manager.
Implantar uma tarefa agendada por meio da Política de Grupo.
Use VMs gerenciadas do VMware vCenter por meio do Azure Arc.
Use VMs gerenciadas do SCVMM por meio do Azure Arc.
Observação
A entrega de ESUs por meio do Azure Arc para máquinas virtuais em execução na Infraestrutura de Área de Trabalho Virtual (VDI) não é recomendada. Os sistemas VDI devem usar Chaves de Ativação Múltipla (MAK) para aplicar ESUs. Confira Acessar sua chave de ativação múltipla no Centro de Administração do Microsoft 365 para saber mais.
Rede
Verifique se os computadores têm a conectividade de rede necessária com o Azure Arc. As opções de conectividade incluem:
- Ponto de extremidade público
- Servidor proxy
- Link privado ou Rota Expressa do Azure.
Examine os pré-requisitos de rede para preparar ambientes não Azure para implantação no Azure Arc.
Se você usar servidores habilitados para Azure Arc apenas para atualizações de segurança estendidas para um ou ambos os produtos a seguir:
- Windows Server 2012
- SQL Server 2012
Você pode habilitar o seguinte subconjunto de pontos de extremidade.
| Recurso de agente | Descrição | Quando necessário | Ponto de extremidade usado com o link privado |
|---|---|---|---|
download.microsoft.com |
Usado para baixar o pacote de instalação do Windows. | Somente no momento da instalação. 1 | Público. |
login.windows.net |
Microsoft Entra ID | Sempre. | Público. |
login.microsoftonline.com |
Microsoft Entra ID | Sempre. | Público. |
*.login.microsoft.com |
Microsoft Entra ID | Sempre. | Público. |
management.azure.com |
O Azure Resource Manager é usado para criar ou excluir o recurso de servidor do Azure Arc. | Somente quando você se conecta ou desconecta um servidor. | Público, a menos que um link privado de gerenciamento de recursos também esteja configurado. |
*.his.arc.azure.com |
Metadados e serviços de identidade híbrida. | Sempre. | Privado. |
*.guestconfiguration.azure.com |
Gerenciamento de extensões e serviços de configuração para convidados. | Sempre. | Privado. |
www.microsoft.com/pkiops/certs |
Atualizações de certificado intermediárias para atualizações de segurança estendidas (usa HTTP/TCP 80 e HTTPS/TCP 443). | Seja para atualizações automáticas ou temporariamente, caso você baixe certificados manualmente. | Público. |
*.<region>.arcdataservices.com |
Serviço de processamento de dados do Azure Arc e telemetria de serviço. | Atualizações de segurança estendidas do SQL Server. | Público. |
*.blob.core.windows.net |
Baixe o pacote de extensão do SQL Server. | Atualizações de segurança estendidas do SQL Server. | Não é necessário se você usar o Link Privado do Azure. |
1 O acesso a essa URL também é necessário quando você executa atualizações automaticamente.
Dica
Para aproveitar toda a gama de ofertas para servidores habilitados para Arc, como extensões e conectividade remota, certifique-se de permitir os URLs adicionais que se aplicam ao seu cenário. Para obter mais informações, confira Requisitos de rede do agente de computador conectado.
Autoridades de certificação necessárias
As seguintes Autoridades de Certificação são necessárias para as Atualizações de Segurança Estendidas para o Windows Server 2012:
- AC emissora do TLS da RSA do Microsoft Azure 03
- CA Emissora do TLS da RSA do Microsoft Azure 04
- CA Emissora do TLS da RSA do Microsoft Azure 07
- CA Emissora do TLS da RSA do Microsoft Azure 08
Se necessário, essas Autoridades de Certificação podem ser baixadas e instaladas manualmente.
Próximas etapas
Saiba mais sobre como planejar o fim do suporte do Windows Server e do SQL Server e obter as Atualizações de Segurança Estendidas.
Saiba mais sobre as melhores práticas e os padrões de design por meio do acelerador de zona de destino do Azure Arc para ambiente híbrido e multinuvem.
Saiba mais sobre os servidores habilitados para Arc e como eles funcionam com o Azure por meio do agente do Azure Connected Machine.
Explore as opções para integração de seus computadores aos servidores habilitados para Azure Arc.