Nota
O acesso a esta página requer autorização. Podes tentar iniciar sessão ou mudar de diretório.
O acesso a esta página requer autorização. Podes tentar mudar de diretório.
Com o Windows Server 2012 e o Windows Server 2012 R2 tendo chegado ao fim do suporte em 10 de outubro de 2023, os servidores habilitados para Arco do Azure permitem que você registre suas máquinas Windows Server 2012/2012 R2 existentes em ESUs (Atualizações de Segurança Estendidas). Oferecendo flexibilidade de custos e uma experiência de entrega aprimorada, o Azure Arc posiciona melhor você para migrar para o Azure.
O objetivo deste artigo é ajudá-lo a entender os benefícios e como se preparar para usar servidores habilitados para Arc para habilitar a entrega de ESUs.
Nota
As máquinas do Azure VMware Solutions (AVS) são elegíveis para ESUs gratuitas e não devem registar-se em ESUs ativadas através do Azure Arc.
Principais benefícios
Fornecer ESUs para suas máquinas Windows Server 2012/2012 R2 oferece os seguintes benefícios principais:
Pagamento conforme o uso: flexibilidade para se inscrever em um serviço de assinatura mensal com a capacidade de migrar no meio do ano.
Azure faturado: Você pode utilizar seu Compromisso de Consumo do Microsoft Azure (MACC) existente e analisar seus custos usando Microsoft Cost Management and Billing.
Inventário incorporado: A cobertura e o estado de inscrição das ESUs do Windows Server 2012/2012 R2 em servidores qualificados habilitados para Arc são identificados no portal do Azure, destacando lacunas e alterações de estado.
Entrega sem chave: o registro de ESUs em máquinas Windows Server 2012/2012 R2 habilitadas para Azure Arc não exigirá a aquisição ou ativação de chaves.
Acesso aos serviços do Azure
Para os servidores habilitados pelo Azure Arc e inscritos nas ESUs do WS2012, é fornecido acesso gratuito a estes serviços do Azure a partir de 10 de outubro de 2023.
- Azure Update Manager - Gerenciamento unificado e governança de conformidade de atualização que inclui não apenas máquinas Azure e híbridas, mas também conformidade de atualização ESU para todas as suas máquinas Windows Server 2012/2012 R2. O registro em ESUs não afeta o Azure Update Manager. Após o registro em ESUs por meio do Azure Arc, o servidor se torna elegível para patches ESU. Esses patches podem ser entregues por meio do Azure Update Manager ou de qualquer outra solução de patches. Você ainda precisará configurar atualizações do Microsoft Updates ou do Windows Server Update Services.
- Controle de alterações e inventário - Rastreie alterações em máquinas virtuais hospedadas no Azure, no local e em outros ambientes de nuvem.
- Azure Policy Guest Configuration - Audite as definições de configuração em uma máquina virtual. A configuração de convidado dá suporte a VMs do Azure nativamente e a servidores físicos e virtuais fora do Azure por meio de servidores habilitados com Azure Arc.
Outros serviços do Azure por meio de servidores habilitados para Azure Arc também estão disponíveis, com ofertas como:
- Microsoft Defender for Cloud - Como parte do pilar CSPM (gerenciamento de postura de segurança na nuvem), ele fornece proteções de servidor por meio do Microsoft Defender for Servers para ajudar a protegê-lo de várias ameaças e vulnerabilidades cibernéticas.
- Microsoft Sentinel - Colete eventos relacionados à segurança e correlacione-os com outras fontes de dados.
Preparar a entrega de ESUs
Planeje e prepare-se para conectar suas máquinas aos servidores habilitados para Azure Arc por meio da instalação do agente Azure Connected Machine (versão 1.34 ou superior) para estabelecer uma conexão com o Azure.
Depois de estabelecer essa conexão, você pode registrar seus servidores para receber Atualizações de Segurança Estendidas (ESUs). As Atualizações de Segurança Estendidas do Windows Server 2012 oferecem suporte às edições Windows Server 2012 e R2 Standard e Datacenter. O Armazenamento do Windows Server 2012 não é suportado.
Recomendamos que você implante suas máquinas no Azure Arc em preparação para quando os serviços relacionados do Azure fornecerem funcionalidade suportada para gerenciar ESU. Depois que essas máquinas forem integradas aos servidores habilitados para Azure Arc, você terá visibilidade de sua cobertura ESU e se inscreverá por meio do portal do Azure ou usando a Política do Azure. A cobrança desse serviço começa a partir de outubro de 2023 (ou seja, após o fim do suporte ao Windows Server 2012).
Nota
Para comprar ESUs, você deve ter o Software Assurance por meio de Programas de Licenciamento por Volume, como Enterprise Agreement (EA), Enterprise Agreement Subscription (EAS), Enrollment for Education Solutions (EES), Server and Cloud Enrollment (SCE) ou por meio de Microsoft Open Value Programs. Como alternativa, se as suas máquinas Windows Server 2012/2012 R2 forem licenciadas através do SPLA ou com uma Subscrição de Servidor, o Software Assurance não será necessário para comprar ESUs.
Baixe o pacote de licenciamento e a atualização da pilha de serviços (SSU) para o servidor com Arc do Azure, conforme documentado em KB5031043: Procedimento para continuar recebendo atualizações de segurança após o término do suporte estendido em 10 de outubro de 2023.
Opções de implementação
Há várias opções de integração em grande escala para servidores com Azure Arc ativado:
Execute uma sequência de tarefas personalizada através do Configuration Manager.
Implante uma Tarefa Agendada por meio da Diretiva de Grupo.
Use VMs gerenciadas pelo VMware vCenter por meio do Azure Arc.
Use VMs gerenciadas pelo SCVMM por meio do Azure Arc.
Nota
A entrega de ESUs através do Azure Arc para máquinas virtuais em execução na Infraestrutura de Ambiente de Trabalho Virtual (VDI) não é recomendada. Os sistemas VDI devem usar chaves de ativação múltiplas (MAK) para aplicar ESUs. Consulte Aceder à sua Chave de Ativação Múltipla a partir do Centro de Administração do Microsoft 365 para saber mais.
Rede
Certifique-se de que suas máquinas tenham a conectividade de rede necessária com o Azure Arc. As opções de conectividade incluem:
- Ponto final público
- Servidor proxy
- Link privado ou Rota Expressa do Azure.
Analise os pré-requisitos de rede para preparar ambientes que não sejam do Azure para implantação no Azure Arc.
Se você usar servidores habilitados para Azure Arc somente para Atualizações de Segurança Estendidas para um ou ambos os seguintes produtos:
- Windows Server 2012
- SQL Server 2012
Você pode habilitar o seguinte subconjunto de pontos de extremidade.
| Recursos do agente | Descrição | Quando necessário | Endpoint utilizado com link privado |
|---|---|---|---|
download.microsoft.com |
Usado para baixar o pacote de instalação do Windows. | Apenas no momento da instalação. 1 | Pública. |
login.windows.net |
ID do Microsoft Entra. | Sempre. | Pública. |
login.microsoftonline.com |
ID do Microsoft Entra. | Sempre. | Pública. |
*.login.microsoft.com |
ID do Microsoft Entra. | Sempre. | Pública. |
management.azure.com |
O Azure Resource Manager é usado para criar ou excluir o recurso do servidor Azure Arc. | Somente quando você se conecta ou desconecta um servidor. | Público, a menos que um link privado de gerenciamento de recursos também esteja configurado. |
*.his.arc.azure.com |
Serviços de metadados e identidade híbrida. | Sempre. | Privado. |
*.guestconfiguration.azure.com |
Serviços de gerenciamento de extensões e configuração de convidados. | Sempre. | Privado. |
www.microsoft.com/pkiops/certs |
Atualizações de certificado intermediárias para Atualizações de Segurança Estendidas (usa HTTP/TCP 80 e HTTPS/TCP 443). | Sempre para atualizações automáticas ou temporariamente se você baixar certificados manualmente. | Pública. |
*.<region>.arcdataservices.com |
Serviço de processamento de dados e telemetria de serviço do Azure Arc. | Atualizações de segurança estendidas do SQL Server. | Pública. |
*.blob.core.windows.net |
Baixe o pacote de extensão do SQL Server. | Atualizações de segurança estendidas do SQL Server. | Não é necessário se você usar o Azure Private Link. |
1 O acesso a este URL também é necessário quando efetua atualizações automaticamente.
Tip
Para aproveitar toda a gama de ofertas para servidores habilitados para Arc, como extensões e conectividade remota, certifique-se de permitir as URLs adicionais que se aplicam ao seu cenário. Para obter mais informações, consulte Requisitos de rede do agente de máquina conectado.
Autoridades de certificação necessárias
As seguintes Autoridades de Certificação são necessárias para as Atualizações de Segurança Estendidas do Windows Server 2012:
- Microsoft Azure RSA TLS Emissão CA 03
- Microsoft Azure RSA TLS Emissão CA 04
- Microsoft Azure RSA TLS Emissão CA 07
- Microsoft Azure RSA TLS Emissão CA 08
Se necessário, essas Autoridades de Certificação podem ser baixadas e instaladas manualmente.
Próximos passos
Saiba mais sobre como planejar o fim do suporte ao Windows Server e ao SQL Server e obter Atualizações de Segurança Estendidas.
Saiba mais sobre práticas recomendadas e padrões de design por meio do acelerador de zona de aterrissagem do Azure Arc para ambientes híbridos e multicloud.
Saiba mais sobre os servidores habilitados para Arc e como eles funcionam com o Azure por meio do agente do Azure Connected Machine.
Explore as opções de integração de suas máquinas aos servidores habilitados para Azure Arc.