Azure Update Manager: Patch-Management für Azure- und Arc-fähige VMs in Berliner Unternehmen

Nicht eingespieltes Betriebssystem-Updates gehören weltweit zu den führenden Ursachen für Ransomware-Infektionen und Sicherheitsvorfälle in kleinen Unternehmen. Azure Update Manager bietet eine zentrale, Azure-native Lösung für das Patch-Management von Windows- und Linux-VMs — sowohl in Azure als auch auf Arc-verwalteten On-Premises- und Multi-Cloud-Systemen. Dieser Leitfaden beschreibt, wie Sie Update Manager für Berliner KMU-Umgebungen einrichten und operativ nutzen.

Was ist Azure Update Manager?

Azure Update Manager ist der Nachfolger der veralteten Update Management-Lösung in Azure Automation. Er ist direkt in das Azure-Portal integriert, benötigt keinen Log-Analytics-Arbeitsbereich und kein Automation-Konto und funktioniert sowohl für Azure-VMs als auch für Arc-fähige Server (On-Premises, AWS, GCP).

Kernfunktionen:

• Compliance-Bewertung: Aktueller Patch-Status aller verwalteten Systeme auf einen Blick
• Ad-hoc-Updates: Sofortige Update-Installation auf einzelnen VMs oder VM-Gruppen
• Geplante Wartungsfenster: Automatische Update-Bereitstellung zu festgelegten Zeiten
• Update-Filter: Steuerung, welche Updates installiert werden (Critical, Security, All)
• Hot-Patch (Windows Server Azure Edition): Sicherheits-Patches ohne Neustart für bestimmte Azure-VM-SKUs

Unterstützte Plattformen

Azure Update Manager unterstützt:

• Windows: Windows Server 2008 R2 SP1 und neuer, Windows 10/11 (nur Arc-Szenario)
• Linux: RHEL/CentOS 7.x und 8.x, Ubuntu 16.04 LTS und neuer, SLES 12 SP5 und 15, Debian 9 und neuer
• Azure-VMs: Direkt ohne zusätzliche Agents — Update Manager nutzt die Azure VM Guest Agent Extension
• Arc-fähige Server: On-Premises-Server mit installiertem Azure Arc Agent — ermittelt über die Connected Machine Extension

Einrichtung: Schritt für Schritt

Azure-VMs aktivieren

Für Azure-VMs ist keine zusätzliche Konfiguration erforderlich. Im Azure-Portal unter Azure Update Manager → Overview werden alle VMs im Abonnement automatisch angezeigt. Eine initiale Compliance-Bewertung wird über Check for updates angestoßen.

Arc-fähige Server vorbereiten

1. Azure Arc Agent auf On-Premises-Servern installieren (Windows oder Linux MSI/Script)
2. Im Azure-Portal unter Azure Arc → Servers sollten Server nach der Installation erscheinen
3. In Azure Update Manager sind Arc-Server automatisch sichtbar sobald der Arc Agent aktiv ist

Wartungskonfiguration erstellen

1. Im Azure-Portal: Azure Update Manager → Maintenance configurations → Create
2. Schedule: Wiederholungsmuster (täglich, wöchentlich, monatlich) und Zeitfenster
3. Update classification: Critical, Security, Definition Updates, Service Packs, Feature Packs
4. Scope: Einzelne VMs, Ressourcengruppen oder über Dynamic Scope (Azure Policy basiert)
5. Pre/Post-Skripte: Optionale Azure Automation Runbooks vor und nach dem Patching (z.B. Dienste stoppen, Snapshots erstellen)

Compliance-Bewertung und Reporting

Azure Update Manager zeigt für jede VM den aktuellen Patch-Compliance-Status an:

• Compliant: Alle verfügbaren Updates installiert
• Not Compliant: Ausstehende Updates vorhanden, mit Kategorie-Aufschlüsselung
• Unknown: Bewertung wurde noch nicht ausgeführt oder Agent antwortet nicht

Die Compliance-Daten können über Azure Resource Graph abgefragt werden — nützlich für benutzerdefinierte Workbooks in Azure Monitor oder für Auditberichte gegenüber Kunden oder Versicherern.

Integration mit Defender for Cloud

Microsoft Defender for Cloud wertet den Update-Status als Teil der Secure Score-Empfehlungen aus. VMs mit fehlenden kritischen Patches erhalten eine Hochrisiko-Empfehlung, die direkt im Defender-Dashboard sichtbar ist. Azure Update Manager ist der operative Mechanismus, um diese Empfehlungen zu erfüllen: Patches werden aus Update Manager heraus bereitgestellt und Defender for Cloud aktualisiert die Compliance automatisch.

Integration mit Azure Backup

Für produktive VMs empfiehlt sich die Koordination von Update-Fenstern mit Backup-Zeitplänen. Azure Backup kann Pre/Post-Update-Snapshots als Rollback-Punkt sicherstellen. Im Fall eines problematischen Updates — defekter Treiber, Applikationsinkompatibilität — kann die VM aus dem letzten konsistenten Snapshot wiederhergestellt werden.

Hot-Patching für Windows Server Azure Edition

Für Windows Server 2022 Datacenter Azure Edition auf bestimmten Azure-VM-SKUs unterstützt Update Manager Hot-Patching: Sicherheits-Patches werden ohne VM-Neustart eingespielt. Das reduziert geplante Wartungsfenster erheblich — statt monatlicher Neustarts sind nur noch quartalliche Baseline-Neustarts erforderlich, alle anderen Sicherheits-Patches werden live eingespielt.

Lizenzierung und Kosten

Azure Update Manager selbst ist kostenlos für Azure-VMs. Für Arc-fähige Server (On-Premises, andere Clouds) entstehen Kosten pro verwaltetem Server:

• Kostenloses Kontingent: Keine Gebühr für die Update-Manager-Funktion selbst bei Arc-Servern
• Azure Arc-Serverkosten können für erweiterte Features anfallen (Defender for Servers, Extended Security Updates für ältere Windows-Server)

Für die meisten kleinen Berliner Unternehmen sind die Update Manager-Kernfunktionen ohne zusätzliche Kosten nutzbar.

Migrationspfad von Azure Automation Update Management

Azure Automation Update Management wird nicht mehr weiterentwickelt. Microsoft empfiehlt die Migration zu Azure Update Manager. Der Migrationspfad ist dokumentiert und kann über ein Migrationsskript halbautomatisiert werden. Bestehende Update-Zeitpläne können als Wartungskonfigurationen in Azure Update Manager importiert werden.

Fazit: Zentrales Patch-Management ohne Komplexität

Azure Update Manager bietet kleinen Berliner Unternehmen eine praktische, direkt im Azure-Portal integrierte Lösung für das Patch-Management. Die Kombination aus automatischer Compliance-Bewertung, geplanten Wartungsfenstern und Integration in Defender for Cloud schließt eine der häufigsten Sicherheitslücken in KMU-Umgebungen — ungepatchte Systeme — ohne aufwendige Tooling-Infrastruktur.