Wartungsoptionen für die Computerkonfiguration
Bevor Sie beginnen, sollten Sie die Übersichtsseite zur Computerkonfiguration lesen.
Wichtig
Die Computerkonfigurationserweiterung ist für virtuelle Computer in Azure erforderlich. Weisen Sie die folgende Richtliniendefinition zu, um die Erweiterung auf allen Computern im gewünschten Umfang bereitzustellen: Deploy prerequisites to enable guest configuration policies on virtual machines
Zur Verwendung von Maschinenkonfigurationspaketen, die Konfigurationen anwenden, ist Version 1.26.24 oder höher der Azure-VM-Gastkonfigurationserweiterung oder Arc-Agent 1.10.0 oder höher erforderlich.
Definitionen benutzerdefinierter Richtlinien für „Computerkonfiguration“, die sowohl AuditIfNotExists
als auch DeployIfNotExists
verwenden, haben den Supportstatus „Allgemeine Verfügbarkeit“ (GA).
Verwalten der Korrektur durch „Computerkonfiguration“ (Set)
Die Computerkonfiguration verwendet den Richtlinieneffekt DeployIfNotExists für Definitionen, die Änderungen auf Computern bereitstellen. Legen Sie die Eigenschaften einer Richtlinienzuweisung fest, um zu steuern, wie die Auswertung Konfigurationen automatisch oder bei Bedarf liefert.
Für dieses Dokument ist ein Video zur exemplarischen Vorgehensweise verfügbar.
Computerkonfiguration-Zuweisungstypen
Es gibt drei verfügbare Zuweisungstypen, wenn Gastzuweisungen erstellt werden. Die Eigenschaft ist als Parameter von Computerkonfigurationsdefinitionen verfügbar, die DeployIfNotExists
unterstützen.
Bei der Eigenschaft assignmentType wird die Groß- und Kleinschreibung berücksichtigt.
Zuweisungstyp | Verhalten |
---|---|
Audit |
Meldet den Zustand des Computers, nimmt jedoch keine Änderungen vor. |
ApplyAndMonitor |
Wird einmal auf den Computer angewendet, und dann wird überwacht, ob Änderungen auftreten. Wenn die Konfiguration abweicht und NonCompliant wird, wird sie nicht automatisch korrigiert, es sei denn, eine Korrektur wird ausgelöst. |
ApplyAndAutoCorrect |
Wird auf den Computer angewendet. Bei Abweichungen wird vom lokalen Dienst auf dem Computer bei der nächsten Auswertung eine Korrektur vorgenommen. |
Bei Zuweisung einer neuen Richtlinienzuweisung zu einem vorhandenen Computer wird automatisch eine Gastzuweisung erstellt, um den Status der Konfiguration zunächst zu überprüfen. Die Überprüfung liefert Ihnen Informationen, anhand derer Sie entscheiden können, welche Computer korrigiert werden müssen.
Bedarfsbasierte Wartung (ApplyAndMonitor)
Standardmäßig erfolgen Computerkonfigurationszuweisungen in einem Szenario mit bedarfsgesteuerter Korrektur. Die Konfiguration wird angewendet und darf dann von der Konformität abweichen.
Die Konformitätstatus der Gastzuweisung lautet Compliant
, es sei denn, es liegt Folgendes vor:
- Ein Fehler beim Anwenden der Konfiguration
- Der Computer befindet sich bei der nächsten Auswertung nicht mehr im gewünschten Zustand
Wenn eine dieser Bedingungen erfüllt ist, meldet der Agent den Status NonCompliant
und nimmt keine automatische Wartung vor.
Um dieses Verhalten zu aktivieren, legen Sie die Eigenschaft assignmentType der Computerkonfigurationszuweisung auf ApplyandMonitor
fest. Jedes Mal, wenn die Zuweisung innerhalb des Computers verarbeitet wird, meldet der Agent für jede Ressource Compliant
, wenn die Methode Test$true
zurückgibt oder NonCompliant
, wenn die Methode $false
zurückgibt.
Kontinuierliche Korrektur (AutoCorrect)
„Computerkonfiguration“ unterstützt das Konzept der kontinuierlichen Korrektur. Wenn der Computer bei einer Konfiguration von der Konformität abweicht, wird die Konfiguration bei der nächsten Auswertung automatisch korrigiert. Sofern kein Fehler auftritt, meldet der Computer für die Konfiguration stets den Status Compliant
. Bei Verwendung der kontinuierlichen Wartung gibt es keine Möglichkeit, zu melden, wann eine Abweichung automatisch korrigiert wurde.
Um dieses Verhalten zu aktivieren, legen Sie die Eigenschaft assignmentType der Computerkonfigurationszuweisung auf ApplyandAutoCorrect
fest. Jedes Mal, wenn die Zuweisung innerhalb des Computers verarbeitet wird, wird die Methode Set automatisch für jede Ressource ausgeführt, und die Methode Test gibt false
zurück.
Deaktivieren der Wartung
Wenn die Eigenschaft assignmentType auf Audit
festgelegt ist, führt der Agent nur eine Überwachung des Computers durch und versucht nicht, die Konfiguration zu korrigieren, wenn sie nicht konform ist.
Deaktivieren der Wartung von benutzerdefiniertem Inhalt
Sie können die Zuweisungstypeigenschaft für benutzerdefinierte Inhaltspakete überschreiben, indem Sie dem Computer ein Tag mit dem Namen CustomGuestConfigurationSetPolicy hinzufügen und den Wert disable
. Durch das Hinzufügen des Tags wird die Wartung nur für benutzerdefinierte Inhaltspakete deaktiviert, nicht für integrierte Inhalte, die von Microsoft bereitgestellt werden.
Azure Policy-Erzwingung
Azure Policy-Zuweisungen enthalten die erforderliche Eigenschaft Erzwingungsmodus, die das Verhalten für neue und vorhandene Ressourcen bestimmt. Steuern Sie mit dieser Eigenschaft, ob Konfigurationen automatisch auf Computer angewendet werden.
Standardmäßig ist die Erzwingung auf Enabled
festgelegt. Azure Policy wendet die Konfiguration automatisch an, wenn ein neuer Computer bereitgestellt wird. Außerdem wird die Konfiguration angewendet, wenn die Eigenschaften eines Computers im Bereich einer Azure Policy-Zuweisung mit einer Richtlinie in der Kategorie Guest Configuration
aktualisiert werden. Aktualisierungsvorgänge umfassen Aktionen, die in Azure Resource Manager ausgeführt werden, z. B. das Hinzufügen oder Ändern eines Tags. Aktualisierungsvorgänge umfassen auch Änderungen virtueller Computer, z. B. Ändern der Größe oder Anfügen eines Datenträgers.
Lassen Sie die Erzwingung aktiviert, wenn die Konfiguration korrigiert werden soll, wenn Änderungen an der Computerressource in Azure auftreten. Auf dem Computer vorgenommene Änderungen lösen keine automatische Wartung aus, solange sie nicht die Computerressource in Azure Resource Manager ändern.
Wenn die Erzwingung auf Disabled
festgelegt ist, wird der Zustand des Computers so lange von der Konfigurationszuweisung überwacht, bis das Verhalten durch einen Korrekturtask geändert wird. Standardmäßig ändern Definitionen von „Computerkonfiguration“ die Eigenschaft assignmentType von Audit
in ApplyandMonitor
, sodass die Konfiguration einmal und dann erst erneut angewendet wird, wenn eine Korrektur ausgelöst wird.
Optional: Korrigieren aller vorhandenen Computer
Wenn eine Azure Policy-Zuweisung im Azure-Portal erstellt wird, ist auf der Registerkarte „Korrektur“ das Kontrollkästchen „Korrekturtask erstellen“ verfügbar. Wenn das Kontrollkästchen aktiviert ist, werden nach dem Erstellen der Richtlinienzuweisung automatisch alle Ressourcen korrigiert, die mit NonCompliant
ausgewertet werden.
Die Auswirkung dieser Einstellung für „Computerkonfiguration“ besteht darin, dass Sie eine Konfiguration auf vielen Computern bereitstellen können, indem Sie eine Richtlinie zuweisen. Sie müssen den Korrekturtask nicht auch manuell für Computer ausführen, die nicht konform sind.
Manuelles Auslösen der Wartung außerhalb von Azure Policy
Sie können auch die Wartung außerhalb von Azure Policy orchestrieren, indem auch dann eine Gastzuweisungsressource aktualisiert wird, wenn das Update keine Änderungen an den Ressourceneigenschaften vornimmt.
Wenn eine Computerkonfigurationszuweisung erstellt wird, wird die Eigenschaft complianceStatus auf Pending
festgelegt. Der Dienst „Computerkonfiguration“ fordert alle 5 Minuten eine Liste mit Zuweisungen an. Wenn complianceStatus der Computerkonfigurationszuweisung Pending
ist und configurationModeApplyandMonitor
oder ApplyandAutoCorrect
ist, wendet der Dienst die Konfiguration im Computer an.
Nachdem die Konfiguration angewendet wurde, bestimmt der Konfigurationsmodus, ob nur der Konformitätsstatus gemeldet und Abweichungen zugelassen werden sollen, oder ob automatisch korrigiert werden soll.
Grundlegendes zu Kombinationen von Einstellungen
~ | Audit | ApplyandMonitor | ApplyandAutoCorrect |
---|---|---|---|
Erzwingung aktiviert | Meldet nur den Status | Konfiguration wird bei der VM-Erstellung angewendet und erneut beim Update angewendet, andernfalls Abweichungen zulässig | Konfiguration wird bei VM-Erstellung angewendet und erneut beim Update angewendet und im nächsten Intervall korrigiert, wenn Abweichungen auftreten |
Erzwingung deaktiviert | Meldet nur den Status | Konfiguration wird angewendet, aber Abweichung zulässig | Konfiguration wird bei VM-Erstellung oder Update angewendet und im nächsten Intervall korrigiert, wenn Abweichungen auftreten |
Nächste Schritte
- Entwickeln eines benutzerdefinierten Computerkonfigurationspakets
- Verwenden Sie das GuestConfiguration-Modul, um eine Azure-Richtliniendefinition für die Verwaltung Ihrer Umgebung im großen Maßstab zu erstellen.
- Weisen Sie Ihre Richtliniendefinition mithilfe des Azure-Portals zu.
- Erfahren Sie, wie Sie die Richtlinienzuweisungen Konformitätsdetails für die Maschinenkonfiguration anzeigen.