Steuern von Azure Arc-fähigen Servern mit Azure Policy-Gastkonfiguration

  • 5 Minuten

Fabrikam Residences hat das Onboarding seiner Computer auf Azure Arc-aktivierte Server durchgeführt. Im Gegensatz zu Azure-VMs, auf denen die Gastkonfiguration als VM-Erweiterung (virtueller Computer) bereitgestellt wird, verfügen Azure Arc-fähige Server über den Gastkonfigurationsdienst als Teil des Connected Machine-Agents. In dieser Lerneinheit erfahren Sie mehr über die Gastkonfiguration und wie sie in Azure Arc-fähige Server passt.

Übersicht über die Gastkonfiguration

Das Gastkonfigurationsfeature von Azure Policy bietet native Funktionen zum Überprüfen oder Konfigurieren von Betriebssystemeinstellungen als Code, sowohl für Computer, die in Azure ausgeführt werden, als auch für Computer mit Arc-Unterstützung. Während die Gastkonfiguration als VM-Erweiterung für virtuelle Azure-Computer bereitgestellt wird, wird der Gastkonfigurations-Agent in den Connected Machine-Agent für Azure Arc-fähige Server eingebettet. Standardmäßig können Arc-fähige Server den Gastkonfigurationsdienst verwenden, um gastinterne Richtlinien und Gastkonfigurationsfunktionen für Azure Arc-fähige Server bereitzustellen.

Die Gastkonfiguration kann sowohl für die Konfigurationsverwaltung als auch für die Compliance von Ressourcen verwendet werden. Zu den Konfigurationseinstellungen gehören die Einstellungen des Betriebssystems, die Konfiguration oder das Vorhandensein von Anwendungen und die Umgebungseinstellungen. Unter dem Gesichtspunkt der Einhaltung der Compliance können Sie Einstellungen auf allen zutreffenden Computern überwachen oder bereitstellen. Sie können dies reaktiv auf Ihren vorhandenen Computern tun. Alternativ ist dies proaktiv auf neuen Computern während der Bereitstellung dieser möglich.

Integrierte Azure Policy-Gastkonfiguration

Es gibt Dutzende von integrierten Azure-Richtlinien für Arc-fähige Server, die die Gastkonfiguration nutzen. Einige Beispiele für Azure Policy-Gastkonfiguration für Arc-fähige Server:

  • Konfigurieren der Zeitzone auf Windows-Computern
  • Angeben der Gruppenrichtlinieneinstellungen in der Kategorie Windows-Firewalleigenschaften für Firewallzustand, Verbindungen, Regelverwaltung und Benachrichtigungen auf Windows-Computern
  • Erfüllen der Anforderungen für Sicherheitsoptionen: Benutzerkontensteuerung auf Windows-Computern

Gastkonfiguration in getrennten Szenarien

Für getrennte Computer verfügen Azure Arc-fähige Server über das folgende Azure Policy Gastkonfigurationsverhalten:

  • Eine Azure Policy-Zuweisung, deren Ziel getrennte Computer sind, ist nicht betroffen.
  • Die Gastzuweisung wird 14 Tage lang lokal gespeichert. Wenn der Connected Machine-Agent innerhalb dieser 14 Tage erneut eine Verbindung mit dem Dienst herstellt, werden die Richtlinienzuweisungen neu angewendet.
  • Zuweisungen werden nach 14 Tagen gelöscht und nach Ablauf dieses Zeitraums für den betreffenden Computer nicht erneut durchgeführt.

Preise für Azure Policy-Gastkonfiguration

Die Abrechnung basiert auf der Anzahl der Server, die bei dem Dienst registriert sind, denen mindestens eine Gastkonfiguration zugewiesen wurde. Die Abrechnung erfolgt anteilig auf Stundenbasis. Für Offlinecomputer (z. B. Computer, die für die gesamte Stunde getrennt oder ausgeschaltet sind) erfolgt keine Berechnung. Azure Arc-Ressourcen, die von der Gastkonfiguration verwaltet werden, werden in den folgenden Szenarien von der Abrechnung ausgeschlossen.

  • Azure Automation: Gastkonfigurationszuweisungen werden nicht berechnet, wenn der Computer bereits von der Statuskonfiguration oder den von Azure Automation bereitgestellten Änderungsnachverfolgungsfeatures verwaltet wird.
  • Microsoft Defender für Cloud: Die Azure Policy-Zuordnung der Azure Security Benchmark-Initiative erstellt eine Konfigurationszuweisung. Die Azure Policy-Zuordnung einer integrierten Richtlinieninitiative in der Kategorie „Regulatorische Compliance“ erstellt eine Konfigurationszuweisung. Die Azure Policy-Zuordnung einer benutzerdefinierten Richtlinieninitiative, die in Microsoft Defender für Cloud erstellt wurde, erstellt eine Konfigurationszuweisung.
  • Azure Stack HCI: Sie können Azure-Vorteile auf Ihrem Azure Stack HCI-Cluster verwenden, sodass die Gastkonfigurationszuweisungen ohne zusätzliche Gebühr verwendet werden. Sie können diese Vorteile für virtuelle Computer verwenden, die von Azure Stack HCI und Knoten in einem Azure Stack HCI-Cluster gehostet werden.
  • Für Azure Security Baselines und Azure-Richtlinien ohne Gastkonfiguration fallen keine Kosten an.

Die Azure Policy-Gastkonfiguration (einschließlich Azure Automation-Änderungsnachverfolgung, -Bestand und -Zustandskonfiguration) kostet 6 USD/Server/Monat für Azure Arc-fähige Server. Die Zuweisung der Azure Policy-Gastkonfiguration zu Azure-VMs ist kostenlos.