Régir des serveurs avec Azure Arc avec la Configuration d’invité Azure Policy

  • 5 minutes

Fabrikam Residences a intégré ses machines à des serveurs avec Azure Arc. Contrairement aux machines virtuelles Azure où la Configuration Invité est déployée en tant qu’extension de machine virtuelle (VM), les serveurs avec Azure Arc disposent du service Configuration Invité intégré au Connected Machine Agent. Dans cette leçon, vous découvrez la Configuration Invité et la façon dont elle s’intègre aux serveurs avec Azure Arc.

Vue d’ensemble de la Configuration d’invité

La fonctionnalité Configuration d’invité d’Azure Policy apporte une capacité native à auditer ou configurer des paramètres de système d’exploitation en tant que code, tant pour des machines s’exécutant dans Azure que pour des machines avec Arc. Si la Configuration Invité est déployée en tant qu’extension de machine virtuelle sur des Machines Virtuelles Azure, l’agent Configuration Invité est incorporé au Connected Machine Agent pour les serveurs avec Azure Arc. Par défaut, les serveurs avec Arc peuvent s’appuyer sur le service Configuration d’invité pour fournir une stratégie dans l’invité et une fonctionnalité Configuration d’invité aux serveurs avec Azure Arc.

Une Configuration d’invité peut être utilisée tant pour la gestion de la configuration que pour la conformité des ressources. Les paramètres de configuration incluent des paramètres du système d’exploitation, la configuration ou la présence de l’application, et des paramètres d’environnement. Du point de vue de la conformité, vous pouvez auditer ou déployer des paramètres sur toutes les machines dans l’étendue. Vous pouvez le faire de manière réactive, sur vos machines existantes. Ou de manière proactive, sur de nouvelles machines à mesure que vous les déployez.

Configuration d’invité Azure Policy intégrée

Il existe des dizaines de stratégies Azure intégrées pour les serveurs avec Arc, qui utilisent la Configuration Invité. Voici des exemples Configuration d’invité Azure Policy pour serveurs avec Arc :

  • Configurer le fuseau horaire sur les machines Windows.
  • Spécifier les paramètres de stratégie de groupe dans la catégorie Propriétés du pare-feu Windows pour l’état, les connexions, la gestion des règles et les notifications de pare-feu, sur les machines Windows.
  • Répondre aux exigences de Options de sécurité : Contrôle de compte d’utilisateur sur les machines Windows.

Configuration d’invité dans des scénarios déconnectés

Pour des machines déconnectées, les serveurs avec Azure Arc ont le comportement suivant de configuration d’invité Azure Policy :

  • Une attribution Azure Policy qui cible les ordinateurs déconnectés n’est pas affectée.
  • L’attribution d’invité est stockée localement pendant 14 jours. Pendant la période de 14 jours, si l’agent Connected Machine se reconnecte au service, les attributions de stratégie sont réappliquées.
  • Les affectations sont supprimées après 14 jours et ne sont pas réaffectées à la machine après cette période de 14 jours.

Tarification de la Configuration d’invité Azure Policy

La facturation est basée sur le nombre de serveurs inscrits auprès du service, auxquels une ou plusieurs configurations invité sont affectés. La facturation se fait au prorata des heures. Les machines hors ligne, comme celles qui sont déconnectées ou mises hors tension pendant l’heure entière, ne sont pas facturées. Les ressources Azure Arc gérées par la configuration d’invité sont exclues de la facturation dans les scénarios suivants.

  • Azure Automation : Les affectations Configuration Invité ne sont pas facturées si les fonctionnalités de configuration d’état ou de Change Tracking proposées par Azure Automation gèrent déjà la machine.
  • Microsoft Defender pour le cloud : l’affectation de stratégie Azure de l’initiative Benchmark de sécurité Azure crée une affectation de configuration. L’affectation de stratégie Azure d’une initiative de stratégie intégrée dans la catégorie « Conformité réglementaire » crée une attribution de configuration. L’affectation de stratégie Azure d’une initiative de stratégie personnalisée créée dans Microsoft Defender pour le cloud crée une attribution de configuration.
  • Azure Stack HCI : Vous pouvez utiliser les avantages Azure sur votre cluster Azure Stack HCI afin que les affectations Configuration Invité soient utilisées sans frais supplémentaires. Vous pouvez utiliser ces avantages pour les machines virtuelles hébergées par Azure Stack HCI et les nœuds dans un cluster Azure Stack HCI.
  • Les bases de référence de sécurité Azure et les Azure Policies Configuration Non-invité ne déclenchent pas de tarification.

L’Azure Policy Configuration Invité, incluant la configuration du Change Tracking, du stock et de l’état d’Azure Automation, coûte 6 USD/serveur/mois pour les serveurs avec Azure Arc. Affecter l’Azure Policy Configuration Invité à des machines virtuelles Azure n’occasionne aucun frais.