Condividi tramite

Connettere computer su larga scala usando Criteri di gruppo

  • Articolo

È possibile eseguire l'onboarding di computer Windows aggiunti ad Active Directory nei server abilitati per Azure Arc su larga scala usando Criteri di gruppo.

È prima necessario configurare una condivisione remota locale con l'agente Connected Machine e modificare uno script specificando la zona di destinazione del server abilitato per Arc in Azure. Si eseguirà quindi uno script che genera un oggetto Criteri di gruppo per eseguire l'onboarding di un gruppo di computer nei server abilitati per Azure Arc. Questo oggetto Criteri di gruppo può essere applicato al sito, al dominio o al livello aziendale. L'assegnazione può anche usare l'elenco di controllo di accesso (ACL) e altri filtri di sicurezza nativi per i Criteri di gruppo. Verrà eseguito l'onboarding dei computer dell'ambito dei Criteri di gruppo nei server abilitati per Azure Arc. Definire l'ambito dell'oggetto Criteri di gruppo in modo da includere solo i computer di cui si vuole eseguire l'onboarding in Azure Arc.

Prima di iniziare, esaminare i prerequisiti e verificare che la sottoscrizione e le risorse soddisfino i requisiti. Per informazioni sulle aree supportate e altre considerazioni correlate, vedere Aree di Azure supportate. Esaminare anche la guida alla pianificazione su larga scala per comprendere i criteri di progettazione e distribuzione, nonché le raccomandazioni di gestione e monitoraggio.

Se non si ha una sottoscrizione di Azure, creare un account gratuito prima di iniziare.

Connessione automatica per SQL Server

Quando si connette un server Windows o Linux ad Azure Arc in cui è installato anche Microsoft SQL Server, anche le istanze di SQL Server verranno connesse automaticamente ad Azure Arc. SQL Server abilitato da Azure Arc offre un inventario dettagliato e funzionalità di gestione aggiuntive per le istanze e i database di SQL Server. Come parte del processo di connessione, un'estensione viene distribuita nel server abilitato per Azure Arc e i nuovi ruoli verranno applicati ai database e a SQL Server. Se non si vuole connettere automaticamente SQL Server ad Azure Arc, è possibile rifiutare aggiungendo un tag al server Windows o Linux con il nome ArcSQLServerExtensionDeployment e il valore Disabled quando è connesso ad Azure Arc.

Per ulteriori informazioni, vedere Gestione delle connessioni automatiche per SQL Server abilitato da Azure Arc.

Preparare una condivisione remota e creare un'entità servizio

L'oggetto Criteri di gruppo, usato per eseguire l'onboarding nei server abilitati per Azure Arc, richiede una condivisione remota con l'agente Connected Machine. Sarà necessario eseguire queste operazioni:

  1. Preparare una condivisione remota per ospitare il pacchetto dell'agente di Azure Connected Machine per Windows e il file di configurazione. Occorre poter aggiungere file alla posizione distribuita. La condivisione di rete deve fornire controller di dominio e computer di dominio con autorizzazioni di modifica, nonché amministratori di dominio con autorizzazioni di controllo completo.

  2. Seguire la procedura per creare un'entità servizio per l'onboarding su larga scala.

    • Assegnare il ruolo di onboarding di Azure Connected Machine all'entità servizio e limitare l'ambito del ruolo alla zona di destinazione di Azure.
    • Prendere nota del segreto dell'entità servizio; questo valore sarà necessario in un secondo momento.

  3. Scaricare e decomprimere la cartella ArcEnabledServersGroupPolicy_vX.X.X da https://github.com/Azure/ArcEnabledServersGroupPolicy/releases/latest/. Questa cartella contiene la struttura del progetto ArcGPO con gli script EnableAzureArc.ps1, DeployGPO.ps1 e AzureArcDeployment.psm1. Questi asset verranno usati per l'onboarding del computer nei server abilitati per Azure Arc.

  4. Scaricare la versione più recente del pacchetto Windows Installer dell'agente di Azure Connected Machine dall'Area download Microsoft e salvarlo nella condivisione remota.

  5. Eseguire lo script di distribuzione DeployGPO.ps1, modificando i parametri di esecuzione per DomainFQDN, ReportServerFQDN, ArcRemoteShare, segreto dell'entità servizio, ID client dell'entità servizio, ID sottoscrizione, Gruppo di risorse, Area, Tenant e AgentProxy (se applicabile):

    .\DeployGPO.ps1 -DomainFQDN contoso.com -ReportServerFQDN Server.contoso.com -ArcRemoteShare AzureArcOnBoard -ServicePrincipalSecret $ServicePrincipalSecret -ServicePrincipalClientId $ServicePrincipalClientId -SubscriptionId $SubscriptionId -ResourceGroup $ResourceGroup -Location $Location -TenantId $TenantId [-AgentProxy $AgentProxy]

Applicare l'oggetto Criteri di gruppo

Nella Console Gestione Criteri di gruppo fare clic con il pulsante destro del mouse sull'unità organizzativa desiderata e collegare l'oggetto Criteri di gruppo denominato [MSFT] Azure Arc Servers (datetime). Si tratta dell'oggetto Criteri di gruppo con l'attività pianificata per eseguire l'onboarding dei computer. Dopo 10 o 20 minuti, l'oggetto Criteri di gruppo verrà replicato nei rispettivi controller di dominio. Altre informazioni sulla creazione e la gestione dei criteri di gruppo in Microsoft Entra Domain Services.

Dopo aver installato correttamente l'agente e dopo averlo configurato per la connessione ai server abilitati per Azure Arc, passare al portale di Azure per verificare che i server nell'unità organizzativa siano stati connessi correttamente. Visualizzare i computer nel portale di Azure.

Importante

Dopo aver verificato che l'onboarding dei server in Arc sia stato eseguito correttamente, disabilitare l'oggetto Criteri di gruppo. Ciò impedirà l'esecuzione degli stessi comandi di PowerShell nelle attività pianificate quando il sistema viene riavviato o quando i criteri di gruppo vengono aggiornati.

Passaggi successivi