Azure Policy ゲスト構成を使って Azure Arc 対応サーバーを管理する

  • 5 分

Fabrikam Residences 社は、自社のマシンを Azure Arc 対応サーバーにオンボードしました。 ゲスト構成が仮想マシン (VM) 拡張機能としてデプロイされる Azure VM とは異なり、Azure Arc 対応サーバーには、Connected Machine Agent の一部としてゲスト構成サービスが含まれています。 このユニットでは、ゲスト構成と、それが Azure Arc 対応サーバーにどのように組み込まれるのかについて学習します。

ゲスト構成の概要

Azure Policy のゲスト構成機能では、Azure で実行しているマシンと Arc 対応マシンの両方に対して、オペレーティング システムの設定をコードとして監査または構成するネイティブ機能が提供されます。 ゲスト構成が Azure 仮想マシンに対して VM 拡張機能としてデプロイされるのに対して、ゲスト構成エージェントは Azure Arc 対応サーバーの Connected Machine Agent 内に埋め込まれます。 既定では、Arc 対応サーバーはゲスト構成サービスに依存して、ゲスト内ポリシーとゲスト構成機能を Azure Arc 対応サーバーに提供できます。

ゲスト構成は、リソースの構成管理用とコンプライアンス用の両方に使用できます。 構成設定には、オペレーティング システムの設定、アプリケーションの構成または存在、および環境設定が含まれます。 コンプライアンスの観点からは、スコープ内のすべてのマシンに対して設定を監査したりデプロイすることができます。 これは既存のマシンに対して後から実行することができます。 または、デプロイ時に新しいマシンに対してあらかじめ実行しておくこともできます。

組み込み Azure Policy ゲスト構成

ゲスト構成を使用する Arc 対応サーバー用の組み込み Azure ポリシーは多数存在します。 Arc 対応サーバー用の Azure Policy ゲスト構成の例を次にいくつか示します。

  • Windows マシン上でのタイム ゾーンの構成。
  • Windows マシン上での Windows ファイアウォール プロパティ カテゴリ内のファイアウォール状態、接続、ルール管理、通知に関するグループ ポリシー設定の指定。
  • Windows マシン上でのセキュリティ オプション - ユーザー アカウント制御の要件を満たすこと。

切断されたシナリオでのゲスト構成

切断されたマシンについて、Azure Arc 対応サーバーでは Azure Policy ゲスト構成が次のように動作します。

  • 切断されたマシンを対象とする Azure Policy 割り当ては影響を受けません。
  • ゲスト割り当ては 14 日間ローカルに格納されます。 14 日の期間内に Connected Machine エージェントがサービスに再接続した場合は、ポリシー割り当てが再適用されます。
  • 割り当ては 14 日後に削除されます。14 日の期間の後にマシンに再割り当てされることはありません。

Azure Policy ゲスト構成の価格

課金は、サービスに登録されていて、1 つ以上のゲスト構成が割り当てられているサーバーの数に基づいて行われます。 課金は、1 時間ごとに計算されます。 1 時間を通して切断されていたり電源がオフになっているマシンなどのオフライン マシンに対しては課金は行われません。 ゲスト構成によって管理される Azure Arc リソースは、次のシナリオでは課金対象から除外されます。

  • Azure Automation:Azure Automation によって提供される State Configuration や Change Tracking 機能が既にマシンを管理している場合、ゲスト構成割り当てに対する課金は行われません。
  • Microsoft Defender for Cloud: Azure セキュリティ ベンチマーク イニシアチブの Azure Policy 割り当てによって、構成の割り当てが作成されます。 "規制コンプライアンス" カテゴリの組み込みポリシー イニシアチブの Azure Policy 割り当てによって、構成の割り当てが作成されます。 Microsoft Defender for Cloud で作成されたカスタム ポリシー イニシアティブの Azure Policy 割り当てによって、構成の割り当てが作成されます。
  • Azure Stack HCI: ゲスト構成割り当てが追加料金なしで使用されるように、Azure Stack HCI クラスター上の Azure ベネフィットを使用できます。 これらのベネフィットは、Azure Stack HCI によってホストされる仮想マシンと、Azure Stack HCI クラスター内のノードに対して使用できます。
  • Azure Security Baselines とゲスト構成以外の Azure ポリシーでは、課金は発生しません。

Azure Arc 対応サーバーに対する Azure Policy ゲスト構成 (Azure Automation の Change Tracking、インベントリ、State Configuration を含む) は、サーバーごとに月々 6 ドルのコストが発生します。 Azure VM に対する Azure Policy ゲスト構成の割り当てに料金は発生しません。