Opções de correção para a configuração do computador
Antes de começar, é uma boa ideia fazer a leitura da página de visão geral da configuração de computador.
Importante
A extensão de configuração de convidado é necessária para as máquinas virtuais do Azure. Para implantar a extensão em escala em todos os computadores, atribua a seguinte iniciativa de política: Deploy prerequisites to enable guest configuration policies on virtual machines
Para usar pacotes de configuração de máquina que aplicam configurações, é necessária a extensão de configuração de convidado da VM do Azure versão 1.26.24 ou posterior, ou Arc agent 1.10.0 ou posterior.
Definições de política de configuração de máquina personalizadas usando AuditIfNotExists
e DeployIfNotExists
estão com o status de suporte Disponibilidade Geral (GA).
Como a configuração da máquina gerencia a correção (Definir)
A configuração de convidado usa o efeito da política DeployIfNotExists para definições que entregam alterações dentro de computadores. Defina as propriedades de uma atribuição de política para controlar como a avaliação entrega configurações automaticamente ou sob demanda.
Um passo a passo em vídeo sobre este documento está disponível.
Tipos de atribuição de configuração de computador
Há três tipos de atribuição disponíveis quando as atribuições de convidado são criadas. A propriedade está disponível como parâmetro de definições de configuração de computador compatíveis com DeployIfNotExists
.
A propriedade assignmentType diferencia maiúsculas de minúsculas
Tipo de atribuição | Comportamento |
---|---|
Audit |
Informe o estado do computador, mas não faça alterações. |
ApplyAndMonitor |
Aplicado ao computador uma vez e depois monitorado quanto a alterações. Se a configuração fica em descompasso e passa a estar NonCompliant , ela não é corrigida automaticamente a menos que a correção seja disparada. |
ApplyAndAutoCorrect |
Aplicado ao computador. Se houver descompasso, o serviço local dentro do computador fará uma correção na próxima avaliação. |
Quando uma nova atribuição de políticas é atribuída a uma máquina existente, uma tarefa de convidado é criada automaticamente para auditar o estado da configuração primeiro. A auditoria fornece informações que você pode usar para decidir quais máquinas precisam de correção.
Correção sob demanda (ApplyAndMonitor)
Por padrão, as atribuições de configuração de máquina operam em um cenário de correção sob demanda. A configuração é aplicada e, em seguida, recebe a permissão para ficar em descompasso.
O status de conformidade da atribuição de convidado é Compliant
, a menos que:
- Ocorre um erro ao aplicar a configuração
- Se a máquina não estiver mais no estado desejado durante a próxima avaliação
Quando qualquer uma dessas condições é atendida, o agente relata o status como NonCompliant
e não faz uma correção automaticamente.
Para habilitar esse comportamento, defina a propriedade assignmentType da atribuição de configuração de máquina como ApplyandMonitor
. Cada vez que a atribuição é processada dentro da máquina, o agente relata Compliant
para cada recurso quando o método de Teste retorna $true
ou NonCompliant
se o método retorna $false
.
Correção contínua (autocorrect)
A configuração de convidado é compatível com o conceito de correção contínua. Se o computador ficar fora de conformidade em relação a uma configuração, na próxima avaliação, a configuração será corrigida automaticamente. A menos que ocorra um erro, a máquina sempre relata o status como Compliant
para a configuração. Não é possível relatar quando um descompasso foi corrigido automaticamente ao usar a correção contínua.
Para habilitar esse comportamento, defina a propriedade assignmentType da atribuição de configuração de máquina como ApplyandAutoCorrect
. Sempre que a atribuição é processada na máquina, o método Definir é executado automaticamente para cada recurso sempre que o método Teste retorna false
.
Desabilitar a correção
Quando a propriedade assignmentType é definida como Audit
, o agente executa apenas uma auditoria da máquina e não tenta remediar a configuração que não está em conformidade.
Desabilitar a correção de conteúdo personalizado
Você pode substituir a propriedade de tipo de atribuição para pacotes de conteúdo personalizados adicionando uma marca ao computador com o nome CustomGuestConfigurationSetPolicy e o valor disable
. Adicionar a marca desabilita a correção apenas para pacotes de conteúdo personalizados, não para conteúdo integrado fornecido pela Microsoft.
Imposição do Azure Policy
As atribuições do Azure Policy incluem um modo de imposição de propriedade obrigatório que determina o comportamento de recursos novos e existentes. Use essa propriedade para controlar se as configurações são aplicadas automaticamente a computadores.
Por padrão, a imposição é definida como Enabled
. O Azure Policy aplica automaticamente a configuração quando uma nova máquina é implantada. Ele também aplica a configuração quando as propriedades de uma máquina no escopo de uma atribuição do Azure Policy com uma política na categoria Guest Configuration
são atualizadas. As operações de atualização incluem ações que ocorrem no Azure Resource Manager, como adicionar ou alterar uma marca. As operações de atualização também incluem alterações para máquinas virtuais, como redimensionar ou anexar um disco.
Deixe a imposição habilitada se a configuração deve ser remediada quando ocorrem alterações no recurso do computador no Azure. Alterações que acontecem dentro do computador não disparam correção automática desde que não alterem o recurso da máquina no Azure Resource Manager.
Se a imposição for definida como Disabled
, a atribuição de configuração audita o estado da máquina até que o comportamento seja alterado por uma tarefa de correção. Por padrão, as definições de configuração de convidado atualizam a propriedade assignmentType de Audit
para ApplyandMonitor
para que a configuração seja aplicada uma vez e, em seguida, ela não será aplicada novamente até que uma correção seja disparada.
Opcional: Correção de todas as máquinas existentes
Se uma atribuição do Azure Policy for criada no portal do Azure, uma caixa de seleção rotulada como "Criar uma tarefa de correção" estará disponível na guia "Correção". Quando a caixa é verificada, após a cessão da política ser criada tarefas de remediação corrigem automaticamente quaisquer recursos que avaliem a NonCompliant
.
O efeito desta configuração em uma configuração de máquina permite implantar uma configuração em muitas máquinas simplesmente atribuindo uma política. Você também não precisa executar a tarefa de correção manualmente para máquinas fora de conformidade.
Disparar manualmente a correção fora do Azure Policy
Você pode orquestrar a correção fora da experiência do Azure Policy ao atualizar um recurso de atribuição de convidado, mesmo que a atualização não altere as propriedades do recurso.
Quando uma atribuição de configuração de máquina é criada, a propriedade complianceStatus é definida como Pending
. O serviço de configuração de máquina solicita uma lista de atribuições a cada 5 minutos. Se a conformidade da atribuição de configuração do complianceStatus for Pending
e seu configurationMode for ApplyandMonitor
ou ApplyandAutoCorrect
, o serviço na máquina aplicará a configuração.
Depois que a configuração é aplicada, o modo de configuração determina se o comportamento deve relatar apenas o status de conformidade e permitir o descompasso ou corrigi-lo automaticamente.
Noções básicas sobre combinações de configurações
~ | Audit | ApplyandMonitor | ApplyandAutoCorrect |
---|---|---|---|
Imposição habilitada | Relata apenas status | Configuração aplicada na criação da VM e reaplicada na Atualização, mas de outro modo permitida a ficar em descompasso | Configuração aplicada na criação de VM, reaplicada na Atualização e corrigida no próximo intervalo se ocorrer um descompasso |
Imposição desabilitada | Relata apenas status | Configuração aplicada, mas com permissão de descompasso | Configuração aplicada na Criação ou Atualização da VM e corrigida no próximo intervalo se ocorrer descompasso |
Próximas etapas
- Desenvolver um pacote de configuração de computador personalizado.
- Use o módulo GuestConfiguration para criar uma definição do Azure Policy para o gerenciamento em escala do seu ambiente.
- Atribua sua definição de política personalizada usando o portal do Azure.
- Saiba como ver os detalhes de conformidade para atribuições da política de configuração de computador.