Controlar servidores habilitados para Azure Arc com a Configuração de Convidado do Azure Policy
A Fabrikam Residences integrou suas máquinas em servidores habilitados para Azure Arc. Ao contrário dos VMs Azure onde a Configuração de Hóspedes é implantada como uma extensão de máquina virtual (VM), os servidores ativados pelo Azure Arc têm o serviço de Configuração de Hóspedes como parte do Agente de Máquina Conectada. Nessa unidade, você aprenderá sobre a Configuração de Hóspedes e como ela se encaixa nos servidores habilitados para Azure Arc.
Visão geral da Configuração de Convidado
O recurso de Configuração de Convidado do Azure Policy fornece recursos nativos para auditar ou definir as configurações do sistema operacional como código, tanto para computadores em execução no Azure quanto para computadores habilitadas para Arc. Embora a Configuração de Hóspedes seja implantada como uma extensão de VM para Máquinas Virtuais do Azure, o agente de Configuração de Hóspedes é incorporado no Agente de Máquina Conectada para servidores habilitados para Azure Arc. Por padrão, os servidores habilitados para Arc podem contar com o serviço de Configuração de Convidado para fornecer a política de convidado e a funcionalidade de Configuração de Convidado para servidores habilitados para Azure Arc.
A Configuração de Convidado pode ser usada para o gerenciamento de configuração e a conformidade dos recursos. As definições incluem a configuração do sistema operacional, a configuração ou a presença do aplicativo e as configurações do ambiente. Do ponto de vista da conformidade, você pode auditar ou implantar configurações em todas as máquinas no escopo. Você pode fazer isso de forma reativa em suas máquinas existentes. Ou proativamente para novas máquinas à medida que você as implanta.
Configuração de Convidado interna do Azure Policy
Existem dezenas de Políticas do Azure integradas para servidores habilitados para Arc que usam Configuração de Convidado. Alguns exemplos da Configuração de Convidado do Azure Policy para servidores habilitados para Arc incluem:
- Configurando o fuso horário em máquinas Windows.
- Especificar as configurações de Política de Grupo na categoria Propriedades do Firewall do Windows para o estado do firewall, conexões, gerenciamento de regras e notificações em máquinas Windows.
- Atendendo aos requisitos de Opções de segurança - Controle de conta de usuário em máquinas Windows.
Configuração de Convidado em cenários desconectados
Para computadores desconectados, os servidores habilitados para Azure Arc têm o seguinte comportamento de configuração de convidado do Azure Policy:
- Uma atribuição do Azure Policy que se destina a computadores desconectados não é afetada.
- A atribuição de convidado é armazenada localmente por 14 dias. Dentro do período de 14 dias, se o Agente do Connected Machine se reconectar ao serviço, as atribuições de política serão reaplicadas.
- As atribuições são excluídas após 14 dias e não são reatribuídas ao computador após o período de 14 dias.
Preço da Configuração de Convidado do Azure Policy
A cobrança é baseada no número de servidores registrados no serviço que têm uma ou mais Configurações de Convidado atribuídas. A cobrança é distribuída proporcionalmente por hora. Máquinas off-line, como máquinas que ficam desconectadas ou desligadas durante uma hora inteira, não são cobradas. Os recursos do Azure Arc gerenciados pela configuração de convidado são excluídos da cobrança nos cenários a seguir.
- Automação do Azure: As atribuições de Configuração de Hóspedes não serão cobradas se a configuração do estado ou os recursos de rastreamento de alterações oferecidos pela Automação do Azure já gerenciarem a máquina.
- Microsoft Defender para Nuvem: a atribuição do Azure Policy da iniciativa Azure Security Benchmark cria a atribuição de configuração. A atribuição do Azure Policy de uma iniciativa de política interna na categoria "Conformidade Regulatória" cria a atribuição da configuração. A atribuição do Azure Policy de uma iniciativa de política personalizada criada no Microsoft Defender para Nuvem cria a atribuição de configuração.
- Azure Stack HCI: Você pode usar os benefícios do Azure em seu cluster Azure Stack HCI para que as atribuições de configuração de convidado sejam usadas sem taxa extra. Você pode usar esses benefícios para máquinas virtuais hospedadas pelo Azure Stack HCI e nós em um cluster Azure Stack HCI.
- As linhas de base de segurança do Azure e as políticas do Azure de configuração não convidada não acionam preços.
A Configuração de Convidado do Azure Policy, incluindo rastreamento de alterações da Automação do Azure, inventário e configuração de estado, custa US$ 6/servidor/mês para servidores habilitados para Azure Arc. Não há custos para atribuir a Configuração de Convidado do Azure Policy a VMs do Azure.