Usar o Azure Arc para gerenciar instâncias do Windows Server

  • 12 minutos

Depois de integrar um Windows Server ao Azure Arc, você pode usar o Azure para gerenciar e configurar a máquina. Algumas das funções disponíveis são descritas na tabela a seguir.

Opção

Explicação

Descrição geral

Permite que você revise informações básicas sobre a VM, incluindo status, local, assinatura, nome do computador, sistema operacional e tags.

Registo de atividades

Permite que você revise uma lista de atividades executadas em relação à VM e por quem o evento foi executado.

Controlo de acesso

Permite que você revise e gerencie o acesso aos recursos do Azure para usuários, grupos, entidades de serviço. e identidades gerenciadas nesse escopo criando atribuições de função.

Etiquetas

Pares nome/valor que permitem categorizar recursos.

Extensões

Permite adicionar e remover extensões para a VM.

Políticas

Permite adicionar, configurar e remover políticas para a VM.

Gestão de atualizações

Permite manter o controle e a conformidade consistentes da VM com o Gerenciamento de Atualizações.

Controlo de Alterações e Inventário

Permite que você revise o controle de alterações e a configuração de inventário para a VM. O Controlo de Alterações e o Inventário ajudam a permitir um controlo e conformidade consistentes dos seus recursos.

Informações

Permite que você use o Azure Monitor para revisar a CPU do host, o disco e o estado ascendente/descendente de suas VMs do Azure Arc.

Registos

Permite executar consultas em logs para coletar informações sobre a VM.

Gerir extensões

.As extensões de VM são pequenos aplicativos que fornecem tarefas de configuração e automação pós-implantação em VMs do Azure. Por exemplo, se a Contoso exigisse que uma VM precisasse de algum software novo para ser instalada, ou quisesse habilitar a proteção antivírus, ou a equipe de TI precisasse executar um script dentro da VM, eles poderiam usar uma extensão de VM. O Azure Arc for servers permite implantar extensões de VM do Azure em VMs Windows e Linux que não sejam do Azure; Isso pode ajudar a simplificar o gerenciamento desses computadores.

As extensões de VM podem ser gerenciadas a partir do portal do Azure ou usando a CLI do Azure, o Azure PowerShell e os modelos do Azure Resource Manager. Você pode adicionar as extensões listadas e descritas na tabela a seguir a uma VM do Azure Arc.

Extensão

Informações adicionais

Verificador de vulnerabilidades integrado do Microsoft Defender for Cloud

Qualys.

Extensão Microsoft Antimalware

Microsoft.Azure.Segurança

Extensão de Script Personalizado

Microsoft.Compute.

Agente do Log Analytics

Microsoft.EnterpriseCloud.Monitoring

Azure Monitor para VMs

Microsoft.Azure.Monitoring.DependencyAgent

Sincronização de Certificados do Azure Key Vault

Microsoft.Azure.Key.Vault

Agente do Azure Monitor

Microsoft.Azure.Monitor

Extensão do Azure Automation Hybrid Runbook Worker

Microsoft.Compute

Governar com a Política do Azure

A Política do Azure é um serviço que pode ajudar as organizações a gerenciar e avaliar a conformidade para os padrões organizacionais do ambiente Microsoft Azure. O Azure Policy utiliza regras declarativas com base nas propriedades dos tipos de recursos de destino do Azure. Essas regras formam definições de política, que os administradores podem aplicar por meio da atribuição de política a um escopo, como um recurso individual do Azure, grupo de recursos, assinatura ou grupo de gerenciamento.

Por exemplo, para simplificar o gerenciamento de definições de política, a Contoso pode considerar a combinação de várias políticas em iniciativas e, em seguida, criar algumas atribuições de iniciativa em vez de várias atribuições de política.

A funcionalidade da Política do Azure pode ser agrupada em quatro categorias principais:

  • Impor a conformidade no aprovisionamento de novos recursos do Azure
  • Auditando a conformidade dos recursos existentes do Azure
  • Corrigir a não conformidade de recursos existentes do Azure
  • Auditando a conformidade do sistema operacional, da configuração do aplicativo e das configurações do ambiente nas VMs do Azure

Gorjeta

A última destas categorias é implementada através do cliente de Configuração de Convidado do Azure Policy, que está disponível como uma extensão de VM do Azure. O Azure Arc para servidores aproveita o mesmo cliente para fornecer a funcionalidade de auditoria em cenários híbridos.

Especificamente, a Contoso poderia usar a Política do Azure com servidores habilitados para Arc para implementar as seguintes regras:

  • Atribuindo tags a máquinas durante sua implantação no Azure Arc
  • Implantando a extensão do Log Analytics em máquinas que não são do Azure
  • Identificando servidores habilitados para Arc sem o Microsoft Defender habilitado

O Azure Arc permite que você estenda a governança da Política do Azure para servidores e clusters executados em datacenters locais ou hospedados por provedores de nuvem de terceiros. Essa funcionalidade se aplica à auditoria de conformidade de configurações para o sistema operacional, aplicativos e ambiente.

Nota

Habilitar essa funcionalidade requer que o agente do Azure Connected Machine seja instalado em cada computador no escopo do gerenciamento.

Depois de instalar o agente, ele requer conectividade de saída com o Azure Arc sobre a porta TCP (Transmission Control Protocol) 443. Nesse ponto, qualquer configuração baseada em cliente da Configuração de Convidado de Política do Azure incluída na definição de política ou iniciativa atribuída entrará automaticamente em vigor.

Em particular, a Contoso poderia usar a iniciativa de política [Visualização] Auditar VMs do Windows que não correspondem às configurações de linha de base de segurança do Azure para auditar a conformidade em relação às linhas de base da Central de Segurança do Azure. Eles também têm a capacidade de definir o fuso horário nos servidores de destino atribuindo a definição de política [Visualização] Configurar fuso horário em máquinas Windows. Ao auditar computadores de destino, a Contoso teria a opção de revisar os logs local ou remotamente por meio do comando Executar VM do Azure, que está disponível no portal do Azure.

Nota

Para identificar se uma determinada definição de política dá suporte ao cliente de Configuração de Convidado de Política do Azure, você deve determinar se ela inclui uma referência ao tipo de recurso Microsoft.HybridCompute/machines.

Atribuir políticas do Azure Arc

Para gerenciar e atribuir políticas do Azure Arc para um computador:

  1. No portal do Azure, navegue até Azure Arc e selecione Gerenciar servidores.

  2. Na lista retornada de servidores gerenciados, selecione o servidor apropriado e, no painel de navegação, em Operações, selecione Políticas.

  3. Para atribuir uma política, na barra de ferramentas, selecione Atribuir política.

  4. Na página Atribuir política, selecione as seguintes informações:

    • Âmbito e eventuais exclusões do âmbito da política
    • A definição de política.
    • O nome da atribuição.
    • Descrição.
    • Aplicação de políticas (Ativado ou Desativado)

    Uma captura de ecrã da página Atribuir política no portal do Azure. O administrador está selecionando a partir de uma lista de políticas disponíveis.

  5. Selecione Rever + criar ou as guias Parâmetros e Correção para configurar comportamentos adicionais.

Depois de atribuir políticas, na página inicial do Azure Arc, na VM selecionada, você pode revisar as configurações de política.

Uma captura de tela das políticas aplicadas em uma VM. Duas políticas são aplicadas, uma das quais a VM (ContosoVM1) é compatível e a outra não compatível.

Leitura adicional

Pode saber mais ao rever os seguintes documentos.