Reparationsalternativ för datorkonfiguration
Innan du börjar är det en bra idé att läsa översiktssidan för datorkonfiguration.
Viktigt!
Datorkonfigurationstillägget krävs för virtuella Azure-datorer. Om du vill distribuera tillägget i stor skala på alla datorer tilldelar du följande principinitiativ: Deploy prerequisites to enable guest configuration policies on virtual machines
Om du vill använda datorkonfigurationspaket som tillämpar konfigurationer krävs gästkonfigurationstillägget för virtuella Azure-datorer version 1.26.24 eller senare, eller Arc-agenten 1.10.0 eller senare.
Anpassade konfigurationsprincipdefinitioner för datorer som använder AuditIfNotExists samt DeployIfNotExists finns i stödstatus för allmänt tillgängliga (GA).
Så här hanterar datorkonfigurationen reparation (set)
Datorkonfigurationen använder principeffekten DeployIfNotExists för definitioner som levererar ändringar i datorer. Ange egenskaperna för en principtilldelning för att styra hur utvärderingen levererar konfigurationer automatiskt eller på begäran.
En videogenomgång av det här dokumentet är tillgänglig.
Tilldelningstyper för datorkonfiguration
Det finns tre tillgängliga tilldelningstyper när gästtilldelningar skapas. Egenskapen är tillgänglig som en parameter för datorkonfigurationsdefinitioner som stöder DeployIfNotExists.
Egenskapen assignmentType är skiftlägeskänslig
| Tilldelningstyp | Funktionssätt |
|---|---|
Audit |
Rapportera datorns tillstånd, men gör inga ändringar. |
ApplyAndMonitor |
Tillämpas på datorn en gång och övervakas sedan för ändringar. Om konfigurationen avdrivs och blir NonCompliantkorrigeras den inte automatiskt om inte reparationen utlöses. |
ApplyAndAutoCorrect |
Tillämpas på datorn. Om den driver gör den lokala tjänsten på datorn en korrigering vid nästa utvärdering. |
När en ny principtilldelning tilldelas till en befintlig dator skapas automatiskt en gästtilldelning för att granska konfigurationens tillstånd först. Granskningen ger dig information som du kan använda för att avgöra vilka datorer som behöver åtgärdas.
Reparation på begäran (ApplyAndMonitor)
Som standard fungerar datorkonfigurationstilldelningar i ett reparationsscenario på begäran. Konfigurationen tillämpas och tillåts sedan att avvika från efterlevnaden.
Kompatibilitetsstatusen för gästtilldelningen är Compliant om inte något av följande:
- Ett fel inträffar när konfigurationen tillämpas
- Om datorn inte längre är i önskat tillstånd under nästa utvärdering
När något av dessa villkor uppfylls rapporterar agenten statusen som NonCompliant och repareras inte automatiskt.
Om du vill aktivera det här beteendet anger du egenskapen assignmentType för datorkonfigurationstilldelningen till ApplyandMonitor. Varje gång tilldelningen bearbetas på datorn rapporterar Compliant agenten för varje resurs när testmetoden returnerar $true eller NonCompliant om metoden returnerar $false.
Kontinuerlig reparation (autokorrigering)
Datorkonfiguration stöder begreppet kontinuerlig reparation. Om datorn inte uppfyller kraven för en konfiguration korrigeras konfigurationen automatiskt nästa gång den utvärderas. Om inget fel inträffar rapporterar datorn alltid status som Compliant för konfigurationen. Det finns inget sätt att rapportera när en avvikelse korrigeras automatiskt om kontinuerlig reparation används.
Om du vill aktivera det här beteendet anger du egenskapen assignmentType för datorkonfigurationstilldelningen till ApplyandAutoCorrect. Varje gång tilldelningen bearbetas på datorn körs metoden Set automatiskt för varje resurs som testmetoden returnerar false.
Inaktivera reparation
När egenskapen assignmentType är inställd Auditpå utför agenten endast en granskning av datorn och försöker inte reparera konfigurationen om den inte är kompatibel.
Inaktivera reparation av anpassat innehåll
Du kan åsidosätta tilldelningstypegenskapen för anpassade innehållspaket genom att lägga till en tagg på datorn med namnet CustomGuestConfigurationSetPolicy och värdet disable. Om du lägger till taggen inaktiveras endast reparation för anpassade innehållspaket, inte för inbyggt innehåll som tillhandahålls av Microsoft.
Azure Policy-tvingande
Azure Policy-tilldelningar innehåller ett obligatoriskt tvingande läge för egenskapen som avgör beteendet för nya och befintliga resurser. Använd den här egenskapen för att styra om konfigurationer tillämpas automatiskt på datorer.
Som standard är tvingande inställt på Enabled. Azure Policy tillämpar automatiskt konfigurationen när en ny dator distribueras. Den tillämpar även konfigurationen när egenskaperna för en dator i omfånget för en Azure Policy-tilldelning med en princip i kategorin Guest Configuration uppdateras. Uppdateringsåtgärder omfattar åtgärder som inträffar i Azure Resource Manager, till exempel att lägga till eller ändra en tagg. Uppdateringsåtgärder omfattar även ändringar för virtuella datorer som storleksändring eller anslutning av en disk.
Låt tvingande vara aktiverat om konfigurationen ska åtgärdas när ändringar görs i datorresursen i Azure. Ändringar som sker på datorn utlöser inte automatisk reparation så länge de inte ändrar datorresursen i Azure Resource Manager.
Om tvingande är inställt på Disabledgranskar konfigurationstilldelningen datorns tillstånd tills en reparationsuppgift ändrar beteendet. Som standard uppdaterar datorkonfigurationsdefinitioner egenskapen assignmentType från Audit till så att ApplyandMonitor konfigurationen tillämpas en gång och sedan tillämpas den inte igen förrän en reparation utlöses.
Valfritt: Åtgärda alla befintliga datorer
Om en Azure Policy-tilldelning skapas från Azure-portalen finns en kryssruta med etiketten "Skapa en reparationsuppgift" tillgänglig på fliken "Reparation". När rutan är markerad korrigeras automatiskt alla resurser som utvärderas till NonCompliantnär principtilldelningen har skapats.
Effekten av den här inställningen för datorkonfiguration är att du kan distribuera en konfiguration på många datorer genom att tilldela en princip. Du behöver inte heller köra reparationsuppgiften manuellt för datorer som inte är kompatibla.
Utlös reparation manuellt utanför Azure Policy
Du kan samordna reparation utanför Azure Policy-upplevelsen genom att uppdatera en gästtilldelningsresurs, även om uppdateringen inte gör ändringar i resursegenskaperna.
När en datorkonfigurationstilldelning skapas är egenskapen complianceStatus inställd på Pending. Datorkonfigurationstjänsten begär en lista över tilldelningar var 5:e minut. Om datorkonfigurationstilldelningens complianceStatus är Pending och dess konfigurationMode är ApplyandMonitor eller ApplyandAutoCorrect, tillämpar tjänsten på datorn konfigurationen.
När konfigurationen har tillämpats avgör konfigurationsläget om beteendet är att endast rapportera om efterlevnadsstatus och tillåta drift eller automatiskt korrigera.
Förstå kombinationer av inställningar
| ~ | Audit | ApplyandMonitor | ApplyandAutoCorrect |
|---|---|---|---|
| Tvingande aktiverat | Endast rapportstatus | Konfiguration som tillämpas på den virtuella datorn Skapa och tillämpad på nytt vid uppdatering men tillåts i övrigt att avaktiveras | Konfiguration som tillämpas på skapa virtuell dator, tillämpad på uppdatering igen och korrigerad vid nästa intervall om drift inträffar |
| Tvingande inaktiverad | Endast rapportstatus | Konfigurationen tillämpades men tillåts att avdriva | Konfiguration som tillämpas på den virtuella datorn Skapa eller uppdatera och korrigeras vid nästa intervall om drift inträffar |
Nästa steg
- Utveckla ett anpassat datorkonfigurationspaket.
- Använd modulen GuestConfiguration för att skapa en Azure Policy-definition för skalningshantering av din miljö.
- Tilldela din anpassade principdefinition med hjälp av Azure-portalen.
- Lär dig hur du visar efterlevnadsinformation för tilldelningar av datorkonfigurationsprinciper .