Använda Azure Arc för att hantera Windows Server-instanser

  • 12 minuter

När du har registrerat en Windows Server till Azure Arc kan du använda Azure för att hantera och konfigurera datorn. Några av de tillgängliga funktionerna beskrivs i följande tabell.

Alternativ

Förklaring

Översikt

Gör att du kan granska grundläggande information om den virtuella datorn, inklusive status, plats, prenumeration, datornamn, operativsystem och taggar.

Aktivitetslogg

Gör att du kan granska en lista över aktiviteter som utförts mot den virtuella datorn och av vem händelsen utfördes.

Åtkomstkontroll

Gör att du kan granska och hantera åtkomst till Azure-resurser för användare, grupper och tjänstens huvudnamn. och hanterade identiteter i det här omfånget genom att skapa rolltilldelningar.

Taggar

Namn/värde-par som gör att du kan kategorisera resurser.

Tillägg

Gör att du kan lägga till och ta bort tillägg för den virtuella datorn.

Policyer

Gör att du kan lägga till, konfigurera och ta bort principer för den virtuella datorn.

Hantering av uppdateringar

Gör att du kan upprätthålla konsekvent kontroll och efterlevnad av den virtuella datorn med Uppdateringshantering.

Ändringsspårning och inventering

Gör att du kan granska ändringsspårning och inventeringskonfiguration för den virtuella datorn. Ändringsspårning och inventering hjälper dig att aktivera konsekvent kontroll och efterlevnad av dina resurser.

Insikter

Gör att du kan använda Azure Monitor för att granska värd-CPU, disk och upp-/ned-tillstånd för dina virtuella Azure Arc-datorer.

Loggar

Gör att du kan köra frågor mot loggar för att samla in information om den virtuella datorn.

Hantera tillägg

.VM-tillägg är små appar som tillhandahåller konfigurations- och automatiseringsuppgifter efter distributionen på virtuella Azure-datorer. Om Contoso till exempel krävde att en virtuell dator behövde installera ny programvara eller ville aktivera antivirusskydd, eller it-personal som behövde köra ett skript inuti den virtuella datorn, skulle de kunna använda ett VM-tillägg. Med Azure Arc för servrar kan du distribuera Azure VM-tillägg till både virtuella Windows- och Linux-datorer som inte är Azure- och Linux-datorer. Detta kan underlätta hanteringen av dessa datorer.

VM-tillägg kan hanteras från Azure Portal eller med hjälp av Azure CLI-, Azure PowerShell- och Azure Resource Manager-mallar. Du kan lägga till tilläggen i listan och beskrivs i följande tabell på en virtuell Azure Arc-dator.

Förlängning

Ytterligare information

Microsoft Defender för molnet integrerad sårbarhetsskanner

Qualys.

Microsoft Antimalware-tillägg

Microsoft.Azure.Security

Anpassat skripttillägg

Microsoft.Compute.

Log Analytics handläggare

Microsoft.EnterpriseCloud.Monitoring

Azure Monitor för virtuella datorer

Microsoft.Azure.Monitoring.DependencyAgent

Certifikatsynkronisering för Azure Key Vault

Microsoft.Azure.Key.Vault

Azure Monitor-agent

Microsoft.Azure.Monitor

Azure Automation Hybrid Runbook Worker-tillägg

Microsoft.Compute

Styra med Azure Policy

Azure Policy är en tjänst som kan hjälpa organisationer att hantera och utvärdera efterlevnad för sin Microsoft Azure-miljös organisationsstandarder. Azure Policy använder deklarativa regler baserat på egenskaperna för de avsedda typerna av Azure-resurser. Dessa regler utgör principdefinitioner som administratörer kan tillämpa via principtilldelning till ett omfång, till exempel en enskild Azure-resurs, resursgrupp, prenumeration eller hanteringsgrupp.

För att förenkla hanteringen av principdefinitioner kan Contoso till exempel överväga att kombinera flera principer i initiativ och sedan skapa några initiativtilldelningar i stället för flera principtilldelningar.

Azure Policy-funktioner kan grupperas i fyra huvudkategorier:

  • Framtvinga efterlevnad vid etablering av nya Azure-resurser
  • Granska efterlevnad av befintliga Azure-resurser
  • Åtgärda bristande efterlevnad för befintliga Azure-resurser
  • Granska kompatibiliteten för operativsystemet, programkonfigurationen och miljöinställningarna på virtuella Azure-datorer

Dricks

Den sista av dessa kategorier implementeras med hjälp av Azure Policy-agenten för gästkonfiguration, som är tillgänglig som ett Azure VM-tillägg. Azure Arc för servrar använder samma klient för att tillhandahålla granskningsfunktionerna i hybridscenarier.

Mer specifikt kan Contoso använda Azure Policy med Arc-aktiverade servrar för att implementera följande regler:

  • Tilldela taggar till datorer under distributionen till Azure Arc
  • Distribuera Log Analytics-tillägget till datorer som inte är Azure-datorer
  • Identifiera Arc-aktiverade servrar utan Microsoft Defender aktiverat

Med Azure Arc kan du utöka Azure Policy-styrningen till servrar och kluster som körs i lokala datacenter eller som hanteras av molnleverantörer från tredje part. Den här funktionen gäller för granskning av kompatibilitet för inställningar för operativsystemet, programmen och miljön.

Kommentar

Om du aktiverar den här funktionen måste Azure Connected Machine-agenten installeras på varje dator i hanteringsomfånget.

När du har installerat agenten krävs utgående anslutning till TCP-port 443 (Azure Arc over Transmission Control Protocol). Vid den tidpunkten börjar alla klientbaserade konfigurationer i Azure Policy-gästkonfigurationen som ingår i den tilldelade principen eller initiativdefinitionen att träda i kraft automatiskt.

Contoso kan i synnerhet använda [Förhandsversion] Granska virtuella Windows-datorer som inte matchar principinitiativet för Azure-säkerhetsbaslinjeinställningar för att granska efterlevnaden mot Azure Security Center-baslinjer. De har också möjlighet att ange tidszonen på målservrar genom att tilldela principdefinitionen [Förhandsversion] Konfigurera tidszon på Windows-datorer. Vid granskning av måldatorer skulle Contoso ha möjlighet att granska loggarna antingen lokalt eller via fjärranslutning via kommandot Azure VM Run, som är tillgängligt från Azure Portal.

Kommentar

För att identifiera om en viss principdefinition stöder Azure Policy Guest Configuration-klienten måste du avgöra om den innehåller en referens till resurstypen Microsoft.HybridCompute/machines.

Tilldela Azure Arc-principer

Så här hanterar och tilldelar du Azure Arc-principer för en dator:

  1. Från Azure Portal navigerar du till Azure Arc och väljer sedan Hantera servrar.

  2. I den returnerade listan över hanterade servrar väljer du lämplig server och i navigeringsfönstret går du till Åtgärder och väljer Principer.

  3. Om du vill tilldela en princip väljer du Tilldela princip i verktygsfältet.

  4. På sidan Tilldela princip väljer du följande information:

    • Omfång och eventuella undantag från principens omfång
    • Principdefinition.
    • Namn på tilldelning.
    • Beskrivning.
    • Principframtvingande (aktiverad eller inaktiverad)

    En skärmbild av sidan Tilldela princip i Azure Portal. Administratören väljer från en lista över tillgängliga principer.

  5. Välj antingen Granska + skapa eller flikarna Parametrar och reparation för att konfigurera ytterligare beteenden.

När du har tilldelat principer på startsidan för Azure Arc på den valda virtuella datorn kan du granska principinställningarna.

En skärmbild av tillämpade principer på en virtuell dator. Två principer tillämpas, varav den ena är kompatibel med den virtuella datorn (ContosoVM1) och den andra är inkompatibel.

Mer att läsa

Du kan läsa mer i följande dokument.