使用 Azure Policy 来宾配置治理已启用 Azure Arc 的服务器
Fabrikam Residences 已将其计算机加入到已启用 Azure Arc 的服务器。 与将来宾配置部署为虚拟机 (VM) 扩展的 Azure VM 不同,已启用 Azure Arc 的服务器会将来宾配置服务用作 Connected Machine Agent 的一部分。 本单元介绍来宾配置及其如何适应已启用 Azure Arc 的服务器。
来宾配置概述
Azure Policy 的来宾配置功能提供了将操作系统设置审核或配置为代码的本机功能,适用于在 Azure 中运行的计算机和已启用 Arc 的计算机。 虽然来宾配置是作为 VM 扩展部署到 Azure 虚拟机的,但来宾配置代理嵌入在已启用 Azure Arc 的服务器的 Connected Machine Agent 中。 默认情况下,已启用 Arc 的服务器可以依赖来宾配置服务向已启用 Azure Arc 的服务器提供来宾内策略和来宾配置功能。
来宾配置可用于配置管理和资源合规性。 配置设置包括操作系统设置、应用程序配置或状态,以及环境设置。 从合规性角度来看,可以审核设置或将设置部署到范围内的所有计算机。 可以对现有计算机响应式地执行此操作。 或者,在部署新计算机时主动对其执行此操作。
内置的 Azure Policy 来宾配置
使用来宾配置的已启用 Arc 的服务器有几十个内置 Azure 策略。 已启用 Arc 的服务器的 Azure Policy 来宾配置示例包括:
- 在 Windows 计算机上配置时区。
- 在 Windows 计算机上的“Windows 防火墙属性”类别中为防火墙状态、连接、规则管理和通知指定组策略设置。
- 在 Windows 计算机上符合“安全选项 - 用户帐户控制”的要求。
断开连接方案中的来宾配置
对于断开连接的计算机,已启用 Azure Arc 的服务器具有以下 Azure Policy 来宾配置行为:
- 以断开连接的计算机为目标的 Azure Policy 分配不受影响。
- 来宾分配在本地存储 14 天。 在 14 天的期限内,如果 Connected Machine 代理重新连接到服务,则重新应用策略分配。
- 分配的策略将在 14 天后删除,并且在 14 天期限后不会重新分配到计算机。
Azure Policy 来宾配置定价
计费基于已注册到该服务的、分配有一个或多个来宾配置的服务器数量。 计费按小时按比例计算。 脱机计算机(例如整小时断开连接或关闭的计算机)不计费。 对于以下情况,由来宾配置管理的 Azure Arc 资源将不计费。
- Azure 自动化:如果 Azure 自动化提供的状态配置或更改跟踪功能已管理该计算机,则来宾配置分配将不计费。
- Microsoft Defender for Cloud:Azure 安全基准计划的 Azure Policy 分配创建配置分配。 “合规性”类别中内置策略计划的 Azure Policy 分配创建配置分配。 在 Microsoft Defender for Cloud 中创建的自定义策略计划 Azure Policy 分配创建配置分配。
- Azure Stack HCI:可以在 Azure Stack HCI 群集上使用 Azure 权益,以便无需额外费用即可使用来宾配置分配。 可以将这些权益用于 Azure Stack HCI 托管的虚拟机和 Azure Stack HCI 群集中的节点。
- Azure 安全基线和非来宾配置 Azure 策略不会触发定价。
对于已启用 Azure Arc 的服务器,Azure Policy 来宾配置(包括 Azure 自动化更改跟踪、清单和状态配置)的费用为 6 美元/服务器/月。 将 Azure Policy 来宾配置分配到 Azure VM 不收费。