Poznámka:
Přístup k této stránce vyžaduje autorizaci. Můžete se zkusit přihlásit nebo změnit adresáře.
Přístup k této stránce vyžaduje autorizaci. Můžete zkusit změnit adresáře.
Pokud je služba Azure Policy přiřazena ke kategorii Guest Configuration, jsou zahrnuta metadata popisující přiřazení hosta.
K dispozici je video s návodem k tomuto dokumentu.
Přiřazení hosta si můžete představit jako propojení mezi počítačem a scénářem Azure Policy. Následující fragment kódu například přidruží základní konfiguraci Azure Windows s minimální verzí 1.0.0 ke všem počítačům, které spadají do rozsahu politiky.
"metadata": {
"category": "Guest Configuration",
"guestConfiguration": {
"name": "AzureWindowsBaseline",
"version": "1.*"
}
//additional metadata properties exist
}
Jak Azure Policy používá přiřazení konfigurace počítače
Služba konfigurace počítače používá informace o metadatech k automatickému vytvoření prostředku auditu pro definice s účinky zásad AuditIfNotExists nebo DeployIfNotExists. Typ prostředku je Microsoft.GuestConfiguration/guestConfigurationAssignments. Azure Policy používá vlastnost complianceStatus prostředku přiřazení hosta k hlášení stavu dodržování předpisů. Další informace najdete v tématu Získání dat dodržování předpisů.
Poznámka:
Při přiřazování vlastní zásady, která nasadí konfiguraci hosta, se může vlastnost assignmentType prostředku přiřazení hosta dočasně zobrazit jako "Null" před aktualizací tak, aby odrážela hodnotu zadanou v definici zásady. Jedná se o očekávané chování a obvykle se vyřeší během jedné hodiny.
Odstranění přiřazení hostů ze služby Azure Policy
Když se odstraní přiřazení Azure Policy, přiřazení konfigurace počítače se také odstraní, pokud ji vytvořila zásada.
Když je přiřazení zásady Azure odstraněno z iniciativy, je nutné ručně odstranit všechny přiřazení konfigurace stroje, které zásada vytvořila. Můžete to udělat tak, že přejdete na stránku přiřazení hostů na webu Azure Portal a odstraníte přiřazení tam.
Ruční vytváření přiřazení konfigurace počítače
Prostředky přiřazení hostů můžete vytvořit v Azure Resource Manageru pomocí Služby Azure Policy nebo libovolné klientské sady SDK.
Příklad šablony nasazení:
{
"$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
"contentVersion": "1.0.0.0",
"resources": [
{
"apiVersion": "2021-01-25",
"type": "Microsoft.Compute/virtualMachines/providers/guestConfigurationAssignments",
"name": "myMachine/Microsoft.GuestConfiguration/myConfig",
"location": "westus2",
"properties": {
"guestConfiguration": {
"name": "myConfig",
"contentUri": "https://mystorageaccount.blob.core.windows.net/mystoragecontainer/myConfig.zip?sv=SASTOKEN",
"contentHash": "SHA256HASH",
"version": "1.0.0",
"assignmentType": "ApplyAndMonitor",
"configurationParameter": [
"name":"configurationName",
"value":"configurationValue"
]
}
}
}
]
}
Příklad parametru configurationParameter:
"configurationParameter": [
{
"name": "[SecureWebServer]s1;MinimumTLSVersion",
"value": "1.2"
}
],
Následující tabulka popisuje jednotlivé vlastnosti prostředků přiřazení hostů.
| Vlastnictví | Description |
|---|---|
| název | Název konfigurace uvnitř souboru MOF balíčku obsahu. |
| contentUri | Cesta URI PROTOKOLU HTTPS k balíčku obsahu (.zip). |
| contentHash | Hash hodnota SHA256 balíčku obsahu, která se používá k ověření, že balíček obsahu se nezměnil. |
| version | Verze balíčku obsahu Používá se pouze pro předdefinované balíčky, které se nepoužívají pro vlastní balíčky obsahu. |
| typÚkolu | Chování přiřazení Povolené hodnoty: Audit, ApplyandMonitora ApplyandAutoCorrect. |
| configurationParameter | Seznam typu prostředku DSC, názvu a hodnoty v souboru MOF balíčku obsahu, které mají být přepsány po stažení do počítače. |
Odstranění ručně vytvořených přiřazení konfigurace počítače
Je potřeba ručně odstranit přiřazení konfigurace zařízení, které bylo vytvořeno pomocí jakéhokoli ručního postupu (například nasazení šablony Azure Resource Manageru). Odstraněním nadřazeného prostředku (virtuálního počítače nebo počítače s podporou Arc) se odstraní také přiřazení konfigurace stroje.
Pokud chcete přiřazení konfigurace počítače odstranit ručně, použijte následující příklad. Nezapomeňte nahradit všechny ukázkové řetězce označené hranatými <> závorkami.
# First get details about the machine configuration assignment
$resourceDetails = @{
ResourceGroupName = '<resource-group-name>'
ResourceType = 'Microsoft.Compute/virtualMachines/providers/guestConfigurationAssignments/'
ResourceName = '<vm-name>/Microsoft.GuestConfiguration'
ApiVersion = '2020-06-25'
}
$guestAssignment = Get-AzResource @resourceDetails
# Review details of the machine configuration assignment
$guestAssignment
# After reviewing properties of $guestAssignment to confirm
$guestAssignment | Remove-AzResource
Další kroky
- Vývoj vlastního konfiguračního balíčku počítače
- Pomocí modulu GuestConfigurationvytvořte definici služby Azure Policy pro správu vašeho prostředí ve velkém měřítku.
- Přiřazení vlastní definice zásad pomocí webu Azure Portal
- Zjistěte, jak zobrazit podrobnosti o dodržování předpisů v přiřazeních zásad konfigurace počítače.