Grundlegende Informationen zum Computerkonfigurationsfeature von Azure Automanage

  • Artikel
  • 10 Minuten Lesedauer

Hinweis

Azure Policy-Gastkonfiguration heißt jetzt Azure Automanage-Computerkonfiguration. Erfahren Sie mehr über die kürzliche Umbenennung von Microsoft-Konfigurationsverwaltungsdiensten.

Das Computerkonfigurationsfeature von Azure Policy bietet native Funktionen zum Überprüfen oder Konfigurieren von Betriebssystemeinstellungen als Code, sowohl für Computer, die in Azure ausgeführt werden, als auch für hybride Computer mit Arc-Unterstützung. Das Feature kann direkt pro Computer oder in großem Umfang von Azure Policy orchestriert verwendet werden.

Konfigurationsressourcen in Azure sind als Erweiterungsressourcen konzipiert. Sie können sich jede Konfiguration als zusätzlichen Satz von Eigenschaften für den Computer vorstellen. Konfigurationen können Einstellungen enthalten wie:

  • Betriebssystemeinstellungen
  • Die Konfiguration oder das Vorhandensein der Anwendung
  • Umgebungseinstellungen

Konfigurationen unterscheiden sich von Richtliniendefinitionen. Die Computerkonfiguration nutzt Azure Policy, um Computern Konfigurationen dynamisch zuzuweisen. Sie können Computern Konfigurationen auch manuell oder mithilfe anderer Azure-Dienste wie AutoManage zuweisen.

Beispiele für jedes Szenario sind in der folgenden Tabelle aufgeführt.

type BESCHREIBUNG Beispielstory
Konfigurationsverwaltung Sie möchten eine vollständige Darstellung eines Servers als Code in der Quellcodeverwaltung. Die Bereitstellung sollte Eigenschaften des Servers (Größe, Netzwerk, Speicher) und die Konfiguration von Betriebssystem- und Anwendungseinstellungen enthalten. "Dieser Computer sollte ein Webserver sein, der zum Hosten meiner Websete konfiguriert ist."
Compliance Sie möchten Einstellungen für alle Computer im Bereich überwachen oder bereitstellen, entweder reaktiv auf vorhandenen Computern oder proaktiv auf neuen Computern, wenn sie bereitgestellt werden. "Alle Computer sollten TLS 1.2 verwenden. Überwachen Sie vorhandene Computer, damit ich Änderungen an den benötigten Stellen auf kontrollierte Weise und bedarfsorientiert freigeben kann. Erzwingen Sie für neue Computer die Einstellung, wenn sie bereitgestellt werden."

Die Ergebnisse der einzelnen Konfigurationen können entweder auf der Seite Gastzuweisungen angezeigt werden, oder wenn die Konfiguration durch eine Azure Policy-Zuweisung orchestriert wird, indem Sie auf der Seite Compliance details auf den Link „Zuletzt ausgewertete Ressource“ klicken.

Für dieses Dokument ist ein Video zur exemplarischen Vorgehensweise verfügbar. (Update in Kürze verfügbar)

Computerkonfiguration aktivieren

Sehen Sie sich die folgenden ausführlichen Informationen an, um den Status der Computer in Ihrer Umgebung zu verwalten, einschließlich Computern in Azure und Arc-fähiger Server.

Ressourcenanbieter

Um das Computerkonfigurationsfeature von Azure Policy verwenden zu können, müssen Sie den Microsoft.GuestConfiguration-Ressourcenanbieter registrieren. Wenn die Zuweisung einer Computerkonfigurationsrichtlinie über das Portal erfolgt oder das Abonnement in Microsoft Defender für Cloud registriert ist, wird der Ressourcenanbieter automatisch registriert. Hierfür können Sie über das Portal, die Azure PowerShell oder Azure CLI manuell registrieren.

Bereitstellen von Anforderungen für virtuelle Azure-Computer

Für die Verwaltung von Einstellungen innerhalb eines Computers ist eine VM-Erweiterung aktiviert, und der Computer muss über eine systemseitig verwaltete Identität verfügen. Die Erweiterung lädt die richtige Computerkonfigurationszuweisung sowie die entsprechenden Abhängigkeiten herunter. Die Identität wird verwendet, um den Computer zu authentifizieren, wenn Lese- und Schreibvorgänge im Computerkonfigurationsdienst ausgeführt werden. Bei Arc-fähigen Servern wird die Erweiterung nicht benötigt, da sie bereits im Arc Connected Machine-Agent enthalten ist.

Wichtig

Für die Verwaltung von virtuellen Azure-Computern sind die Computerkonfigurationserweiterung und eine verwaltete Identität erforderlich.

Wenn Sie die Erweiterung im großen Stil auf vielen Computern bereitstellen möchten, weisen Sie die Richtlinieninitiative Deploy prerequisites to enable guest configuration policies on virtual machines zu einer Verwaltungsgruppe, einem Abonnement oder einer Ressourcengruppe mit den Maschinen, die Sie verwalten möchten.

Wenn Sie die Erweiterung und die verwaltete Identität lieber auf einem einzelnen Computer bereitstellen möchten, befolgen Sie den jeweiligen Leitfaden:

Für die Verwendung von Gastkonfigurationspaketen, die Konfigurationen anwenden, ist die Azure-VM-Gastkonfigurationserweiterung, Version 1.29.24 oder höher, erforderlich.

Für die Erweiterung festgelegte Grenzwerte

Um die Auswirkungen der Erweiterung auf die auf dem Computer ausgeführten Anwendungen zu beschränken, darf der Computerkonfigurations-Agent höchstens 5 % der CPU auslasten. Diese Einschränkung gilt sowohl für integrierte als auch für angepasste Definitionen. Dies gilt auch für den Computerkonfigurationsdienst im Arc Connected Machine-Agent.

Überprüfungstools

Auf dem Computer verwendet der Computerkonfigurations-Agent für die Ausführung von Tasks lokale Tools.

In der folgenden Tabelle sind die lokalen Tools aufgeführt, die unter den jeweiligen unterstützten Betriebssystemen verwendet werden. Bei integrierten Inhalten werden diese Tools in der Computerkonfiguration automatisch geladen.

Betriebssystem Überprüfungstool Notizen
Windows PowerShell Desired State Configuration, Version 3 Wird mittels Sideloading in einen Ordner quergeladen, der nur von Azure Policy verwendet wird. Verursacht keinen Konflikt mit Windows PowerShell DSC. PowerShell Core wird nicht zum Systempfad hinzugefügt.
Linux PowerShell Desired State Configuration, Version 3 Wird mittels Sideloading in einen Ordner quergeladen, der nur von Azure Policy verwendet wird. PowerShell Core wird nicht zum Systempfad hinzugefügt.
Linux Chef InSpec Installiert Chef InSpec (Version 2.2.61) am Standardspeicherort und wird dem Systempfad hinzugefügt. Abhängigkeiten für das InSpec-Paket einschließlich Ruby und Python werden ebenfalls installiert.

Validierungshäufigkeit

Der Gastkonfigurations-Agent überprüft alle 5 Minuten, ob Gastzuweisungen hinzugefügt oder geändert wurden. Nachdem eine Gastzuweisung empfangen wurde, werden die Einstellungen für diese Konfiguration alle 15 Minuten erneut überprüft. Wenn mehrere Konfigurationen zugewiesen sind, werden diese einzeln nacheinander ausgewertet. Konfigurationen mit langer Ausführungsdauer wirken sich auf das Intervall für alle Konfigurationen aus, da die nächste Konfiguration erst ausgeführt wird, wenn die vorherige abgeschlossen ist.

Die Ergebnisse werden nach Abschluss der Überprüfung an den Computerkonfigurationsdienst gesendet. Wenn ein Auswertungstrigger für Richtlinien auftritt, wird der Status des Computers an den Ressourcenanbieter der Computerkonfiguration übermittelt. Dieses Update bewirkt, dass Azure Policy die Azure Resource Manager-Eigenschaften auswertet. Bei einer bei Bedarf ausgelösten Auswertung durch Azure Policy wird der aktuelle Wert beim Ressourcenanbieter der Computerkonfiguration abgerufen. Es wird jedoch keine neue Aktivität auf dem Computer ausgelöst. Der Status wird anschließend an Azure Resource Graph übermittelt.

Unterstützte Clienttypen

Richtliniendefinitionen für die Computerkonfiguration umfassen neue Versionen. Ältere Versionen von Betriebssystemen, die im Azure Marketplace verfügbar sind, sind ausgeschlossen, wenn der Gastkonfigurationsclient nicht kompatibel ist. In der folgenden Tabelle werden die für Azure-Images unterstützten Betriebssysteme aufgeführt. Die Angabe „.x“ steht symbolisch für neue Nebenversionen von Linux-Distributionen.

Herausgeber Name Versionen
Amazon Linux 2
Canonical Ubuntu Server 14.04 - 20.x
Credativ Debian 8 - 10.x
Microsoft Windows Server 2012 - 2022
Microsoft Windows-Client Windows 10
Oracle Oracle-Linux 7.x–8.x
OpenLogic CentOS 7.3 -8.x
Red Hat Red Hat Enterprise Linux* 7.4 - 8.x
SUSE SLES 12 SP3-SP5, 15.x

* Red Hat CoreOS wird nicht unterstützt.

Benutzerdefinierte VM-Images werden von Richtliniendefinitionen für die Computerkonfiguration unterstützt, sofern es sich um eines der Betriebssysteme in der obigen Tabelle handelt.

Netzwerkanforderungen

Virtuelle Azure-Computer können entweder ihren lokalen virtuellen Netzwerkadapter (vNIC) oder Azure Private Link verwenden, um mit dem Computerkonfigurationsdienst zu kommunizieren.

Computer mit Azure Arc-Unterstützung stellen mithilfe der lokalen Netzwerkinfrastruktur eine Verbindung her, um Azure-Dienste zu erreichen und den Compliancestatus zu melden.

Im Folgenden finden Sie eine Liste der Azure Storage-Endpunkte, die für Azure-VMs und VMs mit Azure Arc-Unterstützung erforderlich sind, um mit dem Ressourcenanbieter für die Computerkonfiguration in Azure zu kommunizieren:

  • oaasguestconfigac2s1.blob.core.windows.net
  • oaasguestconfigacs1.blob.core.windows.net
  • oaasguestconfigaes1.blob.core.windows.net
  • oaasguestconfigases1.blob.core.windows.net
  • oaasguestconfigbrses1.blob.core.windows.net
  • oaasguestconfigbrss1.blob.core.windows.net
  • oaasguestconfigccs1.blob.core.windows.net
  • oaasguestconfigces1.blob.core.windows.net
  • oaasguestconfigcids1.blob.core.windows.net
  • oaasguestconfigcuss1.blob.core.windows.net
  • oaasguestconfigeaps1.blob.core.windows.net
  • oaasguestconfigeas1.blob.core.windows.net
  • oaasguestconfigeus2s1.blob.core.windows.net
  • oaasguestconfigeuss1.blob.core.windows.net
  • oaasguestconfigfcs1.blob.core.windows.net
  • oaasguestconfigfss1.blob.core.windows.net
  • oaasguestconfiggewcs1.blob.core.windows.net
  • oaasguestconfiggns1.blob.core.windows.net
  • oaasguestconfiggwcs1.blob.core.windows.net
  • oaasguestconfigjiws1.blob.core.windows.net
  • oaasguestconfigjpes1.blob.core.windows.net
  • oaasguestconfigjpws1.blob.core.windows.net
  • oaasguestconfigkcs1.blob.core.windows.net
  • oaasguestconfigkss1.blob.core.windows.net
  • oaasguestconfigncuss1.blob.core.windows.net
  • oaasguestconfignes1.blob.core.windows.net
  • oaasguestconfignres1.blob.core.windows.net
  • oaasguestconfignrws1.blob.core.windows.net
  • oaasguestconfigqacs1.blob.core.windows.net
  • oaasguestconfigsans1.blob.core.windows.net
  • oaasguestconfigscuss1.blob.core.windows.net
  • oaasguestconfigseas1.blob.core.windows.net
  • oaasguestconfigsecs1.blob.core.windows.net
  • oaasguestconfigsfns1.blob.core.windows.net
  • oaasguestconfigsfws1.blob.core.windows.net
  • oaasguestconfigsids1.blob.core.windows.net
  • oaasguestconfigstzns1.blob.core.windows.net
  • oaasguestconfigswcs1.blob.core.windows.net
  • oaasguestconfigswns1.blob.core.windows.net
  • oaasguestconfigswss1.blob.core.windows.net
  • oaasguestconfigswws1.blob.core.windows.net
  • oaasguestconfiguaecs1.blob.core.windows.net
  • oaasguestconfiguaens1.blob.core.windows.net
  • oaasguestconfigukss1.blob.core.windows.net
  • oaasguestconfigukws1.blob.core.windows.net
  • oaasguestconfigwcuss1.blob.core.windows.net
  • oaasguestconfigwes1.blob.core.windows.net
  • oaasguestconfigwids1.blob.core.windows.net
  • oaasguestconfigwus2s1.blob.core.windows.net
  • oaasguestconfigwus3s1.blob.core.windows.net
  • oaasguestconfigwuss1.blob.core.windows.net

Kommunizieren über virtuelle Netzwerke in Azure

Für die Kommunikation mit dem Ressourcenanbieter der Computerkonfiguration in Azure benötigen Computer ausgehenden Zugriff auf Azure-Rechenzentren über Port 443. Wenn ein Netzwerk in Azure keinen ausgehenden Datenverkehr zulässt, müssen Ausnahmen über Netzwerksicherheitsgruppen-Regeln konfiguriert werden. Die Diensttags „AzureArcInfrastructure“ und „Storage“ können verwendet werden, um auf den Gastkonfigurationsdienst und den Storage-Dienst zu verweisen, damit die Liste der IP-Adressbereiche für Azure-Rechenzentren nicht manuell geführt werden muss. Beide Tags sind erforderlich, da Inhaltspakete für Computerkonfigurationen von Azure Storage gehostet werden.

Für die Kommunikation mit dem Computerkonfigurationsdienst können virtuelle Computer eine private Verbindung verwenden. Wenden Sie ein Tag mit dem Namen EnablePrivateNetworkGC und dem Wert TRUE an, um dieses Feature zu aktivieren. Das Tag kann vor oder nach der Anwendung der Richtliniendefinitionen der Computerkonfiguration auf den Computer angewendet werden.

Der Datenverkehr wird mithilfe der virtuellen öffentlichen IP-Adresse von Azure weitergeleitet, um einen sicheren, authentifizierten Kanal mit Azure-Plattformressourcen einzurichten.

Kommunikation über öffentliche Endpunkte außerhalb von Azure

Server, die sich in lokalen Umgebungen oder in anderen Clouds befinden, können mithilfe der Computerkonfiguration verwaltet werden, indem sie mit Azure Arc verbunden werden.

Lassen Sie bei Servern mit Azure Arc-Unterstützung den Datenverkehr anhand der folgenden Muster zu:

  • Port: Für ausgehenden Zugriff auf das Internet ist nur TCP 443 erforderlich
  • Globale URL: *.guestconfiguration.azure.com

Unter Netzwerkanforderungen für Server mit Azure Arc-Unterstützung finden Sie eine vollständige Liste aller Netzwerkendpunkte, die vom Azure Connected Machine-Agent für wichtige Azure Arc- und Computerkonfigurationsszenarien erforderlich sind.

Bei Verwendung von Private Link mit Servern mit Arc-Unterstützung werden integrierte Richtlinienpakete automatisch über die private Verbindung heruntergeladen. Sie müssen auf dem Server mit Arc-Unterstützung keinerlei Tags festlegen, um dieses Feature zu aktivieren.

Zuweisen von Richtlinien zu Computern außerhalb von Azure

Die für die Computerkonfiguration verfügbaren Überwachungsrichtliniendefinitionen umfassen den Ressourcentyp Microsoft.HybridCompute/machines. Alle Computer, für die ein Onboarding auf Servern mit Azure Arc-Unterstützung durchgeführt wurde und die sich im Geltungsbereich der Richtlinienzuweisung befinden, werden automatisch eingeschlossen.

Anforderungen für verwaltete Identitäten

Durch die Richtliniendefinitionen in der Initiative Deploy prerequisites to enable guest configuration policies on virtual machines wird eine systemseitig zugewiesene verwaltete Identität aktiviert, sofern noch keine solche vorhanden ist. Die Initiative enthält zwei Richtliniendefinitionen, durch die die Identitätserstellung verwaltet wird. Die IF-Bedingungen in den Richtliniendefinitionen gewährleisten das korrekte Verhalten basierend auf dem aktuellen Zustand der Computerressource in Azure.

Wichtig

Diese Definitionen erstellen eine vom System zugewiesene verwaltete Identität auf den Zielressourcen, zusätzlich zu vorhandenen benutzerzugewiesenen Identitäten (sofern vorhanden). Wenn die benutzerseitig zugewiesene Identität nicht extra angegeben wird, wird auf dem Computer für vorhandene Anwendungen standardmäßig die systemseitig zugewiesene Identität verwendet. Weitere Informationen

Wenn der Computer derzeit über keine verwalteten Identitäten verfügt, ist die effektive Richtlinie: Systemseitig zugewiesene verwaltete Identität hinzufügen, um Computerkonfigurationszuweisungen auf VMs ohne Identität zu aktivieren.

Wenn der Computer derzeit über eine benutzerseitig zugewiesene Systemidentität verfügt, ist die effektive Richtlinie: Systemseitig zugewiesene verwaltete Identität hinzufügen, um Computerkonfigurationszuweisungen auf VMs mit einer benutzerseitig zugewiesenen verwalteten Identität zu aktivieren.

Verfügbarkeit

Kunden, die eine hochverfügbare Lösung entwerfen, sollten die Anforderungen an die Redundanzplanung für virtuelle Computer berücksichtigen, da Gastzuweisungen Erweiterungen von Computerressourcen in Azure sind. Wenn Gastzuweisungsressourcen in einer Azure-Region bereitgestellt werden, die gekoppelt ist, sind Gastzuweisungsberichte verfügbar, solange mindestens eine Region des Paars verfügbar ist. Wenn die Azure-Region nicht gekoppelt und nicht mehr verfügbar ist, ist es erst nach der Wiederherstellung der Region möglich, auf Berichte für eine Gastzuweisung zuzugreifen.

Wenn Sie eine Architektur für hochverfügbare Anwendungen in Betracht ziehen, insbesondere wenn virtuelle Computer in Verfügbarkeitsgruppen hinter einer Lastenausgleichslösung bereitgestellt werden, um Hochverfügbarkeit zu gewährleisten, wird empfohlen, allen Computern in der Lösung dieselben Richtliniendefinitionen mit denselben Parametern zu zuweisen. Wenn möglich, würde eine einzelne Richtlinienzuweisung, die alle Computer umfasst, den geringsten Verwaltungsaufwand bieten.

Stellen Sie für Computer, die von Azure Site Recovery geschützt werden, sicher, dass die Computer an einem sekundären Standort innerhalb des Bereichs von Azure Policy-Zuweisungen für dieselben Definitionen liegen, die dieselben Parameterwerte wie Computer am primären Standort verwenden.

Datenresidenz

Die Computerkonfiguration speichert/verarbeitet Kundendaten. Standardmäßig werden Kundendaten in die gekoppelte Region repliziert. Für die Regionen Singapur, Brasilien, Süden und Asien, Osten werden alle Kundendaten in der Region gespeichert und verarbeitet.

Problembehandlung bei der Computerkonfiguration

Weitere Informationen zur Problembehandlung bei der Computerkonfiguration finden Sie unter Problembehandlung mit Azure Policy.

Mehrere Zuweisungen

Richtliniendefinitionen zur Gastkonfiguration unterstützen jetzt die mehrfache Zuweisung derselben Gastzuweisung pro Computer, wenn die Richtlinienzuweisung unterschiedliche Parameter verwendet.

Zuweisungen zu Azure-Verwaltungsgruppen

Azure Policy-Definitionen in der Kategorie Guest Configuration können Verwaltungsgruppen zugewiesen werden, wenn die Auswirkung AuditIfNotExists oder DeployIfNotExists ist.

Protokolldateien des Clients

Die Computerkonfigurationserweiterung schreibt Protokolldateien an die folgenden Speicherorte:

Windows

  • Azure-VM: C:\ProgramData\GuestConfig\gc_agent_logs\gc_agent.log
  • Arc-fähiger Server: C:\ProgramData\GuestConfig\arc_policy_logs\gc_agent.log

Linux

  • Azure-VM: /var/lib/GuestConfig/gc_agent_logs/gc_agent.log
  • Arc-fähiger Server: /var/lib/GuestConfig/arc_policy_logs/gc_agent.log

Remotesammeln von Protokollen

Im ersten Schritt bei der Problembehandlung von Computerkonfigurationen oder Modulen sollten die Cmdlets entsprechend den unter Testen von Computerkonfigurations-Paketartefakten beschriebenen Schritten ausgeführt werden. Wenn dies nicht erfolgreich ist, kann das Sammeln von Clientprotokollen helfen, Probleme zu diagnostizieren.

Windows

Erfassen Sie Informationen aus Protokolldateien mithilfe des Azure-VM-Befehls Ausführen, wobei das folgende PowerShell-Beispiel hilfreich sein kann.

$linesToIncludeBeforeMatch = 0
$linesToIncludeAfterMatch = 10
$logPath = 'C:\ProgramData\GuestConfig\gc_agent_logs\gc_agent.log'
Select-String -Path $logPath -pattern 'DSCEngine','DSCManagedEngine' -CaseSensitive -Context $linesToIncludeBeforeMatch,$linesToIncludeAfterMatch | Select-Object -Last 10

Linux

Erfassen Sie Informationen aus Protokolldateien mithilfe des Azure VM-Befehls Ausführen, wobei das folgende Bash-Beispiel hilfreich sein kann.

linesToIncludeBeforeMatch=0
linesToIncludeAfterMatch=10
logPath=/var/lib/GuestConfig/gc_agent_logs/gc_agent.log
egrep -B $linesToIncludeBeforeMatch -A $linesToIncludeAfterMatch 'DSCEngine|DSCManagedEngine' $logPath | tail

Agent-Dateien

Der Computerkonfigurations-Agent lädt Inhaltspakete auf einen Computer herunter und extrahiert deren Inhalte. Um zu überprüfen, welche Inhalte heruntergeladen und gespeichert wurden, sehen Sie sich die unten angegebenen Ordnerspeicherorte an.

Windows: c:\programdata\guestconfig\configuration

Linux: /var/lib/GuestConfig/Configuration

Computerkonfigurationsbeispiele

Beispiele für integrierte Computerkonfigurationsrichtlinien finden Sie unter:

Nächste Schritte