Gobernanza de servidores habilitados para Azure Arc con la configuración de invitado de Azure Policy

  • 5 minutos

Fabrikam Residences ha incorporado sus máquinas a servidores habilitados para Azure Arc. A diferencia de las máquinas virtuales de Azure en las que la configuración de invitado se implementa como una extensión de máquina virtual (VM), los servidores habilitados para Azure Arc tienen el servicio de configuración de invitado como parte del agente de máquina conectada. En esta Unidad, obtendrá información acerca de la configuración de invitado y cómo se ajusta a los servidores habilitados para Azure Arc.

Información general sobre la configuración de invitado

La característica de configuración de invitado de Azure Policy proporciona una funcionalidad nativa para auditar o configurar las opciones del sistema operativo como código, tanto para las máquinas que se ejecutan en Azure como para las máquinas habilitadas para Arc. Aunque la configuración de invitado se implementa como una extensión de máquina virtual en Azure Virtual Machines, el agente de configuración de invitado se inserta en el agente de máquina conectada para servidores habilitados para Azure Arc. De forma predeterminada, los servidores habilitados para Arc pueden basarse en el servicio de configuración de invitado para proporcionar la directiva de invitado y la funcionalidad configuración de invitado a los servidores habilitados para Azure Arc.

La configuración de invitado se puede usar tanto para la administración de la configuración como para el cumplimiento de los recursos. La configuración de invitado incluye la configuración del sistema operativo, la configuración o presencia de las aplicaciones y la configuración del entorno. Desde un punto de vista de cumplimiento, puede auditar o implementar la configuración en todos los equipos del ámbito. Puede hacerlo de forma reactiva en las máquinas existentes. O bien, de forma proactiva en nuevas máquinas a medida que las implementa.

Configuración de invitado integrada de Azure Policy

Hay docenas de directivas integradas de Azure para servidores habilitados para Arc que usan la configuración de invitado. Algunos ejemplos de configuración de invitado de Azure Policy para los servidores habilitados para Arc incluyen:

  • Configuración de la zona horaria en máquinas Windows.
  • Especificar la configuración de directiva de grupo en la categoría Propiedades del firewall de Windows para el estado del firewall, las conexiones, la administración de reglas y las notificaciones, en las máquinas Windows.
  • Cumplir los requisitos de Opciones de seguridad: control de cuentas de usuario en máquinas Windows.

Configuración de invitado en escenarios desconectados

En el caso de las máquinas desconectadas, los servidores habilitados para Azure Arc tienen el siguiente comportamiento de configuración de invitado de Azure Policy:

  • Una asignación de Azure Policy que se dirige a las máquinas desconectadas no se ve afectada.
  • La asignación de invitado se almacena de forma local durante 14 días. En el período de 14 días, si el agente Connected Machine se vuelve a conectar al servicio, se vuelven a aplicar las asignaciones de directiva.
  • Las asignaciones se eliminan después de 14 días y no se reasignan a la máquina después de dicho período.

Precios de la configuración de invitado de Azure Policy

La facturación se basa en el número de servidores registrados con el servicio que tienen una o varias configuraciones de invitado asignadas. La facturación se prorratea por hora. Las máquinas sin conexión, como las que están desconectadas o apagadas durante toda la hora, no se facturan. Los recursos de Azure Arc administrados por la configuración de invitado se excluyen de la facturación en los escenarios siguientes.

  • Azure Automation: Las asignaciones de configuración de invitado no se facturan si las características de configuración de estado o seguimiento de cambios que ofrece Azure Automation ya administran la máquina.
  • Microsoft Defender for Cloud: la asignación de Azure Policy de la iniciativa Azure Security Benchmark crea una asignación de configuración. La asignación de Azure Policy de una iniciativa de directiva integrada en la categoría "Cumplimiento normativo" crea una asignación de configuración. La asignación de Azure Policy de una iniciativa de directiva personalizada creada en Microsoft Defender for Cloud crea una asignación de configuración.
  • Azure Stack HCI: Puede usar las ventajas de Azure en el clúster de Azure Stack HCI para que las asignaciones de configuración de invitado se usen sin honorario adicional. Puede usar estas ventajas para las máquinas virtuales hospedadas por Azure Stack HCI y los nodos en un clúster de Azure Stack HCI.
  • Las líneas base de seguridad de Azure y las directivas de Azure que no son de invitado no desencadenan los precios.

Configuración de invitado de Azure Policy, incluido el seguimiento de cambios, el inventario y la configuración de estado de Azure Automation, cuesta 6 USD/servidor/mes para los servidores habilitados para Azure Arc. No hay ningún cargo por asignar la configuración de invitado de Azure Policy a las máquinas virtuales de Azure.