Note
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de changer d’annuaire.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de changer d’annuaire.
Attention
Cet article fait référence à CentOS, une distribution Linux ayant atteint l’état EOL (fin du service). Faites le point sur votre utilisation pour vous organiser de manière appropriée. Pour obtenir plus d’informations, consultez l’Aide sur la fin de vie de CentOS.
La fonctionnalité de configuration d’ordinateur d’Azure Policy fournit des fonctionnalités natives pour auditer ou configurer des paramètres de système d’exploitation en tant que code, à la fois pour les ordinateurs s’exécutant dans Azure et les ordinateurs hybrides avec Arc. Vous pouvez utiliser la fonctionnalité directement par ordinateur ou l’orchestrer à grande échelle à l’aide d’Azure Policy.
Les ressources de configuration dans Azure sont conçues comme une ressource d’extension. Vous pouvez imaginer chaque configuration comme un ensemble de propriétés supplémentaires pour l’ordinateur. Les configurations peuvent inclure des paramètres comme :
- Paramètres du système d’exploitation
- La configuration ou la présence de l’application
- Paramètres d'environnement
Les configurations sont différentes des définitions de stratégie. La configuration d’ordinateur utilise Azure Policy pour attribuer dynamiquement des configurations aux ordinateurs. Vous pouvez également affecter manuellement des configurations aux machines.
Vous trouverez des exemples de chaque scénario dans le tableau suivant.
| Type | Descriptif | Exemple de scénario |
|---|---|---|
| Gestion des configurations | Vous souhaitez la représentation complète d’un serveur, en tant que code dans le contrôle de code source. Le déploiement doit inclure les propriétés du serveur (taille, réseau, stockage) et la configuration des paramètres du système d’exploitation et de l’application. | « Cet ordinateur doit être un serveur web configuré pour héberger mon site Web. » |
| Conformité | Vous souhaitez auditer ou déployer des paramètres sur tous les ordinateurs de l’étendue, soit de manière réactive vers des ordinateurs existants, soit de manière proactive vers les nouveaux ordinateurs à mesure qu’ils sont déployés. | « Tous les ordinateurs doivent utiliser TLS 1.2. Auditez les ordinateurs existants afin de pouvoir les modifier où cela est nécessaire, de manière contrôlée, à grande échelle. Pour les nouveaux ordinateurs, appliquez le paramètre lors de leur déploiement. » |
Vous pouvez afficher les résultats par paramètre des configurations dans la page Affectations d’invités. Si une affectation Azure Policy a orchestré la configuration, vous pouvez sélectionner le lien « Dernière ressource évaluée » sur la page « Détails de conformité ».
Remarque
La configuration de l’ordinateur prend actuellement en charge la création de jusqu’à 50 affectations d’invités par ordinateur.
Modes d’application des stratégies personnalisées
Afin d’offrir une plus grande flexibilité dans l’application et le monitoring des paramètres du serveur, des applications et des charges de travail, la fonctionnalité Configuration d’ordinateur propose trois modes d’application principaux pour chaque affectation de stratégie, comme indiqué dans le tableau suivant.
| Mode | Descriptif |
|---|---|
| Vérification | Fournir uniquement des rapports sur l’état de la machine |
| Appliquer et effectuer un monitoring | Configuration appliquée à la machine, puis faisant l’objet d’un monitoring des changements |
| Appliquer et corriger automatiquement | Configuration appliquée à la machine, et remise en conformité en cas de dérive |
Un guide vidéo de ce document est disponible. (mise à jour prochaine)
Activer la configuration de l’ordinateur
Pour vérifier l’état des machines dans votre environnement, y compris les machines dans les serveurs Azure et Arc, examinez les informations suivantes.
Fournisseur de ressources
Avant de pouvoir utiliser la fonctionnalité de configuration de l’ordinateur de la Stratégie Azure, vous devez inscrire le fournisseur de ressources Microsoft.GuestConfiguration. Si l’affectation d’une stratégie de configuration de l’ordinateur est effectuée via le portail, ou si l’abonnement est inscrit dans Microsoft Defender pour le cloud, le fournisseur de ressources est inscrit automatiquement. Vous pouvez l’inscrire manuellement via le portail, Azure PowerShell ou Azure CLI.
Configuration requise pour le déploiement de machines virtuelles Azure
Pour gérer les paramètres à l’intérieur d’une machine, une extension de machine virtuelle est activée et la machine doit disposer d’une identité managée par le système. L’extension télécharge les affectations de configuration d’ordinateur applicable et les dépendances correspondantes. L’identité est utilisée pour authentifier la machine lorsqu’elle lit et écrit dans le service de configuration de l’ordinateur. L’extension n’est pas nécessaire pour les serveurs avec Arc car elle est incluse dans l’Agent de la machine connectée Arc.
Important
L’extension de la configuration de l’ordinateur ainsi qu’une identité managée sont requises pour la gestion des machines virtuelles Azure.
Pour déployer l’extension à l’échelle sur toutes les machines, attribuez l’initiative de stratégie
Deploy prerequisites to enable Guest Configuration policies on virtual machines à un groupe d’administration, un abonnement ou un groupe de ressources contenant les machines que vous envisagez de gérer.
Si vous préférez déployer l’extension ainsi que l’identité managée vers une seule machine, voir Configurer des identités managées pour ressources Azure sur une machine virtuelle en utilisant le portail Azure.
Pour utiliser les packages de configuration de l’ordinateur qui appliquent des configurations, l’extension de configuration d’invité de machine virtuelle Azure version 1.26.24 ou ultérieure, est nécessaire.
Important
La création d’une identité managée ou l’attribution d’une stratégie avec le rôle « Contributeur de ressources de configuration d’invité » sont des actions qui nécessitent des autorisations RBAC Azure appropriées pour pouvoir s’effectuer. Pour en savoir plus sur Azure Policy et le contrôle RBAC Azure, consultez Contrôle d’accès en fonction du rôle dans Azure Policy.
Limites définies sur l’extension
Pour limiter l’impact de l’extension sur les applications qui s’exécutent à l’intérieur de la machine, la configuration de l’ordinateur ne peut pas dépasser plus de 5 % de la capacité du processeur. Cette limitation existe à la fois pour les définitions intégrées et personnalisées. Il en va de même pour le service de configuration de l’ordinateur de l’agent de la Machine connectée Arc.
Outils de validation
À l’intérieur de la machine, l’agent de la configuration de l’ordinateur utilise des outils locaux pour exécuter les tâches.
Le tableau suivant affiche une liste des outils locaux utilisés sur chaque système d’exploitation pris en charge. Pour le contenu intégré, la configuration de l’ordinateur gère automatiquement le chargement de ces outils.
| Système d’exploitation | Outil de validation | Remarques |
|---|---|---|
| Fenêtres | Configuration de l’état souhaité PowerShell | Chargé dans un dossier utilisé uniquement par Azure Policy. Aucun conflit avec Windows PowerShell DSC. PowerShell n’est pas ajouté au chemin d’accès système. |
| Linux | Configuration de l’état souhaité PowerShell | Chargé dans un dossier utilisé uniquement par Azure Policy. PowerShell n’est pas ajouté au chemin d’accès système. |
| Linux | Chef InSpec | Installe Chef InSpec version 2.2.61 dans l’emplacement par défaut et est ajouté au chemin d’accès système. Il installe également les dépendances d’InSpec, notamment Ruby et Python. |
Fréquence de validation
L’agent de la configuration de l’ordinateur vérifie les affectations d’invités nouvelles ou modifiées toutes les 5 minutes. Une fois l’affectation d’invité reçue, les paramètres de cette configuration sont revérifiés à intervalle de 15 minutes. Si plusieurs configurations sont affectées, chacune d’elles est évaluée de manière séquentielle. Les configurations de longue durée ont un impact sur l’intervalle pour toutes les configurations, car la suivante ne peut pas s’exécuter tant que la configuration précédente n’est pas terminée.
Les résultats sont envoyés au service de la configuration de l’ordinateur dès la fin de l’audit. Lorsqu’un déclencheur d’évaluation de stratégie intervient, l’état de la machine est consigné dans le fournisseur de ressources de la configuration de l’ordinateur. Avec cette mise à jour, Azure Policy évalue alors les propriétés Azure Resource Manager. Une évaluation à la demande de la Stratégie Azure récupère la valeur la plus récente du fournisseur de ressources de la configuration de l’ordinateur. Toutefois, il ne déclenche pas une nouvelle activité au sein de la machine. L’état est ensuite écrit dans le Graphe de ressources Azure.
Types de clients pris en charge
Les définitions de stratégie de la configuration de l’ordinateur sont incluses dans les nouvelles versions. Les versions antérieures des systèmes d’exploitation disponibles dans Place de marché Azure sont exclues si le client Guest Configuration n’est pas compatible. En outre, les versions de serveur Linux qui ne prennent pas en charge la durée de vie de leurs éditeurs respectifs sont exclues de la matrice de prise en charge.
Le tableau suivant affiche une liste des systèmes d’exploitation pris en charge sur des images Azure. Le texte .x est utilisé pour représenter les nouvelles versions mineures des distributions Linux.
| Serveur de publication | Nom | Versions |
|---|---|---|
| Alma | AlmaLinux | 9 |
| Amazone | Linux | 2 |
| Canonical | Serveur Ubuntu | 16.04 - 24.x |
| Credativ | Debian | 10.x - 13.x |
| Microsoft | CBL-Mariner | 1 - 2 |
| Microsoft | Linux Azure | 3 |
| Microsoft | Client Windows | Windows 10, 11 |
| Microsoft | Windows Server | 2012 - 2025 |
| Oracle | Oracle-Linux | 7.x - 8.x |
| OpenLogic | CentOS | 7.3 - 8.x |
| Red Hat | Red Hat Enterprise Linux* | 7.4 - 9.x |
| Rocky | Linux rocailleux | 8 |
| SUSE | SLES | 12 SP5, 15.x |
* Red Hat CoreOS n’est pas pris en charge.
Les définitions de stratégie de configuration d’ordinateur prennent en charge les images de machine virtuelle personnalisées dans la mesure où il s’agit d’un des systèmes d’exploitation répertoriés dans le tableau précédent. La fonctionnalité Configuration d’ordinateur ne prend pas en charge le mode d’orchestration uniforme VMSS, mais prend en charge le mode d’orchestration flexible VMSS.
Important
Pour que toute extension de machine virtuelle fonctionne correctement dans Azure, les autorisations d’écriture doivent être accordées au répertoire /var/lib. Sans cette autorisation, l’extension Machine Configuration ne peut pas être installée. Pour les serveurs avec Azure Arc, l’accès en écriture à des répertoires spécifiques est également nécessaire pour activer la journalisation et la télémétrie. Par conséquent, Azure Machine Configuration ne prend pas en charge officiellement les configurations CIS renforcées ou SELinux par défaut. Une configuration supplémentaire peut être nécessaire pour que l’extension fonctionne comme prévu. Les clients qui utilisent des environnements renforcés doivent évaluer la compatibilité et planifier en conséquence.
Configuration requise pour le réseau
Les machines virtuelles Azure peuvent utiliser leur carte réseau virtuelle locale (vNIC) ou Azure Private Link pour communiquer avec le service de la configuration d’ordinateur.
Les machines Azure Arc se connectent à l’aide de l’infrastructure réseau locale pour atteindre les services Azure et signaler l’état de conformité.
Le tableau suivant présente les points de terminaison pris en charge pour les machines avec Azure et Azure Arc :
| Région | Géographie | URL | Point de terminaison de stockage |
|---|---|---|---|
| EastAsia | Asie-Pacifique |
agentserviceapi.guestconfiguration.azure.com eastasia-gas.guestconfiguration.azure.com ea-gas.guestconfiguration.azure.com |
oaasguestconfigeas1.blob.core.windows.net oaasguestconfigseas1.blob.core.windows.net oaasguestconfigwcuss1.blob.core.windows.net |
| SoutheastAsia | Asie-Pacifique | agentserviceapi.guestconfiguration.azure.com southeastasia-gas.guestconfiguration.azure.com sea-gas.guestconfiguration.azure.com |
oaasguestconfigeas1.blob.core.windows.net oaasguestconfigseas1.blob.core.windows.net oaasguestconfigwcuss1.blob.core.windows.net |
| AustraliaEast | Australie | agentserviceapi.guestconfiguration.azure.com australiaeast-gas.guestconfiguration.azure.com ae-gas.guestconfiguration.azure.com |
oaasguestconfigases1.blob.core.windows.net oaasguestconfigaes1.blob.core.windows.net oaasguestconfigwcuss1.blob.core.windows.net |
| AustraliaSoutheast | Australie | agentserviceapi.guestconfiguration.azure.com australiaeast-gas.guestconfiguration.azure.com ae-gas.guestconfiguration.azure.com |
oaasguestconfigases1.blob.core.windows.net oaasguestconfigaes1.blob.core.windows.net oaasguestconfigwcuss1.blob.core.windows.net |
| BrazilSouth | Brésil | agentserviceapi.guestconfiguration.azure.com brazilsouth-gas.guestconfiguration.azure.com brs-gas.guestconfiguration.azure.com |
oaasguestconfigbrss1.blob.core.windows.net oaasguestconfigwcuss1.blob.core.windows.net |
| CanadaCentral | Canada |
agentserviceapi.guestconfiguration.azure.com canadacentral-gas.guestconfiguration.azure.com cc-gas.guestconfiguration.azure.com |
oaasguestconfigccs1.blob.core.windows.net oaasguestconfigces1.blob.core.windows.net oaasguestconfigwcuss1.blob.core.windows.net |
| CanadaEast | Canada | agentserviceapi.guestconfiguration.azure.com canadaeast-gas.guestconfiguration.azure.com ce-gas.guestconfiguration.azure.com |
oaasguestconfigccs1.blob.core.windows.net oaasguestconfigces1.blob.core.windows.net oaasguestconfigwcuss1.blob.core.windows.net |
| ChinaEast2 | Chine |
agentserviceapi.guestconfiguration.azure.cn chinaeast2-gas.guestconfiguration.azure.cn chne2-gas.guestconfiguration.azure.cn |
oaasguestconfigchne2s2.blob.core.chinacloudapi.cn |
| ChinaNorth | Chine | agentserviceapi.guestconfiguration.azure.cn chinanorth-gas.guestconfiguration.azure.cn chnn-gas.guestconfiguration.azure.cn |
oaasguestconfigchnns2.blob.core.chinacloudapi.cn |
| ChinaNorth2 | Chine | agentserviceapi.guestconfiguration.azure.cn chinanorth2-gas.guestconfiguration.azure.cn chnn2-gas.guestconfiguration.azure.cn |
oaasguestconfigchnn2s2.blob.core.chinacloudapi.cn |
| ChinaNorth3 | Chine | agentserviceapi.guestconfiguration.azure.cn chinanorth3-gas.guestconfiguration.azure.cn chnn3-gas.guestconfiguration.azure.cn |
oaasguestconfigchnn3s1.blob.core.chinacloudapi.cn |
| NorthEurope | Europe | agentserviceapi.guestconfiguration.azure.com northeurope-gas.guestconfiguration.azure.com ne-gas.guestconfiguration.azure.com |
oaasguestconfignes1.blob.core.windows.net oaasguestconfigwes1.blob.core.windows.net oaasguestconfigwcuss1.blob.core.windows.net |
| WestEurope | Europe | agentserviceapi.guestconfiguration.azure.com westeurope-gas.guestconfiguration.azure.com we-gas.guestconfiguration.azure.com |
oaasguestconfignes1.blob.core.windows.net oaasguestconfigwes1.blob.core.windows.net oaasguestconfigwcuss1.blob.core.windows.net |
| FranceCentral | France | agentserviceapi.guestconfiguration.azure.com francecentral-gas.guestconfiguration.azure.com fc-gas.guestconfiguration.azure.com |
oaasguestconfigfcs1.blob.core.windows.net oaasguestconfigwcuss1.blob.core.windows.net |
| AllemagneNorth | Allemagne | agentserviceapi.guestconfiguration.azure.com germanynorth-gas.guestconfiguration.azure.com gen-gas.guestconfiguration.azure.com |
oaasguestconfiggens1.blob.core.windows.net oaasguestconfiggewcs1.blob.core.windows.net oaasguestconfigwcuss1.blob.core.windows.net |
| AllemagneWestCentral | Allemagne |
agentserviceapi.guestconfiguration.azure.com germanywestcentral-gas.guestconfiguration.azure.com gewc-gas.guestconfiguration.azure.com |
oaasguestconfiggens1.blob.core.windows.net oaasguestconfiggewcs1.blob.core.windows.net oaasguestconfigwcuss1.blob.core.windows.net |
| CentralIndia | Inde |
agentserviceapi.guestconfiguration.azure.com centralindia-gas.guestconfiguration.azure.com cid-gas.guestconfiguration.azure.com |
oaasguestconfigcids1.blob.core.windows.net oaasguestconfigsids1.blob.core.windows.net oaasguestconfigwcuss1.blob.core.windows.net |
| SouthIndia | Inde | agentserviceapi.guestconfiguration.azure.com southindia-gas.guestconfiguration.azure.com sid-gas.guestconfiguration.azure.com |
oaasguestconfigcids1.blob.core.windows.net oaasguestconfigsids1.blob.core.windows.net oaasguestconfigwcuss1.blob.core.windows.net |
| IsraëlCentral | Israël | agentserviceapi.guestconfiguration.azure.com israelcentral-gas.guestconfiguration.azure.com ilc-gas.guestconfiguration.azure.com |
oaasguestconfigilcs1.blob.core.windows.net oaasguestconfigwcuss1.blob.core.windows.net |
| ItalieNorth | Italie |
agentserviceapi.guestconfiguration.azure.com italynorth-gas.guestconfiguration.azure.com itn-gas.guestconfiguration.azure.com |
oaasguestconfigitns1.blob.core.windows.net oaasguestconfigwcuss1.blob.core.windows.net |
| JapanEast | Japon | agentserviceapi.guestconfiguration.azure.com japaneast-gas.guestconfiguration.azure.com jpe-gas.guestconfiguration.azure.com |
oaasguestconfigjpws1.blob.core.windows.net oaasguestconfigjpes1.blob.core.windows.net oaasguestconfigwcuss1.blob.core.windows.net |
| JapanWest | Japon | agentserviceapi.guestconfiguration.azure.com japanwest-gas.guestconfiguration.azure.com jpw-gas.guestconfiguration.azure.com |
oaasguestconfigjpws1.blob.core.windows.net oaasguestconfigjpes1.blob.core.windows.net oaasguestconfigwcuss1.blob.core.windows.net |
| KoreaCentral | Corée | agentserviceapi.guestconfiguration.azure.com koreacentral-gas.guestconfiguration.azure.com kc-gas.guestconfiguration.azure.com |
oaasguestconfigkcs1.blob.core.windows.net oaasguestconfigwcuss1.blob.core.windows.net |
| MexicoCentral | Mexique | agentserviceapi.guestconfiguration.azure.com mexicocentral-gas.guestconfiguration.azure.com mxc-gas.guestconfiguration.azure.com |
oaasguestconfigmxcs1.blob.core.windows.net oaasguestconfigwcuss1.blob.core.windows.net |
| NorvègeEast | Norvège |
agentserviceapi.guestconfiguration.azure.com norwayeast-gas.guestconfiguration.azure.com noe-gas.guestconfiguration.azure.com |
oaasguestconfignoes2.blob.core.windows.net oaasguestconfigwcuss1.blob.core.windows.net |
| PologneCentral | Pologne | agentserviceapi.guestconfiguration.azure.com polandcentral-gas.guestconfiguration.azure.com plc-gas.guestconfiguration.azure.com |
oaasguestconfigwcuss1.blob.core.windows.net |
| QatarCentral | Qatar |
agentserviceapi.guestconfiguration.azure.com qatarcentral-gas.guestconfiguration.azure.com qac-gas.guestconfiguration.azure.com |
oaasguestconfigqacs1.blob.core.windows.net oaasguestconfigwcuss1.blob.core.windows.net |
| South AfricaNorth | South Africa | agentserviceapi.guestconfiguration.azure.com southafricanorth-gas.guestconfiguration.azure.com san-gas.guestconfiguration.azure.com |
oaasguestconfigsans1.blob.core.windows.net oaasguestconfigsaws1.blob.core.windows.net oaasguestconfigwcuss1.blob.core.windows.net |
| South AfricaWest | South Africa | agentserviceapi.guestconfiguration.azure.com southafricawest-gas.guestconfiguration.azure.com saw-gas.guestconfiguration.azure.com |
oaasguestconfigsans1.blob.core.windows.net oaasguestconfigsaws1.blob.core.windows.net oaasguestconfigwcuss1.blob.core.windows.net |
| EspagneCentral | Espagne | agentserviceapi.guestconfiguration.azure.com spaincentral-gas.guestconfiguration.azure.com spc-gas.guestconfiguration.azure.com |
oaasguestconfigspcs1.blob.core.windows.net oaasguestconfigwcuss1.blob.core.windows.net |
| SuèdeCentral | Suède | agentserviceapi.guestconfiguration.azure.com swedencentral-gas.guestconfiguration.azure.com swc-gas.guestconfiguration.azure.com |
oaasguestconfigswcs1.blob.core.windows.net oaasguestconfigwcuss1.blob.core.windows.net |
| SuisseNorth | Suisse | agentserviceapi.guestconfiguration.azure.com switzerlandnorth-gas.guestconfiguration.azure.com stzn-gas.guestconfiguration.azure.com |
oaasguestconfigstzns1.blob.core.windows.net oaasguestconfigwcuss1.blob.core.windows.net |
| SuisseWest | Suisse | agentserviceapi.guestconfiguration.azure.com switzerlandwest-gas.guestconfiguration.azure.com stzw-gas.guestconfiguration.azure.com |
oaasguestconfigstzns1.blob.core.windows.net oaasguestconfigwcuss1.blob.core.windows.net |
| TaïwanNorth | Taïwan |
agentserviceapi.guestconfiguration.azure.com taiwannorth-gas.guestconfiguration.azure.com twn-gas.guestconfiguration.azure.com |
oaasguestconfigtwns1.blob.core.windows.net oaasguestconfigwcuss1.blob.core.windows.net |
| UAENorth | Émirats arabes unis | agentserviceapi.guestconfiguration.azure.com uaenorth-gas.guestconfiguration.azure.com uaen-gas.guestconfiguration.azure.com |
oaasguestconfiguaens1.blob.core.windows.net oaasguestconfigwcuss1.blob.core.windows.net |
| UKSouth | Royaume-Uni | agentserviceapi.guestconfiguration.azure.com uksouth-gas.guestconfiguration.azure.com uks-gas.guestconfiguration.azure.com |
oaasguestconfigukss1.blob.core.windows.net oaasguestconfigukws1.blob.core.windows.net oaasguestconfigwcuss1.blob.core.windows.net |
| UKWest | Royaume-Uni |
agentserviceapi.guestconfiguration.azure.com ukwest-gas.guestconfiguration.azure.com ukw-gas.guestconfiguration.azure.com |
oaasguestconfigukss1.blob.core.windows.net oaasguestconfigukws1.blob.core.windows.net oaasguestconfigwcuss1.blob.core.windows.net |
| EastUS | États-Unis | agentserviceapi.guestconfiguration.azure.com eastus-gas.guestconfiguration.azure.com eus-gas.guestconfiguration.azure.com |
oaasguestconfigeuss1.blob.core.windows.net oaasguestconfigeus2s1.blob.core.windows.net oaasguestconfigwuss1.blob.core.windows.net oaasguestconfigwus2s1.blob.core.windows.net oaasguestconfigncuss1.blob.core.windows.net oaasguestconfigcuss1.blob.core.windows.net oaasguestconfigscuss1.blob.core.windows.net oaasguestconfigwus3s1.blob.core.windows.net oaasguestconfigwcuss1.blob.core.windows.net |
| EastUS2 | États-Unis | agentserviceapi.guestconfiguration.azure.com eastus2-gas.guestconfiguration.azure.com eus2-gas.guestconfiguration.azure.com |
oaasguestconfigeuss1.blob.core.windows.net oaasguestconfigeus2s1.blob.core.windows.net oaasguestconfigwuss1.blob.core.windows.net oaasguestconfigwus2s1.blob.core.windows.net oaasguestconfigncuss1.blob.core.windows.net oaasguestconfigcuss1.blob.core.windows.net oaasguestconfigscuss1.blob.core.windows.net oaasguestconfigwus3s1.blob.core.windows.net oaasguestconfigwcuss1.blob.core.windows.net |
| WestUS | États-Unis | agentserviceapi.guestconfiguration.azure.com westus-gas.guestconfiguration.azure.com wus-gas.guestconfiguration.azure.com |
oaasguestconfigeuss1.blob.core.windows.net oaasguestconfigeus2s1.blob.core.windows.net oaasguestconfigwuss1.blob.core.windows.net oaasguestconfigwus2s1.blob.core.windows.net oaasguestconfigncuss1.blob.core.windows.net oaasguestconfigcuss1.blob.core.windows.net oaasguestconfigscuss1.blob.core.windows.net oaasguestconfigwus3s1.blob.core.windows.net oaasguestconfigwcuss1.blob.core.windows.net |
| WestUS2 | États-Unis | agentserviceapi.guestconfiguration.azure.com westus2-gas.guestconfiguration.azure.com wus2-gas.guestconfiguration.azure.com |
oaasguestconfigeuss1.blob.core.windows.net oaasguestconfigeus2s1.blob.core.windows.net oaasguestconfigwuss1.blob.core.windows.net oaasguestconfigwus2s1.blob.core.windows.net oaasguestconfigncuss1.blob.core.windows.net oaasguestconfigcuss1.blob.core.windows.net oaasguestconfigscuss1.blob.core.windows.net oaasguestconfigwus3s1.blob.core.windows.net oaasguestconfigwcuss1.blob.core.windows.net |
| WestUS3 | États-Unis | agentserviceapi.guestconfiguration.azure.com westus3-gas.guestconfiguration.azure.com wus3-gas.guestconfiguration.azure.com |
oaasguestconfigeuss1.blob.core.windows.net oaasguestconfigeus2s1.blob.core.windows.net oaasguestconfigwuss1.blob.core.windows.net oaasguestconfigwus2s1.blob.core.windows.net oaasguestconfigncuss1.blob.core.windows.net oaasguestconfigcuss1.blob.core.windows.net oaasguestconfigscuss1.blob.core.windows.net oaasguestconfigwus3s1.blob.core.windows.net oaasguestconfigwcuss1.blob.core.windows.net |
| CentralUS | États-Unis | agentserviceapi.guestconfiguration.azure.com centralus-gas.guestconfiguration.azure.com cus-gas.guestconfiguration.azure.com |
oaasguestconfigeuss1.blob.core.windows.net oaasguestconfigeus2s1.blob.core.windows.net oaasguestconfigwuss1.blob.core.windows.net oaasguestconfigwus2s1.blob.core.windows.net oaasguestconfigncuss1.blob.core.windows.net oaasguestconfigcuss1.blob.core.windows.net oaasguestconfigscuss1.blob.core.windows.net oaasguestconfigwus3s1.blob.core.windows.net oaasguestconfigwcuss1.blob.core.windows.net |
| NorthCentralUS | États-Unis |
agentserviceapi.guestconfiguration.azure.com northcentralus-gas.guestconfiguration.azure.com ncus-gas.guestconfiguration.azure.com |
oaasguestconfigeuss1.blob.core.windows.net oaasguestconfigeus2s1.blob.core.windows.net oaasguestconfigwuss1.blob.core.windows.net oaasguestconfigwus2s1.blob.core.windows.net oaasguestconfigncuss1.blob.core.windows.net oaasguestconfigcuss1.blob.core.windows.net oaasguestconfigscuss1.blob.core.windows.net oaasguestconfigwus3s1.blob.core.windows.net oaasguestconfigwcuss1.blob.core.windows.net |
| SouthCentralUS | États-Unis | agentserviceapi.guestconfiguration.azure.com southcentralus-gas.guestconfiguration.azure.com scus-gas.guestconfiguration.azure.com |
oaasguestconfigeuss1.blob.core.windows.net oaasguestconfigeus2s1.blob.core.windows.net oaasguestconfigwuss1.blob.core.windows.net oaasguestconfigwus2s1.blob.core.windows.net oaasguestconfigncuss1.blob.core.windows.net oaasguestconfigcuss1.blob.core.windows.net oaasguestconfigscuss1.blob.core.windows.net oaasguestconfigwus3s1.blob.core.windows.net oaasguestconfigwcuss1.blob.core.windows.net |
| WestCentralUS | États-Unis |
agentserviceapi.guestconfiguration.azure.com westcentralus-gas.guestconfiguration.azure.com wcus-gas.guestconfiguration.azure.com |
oaasguestconfigeuss1.blob.core.windows.net oaasguestconfigeus2s1.blob.core.windows.net oaasguestconfigwuss1.blob.core.windows.net oaasguestconfigwus2s1.blob.core.windows.net oaasguestconfigncuss1.blob.core.windows.net oaasguestconfigcuss1.blob.core.windows.net oaasguestconfigscuss1.blob.core.windows.net oaasguestconfigwus3s1.blob.core.windows.net oaasguestconfigwcuss1.blob.core.windows.net |
| USGovArizona | Gouvernement des États-Unis | agentserviceapi.guestconfiguration.azure.us usgovarizona-gas.guestconfiguration.azure.us usga-gas.guestconfiguration.azure.us |
oaasguestconfigusgas1.blob.core.usgovcloudapi.net |
| USGovTexas | Gouvernement des États-Unis | agentserviceapi.guestconfiguration.azure.us usgovtexas-gas.guestconfiguration.azure.us usgt-gas.guestconfiguration.azure.us |
oaasguestconfigusgts1.blob.core.usgovcloudapi.net |
| USGovVirginia | Gouvernement des États-Unis | agentserviceapi.guestconfiguration.azure.us usgovvirginia-gas.guestconfiguration.azure.us usgv-gas.guestconfiguration.azure.us |
oaasguestconfigusgvs1.blob.core.usgovcloudapi.net |
Communiquer via des réseaux virtuels dans Azure
Pour communiquer avec le fournisseur de ressources de la configuration d’ordinateur dans Azure, les ordinateurs nécessitent un accès sortant vers des centres de données Azure sur le port 443*. Si un réseau dans Azure n’autorise pas le trafic sortant, configurez des exceptions à l’aide de règles du Groupe de sécurité réseau. Les étiquettes de serviceAzureArcInfrastructure et Storage peuvent être utilisées pour référencer les services de la configuration invité et de Stockage plutôt que de gérer manuellement la liste des plages d’adresses IP pour les centres de données Azure. Les deux balises sont requises, car Stockage Azure héberge les packages de contenu de configuration d’ordinateur.
Communiquer via une liaison privée dans Azure
Les machines virtuelles peuvent utiliser une liaison privée pour la communication avec le service de la configuration de l’ordinateur.
Appliquez la balise avec le nom EnablePrivateNetworkGC et la valeur TRUE pour activer cette fonctionnalité. La balise peut être appliquée avant ou après l’application des définitions de stratégie de la configuration de l’ordinateur à la machine.
Important
Pour communiquer via un lien privé pour les packages personnalisés, le lien vers l’emplacement du package doit être ajouté à la liste des URL autorisées.
Le trafic est acheminé à l’aide de l’IP publique virtuelle d’Azure pour établir un canal sécurisé et authentifié avec les ressources de la plateforme Azure.
Communiquer sur des points de terminaison publics en dehors d’Azure
Les serveurs situés localement ou dans d’autres clouds peuvent être gérés avec la configuration de la machine en les connectant à Azure Arc.
Pour les serveurs compatibles avec Arc, autorisez le trafic à l’aide des modèles suivants :
- Port : seul le port TCP 443 est nécessaire pour l’accès Internet sortant
- URL globale :
*.guestconfiguration.azure.com
Consultez la configuration réseau requise des serveurs compatibles avec Azure Arc pour obtenir la liste complète de tous les points de terminaison réseau requis par Azure Connected Machine Agent pour les scénarios de configuration d’Azure Arc et de machine.
Communiquer via une liaison privée hors d’Azure
Lorsque vous utilisez une liaison privée avec des serveurs compatibles avec Arc, les packages de stratégie intégrés sont automatiquement téléchargés sur la liaison privée. Vous n’avez pas besoin de définir d’étiquettes sur le serveur compatible avec Arc pour activer cette fonctionnalité.
Attribution de stratégies à des machines en dehors d’Azure
Les définitions de stratégie d’Audit disponibles pour la configuration de l’ordinateur incluent le type de ressource Microsoft.HybridCompute/machines. Toutes les machines intégrées à serveurs compatibles avec Azure Arc qui relèvent du champ d’application de l’attribution de stratégies sont automatiquement incluses.
Exigences relatives à l’identité managée
Les définitions de stratégie dans l’initiative Deploy prerequisites to enable guest configuration policies on virtual machines activent une identité gérée affectée par le système, s’il n’en existe pas. L’initiative comporte deux définitions de stratégie qui gèrent la création d’identités. Les conditions if dans les définitions de stratégie garantissent un comportement correct en fonction de l’état actuel de la ressource d’ordinateur dans Azure.
Important
Ces définitions permettent de créer une identité managée affectée par le système sur les ressources cibles, en plus des identités affectées par l’utilisateur (le cas échéant). Pour les applications existantes, à moins qu’elles ne spécifient l’identité affectée par l’utilisateur dans la demande, la machine utilise par défaut l’identité affectée par le système à la place. En savoir plus
Si la machine n’a pas d’identités managées, la stratégie effective est : Ajouter une identité managée affectée par le système pour activer les attributions Guest Configuration sur les machines virtuelles sans identité
Si la machine possède actuellement une identité système affectée par l’utilisateur, la stratégie effective est : Ajouter une identité managée affectée par le système pour activer les attributions Guest Configuration sur les machines virtuelles avec une identité affectée par l’utilisateur
Disponibilité
Les clients qui conçoivent une solution hautement disponible doivent tenir compte des exigences de planification de la redondance pour les machines virtuelles, car les attributions d’invités sont des extensions des ressources de machine dans Azure. Lorsque les ressources d’affectation d’invité sont approvisionnées dans une région Azure jumelée, vous pouvez afficher les rapports d’affectation d’invité si au moins une région de la paire est disponible. Lorsque la région Azure n’est pas jumelée et qu’elle devient indisponible, vous ne pouvez pas accéder aux rapports pour une affectation d’invité. Lorsque la région est restaurée, vous pouvez à nouveau accéder aux rapports.
Il est recommandé d’attribuer les mêmes définitions de stratégie avec les mêmes paramètres à tous les ordinateurs de la solution pour les applications hautement disponibles. Cela est particulièrement vrai pour les scénarios où des machines virtuelles sont approvisionnées dans des groupes à haute disponibilité derrière une solution d’équilibreur de charge. Une affectation de stratégie unique couvrant tous les ordinateurs offre la surcharge administrative la moins importante.
Pour les ordinateurs protégés par Azure Site Recovery, assurez-vous que les ordinateurs d’un site principal et secondaire se trouvent dans l’étendue des affectations d’Azure Policy pour les mêmes définitions. Utilisez les mêmes valeurs de paramètre pour les deux sites.
Résidence des données
La configuration d’ordinateur stocke et traite les données client. Par défaut, les données client sont répliquées dans la région jumelée. Pour les régions Singapour, Brésil Sud et Asie Est, toutes les données client sont stockées et traitées dans la région.
Résolution des problèmes de configuration de l’ordinateur
Pour plus d’informations sur la résolution des problèmes de la configuration de l’ordinateur, consultez Résolution des problèmes de la Stratégie Azure.
Affectations multiples
Actuellement, seules certaines définitions intégrées de stratégie de configuration d’ordinateur prennent en charge des affectations multiples. Toutefois, toutes les stratégies personnalisées prennent en charge des affectations multiples par défaut si vous avez utilisé la dernière version du module PowerShell GuestConfiguration, pour créer des packages et des stratégies de configuration d’ordinateur.
Voici la liste des définitions intégrées de stratégie de configuration d’ordinateur qui prennent en charge des affectations multiples :
| id | DisplayName |
|---|---|
| /providers/Microsoft.Authorization/policyDefinitions/5fe81c49-16b6-4870-9cee-45d13bf902ce | Les méthodes d’authentification locales doivent être désactivées sur Serveurs Windows |
| /providers/Microsoft.Authorization/policyDefinitions/fad40cac-a972-4db0-b204-f1b15cced89a | Les méthodes d’authentification locales doivent être désactivées sur les ordinateurs Linux |
| /providers/Microsoft.Authorization/policyDefinitions/f40c7c00-b4e3-4068-a315-5fe81347a904 | [Préversion] : Ajouter une identité managée affectée par l’utilisateur pour activer les affectations Guest Configuration sur les machines virtuelles |
| /providers/Microsoft.Authorization/policyDefinitions/63594bb8-43bb-4bf0-bbf8-c67e5c28cb65 | [Préversion] : Les machines Linux doivent respecter l’exigence de conformité STIG pour le calcul Azure |
| /providers/Microsoft.Authorization/policyDefinitions/50c52fc9-cb21-4d99-9031-d6a0c613361c | [Préversion] : Les machines Windows doivent respecter les exigences de conformité STIG pour le calcul Azure |
| /providers/Microsoft.Authorization/policyDefinitions/e79ffbda-ff85-465d-ab8e-7e58a557660f | [Préversion] : Les machines Linux avec OMI installé doivent avoir la version 1.6.8-1 ou ultérieure |
| /providers/Microsoft.Authorization/policyDefinitions/934345e1-4dfb-4c70-90d7-41990dc9608b | Auditer les machines Windows qui ne contiennent pas les certificats spécifiés dans la racine de confiance |
| /providers/Microsoft.Authorization/policyDefinitions/08a2f2d2-94b2-4a7b-aa3b-bb3f523ee6fd | Auditer les machines Windows sur lesquelles la configuration DSC n’est pas conforme |
| /providers/Microsoft.Authorization/policyDefinitions/c648fbbb-591c-4acd-b465-ce9b176ca173 | Auditer les machines Windows ne spécifiant pas la stratégie d’exécution Windows PowerShell |
| /providers/Microsoft.Authorization/policyDefinitions/3e4e2bd5-15a2-4628-b3e1-58977e9793f3 | Auditer les machines Windows sur lesquelles les modules Windows PowerShell spécifiés ne sont pas installés |
| /providers/Microsoft.Authorization/policyDefinitions/58c460e9-7573-4bb2-9676-339c2f2486bb | Auditer les machines Windows sur lesquelles la console série Windows n’est pas activée |
| /providers/Microsoft.Authorization/policyDefinitions/e6ebf138-3d71-4935-a13b-9c7fdddd94df | Auditer les machines Windows sur lesquelles les services spécifiés ne sont pas installés ni « En cours d’exécution » |
| /providers/Microsoft.Authorization/policyDefinitions/c633f6a2-7f8b-4d9e-9456-02f0f04f5505 | Auditer les machines Windows qui ne sont pas définies sur le fuseau horaire spécifié |
Remarque
Veuillez consulter régulièrement cette page pour connaître les mises à jour de la liste des définitions intégrées de stratégie de configuration d'ordinateur qui prennent en charge des affectations multiples.
Affectations à des groupes de gestion Azure
Les définitions de la Stratégie Azure dans la catégorie Guest Configuration peuvent être assignées aux Groupes de gestion lorsque l’effet est AuditIfNotExists ou DeployIfNotExists.
Important
Lorsque des exemptions de politique sont créées sur une stratégie de configuration d’ordinateur, l’attribution d’invité associée doit être supprimée pour empêcher l’analyse de l’agent.
Fichiers journaux du client
L’extension de la configuration de l’ordinateur écrit les fichiers journaux aux emplacements suivants :
Fenêtres
- Machine virtuelle Azure :
C:\ProgramData\GuestConfig\gc_agent_logs\gc_agent.log - Serveur avec Arc :
C:\ProgramData\GuestConfig\arc_policy_logs\gc_agent.log
Linux
- Machine virtuelle Azure :
/var/lib/GuestConfig/gc_agent_logs/gc_agent.log - Serveur avec Arc :
/var/lib/GuestConfig/arc_policy_logs/gc_agent.log
Collecte des journaux à distance
La première étape de la résolution des problèmes liés aux configurations ou aux modules de l’ordinateur consiste à utiliser les cmdlets en suivant les étapes décrites dans Guide pratique pour tester des artefacts de package de configuration de machine. Si cela ne réussit pas, la collecte des journaux des clients peut vous aider à diagnostiquer les problèmes.
Fenêtres
Capturez des informations de fichiers journaux à l’aide de la commande Run de la machine virtuelle Azure. L’exemple de script PowerShell suivant peut être utile.
$linesToIncludeBeforeMatch = 0
$linesToIncludeAfterMatch = 10
$params = @{
Path = 'C:\ProgramData\GuestConfig\gc_agent_logs\gc_agent.log'
Pattern = @(
'DSCEngine'
'DSCManagedEngine'
)
CaseSensitive = $true
Context = @(
$linesToIncludeBeforeMatch
$linesToIncludeAfterMatch
)
}
Select-String @params | Select-Object -Last 10
Linux
Capturez des informations de fichiers journaux à l’aide de la commande Run de la machine virtuelle Azure. L’exemple de script Bash suivant peut être utile.
LINES_TO_INCLUDE_BEFORE_MATCH=0
LINES_TO_INCLUDE_AFTER_MATCH=10
LOGPATH=/var/lib/GuestConfig/gc_agent_logs/gc_agent.log
egrep -B $LINES_TO_INCLUDE_BEFORE_MATCH -A $LINES_TO_INCLUDE_AFTER_MATCH 'DSCEngine|DSCManagedEngine' $LOGPATH | tail
Fichier agent
L’agent de la configuration de l’ordinateur télécharge des packages de contenu sur une machine et en extrait le contenu. Pour vérifier quel contenu a été téléchargé et stocké, consultez les emplacements de dossier dans la liste suivante.
- Windows :
C:\ProgramData\guestconfig\configuration - Linux :
/var/lib/GuestConfig/Configuration
Fonctionnalité du module nxtools open source
Un nouveau module nxtools open source a été publié en vue de faciliter la gestion des systèmes Linux pour les utilisateurs PowerShell.
Voici les tâches courantes que ce module vous aide à gérer :
- Gestion des utilisateurs et des groupes
- Exécution d’opérations de système de fichiers
- Gestion des services
- Exécution d’opérations d’archivage
- Gestion de packages
Le module inclut des ressources DSC basées sur une classe pour Linux, ainsi que des packages de configuration d’ordinateur intégrés.
Si vous souhaitez faire part de vos commentaires sur cette fonctionnalité, veuillez ouvrir un sujet dans la documentation. Actuellement, nous n’acceptons aucune demande de tirage pour ce projet, et le support est assuré dans la mesure du possible.
Exemples de la configuration de l’ordinateur
Des exemples de stratégie intégrée de la configuration de l’ordinateur sont disponibles dans les emplacements suivants :
- Définitions de stratégie intégrées - Configuration d’invité
- Initiatives intégrées - Configuration d’invité
- Exemples Azure Policy – Référentiel GitHub
- Exemples de modules de ressources DSC
Étapes suivantes
- Configurez un environnement de développement de package de configuration de l’ordinateur personnalisé.
- Créez un artefact de package pour la configuration de l’ordinateur.
- Testez l’artefact de package à partir de votre environnement de développement.
- Utilisez le module GuestConfiguration afin de créer une définition Azure Policy pour une gestion à grande échelle de votre environnement.
- Attribuez votre définition de stratégie personnalisée à l’aide du portail Azure.
- Découvrez comment visualiser les attributions de stratégie desinformations relatives à la conformité pour la configuration de machine.