Catatan
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba masuk atau mengubah direktori.
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba mengubah direktori.
Saat Azure Policy ditetapkan, jika berada dalam kategori Guest Configuration , ada metadata yang disertakan untuk menjelaskan penetapan tamu.
Panduan video dokumen ini tersedia.
Anda dapat menganggap penetapan tamu sebagai tautan antara mesin dan skenario Azure Policy. Misalnya, cuplikan berikut mengaitkan konfigurasi Azure Windows Baseline dengan versi 1.0.0 minimum ke komputer apa pun dalam cakupan kebijakan.
"metadata": {
"category": "Guest Configuration",
"guestConfiguration": {
"name": "AzureWindowsBaseline",
"version": "1.*"
}
//additional metadata properties exist
}
Cara Azure Policy menggunakan penetapan konfigurasi komputer
Layanan konfigurasi komputer menggunakan informasi metadata untuk membuat sumber daya audit secara otomatis untuk definisi dengan AuditIfNotExists efek kebijakan atau DeployIfNotExists . Jenis sumber daya adalah Microsoft.GuestConfiguration/guestConfigurationAssignments. Azure Policy menggunakan properti complianceStatus dari sumber daya penetapan tamu untuk melaporkan status kepatuhan. Untuk informasi selengkapnya, lihat mendapatkan data kepatuhan.
Nota
Saat menetapkan kebijakan kustom yang menyebarkan konfigurasi tamu, properti assignmentType pada sumber daya penetapan tamu dapat muncul sementara sebagai "Null" sebelum diperbarui untuk mencerminkan nilai yang ditentukan dalam definisi kebijakan. Ini adalah perilaku yang diharapkan dan biasanya diselesaikan dalam waktu satu jam.
Penghapusan penugasan tamu dari Kebijakan Azure
Saat penetapan Azure Policy dihapus, jika kebijakan membuat penetapan konfigurasi komputer, penetapan konfigurasi komputer juga dihapus.
Saat penetapan Azure Policy dihapus dari inisiatif, Anda perlu menghapus penetapan konfigurasi komputer apa pun yang dibuat secara manual. Anda dapat melakukannya dengan menavigasi ke halaman penetapan tamu di portal Microsoft Azure dan menghapus penugasan di sana.
Membuat penetapan konfigurasi komputer secara manual
Anda dapat membuat sumber daya penetapan tamu di Azure Resource Manager dengan menggunakan Azure Policy atau SDK klien apa pun.
Contoh templat penyebaran:
{
"$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
"contentVersion": "1.0.0.0",
"resources": [
{
"apiVersion": "2021-01-25",
"type": "Microsoft.Compute/virtualMachines/providers/guestConfigurationAssignments",
"name": "myMachine/Microsoft.GuestConfiguration/myConfig",
"location": "westus2",
"properties": {
"guestConfiguration": {
"name": "myConfig",
"contentUri": "https://mystorageaccount.blob.core.windows.net/mystoragecontainer/myConfig.zip?sv=SASTOKEN",
"contentHash": "SHA256HASH",
"version": "1.0.0",
"assignmentType": "ApplyAndMonitor",
"configurationParameter": [
"name":"configurationName",
"value":"configurationValue"
]
}
}
}
]
}
Contoh parameterKonfigurasi:
"configurationParameter": [
{
"name": "[SecureWebServer]s1;MinimumTLSVersion",
"value": "1.2"
}
],
Tabel berikut menjelaskan setiap properti dari sumber daya penugasan tamu.
| Harta benda | Description |
|---|---|
| Nama | Nama konfigurasi dalam paket konten file MOF. |
| contentUri | Jalur URI HTTPS ke paket konten (.zip). |
| contentHash | Nilai hash SHA256 dari paket konten, digunakan untuk memverifikasi bahwa paket tersebut tidak berubah. |
| version | Versi paket konten. Hanya digunakan untuk paket bawaan dan tidak digunakan untuk paket konten kustom. |
| jenisPenugasan | Perilaku penugasan. Nilai yang diizinkan: Audit, ApplyandMonitor, dan ApplyandAutoCorrect. |
| configurationParameter | Daftar tipe sumber daya DSC, nama, dan nilai yang terletak dalam file MOF paket konten untuk digantikan setelah diunduh di mesin. |
Penghapusan penetapan konfigurasi komputer yang dibuat secara manual
Anda harus menghapus penetapan konfigurasi komputer yang dibuat secara manual melalui pendekatan manual apa pun (seperti penyebaran templat Azure Resource Manager). Menghapus sumber daya induk (komputer virtual atau komputer berkemampuan Arc) juga menghapus penetapan konfigurasi komputer.
Untuk menghapus penetapan konfigurasi komputer secara manual, gunakan contoh berikut. Pastikan untuk mengganti semua contoh string, yang ditandai dengan tanda kurung <>.
# First get details about the machine configuration assignment
$resourceDetails = @{
ResourceGroupName = '<resource-group-name>'
ResourceType = 'Microsoft.Compute/virtualMachines/providers/guestConfigurationAssignments/'
ResourceName = '<vm-name>/Microsoft.GuestConfiguration'
ApiVersion = '2020-06-25'
}
$guestAssignment = Get-AzResource @resourceDetails
# Review details of the machine configuration assignment
$guestAssignment
# After reviewing properties of $guestAssignment to confirm
$guestAssignment | Remove-AzResource
Langkah selanjutnya
- Mengembangkan paket konfigurasi komputer kustom.
- Gunakan modul GuestConfiguration untuk membuat definisi Azure Policy untuk manajemen skala lingkungan Anda.
- Tetapkan definisi kebijakan kustom Anda menggunakan portal Microsoft Azure.
- Pelajari cara menampilkan detail kepatuhan untuk penetapan kebijakan konfigurasi mesin.