Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
Waarschuwing
Dit artikel verwijst naar CentOS, een Linux-distributie met de EOL-status (End Of Life). Overweeg uw gebruik en planning dienovereenkomstig. Voor meer informatie, zie de CentOS End Of Life guidance.
De machineconfiguratiefunctie van Azure Policy biedt systeemeigen mogelijkheden om de instellingen van het besturingssysteem te controleren of te configureren als code voor machines die worden uitgevoerd in Azure en hybride Arc-machines. U kunt de functie rechtstreeks per machine gebruiken of op schaal organiseren met behulp van Azure Policy.
Configuratieresources in Azure zijn ontworpen als een extensieresource. U kunt elke configuratie voorstellen als een extra set eigenschappen voor de machine. Configuraties kunnen instellingen bevatten, zoals:
- Instellingen van besturingssysteem
- Configuratie of aanwezigheid van toepassingen
- Omgevingsinstellingen
Configuraties verschillen van beleidsdefinities. Machineconfiguratie maakt gebruik van Azure Policy om configuraties dynamisch toe te wijzen aan machines. U kunt configuraties ook handmatig toewijzen aan computers.
Voorbeelden van elk scenario worden gegeven in de volgende tabel.
| Typologie | Beschrijving | Voorbeeldverhaal |
|---|---|---|
| Configuratiebeheer | U wilt een volledige weergave van een server, als code in broncodebeheer. De implementatie moet eigenschappen van de server (grootte, netwerk, opslag) en configuratie van besturingssysteem- en toepassingsinstellingen bevatten. | "Deze computer moet een webserver zijn die is geconfigureerd voor het hosten van mijn website." |
| Naleving | U wilt instellingen controleren of implementeren op alle machines binnen het bereik van uw audit, reactief op bestaande machines of proactief naar nieuwe machines zodra ze worden ingezet. | "Alle computers moeten TLS 1.2 gebruiken. Controleer bestaande machines zodat ik wijzigingen kan vrijgeven waar deze nodig zijn, op een gecontroleerde manier, op schaal. Voor nieuwe machines moet u de configuratie afdwingen tijdens de implementatie. |
U kunt de resultaten per instelling bekijken van configuraties op de pagina Gasttoewijzingen. Als een Azure Policy-toewijzing de configuratie heeft georkestreerd, kunt u de koppeling 'Laatst geëvalueerde resource' selecteren op de pagina 'Details van naleving'.
Opmerking
Machineconfiguratie ondersteunt momenteel het maken van maximaal 50 gasttoewijzingen per machine.
Afdwingingsmodi voor aangepast beleid
Om meer flexibiliteit te bieden bij het afdwingen en bewaken van serverinstellingen, toepassingen en workloads, biedt Machine Configuration drie belangrijke afdwingingsmodi voor elke beleidstoewijzing, zoals beschreven in de volgende tabel.
| Wijze | Beschrijving |
|---|---|
| Controle | Alleen rapporteren over de status van de machine |
| Toepassen en bewaken | Configuratie toegepast op de machine en vervolgens gecontroleerd op wijzigingen |
| Toepassen en AutoCorrectie | Configuratie toegepast op de machine en weer in overeenstemming gebracht in het geval van drift |
Er is een video-overzicht van dit document beschikbaar. (Update binnenkort beschikbaar)
Computerconfiguratie inschakelen
Als u de status van machines in uw omgeving wilt beheren, inclusief machines in Servers met Azure en Arc, raadpleegt u de volgende details.
Bronleverancier
Voordat u de machineconfiguratiefunctie van Azure Policy kunt gebruiken, moet u de Microsoft.GuestConfiguration resourceprovider registreren. Als het toewijzen van een computerconfiguratiebeleid wordt uitgevoerd via de portal of als het abonnement is ingeschreven bij Microsoft Defender for Cloud, wordt de resourceprovider automatisch geregistreerd. U kunt zich handmatig registreren via de portal, Azure PowerShell of Azure CLI.
Vereisten implementeren voor virtuele Azure-machines
Als u instellingen binnen een machine wilt beheren, wordt een VM-extensie ingeschakeld en moet de machine een door het systeem beheerde identiteit hebben. De extensie downloadt toepasselijke machineconfiguratietoewijzingen en de bijbehorende afhankelijkheden. De identiteit wordt gebruikt om de machine te authenticeren wanneer deze leest en schrijft naar de machineconfiguratieservice. De extensie is niet vereist voor Arc-servers omdat de extensie is opgenomen in de Arc Connected Machine-agent.
Belangrijk
De machineconfiguratie-extensie en een beheerde identiteit zijn vereist voor het beheren van virtuele Azure-machines.
Als u de extensie op schaal op veel computers wilt implementeren, wijst u het beleidsinitiatief toe
Deploy prerequisites to enable Guest Configuration policies on virtual machines naar een beheergroep, abonnement of resourcegroep met de machines die u wilt beheren.
Als u de extensie en beheerde identiteit liever op één computer wilt implementeren, raadpleegt u Beheerde identiteiten configureren voor Azure-resources op een VIRTUELE machine met behulp van Azure Portal.
Als u machineconfiguratiepakketten wilt gebruiken die configuraties toepassen, is azure VM-gastconfiguratie-extensie versie 1.26.24 of hoger vereist.
Belangrijk
Het creëren van een beheerde identiteit of het toewijzen van een beleid met de rol "Gastconfiguratie Resource Contributor" zijn acties waarvoor de juiste Azure RBAC-machtigingen vereist zijn. Zie op rollen gebaseerd toegangsbeheer in Azure Policy voor meer informatie over Azure Policy en Azure RBAC.
Limieten die zijn ingesteld voor de extensie
Als u wilt beperken dat de extensie van invloed is op toepassingen die op de computer worden uitgevoerd, mag de machineconfiguratieagent niet meer dan 5% CPU overschrijden. Deze beperking bestaat voor zowel ingebouwde als aangepaste definities. Hetzelfde geldt voor de machineconfiguratieservice in de Arc Connected Machine-agent.
Validatiehulpprogramma's
Op de computer gebruikt de machineconfiguratieagent lokale hulpprogramma's om taken uit te voeren.
In de volgende tabel ziet u een lijst met de lokale hulpprogramma's die in elk ondersteund besturingssysteem worden gebruikt. Voor ingebouwde inhoud verwerkt de computerconfiguratie het automatisch laden van deze hulpprogramma's.
| besturingssysteem | Validatieprogramma | Opmerkingen |
|---|---|---|
| Ramen | PowerShell Desired State Configuration | Side-loaded naar een map die alleen wordt gebruikt door Azure Policy. Conflicteert niet met Windows PowerShell DSC. PowerShell wordt niet toegevoegd aan het systeempad. |
| Linux | PowerShell Gewenste Status Configuratie | Side-loaded naar een map die alleen wordt gebruikt door Azure Policy. PowerShell wordt niet toegevoegd aan het systeempad. |
| Linux | Chef InSpec | Installeert Chef InSpec versie 2.2.61 op de standaardlocatie en voegt deze toe aan het systeempad. De afhankelijkheden van InSpec worden ook geïnstalleerd, waaronder Ruby en Python. |
Validatiefrequentie
De machineconfiguratieagent controleert elke 5 minuten op nieuwe of gewijzigde gasttoewijzingen. Zodra een gasttoewijzing is ontvangen, worden de instellingen voor die configuratie opnieuw gecontroleerd op een interval van 15 minuten. Als er meerdere configuraties zijn toegewezen, wordt elk configuratie opeenvolgend geëvalueerd. Langlopende configuraties zijn van invloed op het interval voor alle configuraties, omdat de volgende pas kan worden uitgevoerd als de vorige configuratie is voltooid.
Resultaten worden verzonden naar de machineconfiguratieservice wanneer de controle is voltooid. Wanneer een beleidsevaluatietrigger optreedt, wordt de status van de machine naar de resourceprovider voor de machineconfiguratie geschreven. Deze update zorgt ervoor dat Azure Policy de Eigenschappen van Azure Resource Manager evalueert. Met een evaluatie op aanvraag van Azure Policy wordt de meest recente waarde opgehaald van de resourceprovider van de machineconfiguratie. Er wordt echter geen nieuwe activiteit binnen de machine geactiveerd. De status wordt vervolgens naar Azure Resource Graph geschreven.
Ondersteunde clienttypen
Beleidsdefinities voor computerconfiguratie zijn inclusief nieuwe versies. Oudere versies van besturingssystemen die beschikbaar zijn in Azure Marketplace, worden uitgesloten als de gastconfiguratieclient niet compatibel is. Bovendien worden Linux-serverversies die niet meer worden ondersteund door hun respectieve uitgevers, uitgesloten van de ondersteuningsmatrix.
In de volgende tabel ziet u een lijst met ondersteunde besturingssystemen in Azure-installatiekopieën. De .x tekst is symbolisch voor nieuwe secundaire versies van Linux-distributies.
| Uitgever | Naam | Versies |
|---|---|---|
| Alma | AlmaLinux | 9 |
| Amazone | Linux | 2 |
| Canoniek | Ubuntu Server | 16.04 - 24.x |
| Credativ | Debian | 10.x - 13.x |
| Microsoft | CBL-Mariner | 1 - 2 |
| Microsoft | Azure Linux | 3 |
| Microsoft | Windows Cliënt | Windows 10, 11 |
| Microsoft | Windows Server | 2012 - 2025 |
| Orakel | Oracle-Linux | 7.x - 8.x |
| OpenLogic | Centos | 7.3 - 8.x |
| Red Hat | Red Hat Enterprise Linux* | 7.4 - 9.x |
| Rotsachtig | Rocky Linux | 8 |
| SUSE | SLES | 12 SP5, 15.x |
* Red Hat CoreOS wordt niet ondersteund.
Definities van configuratiebeleid voor machines ondersteunen aangepaste installatiekopieën van virtuele machines zolang ze een van de besturingssystemen in de vorige tabel zijn. Machineconfiguratie biedt geen ondersteuning voor VMSS uniform, maar biedt wel ondersteuning voor VMSS Flex.
Belangrijk
Voor een juiste werking van een VM-extensie in Azure moeten schrijfmachtigingen worden verleend aan de map /var/lib. Zonder deze machtiging kan de machineconfiguratie-extensie niet worden geïnstalleerd. Voor servers met Azure Arc is schrijftoegang tot specifieke mappen ook vereist om logboekregistratie en telemetrie in te schakelen. Als gevolg hiervan heeft Azure Machine Configuration geen officiële ondersteuning voor standaardconfiguraties met CIS-verharding of SELinux-configuraties. Er kan extra configuratie nodig zijn om de extensie te laten functioneren zoals verwacht. Klanten die beperkte omgevingen gebruiken, moeten de compatibiliteit evalueren en dienovereenkomstig plannen.
Netwerkvereisten
Virtuele Azure-machines kunnen hun lokale virtuele netwerkadapter (vNIC) of Azure Private Link gebruiken om te communiceren met de machineconfiguratieservice.
Machines met Azure Arc maken verbinding met behulp van de on-premises netwerkinfrastructuur om Azure-services te bereiken en de nalevingsstatus te rapporteren.
In de volgende tabel ziet u de ondersteunde eindpunten voor Azure- en Azure Arc-machines:
| Regio | Geografie | URL | Opslageindpunt |
|---|---|---|---|
| EastAsia | Azië en Stille Oceaan |
agentserviceapi.guestconfiguration.azure.com eastasia-gas.guestconfiguration.azure.com ea-gas.guestconfiguration.azure.com |
oaasguestconfigeas1.blob.core.windows.net oaasguestconfigseas1.blob.core.windows.net oaasguestconfigwcuss1.blob.core.windows.net |
| SoutheastAsia | Azië en Stille Oceaan |
agentserviceapi.guestconfiguration.azure.com southeastasia-gas.guestconfiguration.azure.com sea-gas.guestconfiguration.azure.com |
oaasguestconfigeas1.blob.core.windows.net oaasguestconfigseas1.blob.core.windows.net oaasguestconfigwcuss1.blob.core.windows.net |
| AustraliaEast | Australië |
agentserviceapi.guestconfiguration.azure.com australiaeast-gas.guestconfiguration.azure.com ae-gas.guestconfiguration.azure.com |
oaasguestconfigases1.blob.core.windows.net oaasguestconfigaes1.blob.core.windows.net oaasguestconfigwcuss1.blob.core.windows.net |
| AustraliaSoutheast | Australië |
agentserviceapi.guestconfiguration.azure.com australiaeast-gas.guestconfiguration.azure.com ae-gas.guestconfiguration.azure.com |
oaasguestconfigases1.blob.core.windows.net oaasguestconfigaes1.blob.core.windows.net oaasguestconfigwcuss1.blob.core.windows.net |
| BrazilSouth | Brazilië |
agentserviceapi.guestconfiguration.azure.com brazilsouth-gas.guestconfiguration.azure.com brs-gas.guestconfiguration.azure.com |
oaasguestconfigbrss1.blob.core.windows.net oaasguestconfigwcuss1.blob.core.windows.net |
| CanadaCentral | Canada |
agentserviceapi.guestconfiguration.azure.com canadacentral-gas.guestconfiguration.azure.com cc-gas.guestconfiguration.azure.com |
oaasguestconfigccs1.blob.core.windows.net oaasguestconfigces1.blob.core.windows.net oaasguestconfigwcuss1.blob.core.windows.net |
| CanadaEast | Canada |
agentserviceapi.guestconfiguration.azure.com canadaeast-gas.guestconfiguration.azure.com ce-gas.guestconfiguration.azure.com |
oaasguestconfigccs1.blob.core.windows.net oaasguestconfigces1.blob.core.windows.net oaasguestconfigwcuss1.blob.core.windows.net |
| ChinaEast2 | China | agentserviceapi.guestconfiguration.azure.cn chinaeast2-gas.guestconfiguration.azure.cn chne2-gas.guestconfiguration.azure.cn |
oaasguestconfigchne2s2.blob.core.chinacloudapi.cn |
| ChinaNorth | China | agentserviceapi.guestconfiguration.azure.cn chinanorth-gas.guestconfiguration.azure.cn chnn-gas.guestconfiguration.azure.cn |
oaasguestconfigchnns2.blob.core.chinacloudapi.cn |
| ChinaNorth2 | China | agentserviceapi.guestconfiguration.azure.cn chinanorth2-gas.guestconfiguration.azure.cn chnn2-gas.guestconfiguration.azure.cn |
oaasguestconfigchnn2s2.blob.core.chinacloudapi.cn |
| ChinaNorth3 | China | agentserviceapi.guestconfiguration.azure.cn chinanorth3-gas.guestconfiguration.azure.cn chnn3-gas.guestconfiguration.azure.cn |
oaasguestconfigchnn3s1.blob.core.chinacloudapi.cn |
| Noord-Europa | Europa |
agentserviceapi.guestconfiguration.azure.com northeurope-gas.guestconfiguration.azure.com ne-gas.guestconfiguration.azure.com |
oaasguestconfignes1.blob.core.windows.net oaasguestconfigwes1.blob.core.windows.net oaasguestconfigwcuss1.blob.core.windows.net |
| WestEurope | Europa |
agentserviceapi.guestconfiguration.azure.com westeurope-gas.guestconfiguration.azure.com we-gas.guestconfiguration.azure.com |
oaasguestconfignes1.blob.core.windows.net oaasguestconfigwes1.blob.core.windows.net oaasguestconfigwcuss1.blob.core.windows.net |
| FranceCentral | Frankrijk |
agentserviceapi.guestconfiguration.azure.com francecentral-gas.guestconfiguration.azure.com fc-gas.guestconfiguration.azure.com |
oaasguestconfigfcs1.blob.core.windows.net oaasguestconfigwcuss1.blob.core.windows.net |
| GermanyNorth | Duitsland |
agentserviceapi.guestconfiguration.azure.com germanynorth-gas.guestconfiguration.azure.com gen-gas.guestconfiguration.azure.com |
oaasguestconfiggens1.blob.core.windows.net oaasguestconfiggewcs1.blob.core.windows.net oaasguestconfigwcuss1.blob.core.windows.net |
| GermanyWestCentral | Duitsland |
germanywestcentral-gas.guestconfiguration.azure.com |
oaasguestconfiggens1.blob.core.windows.net oaasguestconfiggewcs1.blob.core.windows.net oaasguestconfigwcuss1.blob.core.windows.net |
| CentralIndia | India |
agentserviceapi.guestconfiguration.azure.com centralindia-gas.guestconfiguration.azure.com cid-gas.guestconfiguration.azure.com |
oaasguestconfigcids1.blob.core.windows.net oaasguestconfigsids1.blob.core.windows.net oaasguestconfigwcuss1.blob.core.windows.net |
| SouthIndia | India |
agentserviceapi.guestconfiguration.azure.com southindia-gas.guestconfiguration.azure.com sid-gas.guestconfiguration.azure.com |
oaasguestconfigcids1.blob.core.windows.net oaasguestconfigsids1.blob.core.windows.net oaasguestconfigwcuss1.blob.core.windows.net |
| IsraëlCentral | Israël |
agentserviceapi.guestconfiguration.azure.com israelcentral-gas.guestconfiguration.azure.com ilc-gas.guestconfiguration.azure.com |
oaasguestconfigilcs1.blob.core.windows.net oaasguestconfigwcuss1.blob.core.windows.net |
| ItalyNorth | Italië |
agentserviceapi.guestconfiguration.azure.com italynorth-gas.guestconfiguration.azure.com itn-gas.guestconfiguration.azure.com |
oaasguestconfigitns1.blob.core.windows.net oaasguestconfigwcuss1.blob.core.windows.net |
| JapanEast | Japan |
agentserviceapi.guestconfiguration.azure.com japaneast-gas.guestconfiguration.azure.com jpe-gas.guestconfiguration.azure.com |
oaasguestconfigjpws1.blob.core.windows.net oaasguestconfigjpes1.blob.core.windows.net oaasguestconfigwcuss1.blob.core.windows.net |
| JapanWest | Japan |
agentserviceapi.guestconfiguration.azure.com japanwest-gas.guestconfiguration.azure.com jpw-gas.guestconfiguration.azure.com |
oaasguestconfigjpws1.blob.core.windows.net oaasguestconfigjpes1.blob.core.windows.net oaasguestconfigwcuss1.blob.core.windows.net |
| KoreaCentral | Korea |
agentserviceapi.guestconfiguration.azure.com koreacentral-gas.guestconfiguration.azure.com kc-gas.guestconfiguration.azure.com |
oaasguestconfigkcs1.blob.core.windows.net oaasguestconfigwcuss1.blob.core.windows.net |
| MexicoCentral | Mexico |
agentserviceapi.guestconfiguration.azure.com mexicocentral-gas.guestconfiguration.azure.com mxc-gas.guestconfiguration.azure.com |
oaasguestconfigmxcs1.blob.core.windows.net oaasguestconfigwcuss1.blob.core.windows.net |
| NoorwegenEast | Noorwegen |
agentserviceapi.guestconfiguration.azure.com norwayeast-gas.guestconfiguration.azure.com noe-gas.guestconfiguration.azure.com |
oaasguestconfignoes2.blob.core.windows.net oaasguestconfigwcuss1.blob.core.windows.net |
| PolenCentral | Polen |
agentserviceapi.guestconfiguration.azure.com polandcentral-gas.guestconfiguration.azure.com plc-gas.guestconfiguration.azure.com |
oaasguestconfigwcuss1.blob.core.windows.net |
| QatarCentral | Qatar |
agentserviceapi.guestconfiguration.azure.com qatarcentral-gas.guestconfiguration.azure.com qac-gas.guestconfiguration.azure.com |
oaasguestconfigqacs1.blob.core.windows.net oaasguestconfigwcuss1.blob.core.windows.net |
| SouthAfricaNorth | SouthAfrica |
agentserviceapi.guestconfiguration.azure.com southafricanorth-gas.guestconfiguration.azure.com san-gas.guestconfiguration.azure.com |
oaasguestconfigsans1.blob.core.windows.net oaasguestconfigsaws1.blob.core.windows.net oaasguestconfigwcuss1.blob.core.windows.net |
| SouthAfricaWest | SouthAfrica |
agentserviceapi.guestconfiguration.azure.com southafricawest-gas.guestconfiguration.azure.com saw-gas.guestconfiguration.azure.com |
oaasguestconfigsans1.blob.core.windows.net oaasguestconfigsaws1.blob.core.windows.net oaasguestconfigwcuss1.blob.core.windows.net |
| SpainCentral | Spanje |
agentserviceapi.guestconfiguration.azure.com spaincentral-gas.guestconfiguration.azure.com spc-gas.guestconfiguration.azure.com |
oaasguestconfigspcs1.blob.core.windows.net oaasguestconfigwcuss1.blob.core.windows.net |
| SwedenCentral | Zweden |
agentserviceapi.guestconfiguration.azure.com swedencentral-gas.guestconfiguration.azure.com swc-gas.guestconfiguration.azure.com |
oaasguestconfigswcs1.blob.core.windows.net oaasguestconfigwcuss1.blob.core.windows.net |
| ZwitserlandNorth | Zwitserland |
agentserviceapi.guestconfiguration.azure.com switzerlandnorth-gas.guestconfiguration.azure.com stzn-gas.guestconfiguration.azure.com |
oaasguestconfigstzns1.blob.core.windows.net oaasguestconfigwcuss1.blob.core.windows.net |
| ZwitserlandWest | Zwitserland |
agentserviceapi.guestconfiguration.azure.com switzerlandwest-gas.guestconfiguration.azure.com stzw-gas.guestconfiguration.azure.com |
oaasguestconfigstzns1.blob.core.windows.net oaasguestconfigwcuss1.blob.core.windows.net |
| TaiwanNorth | Taiwan |
agentserviceapi.guestconfiguration.azure.com taiwannorth-gas.guestconfiguration.azure.com twn-gas.guestconfiguration.azure.com |
oaasguestconfigtwns1.blob.core.windows.net oaasguestconfigwcuss1.blob.core.windows.net |
| UAENorth | Verenigde Arabische Emiraten |
agentserviceapi.guestconfiguration.azure.com uaenorth-gas.guestconfiguration.azure.com uaen-gas.guestconfiguration.azure.com |
oaasguestconfiguaens1.blob.core.windows.net oaasguestconfigwcuss1.blob.core.windows.net |
| UKSouth | Verenigd Koninkrijk |
agentserviceapi.guestconfiguration.azure.com uksouth-gas.guestconfiguration.azure.com uks-gas.guestconfiguration.azure.com |
oaasguestconfigukss1.blob.core.windows.net oaasguestconfigukws1.blob.core.windows.net oaasguestconfigwcuss1.blob.core.windows.net |
| UKWest | Verenigd Koninkrijk | agentserviceapi.guestconfiguration.azure.com ukwest-gas.guestconfiguration.azure.com ukw-gas.guestconfiguration.azure.com |
oaasguestconfigukss1.blob.core.windows.net oaasguestconfigukws1.blob.core.windows.net oaasguestconfigwcuss1.blob.core.windows.net |
| EASTUS | VS |
agentserviceapi.guestconfiguration.azure.com eastus-gas.guestconfiguration.azure.com eus-gas.guestconfiguration.azure.com |
oaasguestconfigeuss1.blob.core.windows.net oaasguestconfigeus2s1.blob.core.windows.net oaasguestconfigwuss1.blob.core.windows.net oaasguestconfigwus2s1.blob.core.windows.net oaasguestconfigncuss1.blob.core.windows.net oaasguestconfigcuss1.blob.core.windows.net oaasguestconfigscuss1.blob.core.windows.net oaasguestconfigwus3s1.blob.core.windows.net oaasguestconfigwcuss1.blob.core.windows.net |
| EastUS2 | VS | agentserviceapi.guestconfiguration.azure.com eastus2-gas.guestconfiguration.azure.com eus2-gas.guestconfiguration.azure.com |
oaasguestconfigeuss1.blob.core.windows.net oaasguestconfigeus2s1.blob.core.windows.net oaasguestconfigwuss1.blob.core.windows.net oaasguestconfigwus2s1.blob.core.windows.net oaasguestconfigncuss1.blob.core.windows.net oaasguestconfigcuss1.blob.core.windows.net oaasguestconfigscuss1.blob.core.windows.net oaasguestconfigwus3s1.blob.core.windows.net oaasguestconfigwcuss1.blob.core.windows.net |
| WestUS | VS |
agentserviceapi.guestconfiguration.azure.com westus-gas.guestconfiguration.azure.com wus-gas.guestconfiguration.azure.com |
oaasguestconfigeuss1.blob.core.windows.net oaasguestconfigeus2s1.blob.core.windows.net oaasguestconfigwuss1.blob.core.windows.net oaasguestconfigwus2s1.blob.core.windows.net oaasguestconfigncuss1.blob.core.windows.net oaasguestconfigcuss1.blob.core.windows.net oaasguestconfigscuss1.blob.core.windows.net oaasguestconfigwus3s1.blob.core.windows.net oaasguestconfigwcuss1.blob.core.windows.net |
| WestUS2 | VS |
agentserviceapi.guestconfiguration.azure.com westus2-gas.guestconfiguration.azure.com wus2-gas.guestconfiguration.azure.com |
oaasguestconfigeuss1.blob.core.windows.net oaasguestconfigeus2s1.blob.core.windows.net oaasguestconfigwuss1.blob.core.windows.net oaasguestconfigwus2s1.blob.core.windows.net oaasguestconfigncuss1.blob.core.windows.net oaasguestconfigcuss1.blob.core.windows.net oaasguestconfigscuss1.blob.core.windows.net oaasguestconfigwus3s1.blob.core.windows.net oaasguestconfigwcuss1.blob.core.windows.net |
| WestUS3 | VS |
agentserviceapi.guestconfiguration.azure.com westus3-gas.guestconfiguration.azure.com wus3-gas.guestconfiguration.azure.com |
oaasguestconfigeuss1.blob.core.windows.net oaasguestconfigeus2s1.blob.core.windows.net oaasguestconfigwuss1.blob.core.windows.net oaasguestconfigwus2s1.blob.core.windows.net oaasguestconfigncuss1.blob.core.windows.net oaasguestconfigcuss1.blob.core.windows.net oaasguestconfigscuss1.blob.core.windows.net oaasguestconfigwus3s1.blob.core.windows.net oaasguestconfigwcuss1.blob.core.windows.net |
| CentralUS | VS |
agentserviceapi.guestconfiguration.azure.com centralus-gas.guestconfiguration.azure.com cus-gas.guestconfiguration.azure.com |
oaasguestconfigeuss1.blob.core.windows.net oaasguestconfigeus2s1.blob.core.windows.net oaasguestconfigwuss1.blob.core.windows.net oaasguestconfigwus2s1.blob.core.windows.net oaasguestconfigncuss1.blob.core.windows.net oaasguestconfigcuss1.blob.core.windows.net oaasguestconfigscuss1.blob.core.windows.net oaasguestconfigwus3s1.blob.core.windows.net oaasguestconfigwcuss1.blob.core.windows.net |
| NorthCentralUS | VS |
agentserviceapi.guestconfiguration.azure.com northcentralus-gas.guestconfiguration.azure.com ncus-gas.guestconfiguration.azure.com |
oaasguestconfigeuss1.blob.core.windows.net oaasguestconfigeus2s1.blob.core.windows.net oaasguestconfigwuss1.blob.core.windows.net oaasguestconfigwus2s1.blob.core.windows.net oaasguestconfigncuss1.blob.core.windows.net oaasguestconfigcuss1.blob.core.windows.net oaasguestconfigscuss1.blob.core.windows.net oaasguestconfigwus3s1.blob.core.windows.net oaasguestconfigwcuss1.blob.core.windows.net |
| SouthCentralUS | VS |
agentserviceapi.guestconfiguration.azure.com southcentralus-gas.guestconfiguration.azure.com scus-gas.guestconfiguration.azure.com |
oaasguestconfigeuss1.blob.core.windows.net oaasguestconfigeus2s1.blob.core.windows.net oaasguestconfigwuss1.blob.core.windows.net oaasguestconfigwus2s1.blob.core.windows.net oaasguestconfigncuss1.blob.core.windows.net oaasguestconfigcuss1.blob.core.windows.net oaasguestconfigscuss1.blob.core.windows.net oaasguestconfigwus3s1.blob.core.windows.net oaasguestconfigwcuss1.blob.core.windows.net |
| WestCentralUS | VS |
agentserviceapi.guestconfiguration.azure.com westcentralus-gas.guestconfiguration.azure.com wcus-gas.guestconfiguration.azure.com |
oaasguestconfigeuss1.blob.core.windows.net oaasguestconfigeus2s1.blob.core.windows.net oaasguestconfigwuss1.blob.core.windows.net oaasguestconfigwus2s1.blob.core.windows.net oaasguestconfigncuss1.blob.core.windows.net oaasguestconfigcuss1.blob.core.windows.net oaasguestconfigscuss1.blob.core.windows.net oaasguestconfigwus3s1.blob.core.windows.net oaasguestconfigwcuss1.blob.core.windows.net |
| USGovArizona | Amerikaanse overheid |
agentserviceapi.guestconfiguration.azure.us usgovarizona-gas.guestconfiguration.azure.us usga-gas.guestconfiguration.azure.us |
oaasguestconfigusgas1.blob.core.usgovcloudapi.net |
| USGovTexas | Amerikaanse overheid |
agentserviceapi.guestconfiguration.azure.us usgovtexas-gas.guestconfiguration.azure.us usgt-gas.guestconfiguration.azure.us |
oaasguestconfigusgts1.blob.core.usgovcloudapi.net |
| USGovVirginia | Amerikaanse overheid |
agentserviceapi.guestconfiguration.azure.us usgovvirginia-gas.guestconfiguration.azure.us usgv-gas.guestconfiguration.azure.us |
oaasguestconfigusgvs1.blob.core.usgovcloudapi.net |
Communiceren via virtuele netwerken in Azure
Om te communiceren met de machineconfiguratie-resourceprovider in Azure, hebben machines uitgaande toegang nodig naar Azure-datacenters op poort 443*. Als een netwerk in Azure uitgaand verkeer niet toestaat, configureert u uitzonderingen met regels voor netwerkbeveiligingsgroepen . De servicetagsAzureArcInfrastructure en Storage kunnen worden gebruikt om te verwijzen naar de gastconfiguratie en opslagservices in plaats van handmatig de lijst met IP-bereiken voor Azure-datacenters te onderhouden. Beide tags zijn vereist omdat Azure Storage als host fungeert voor de inhoudspakketten voor de machineconfiguratie.
Communiceren via Private Link in Azure
Virtuele machines kunnen private link gebruiken voor communicatie met de machineconfiguratieservice.
Tag toepassen met de naam EnablePrivateNetworkGC en waarde TRUE om deze functie in te schakelen. De tag kan worden toegepast voor of nadat de beleidsdefinities voor computerconfiguratie op de computer worden toegepast.
Belangrijk
Als u wilt communiceren via private link voor aangepaste pakketten, moet de koppeling naar de locatie van het pakket worden toegevoegd aan de lijst met toegestane URL's.
Verkeer wordt gerouteerd met behulp van het virtuele openbare IP-adres van Azure om een beveiligd, geverifieerd kanaal met Azure-platformbronnen tot stand te brengen.
Communiceren via openbare eindpunten buiten Azure
Servers die zich on-premises of in andere clouds bevinden, kunnen worden beheerd met computerconfiguratie door ze te verbinden met Azure Arc.
Sta verkeer toe met behulp van de volgende patronen voor servers met Azure Arc:
- Poort: alleen TCP 443 vereist voor uitgaande internettoegang
- Algemene URL:
*.guestconfiguration.azure.com
Zie de netwerkvereisten voor servers met Azure Arc voor een volledige lijst met alle netwerkeindpunten die zijn vereist door de Azure Connected Machine Agent voor kernscenario's voor Azure Arc en machineconfiguratiescenario's.
Communiceren via Private Link buiten Azure
Wanneer u private link gebruikt met servers met Arc, worden ingebouwde beleidspakketten automatisch gedownload via de private link. U hoeft geen tags in te stellen op de server met Arc om deze functie in te schakelen.
Beleid toewijzen aan computers buiten Azure
De controlebeleidsdefinities die beschikbaar zijn voor computerconfiguratie, omvatten het resourcetype Microsoft.HybridCompute/machines . Alle computers die zijn toegevoegd aan servers met Azure Arc die binnen het bereik van de beleidstoewijzing vallen, worden automatisch opgenomen.
Vereisten voor beheerde identiteit
Beleidsdefinities in het initiatief maken een door het systeem Deploy prerequisites to enable guest configuration policies on virtual machines toegewezen beheerde identiteit mogelijk als deze niet bestaat. In het initiatief zijn er twee beleidsdefinities die de identiteitscreatie beheren. De if voorwaarden in de beleidsdefinities zorgen voor het juiste gedrag op basis van de huidige status van de machineresource in Azure.
Belangrijk
Deze definities maken een System-Assigned beheerde identiteit op de doelbronnen aan, naast eventueel bestaande User-Assigned Identiteiten. Voor bestaande toepassingen, tenzij ze de User-Assigned identiteit in de aanvraag opgeven, wordt op de computer standaard System-Assigned identiteit gebruikt. Meer informatie
Als de machine momenteel geen beheerde identiteiten heeft, is het effectieve beleid: Door het systeem toegewezen beheerde identiteit toevoegen om toewijzingen van gastconfiguraties in te schakelen op virtuele machines zonder identiteiten
Als de machine momenteel een door de gebruiker toegewezen systeemidentiteit heeft, is het effectieve beleid: Voeg een systeemtoegewezen beheerde identiteit toe om gastconfiguratietoewijzingen in te schakelen op VM's met een door de gebruiker toegewezen identiteit.
Beschikbaarheid
Klanten die een maximaal beschikbare oplossing ontwerpen, moeten rekening houden met de vereisten voor redundantieplanning voor virtuele machines , omdat gasttoewijzingen extensies zijn van machinebronnen in Azure. Wanneer gasttoewijzingsbronnen zijn ingericht in een Gekoppelde Azure-regio, kunt u gasttoewijzingsrapporten weergeven als er ten minste één regio in het paar beschikbaar is. Wanneer de Azure-regio niet is gekoppeld en deze niet meer beschikbaar is, hebt u geen toegang tot rapporten voor een gasttoewijzing. Wanneer de regio is hersteld, hebt u weer toegang tot de rapporten.
Het is raadzaam om dezelfde beleidsdefinities met dezelfde parameters toe te wijzen aan alle computers in de oplossing voor maximaal beschikbare toepassingen. Dit geldt met name voor scenario's waarin virtuele machines worden ingericht in beschikbaarheidssets achter een load balancer-oplossing. Eén beleidstoewijzing die alle computers beslaat, heeft de minste administratieve overhead.
Voor machines die worden beveiligd door Azure Site Recovery, moet u ervoor zorgen dat de machines op de primaire en secundaire site binnen het bereik van Azure Policy-toewijzingen voor dezelfde definities vallen. Gebruik dezelfde parameterwaarden voor beide sites.
Opslaglocatie van gegevens
Met machineconfiguratie worden klantgegevens opgeslagen en verwerkt. Klantgegevens worden standaard gerepliceerd naar de gekoppelde regio. Voor de regio's Singapore, Brazilië - zuid en Azië - oost worden alle klantgegevens opgeslagen en verwerkt in de regio.
Problemen met machineconfiguratie oplossen
Zie Problemen met Azure Policy oplossen voor meer informatie over het oplossen van problemen met de configuratie van machines.
Meerdere toewijzingen
Op dit moment ondersteunen slechts enkele ingebouwde beleidsdefinities voor computerconfiguratie meerdere toewijzingen. Alle aangepaste beleidsregels ondersteunen echter standaard meerdere toewijzingen als u de nieuwste versie van de GuestConfiguration PowerShell-module hebt gebruikt om machineconfiguratiepakketten en -beleid te maken.
Hieronder volgt de lijst met ingebouwde beleidsdefinities voor computerconfiguratie die ondersteuning bieden voor meerdere toewijzingen:
| ID-kaart | Schermnaam |
|---|---|
| /providers/Microsoft.Authorization/policyDefinitions/5fe81c49-16b6-4870-9cee-45d13bf902ce | Lokale verificatiemethoden moeten worden uitgeschakeld op Windows-servers |
| /providers/Microsoft.Authorization/policyDefinitions/fad40cac-a972-4db0-b204-f1b15cced89a | Lokale verificatiemethoden moeten worden uitgeschakeld op Linux-machines |
| /providers/Microsoft.Authorization/policyDefinitions/f40c7c00-b4e3-4068-a315-5fe81347a904 | [Preview]: Een door de gebruiker toegewezen beheerde identiteit toevoegen om toewijzingen van gastconfiguratie op virtuele machines in te schakelen |
| /providers/Microsoft.Authorization/policyDefinitions/63594bb8-43bb-4bf0-bbf8-c67e5c28cb65 | [Preview]: Linux-machines moeten voldoen aan de STIG-nalevingsvereiste voor Azure Compute |
| /providers/Microsoft.Authorization/policyDefinitions/50c52fc9-cb21-4d99-9031-d6a0c613361c | [Preview]: Windows-machines moeten voldoen aan de STIG-nalevingsvereisten voor Azure Compute |
| /providers/Microsoft.Authorization/policyDefinitions/e79ffbda-ff85-465d-ab8e-7e58a55760f | [Preview]: Linux-machines waarop OMI is geïnstalleerd, moeten versie 1.6.8-1 of hoger hebben |
| /providers/Microsoft.Authorization/policyDefinitions/934345e1-4dfb-4c70-90d7-41990dc9608b | Windows-computers controleren die niet de opgegeven certificaten bevatten in de vertrouwde basiscertificaten. |
| /providers/Microsoft.Authorization/policyDefinitions/08a2f2d2-94b2-4a7b-aa3b-bb3f523eee6fd | Windows-machines controleren waarop de DSC-configuratie niet compatibel is |
| /providers/Microsoft.Authorization/policyDefinitions/c648fbbb-591c-4acd-b465-ce9b176ca173 | Windows-computers controleren waarvoor het opgegeven Windows PowerShell-uitvoeringsbeleid niet is ingesteld |
| /providers/Microsoft.Authorization/policyDefinitions/3e4e2bd5-15a2-4628-b3e1-58977e9793f3 | Windows-computers controleren waarop de opgegeven Windows PowerShell-modules niet zijn geïnstalleerd |
| /providers/Microsoft.Authorization/policyDefinitions/58c460e9-7573-4bb2-9676-339c2f2486bb | Windows-computers controleren waarop windows seriële console niet is ingeschakeld |
| /providers/Microsoft.Authorization/policyDefinitions/e6ebf138-3d71-4935-a13b-9c7fddddd94df | Controleer Windows-machines waarop de opgegeven services niet zijn geïnstalleerd en in gebruik. |
| /providers/Microsoft.Authorization/policyDefinitions/c633f6a2-7f8b-4d9e-9456-02f0f04f5505 | Windows-machines controleren die niet zijn ingesteld op de opgegeven tijdzone |
Opmerking
Controleer deze pagina regelmatig op updates voor de lijst met ingebouwde configuratiebeleidsdefinities voor computers die ondersteuning bieden voor meerdere toewijzingen.
Toewijzingen aan Azure-beheergroepen
Azure Policy-definities in de categorie Guest Configuration kunnen worden toegewezen aan beheergroepen wanneer het effect is AuditIfNotExists of DeployIfNotExists.
Belangrijk
Wanneer beleidsuitzonderingen worden gemaakt in een beleid voor machineconfiguratie, moet de bijbehorende gasttoewijzing worden verwijderd om te voorkomen dat de agent wordt gescand.
Clientlogboekbestanden
De configuratie-extensie van de machine schrijft logboekbestanden naar de volgende locaties:
Ramen
- Azure VM:
C:\ProgramData\GuestConfig\gc_agent_logs\gc_agent.log - Server met Arc-ondersteuning:
C:\ProgramData\GuestConfig\arc_policy_logs\gc_agent.log
Linux
- Azure VM:
/var/lib/GuestConfig/gc_agent_logs/gc_agent.log - Server met Arc-ondersteuning:
/var/lib/GuestConfig/arc_policy_logs/gc_agent.log
Logboeken extern verzamelen
De eerste stap bij het oplossen van problemen met machineconfiguraties of -modules moet zijn om de cmdlets te gebruiken die de stappen volgen in het testen van artefacten voor machineconfiguratiepakketten. Als dat niet lukt, kan het verzamelen van clientlogboeken helpen bij het vaststellen van problemen.
Ramen
Informatie vastleggen uit logboekbestanden met behulp van azure VM Run Command, het volgende powerShell-voorbeeldscript kan nuttig zijn.
$linesToIncludeBeforeMatch = 0
$linesToIncludeAfterMatch = 10
$params = @{
Path = 'C:\ProgramData\GuestConfig\gc_agent_logs\gc_agent.log'
Pattern = @(
'DSCEngine'
'DSCManagedEngine'
)
CaseSensitive = $true
Context = @(
$linesToIncludeBeforeMatch
$linesToIncludeAfterMatch
)
}
Select-String @params | Select-Object -Last 10
Linux
Leg informatie vast uit logboekbestanden met behulp van de Azure VM Run Command. Het volgende Bash-voorbeeldscript kan handig zijn.
LINES_TO_INCLUDE_BEFORE_MATCH=0
LINES_TO_INCLUDE_AFTER_MATCH=10
LOGPATH=/var/lib/GuestConfig/gc_agent_logs/gc_agent.log
egrep -B $LINES_TO_INCLUDE_BEFORE_MATCH -A $LINES_TO_INCLUDE_AFTER_MATCH 'DSCEngine|DSCManagedEngine' $LOGPATH | tail
Agentbestanden
De machineconfiguratieagent downloadt inhoudspakketten naar een computer en extraheert de inhoud. Als u wilt controleren welke inhoud is gedownload en opgeslagen, bekijkt u de maplocaties in de volgende lijst.
- Ramen:
C:\ProgramData\guestconfig\configuration - Linux:
/var/lib/GuestConfig/Configuration
Functionaliteit van opensource nxtools-module
Er is een nieuwe opensource nxtools-module uitgebracht om het beheer van Linux-systemen eenvoudiger te maken voor PowerShell-gebruikers.
De module helpt bij het beheren van algemene taken, zoals:
- Gebruikers en groepen beheren
- Bestandssysteembewerkingen uitvoeren
- Services beheren
- Archiefbewerkingen uitvoeren
- Pakketten beheren
De module bevat op klassen gebaseerde DSC-resources voor Linux en ingebouwde machineconfiguratiepakketten.
Als u feedback wilt geven over deze functionaliteit, opent u een probleem in de documentatie. We accepteren momenteel geen pull-verzoeken voor dit project en ondersteuning wordt naar beste kunnen geleverd.
Voorbeelden van machineconfiguratie
Ingebouwde beleidsvoorbeelden voor computerconfiguratie zijn beschikbaar op de volgende locaties:
- Ingebouwde beleidsdefinities - Gastconfiguratie
- Ingebouwde initiatieven - Gastconfiguratie
- GitHub-opslagplaats met voorbeelden van Azure Policy
- Voorbeeld van DSC-resourcemodules
Volgende stappen
- Stel een ontwikkelomgeving voor een aangepast machineconfiguratiepakket in.
- Maak een pakketartefact voor machineconfiguratie.
- Test het pakketartefact vanuit je ontwikkelomgeving.
- Gebruik de GuestConfiguration-module om een Azure Policy-definitie te maken voor beheer op schaal van uw omgeving.
- Wijs de aangepaste beleidsdefinitie toe met behulp Azure Portal.
- Leer hoe je nalevingsdetails voor beleidstoewijzingen van computerconfiguratie kunt weergeven.