Herstelopties voor machineconfiguratie
Voordat u begint, is het een goed idee om de overzichtspagina voor machineconfiguratie te lezen.
Belangrijk
De configuratie-extensie voor de machine is vereist voor virtuele Azure-machines. Als u de extensie op schaal op alle computers wilt implementeren, wijst u het volgende beleidsinitiatief toe: Deploy prerequisites to enable guest configuration policies on virtual machines
Als u machineconfiguratiepakketten wilt gebruiken die configuraties toepassen, is versie 1.26.24 of hoger van azure VM-gastconfiguratie, of Arc-agent 1.10.0 of hoger vereist.
Aangepaste beleidsdefinities voor computerconfiguraties die worden gebruikt AuditIfNotExists en DeployIfNotExists die de ondersteuningsstatus Algemeen beschikbaar hebben.
Hoe computerconfiguratie herstel beheert (set)
Machineconfiguratie maakt gebruik van het beleidseffect DeployIfNotExists voor definities die wijzigingen binnen machines leveren. Stel de eigenschappen van een beleidstoewijzing in om te bepalen hoe evaluatie automatisch of on-demand configuraties levert.
Er is een video-overzicht van dit document beschikbaar.
Typen machineconfiguratietoewijzingen
Er zijn drie beschikbare toewijzingstypen wanneer gasttoewijzingen worden gemaakt. De eigenschap is beschikbaar als een parameter van computerconfiguratiedefinities die ondersteuning bieden DeployIfNotExists.
De eigenschap assignmentType is hoofdlettergevoelig
| Toewijzingstype | Gedrag |
|---|---|
Audit |
Rapporteer over de status van de machine, maar breng geen wijzigingen aan. |
ApplyAndMonitor |
Eenmaal toegepast op de machine en vervolgens gecontroleerd op wijzigingen. Als de configuratie afdrijdt en verandert NonCompliant, wordt deze niet automatisch gecorrigeerd, tenzij herstel wordt geactiveerd. |
ApplyAndAutoCorrect |
Toegepast op de machine. Als deze afdrijdt, brengt de lokale service in de machine een correctie uit bij de volgende evaluatie. |
Wanneer een nieuwe beleidstoewijzing wordt toegewezen aan een bestaande computer, wordt er automatisch een gasttoewijzing gemaakt om eerst de status van de configuratie te controleren. De controle geeft u informatie die u kunt gebruiken om te bepalen welke machines moeten worden hersteld.
Herstel op aanvraag (ApplyAndMonitor)
Machineconfiguratietoewijzingen werken standaard in een herstelscenario op aanvraag. De configuratie wordt toegepast en mag vervolgens niet meer aan de naleving voldoen.
De nalevingsstatus van de gasttoewijzing is Compliant tenzij:
- Er treedt een fout op bij het toepassen van de configuratie
- Als de machine niet langer de gewenste status heeft tijdens de volgende evaluatie
Wanneer aan een van deze voorwaarden wordt voldaan, rapporteert de agent de status als NonCompliant en wordt deze niet automatisch hersteld.
Als u dit gedrag wilt inschakelen, stelt u de eigenschap assignmentType van de machineconfiguratietoewijzing in op ApplyandMonitor. Telkens wanneer de toewijzing op de computer wordt verwerkt, rapporteert Compliant de agent voor elke resource wanneer de testmethode wordt geretourneerd $true of NonCompliant als de methode wordt geretourneerd $false.
Continue herstel (autocorrectie)
Machineconfiguratie ondersteunt het concept van continue herstel. Als de machine niet meer aan de naleving voor een configuratie voldoet, wordt de volgende keer dat de configuratie wordt geëvalueerd, automatisch gecorrigeerd. Tenzij er een fout optreedt, rapporteert de machine altijd de status van Compliant de configuratie. Er kan op geen enkele manier worden gerapporteerd wanneer een drift automatisch werd gecorrigeerd bij het gebruik van doorlopend herstel.
Als u dit gedrag wilt inschakelen, stelt u de eigenschap assignmentType van de machineconfiguratietoewijzing in op ApplyandAutoCorrect. Telkens wanneer de toewijzing op de computer wordt verwerkt, wordt de setmethode automatisch uitgevoerd voor elke resource die door de testmethode wordt geretourneerd false.
Herstel uitschakelen
Wanneer de eigenschap assignmentType is ingesteld op Audit, voert de agent alleen een controle van de computer uit en probeert de configuratie niet te herstellen als deze niet compatibel is.
Herstel van aangepaste inhoud uitschakelen
U kunt de eigenschap toewijzingstype voor aangepaste inhoudspakketten overschrijven door een tag toe te voegen aan de computer met de naam CustomGuestConfigurationSetPolicy en waarde disable. Als u de tag toevoegt, wordt herstel voor aangepaste inhoudspakketten alleen uitgeschakeld, niet voor ingebouwde inhoud van Microsoft.
Afdwinging van Azure Policy
Azure Policy-toewijzingen bevatten een vereiste afdwingingsmodus voor eigenschappen die het gedrag voor nieuwe en bestaande resources bepaalt. Gebruik deze eigenschap om te bepalen of configuraties automatisch worden toegepast op machines.
Afdwingen is standaard ingesteld op Enabled. Azure Policy past de configuratie automatisch toe wanneer een nieuwe machine wordt geïmplementeerd. Ook wordt de configuratie toegepast wanneer de eigenschappen van een machine in het bereik van een Azure Policy-toewijzing met een beleid in de categorie Guest Configuration worden bijgewerkt. Updatebewerkingen omvatten acties die plaatsvinden in Azure Resource Manager, zoals het toevoegen of wijzigen van een tag. Updatebewerkingen omvatten ook wijzigingen voor virtuele machines, zoals het wijzigen of koppelen van een schijf.
Laat afdwingen ingeschakeld als de configuratie moet worden hersteld wanneer er wijzigingen optreden in de machineresource in Azure. Wijzigingen die plaatsvinden op de computer activeren geen automatische herstelbewerking zolang ze de machineresource niet wijzigen in Azure Resource Manager.
Als afdwingen is ingesteld Disabledop, controleert de configuratietoewijzing de status van de machine totdat een hersteltaak het gedrag wijzigt. Standaard werken machineconfiguratiedefinities de eigenschap assignmentType bij van waaruit AuditApplyandMonitor de configuratie één keer wordt toegepast en wordt deze pas opnieuw toegepast nadat een herstelbewerking is geactiveerd.
Optioneel: alle bestaande machines herstellen
Als een Azure Policy-toewijzing wordt gemaakt vanuit Azure Portal, is op het tabblad Herstel een selectievakje met het label 'Een hersteltaak maken' beschikbaar. Wanneer het selectievakje is ingeschakeld, worden alle resources die evalueren NonCompliant, automatisch gecorrigeerd nadat de beleidstoewijzing is gemaakt.
Het effect van deze instelling voor machineconfiguratie is dat u een configuratie op veel computers kunt implementeren door een beleid toe te wijzen. U hoeft de hersteltaak niet handmatig uit te voeren voor computers die niet compatibel zijn.
Handmatig herstel activeren buiten Azure Policy
U kunt herstel buiten de Azure Policy-ervaring organiseren door een gasttoewijzingsresource bij te werken, zelfs als de update geen wijzigingen aanbrengt in de resource-eigenschappen.
Wanneer een machineconfiguratietoewijzing wordt gemaakt, wordt de eigenschap complianceStatus ingesteld op Pending. De machineconfiguratieservice vraagt elke 5 minuten een lijst met toewijzingen aan. Als de complianceStatus van de machineconfiguratietoewijzing is Pending en de configurationMode is ApplyandMonitor ofApplyandAutoCorrect, past de service op de computer de configuratie toe.
Nadat de configuratie is toegepast, bepaalt de configuratiemodus of het gedrag alleen moet worden gerapporteerd over de nalevingsstatus en drift moet worden toegestaan of automatisch moet worden gecorrigeerd.
Informatie over combinaties van instellingen
| ~ | Audit | ApplyandMonitor | ApplyandAutoCorrectie |
|---|---|---|---|
| Afdwingen ingeschakeld | Alleen de status van rapporten | Configuratie toegepast op VM Maken en opnieuw toepassen op Update, maar anders toegestaan om te driften | Configuratie toegepast op VM Maken, opnieuw toepassen op Update en gecorrigeerd op het volgende interval als er afwijkingen optreden |
| Afdwingen uitgeschakeld | Alleen de status van rapporten | Configuratie toegepast, maar toegestaan om te driften | Configuratie toegepast op vm maken of bijwerken en gecorrigeerd op het volgende interval als er afwijkingen optreden |
Volgende stappen
- Een aangepast machineconfiguratiepakket ontwikkelen.
- Gebruik de GuestConfiguration-module om een Azure Policy-definitie te maken voor beheer op schaal van uw omgeving.
- Wijs de aangepaste beleidsdefinitie toe met behulp Azure Portal.
- Meer informatie over het weergeven van nalevingsdetails voor toewijzingen van computerconfiguratiebeleid .
Feedback
Binnenkort beschikbaar: In de loop van 2024 zullen we GitHub-problemen geleidelijk uitfaseren als het feedbackmechanisme voor inhoud en deze vervangen door een nieuw feedbacksysteem. Zie voor meer informatie: https://aka.ms/ContentUserFeedback.
Feedback verzenden en weergeven voor