Uwaga
Dostęp do tej strony wymaga autoryzacji. Może spróbować zalogować się lub zmienić katalogi.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
W tym artykule opisano podstawy usługi Azure Machine Configuration, narzędzie do raportowania zgodności i konfiguracji, które umożliwia sprawdzanie i opcjonalne korygowanie zabezpieczeń i innych ustawień na maszynach na dużą skalę. W tym artykule opisano również platformę łączności usługi Azure Arc używaną do komunikacji między agentem usługi Azure Connected Machine i platformą Azure.
Podstawy konfiguracji maszyny
Azure Machine Configuration to narzędzie do raportowania zgodności i konfiguracji oparte na Desired State Configuration programu PowerShell. Może to pomóc w sprawdzeniu zabezpieczeń i innych ustawień na maszynach w dużej skali i opcjonalnie przywrócić je, jeśli odbiegną od zatwierdzonego stanu. Firma Microsoft udostępnia własne wbudowane zasady konfiguracji maszyny do użycia lub możesz utworzyć własne zasady w celu sprawdzenia dowolnego warunku na maszynie.
Zasady konfiguracji maszyny są uruchamiane w kontekście systemu lokalnego w systemie Windows lub w katalogu głównym w systemie Linux i w związku z tym mogą uzyskiwać dostęp do dowolnych ustawień systemowych lub zasobów. Sprawdź, które konta w organizacji mają uprawnienia do przypisywania zasad platformy Azure lub przypisań gościa platformy Azure (zasobu platformy Azure reprezentującego konfigurację maszyny) i upewnij się, że wszystkie te konta są zaufane.
Wyłączanie agenta konfiguracji maszyny
Jeśli nie zamierzasz używać zasad konfiguracji maszyny, możesz wyłączyć agenta konfiguracji maszyny za pomocą następującego polecenia (uruchamiać lokalnie na każdej maszynie):
azcmagent config set guestconfiguration.enabled false
Tryby agenta
Agent połączonej maszyny platformy Azure ma dwa możliwe tryby:
Tryb pełny, tryb domyślny, który umożliwia korzystanie ze wszystkich funkcji agenta.
Tryb monitorowania, który stosuje listę dozwolonych rozszerzeń zarządzanych przez firmę Microsoft, wyłącza łączność zdalną i wyłącza agenta konfiguracji maszyny.
Jeśli używasz usługi Arc wyłącznie do celów monitorowania, ustawienie agenta na tryb Monitor ułatwia ograniczenie agenta do tylko funkcjonalności wymaganej do korzystania z usługi Azure Monitor. Tryb agenta można skonfigurować przy użyciu następującego polecenia (uruchom je lokalnie na każdej maszynie):
azcmagent config set config.mode monitor
Platforma łączności usługi Azure Arc
Platforma łączności usługi Azure Arc to oparte na gniazdach internetowych środowisko umożliwiające komunikację w czasie rzeczywistym między agentem połączonej maszyny platformy Azure i platformą Azure. Umożliwia to interaktywne scenariusze dostępu zdalnego do serwera bez konieczności bezpośredniego zasięgu wzroku od klienta zarządzania do serwera.
Platforma łączności obsługuje dwa scenariusze:
- Dostęp SSH do serwerów z obsługą usługi Azure Arc
- Centrum administracyjne systemu Windows dla serwerów z obsługą usługi Azure Arc
W obu scenariuszach klient zarządzania (klient SSH lub przeglądarka internetowa) komunikuje się z usługą łączności usługi Azure Arc, która następnie przekazuje informacje do i z agenta połączonej maszyny platformy Azure.
Dostęp do łączności jest domyślnie wyłączony i jest włączony przy użyciu trzyetapowego procesu:
Utwórz punkt końcowy łączności na platformie Azure dla serwera z obsługą usługi Azure Arc. Punkt końcowy łączności nie jest prawdziwym punktem końcowym z adresem IP. Jest to tylko sposób na powiedzenie, że dostęp do tego serwera za pośrednictwem platformy Azure jest dozwolony i udostępnia interfejs API do pobierania szczegółów połączenia dla klientów zarządzania.
Skonfiguruj punkt końcowy łączności, aby zezwolić na określone zamierzone scenariusze. Utworzenie punktu końcowego nie umożliwia przepływu żadnego ruchu. Zamiast tego należy skonfigurować go tak, aby powiedział: "Zezwalamy na ruch do tego portu lokalnego na serwerze docelowym". W przypadku protokołu SSH jest to często port TCP 22. W przypadku programu WAC port TCP 6516.
Przypisz odpowiednie role RBAC do kont, które będą korzystać z tej funkcji. Dostęp zdalny do serwerów wymaga innych przypisań ról. Typowe role, takie jak administrator zasobów połączonej maszyny platformy Azure, współautor i właściciel, nie udzielają dostępu do korzystania z protokołu SSH lub WAC za pośrednictwem platformy łączności usługi Azure Arc. Role, które zezwalają na dostęp zdalny, obejmują:
- Logowanie użytkownika lokalnego maszyny wirtualnej (SSH z poświadczeniami lokalnymi)
- Logowanie użytkownika maszyny wirtualnej (SSH z identyfikatorem Entra firmy Microsoft, dostępem użytkownika standardowego)
- Logowanie administratora maszyny wirtualnej (SSH z identyfikatorem Microsoft Entra ID, pełnym dostępem administratora)
- Login administratora Windows Admin Center (WAC z uwierzytelnianiem Microsoft Entra ID)
Napiwek
Rozważ użycie usługi Microsoft Entra Privileged Identity Management, aby zapewnić operatorom IT dostęp just-in-time do tych ról. Umożliwia to podejście polegające na nadawaniu minimalnych uprawnień w dostępie zdalnym.
Istnieje również kontrola konfiguracji agenta lokalnego w celu blokowania dostępu zdalnego, niezależnie od konfiguracji na platformie Azure.
Wyłączanie dostępu zdalnego
Aby wyłączyć cały dostęp zdalny do maszyny, uruchom następujące polecenie na każdej maszynie:
azcmagent config set incomingconnections.enabled false
Dostęp SSH do serwerów z obsługą usługi Azure Arc
Dostęp SSH za pośrednictwem platformy łączności usługi Azure Arc może pomóc uniknąć otwierania portów SSH bezpośrednio przez zaporę lub wymagać od operatorów IT używania sieci VPN. Umożliwia również udzielanie dostępu do serwerów z systemem Linux przy użyciu identyfikatorów Entra i kontroli dostępu opartej na rolach platformy Azure, co zmniejsza obciążenie związane z zarządzaniem dystrybucją i ochroną kluczy SSH.
Gdy użytkownik łączy się przy użyciu uwierzytelniania SSH i Microsoft Entra ID, na serwerze zostanie utworzone konto tymczasowe, aby zarządzać nim w ich imieniu. Konto jest nazwane po nazwie UPN użytkownika na platformie Azure, aby ułatwić przeprowadzanie inspekcji akcji wykonywanych na maszynie. Jeśli użytkownik ma rolę "Logowanie administratora maszyny wirtualnej", konto tymczasowe jest tworzone jako członek grupy sudoers, aby można było podnieść poziom uprawnień do wykonywania zadań administracyjnych na serwerze. W przeciwnym razie konto jest tylko użytkownikiem standardowym na maszynie. Jeśli zmienisz przypisanie roli z użytkownika na administratora lub na odwrót, może upłynąć do 10 minut, aby zmiana weszła w życie. Użytkownicy muszą odłączyć wszystkie aktywne sesje SSH i ponownie nawiązać połączenie, aby zobaczyć zmiany odzwierciedlone na koncie użytkownika lokalnego.
Gdy użytkownik nawiązuje połączenie przy użyciu poświadczeń lokalnych (klucza SSH lub hasła), uzyskuje uprawnienia i członkostwa grup związane z podanymi informacjami o koncie.
Windows Admin Center (Centrum administracji Windows)
Funkcja WAC w witrynie Azure Portal umożliwia użytkownikom systemu Windows wyświetlanie systemu Windows Server i zarządzanie nimi bez łączenia się za pośrednictwem połączenia pulpitu zdalnego. Aby korzystać ze środowiska WAC w witrynie Azure Portal, wymagana jest rola "Logowanie administratora centrum administracyjnego systemu Windows". Gdy użytkownik otworzy środowisko WAC, konto wirtualne zostanie utworzone w systemie Windows Server przy użyciu nazwy UPN użytkownika platformy Azure w celu ich zidentyfikowania. To konto wirtualne jest członkiem grupy administratorów i może wprowadzać zmiany w systemie. Akcje wykonywane przez użytkownika w usłudze WAC są następnie wykonywane lokalnie na serwerze przy użyciu tego konta wirtualnego.
Interakcyjny dostęp do maszyny za pomocą środowiska programu PowerShell lub pulpitu zdalnego w programie WAC nie obsługuje obecnie uwierzytelniania identyfikatora Entra firmy Microsoft i wyświetli monit o podanie poświadczeń użytkownika lokalnego. Te poświadczenia nie są przechowywane na platformie Azure i są używane tylko do ustanawiania sesji programu PowerShell lub pulpitu zdalnego.