Conectar máquinas em escala usando a Diretiva de Grupo

  • Artigo

Você pode integrar máquinas Windows associadas ao Ative Directory a servidores habilitados para Azure Arc em escala usando a Política de Grupo.

Primeiro, você precisará configurar um compartilhamento remoto local com o agente da Máquina Conectada e modificar um script especificando a zona de aterrissagem do servidor habilitado para Arc no Azure. Em seguida, você executará um script que gera um GPO (Objeto de Política de Grupo) para integrar um grupo de máquinas a servidores habilitados para Azure Arc. Este Objeto de Diretiva de Grupo pode ser aplicado ao site, domínio ou nível organizacional. A atribuição também pode usar a Lista de Controle de Acesso (ACL) e outra filtragem de segurança nativa da Diretiva de Grupo. As máquinas no escopo da Política de Grupo serão integradas aos servidores habilitados para Azure Arc. Defina o escopo do seu GPO para incluir apenas máquinas que você deseja integrar ao Azure Arc.

Antes de começar, certifique-se de revisar os pré-requisitos e verificar se sua assinatura e recursos atendem aos requisitos. Para obter informações sobre regiões com suporte e outras considerações relacionadas, consulte Regiões do Azure com suporte. Consulte também nosso guia de planejamento em escala para entender os critérios de projeto e implantação, bem como nossas recomendações de gerenciamento e monitoramento.

Se não tiver uma subscrição do Azure, crie uma conta gratuita antes de começar.

Conexão automática para SQL Server

Quando você conecta um servidor Windows ou Linux ao Azure Arc que também tem o Microsoft SQL Server instalado, as instâncias do SQL Server também serão conectadas automaticamente ao Azure Arc. O SQL Server habilitado pelo Azure Arc fornece um inventário detalhado e recursos de gerenciamento adicionais para suas instâncias e bancos de dados do SQL Server. Como parte do processo de conexão, uma extensão é implantada em seu servidor habilitado para Arco do Azure e novas funções serão aplicadas ao seu SQL Server e bancos de dados. Se não quiser conectar automaticamente seus SQL Servers ao Azure Arc, você pode desativar adicionando uma tag ao servidor Windows ou Linux com o nome ArcSQLServerExtensionDeployment e o valor Disabled quando ele estiver conectado ao Azure Arc.

Para obter mais informações, consulte Gerenciar conexão automática para SQL Server habilitada pelo Azure Arc.

Preparar um compartilhamento remoto e criar uma entidade de serviço

O Objeto de Política de Grupo, que é usado para integrar servidores habilitados para Azure Arc, requer um compartilhamento remoto com o agente de Máquina Conectada. Terá de:

  1. Prepare um compartilhamento remoto para hospedar o pacote do agente do Azure Connected Machine para Windows e o arquivo de configuração. Você precisa ser capaz de adicionar arquivos ao local distribuído. O compartilhamento de rede deve fornecer aos Controladores de Domínio e Computadores de Domínio permissões de Alteração e aos Administradores de Domínio permissões de Controle Total.

  2. Siga as etapas para criar uma entidade de serviço para integração em escala.

    • Atribua a função de Integração de Máquina Conectada do Azure à sua entidade de serviço e limite o escopo da função à zona de aterrissagem do Azure de destino.
    • Anotar o Segredo Principal do Serviço; você precisará desse valor mais tarde.

  3. Baixe e descompacte a pasta ArcEnabledServersGroupPolicy_vX.X.X de https://github.com/Azure/ArcEnabledServersGroupPolicy/releases/latest/. Esta pasta contém a estrutura do projeto ArcGPO com os scripts EnableAzureArc.ps1, DeployGPO.ps1e AzureArcDeployment.psm1. Esses ativos serão usados para integrar a máquina aos servidores habilitados para Azure Arc.

  4. Transfira a versão mais recente do pacote do Windows Installer do agente Azure Connected Machine a partir do Centro de Transferências da Microsoft e guarde-o na partilha remota.

  5. Execute o script DeployGPO.ps1de implantação, modificando os parâmetros de execução para DomainFQDN, ReportServerFQDN, ArcRemoteShare, Service Principal secret, Service Principal Client ID, Subscription ID, Resource Group, Region, Tenant e AgentProxy (se aplicável):

    .\DeployGPO.ps1 -DomainFQDN contoso.com -ReportServerFQDN Server.contoso.com -ArcRemoteShare AzureArcOnBoard -ServicePrincipalSecret $ServicePrincipalSecret -ServicePrincipalClientId $ServicePrincipalClientId -SubscriptionId $SubscriptionId -ResourceGroup $ResourceGroup -Location $Location -TenantId $TenantId [-AgentProxy $AgentProxy]

Aplicar o objeto de diretiva de grupo

No GPMC (Console de Gerenciamento de Política de Grupo), clique com o botão direito do mouse na Unidade Organizacional desejada e vincule o GPO chamado [MSFT] Azure Arc Servers (datetime). Este é o Objeto de Diretiva de Grupo que tem a Tarefa Agendada para integrar as máquinas. Após 10 ou 20 minutos, o Objeto de Diretiva de Grupo será replicado para os respetivos controladores de domínio. Saiba mais sobre como criar e gerenciar a política de grupo nos Serviços de Domínio Microsoft Entra.

Depois de instalar com êxito o agente e configurá-lo para se conectar aos servidores habilitados para Arco do Azure, vá para o portal do Azure para verificar se os servidores em sua Unidade Organizacional se conectaram com êxito. Veja as suas máquinas no portal do Azure.

Importante

Depois de confirmar que seus servidores foram integrados com êxito ao Arc, desative o Objeto de Diretiva de Grupo. Isso impedirá que os mesmos comandos do Powershell nas tarefas agendadas sejam executados quando o sistema for reinicializado ou quando a política de grupo for atualizada.

Próximos passos

  • Revise o guia de planejamento e implantação para planejar a implantação de servidores habilitados para Azure Arc em qualquer escala e implementar gerenciamento e monitoramento centralizados.
  • Analise as informações de solução de problemas de conexão no guia do agente Solucionar problemas de máquina conectada.
  • Saiba como gerenciar sua máquina usando a Política do Azure para coisas como configuração de convidado de VM, verificação de que a máquina está relatando para o espaço de trabalho esperado do Log Analytics, habilitando o monitoramento com insights de VM e muito mais.
  • Saiba mais sobre a Política de Grupo.