Not
Åtkomst till den här sidan kräver auktorisering. Du kan prova att logga in eller ändra kataloger.
Åtkomst till den här sidan kräver auktorisering. Du kan prova att ändra kataloger.
Varning
Den här artikeln refererar till CentOS, en Linux-distribution som har statusen End Of Life (EOL). Överväg att använda och planera i enlighet med detta. Mer information finns i CentOS End Of Life-vägledningen.
Azure Policys datorkonfigurationsfunktion ger inbyggd funktion för att granska eller konfigurera operativsysteminställningar som kod för datorer som körs på Azure- och Hybrid Arc-aktiverade datorer. Du kan använda funktionen direkt per dator eller samordna den i stor skala med hjälp av Azure Policy.
Konfigurationsresurser i Azure är utformade som en tilläggsresurs. Du kan föreställa dig varje konfiguration som en extra uppsättning egenskaper för datorn. Konfigurationer kan innehålla inställningar som:
- Operativsystemsinställningar
- Programkonfiguration eller förekomst
- Miljöinställningar
Konfigurationer skiljer sig från principdefinitioner. Datorkonfigurationen använder Azure Policy för att dynamiskt tilldela konfigurationer till datorer. Du kan också tilldela konfigurationer till datorer manuellt.
Exempel på varje scenario finns i följande tabell.
| Typ | Beskrivning | Exempelberättelse |
|---|---|---|
| Konfigurationshantering | Du vill ha en fullständig representation av en server som kod i källkodskontrollen. Distributionen bör innehålla egenskaper för servern (storlek, nätverk, lagring) och konfiguration av operativsystem och programinställningar. | "Den här datorn ska vara en webbserver som är konfigurerad som värd för min webbplats." |
| Efterlevnad | Du vill granska eller implementera inställningar till alla datorer inom räckvidden, antingen reaktivt till befintliga datorer eller proaktivt till nya datorer när de implementeras. | "Alla datorer ska använda TLS 1.2. Granska befintliga datorer så att jag kan frigöra ändringar där de behövs, på ett kontrollerat sätt, i stor skala. För nya maskiner genomförs inställningen när de distribueras. |
Du kan visa resultaten för varje inställning från konfigurationer på Gästtilldelningssidan. Om en konfiguration orkestrerades av en Azure Policy-tilldelning kan du välja länken "Senast utvärderad resurs" på sidan "Efterlevnadsinformation".
Anteckning
Machine Configuration stöder för närvarande skapandet av upp till 50 gästtilldelningar per dator.
Tvingande åtgärder för anpassade policyer
För att ge större flexibilitet vid tillämpning och övervakning av serverinställningar, program och arbetsbelastningar erbjuder Machine Configuration tre huvudsakliga tvingande lägen för varje principtilldelning enligt beskrivningen i följande tabell.
| Modus | Beskrivning |
|---|---|
| Revisionsgranskning | Rapportera endast om datorns tillstånd |
| Tillämpa och övervaka | Konfiguration som tillämpas på datorn och övervakas sedan för ändringar |
| Tillämpa och autokorrigera | Konfiguration som tillämpas på datorn och återställs till överensstämmande konfiguration vid avvikelser |
En videogenomgång av det här dokumentet är tillgänglig. (Uppdatering kommer snart)
Aktivera datorkonfiguration
Om du vill hantera tillståndet för datorer i din miljö, inklusive datorer i Azure och Arc-aktiverade servrar, läser du följande information.
Resursleverantör
Innan du kan använda datorkonfigurationsfunktionen i Azure Policy måste du registrera resursprovidern Microsoft.GuestConfiguration . Om tilldelningen av en datorkonfigurationsprincip görs via portalen eller om prenumerationen har registrerats i Microsoft Defender för molnet registreras resursprovidern automatiskt. Du kan registrera dig manuellt via portalen, Azure PowerShell eller Azure CLI.
Distribuera krav för virtuella Azure-datorer
För att hantera inställningar i en dator aktiveras ett tillägg för virtuell dator och datorn måste ha en systemhanterad identitet. Tillägget laddar ned tillämpliga datorkonfigurationstilldelningar och motsvarande beroenden. Identiteten används för att autentisera datorn när den läser och skriver till datorkonfigurationstjänsten. Tillägget krävs inte för Arc-aktiverade servrar eftersom det ingår i Arc Connected Machine-agenten.
Viktigt!
Datorkonfigurationstillägget och en hanterad identitet krävs för att hantera virtuella Azure-datorer.
Om du vill distribuera tillägget i stor skala över många datorer tilldelar du principinitiativet
Deploy prerequisites to enable Guest Configuration policies on virtual machines till en hanteringsgrupp, prenumeration eller resursgrupp som innehåller de datorer som du planerar att hantera.
Om du föredrar att distribuera tillägget och den hanterade identiteten till en enda dator kan du läsa Konfigurera hanterade identiteter för Azure-resurser på en virtuell dator med hjälp av Azure Portal.
Om du vill använda datorkonfigurationspaket som tillämpar konfigurationer krävs gästkonfigurationstillägget för virtuella Azure-datorer version 1.26.24 eller senare.
Viktigt!
Skapandet av en hanterad identitet eller tilldelning av en princip med rollen "Gästkonfigurationsresursdeltagare" är åtgärder som kräver lämpliga Azure RBAC-behörigheter att utföra. Mer information om Azure Policy och Azure RBAC finns i rollbaserad åtkomstkontroll i Azure Policy.
Gränser som angetts för tillägget
Om du vill begränsa tillägget från att påverka program som körs på datorn får datorkonfigurationsagenten inte överskrida mer än 5 % av processorn. Den här begränsningen finns för både inbyggda och anpassade definitioner. Detsamma gäller för datorkonfigurationstjänsten i Arc Connected Machine-agenten.
Valideringsverktyg
På datorn använder datorkonfigurationsagenten lokala verktyg för att utföra uppgifter.
I följande tabell visas en lista över de lokala verktyg som används på varje operativsystem som stöds. För inbyggt innehåll hanterar datorkonfigurationen inläsningen av dessa verktyg automatiskt.
| Operativsystem | Verifieringsverktyg | Kommentarer |
|---|---|---|
| Windows | Önskad tillståndskonfiguration för PowerShell | Sidoladdad till en mapp som endast används av Azure Policy. Inte i konflikt med Windows PowerShell DSC. PowerShell läggs inte till i systemsökvägen. |
| Linux | Önskad tillståndskonfiguration för PowerShell | Sidoladdad till en mapp som endast används av Azure Policy. PowerShell läggs inte till i systemsökvägen. |
| Linux | Chef InSpec | Installerar Chef InSpec version 2.2.61 på standardplatsen och lägger till den i systemsökvägen. Den installerar även InSpecs beroenden, inklusive Ruby och Python också. |
Valideringsfrekvens
Datorkonfigurationsagenten söker efter nya eller ändrade gästtilldelningar var 5:e minut. När en gästtilldelning har tagits emot kontrolleras inställningarna för den konfigurationen igen med ett intervall på 15 minuter. Om flera konfigurationer tilldelas utvärderas var och en sekventiellt. Långvariga konfigurationer påverkar intervallet för alla konfigurationer, eftersom nästa inte kan köras förrän den tidigare konfigurationen har slutförts.
Resultaten skickas till datorkonfigurationstjänsten när granskningen är klar. När en utvärderingsutlösare för policyn inträffar skrivs datorns tillstånd till datorkonfigurationens resursleverantör. Den här uppdateringen gör att Azure Policy utvärderar Azure Resource Manager-egenskaperna. En Azure Policy-utvärdering på begäran hämtar det senaste värdet från datorkonfigurationsresursprovidern. Det utlöser dock inte någon ny aktivitet i datorn. Statusen skrivs sedan till Azure Resource Graph.
Klienttyper som stöds
Definitioner av datorkonfigurationsprinciper omfattar nya versioner. Äldre versioner av operativsystem som är tillgängliga på Azure Marketplace undantas om gästkonfigurationsklienten inte är kompatibel. Dessutom undantas Linux-serverversioner som inte har livstidsstöd av respektive utgivare från supportmatrisen.
Följande tabell visar en lista över operativsystem som stöds på Azure-avbildningar. Texten .x är symbolisk för att representera nya mindre versioner av Linux-distributioner.
| Utgivare | Namn | Versioner |
|---|---|---|
| Alma | AlmaLinux | 9 |
| Amason | Linux | 2 |
| Kanoniska | Ubuntu Server | 16,04 – 24,x |
| Credativ | Debian | 10.x - 13.x |
| Microsoft | CBL-Mariner | 1 - 2 |
| Microsoft | Azure Linux | 3 |
| Microsoft | Windows-klient | Windows 10, 11 |
| Microsoft | Windows Server | 2012 - 2025 |
| Orakel | Oracle-Linux | 7.x - 8.x |
| OpenLogic | Centos | 7,3– 8,x |
| Röd hatt | Red Hat Enterprise Linux* | 7,4–9,x |
| Stenig | Rocky Linux | 8 |
| SUSE | SLES (Sodium Laureth Sulfate) | 12 SP5, 15.x |
* Red Hat CoreOS stöds inte.
Principdefinitioner för datorkonfiguration stöder anpassade avbildningar av virtuella datorer så länge de är ett av operativsystemen i föregående tabell. Machine Configuration stöder inte VMSS uniform men stöder VMSS Flex.
Viktigt!
För att alla VM-tillägg ska fungera korrekt i Azure måste skrivbehörigheter beviljas till katalogen /var/lib. Utan den här behörigheten kan inte machine configuration-tillägget installeras. För Azure Arc-aktiverade servrar krävs även skrivåtkomst till specifika kataloger för att aktivera loggning och telemetri. Därför har Azure Machine Configuration inte officiellt stöd för CIS-härdade standardkonfigurationer eller SELinux-konfigurationer. Ytterligare konfiguration kan behövas för att tillägget ska fungera som förväntat. Kunder som använder härdade miljöer bör utvärdera kompatibiliteten och planera därefter.
Nätverkskrav
Virtuella Azure-datorer kan använda antingen sitt lokala virtuella nätverkskort (vNIC) eller Azure Private Link för att kommunicera med datorkonfigurationstjänsten.
Azure Arc-aktiverade datorer ansluter med hjälp av den lokala nätverksinfrastrukturen för att nå Azure-tjänster och rapportera efterlevnadsstatus.
I följande tabell visas de slutpunkter som stöds för Azure- och Azure Arc-aktiverade datorer:
| Region | Geografi | URL | Lagringsslutpunkt |
|---|---|---|---|
| EastAsia | Asien och Stillahavsområdet |
agentserviceapi.guestconfiguration.azure.com eastasia-gas.guestconfiguration.azure.com ea-gas.guestconfiguration.azure.com |
oaasguestconfigeas1.blob.core.windows.net oaasguestconfigseas1.blob.core.windows.net oaasguestconfigwcuss1.blob.core.windows.net |
| Sydostasien | Asien och Stillahavsområdet |
agentserviceapi.guestconfiguration.azure.com southeastasia-gas.guestconfiguration.azure.com sea-gas.guestconfiguration.azure.com |
oaasguestconfigeas1.blob.core.windows.net oaasguestconfigseas1.blob.core.windows.net oaasguestconfigwcuss1.blob.core.windows.net |
| AustralienEast | Australien |
agentserviceapi.guestconfiguration.azure.com australiaeast-gas.guestconfiguration.azure.com ae-gas.guestconfiguration.azure.com |
oaasguestconfigases1.blob.core.windows.net oaasguestconfigaes1.blob.core.windows.net oaasguestconfigwcuss1.blob.core.windows.net |
| AustraliaSoutheast | Australien |
agentserviceapi.guestconfiguration.azure.com australiaeast-gas.guestconfiguration.azure.com ae-gas.guestconfiguration.azure.com |
oaasguestconfigases1.blob.core.windows.net oaasguestconfigaes1.blob.core.windows.net oaasguestconfigwcuss1.blob.core.windows.net |
| BrazilSouth | Brasilien |
agentserviceapi.guestconfiguration.azure.com brazilsouth-gas.guestconfiguration.azure.com brs-gas.guestconfiguration.azure.com |
oaasguestconfigbrss1.blob.core.windows.net oaasguestconfigwcuss1.blob.core.windows.net |
| CanadaCentral | Kanada |
agentserviceapi.guestconfiguration.azure.com canadacentral-gas.guestconfiguration.azure.com cc-gas.guestconfiguration.azure.com |
oaasguestconfigccs1.blob.core.windows.net oaasguestconfigces1.blob.core.windows.net oaasguestconfigwcuss1.blob.core.windows.net |
| CanadaEast | Kanada |
agentserviceapi.guestconfiguration.azure.com canadaeast-gas.guestconfiguration.azure.com ce-gas.guestconfiguration.azure.com |
oaasguestconfigccs1.blob.core.windows.net oaasguestconfigces1.blob.core.windows.net oaasguestconfigwcuss1.blob.core.windows.net |
| ChinaEast2 | Kina | agentserviceapi.guestconfiguration.azure.cn chinaeast2-gas.guestconfiguration.azure.cn chne2-gas.guestconfiguration.azure.cn |
oaasguestconfigchne2s2.blob.core.chinacloudapi.cn |
| ChinaNorth | Kina | agentserviceapi.guestconfiguration.azure.cn chinanorth-gas.guestconfiguration.azure.cn chnn-gas.guestconfiguration.azure.cn |
oaasguestconfigchnns2.blob.core.chinacloudapi.cn |
| ChinaNorth2 | Kina |
agentserviceapi.guestconfiguration.azure.cn chinanorth2-gas.guestconfiguration.azure.cn chnn2-gas.guestconfiguration.azure.cn |
oaasguestconfigchnn2s2.blob.core.chinacloudapi.cn |
| ChinaNorth3 | Kina |
agentserviceapi.guestconfiguration.azure.cn chinanorth3-gas.guestconfiguration.azure.cn chnn3-gas.guestconfiguration.azure.cn |
oaasguestconfigchnn3s1.blob.core.chinacloudapi.cn |
| NorthEurope | Europa |
agentserviceapi.guestconfiguration.azure.com northeurope-gas.guestconfiguration.azure.com ne-gas.guestconfiguration.azure.com |
oaasguestconfignes1.blob.core.windows.net oaasguestconfigwes1.blob.core.windows.net oaasguestconfigwcuss1.blob.core.windows.net |
| WestEurope | Europa | agentserviceapi.guestconfiguration.azure.com westeurope-gas.guestconfiguration.azure.com we-gas.guestconfiguration.azure.com |
oaasguestconfignes1.blob.core.windows.net oaasguestconfigwes1.blob.core.windows.net oaasguestconfigwcuss1.blob.core.windows.net |
| FranceCentral | Frankrike |
agentserviceapi.guestconfiguration.azure.com francecentral-gas.guestconfiguration.azure.com fc-gas.guestconfiguration.azure.com |
oaasguestconfigfcs1.blob.core.windows.net oaasguestconfigwcuss1.blob.core.windows.net |
| TysklandNorth | Tyskland | agentserviceapi.guestconfiguration.azure.com germanynorth-gas.guestconfiguration.azure.com gen-gas.guestconfiguration.azure.com |
oaasguestconfiggens1.blob.core.windows.net oaasguestconfiggewcs1.blob.core.windows.net oaasguestconfigwcuss1.blob.core.windows.net |
| TysklandWestCentral | Tyskland | agentserviceapi.guestconfiguration.azure.com germanywestcentral-gas.guestconfiguration.azure.com gewc-gas.guestconfiguration.azure.com |
oaasguestconfiggens1.blob.core.windows.net oaasguestconfiggewcs1.blob.core.windows.net oaasguestconfigwcuss1.blob.core.windows.net |
| CentralIndia | Indien |
agentserviceapi.guestconfiguration.azure.com centralindia-gas.guestconfiguration.azure.com cid-gas.guestconfiguration.azure.com |
oaasguestconfigcids1.blob.core.windows.net oaasguestconfigsids1.blob.core.windows.net oaasguestconfigwcuss1.blob.core.windows.net |
| SouthIndia | Indien | agentserviceapi.guestconfiguration.azure.com southindia-gas.guestconfiguration.azure.com sid-gas.guestconfiguration.azure.com |
oaasguestconfigcids1.blob.core.windows.net oaasguestconfigsids1.blob.core.windows.net oaasguestconfigwcuss1.blob.core.windows.net |
| IsraelCentral | Israel |
agentserviceapi.guestconfiguration.azure.com israelcentral-gas.guestconfiguration.azure.com ilc-gas.guestconfiguration.azure.com |
oaasguestconfigilcs1.blob.core.windows.net oaasguestconfigwcuss1.blob.core.windows.net |
| ItalyNorth | Italien |
agentserviceapi.guestconfiguration.azure.com italynorth-gas.guestconfiguration.azure.com itn-gas.guestconfiguration.azure.com |
oaasguestconfigitns1.blob.core.windows.net oaasguestconfigwcuss1.blob.core.windows.net |
| JapanEast | Japan |
agentserviceapi.guestconfiguration.azure.com japaneast-gas.guestconfiguration.azure.com jpe-gas.guestconfiguration.azure.com |
oaasguestconfigjpws1.blob.core.windows.net oaasguestconfigjpes1.blob.core.windows.net oaasguestconfigwcuss1.blob.core.windows.net |
| JapanWest | Japan |
agentserviceapi.guestconfiguration.azure.com japanwest-gas.guestconfiguration.azure.com jpw-gas.guestconfiguration.azure.com |
oaasguestconfigjpws1.blob.core.windows.net oaasguestconfigjpes1.blob.core.windows.net oaasguestconfigwcuss1.blob.core.windows.net |
| KoreaCentral | Korea |
agentserviceapi.guestconfiguration.azure.com koreacentral-gas.guestconfiguration.azure.com kc-gas.guestconfiguration.azure.com |
oaasguestconfigkcs1.blob.core.windows.net oaasguestconfigwcuss1.blob.core.windows.net |
| MexicoCentral | Mexico |
agentserviceapi.guestconfiguration.azure.com mexicocentral-gas.guestconfiguration.azure.com mxc-gas.guestconfiguration.azure.com |
oaasguestconfigmxcs1.blob.core.windows.net oaasguestconfigwcuss1.blob.core.windows.net |
| NorwayEast | Norge |
agentserviceapi.guestconfiguration.azure.com norwayeast-gas.guestconfiguration.azure.com noe-gas.guestconfiguration.azure.com |
oaasguestconfignoes2.blob.core.windows.net oaasguestconfigwcuss1.blob.core.windows.net |
| PolenCentral | Polen |
agentserviceapi.guestconfiguration.azure.com polandcentral-gas.guestconfiguration.azure.com plc-gas.guestconfiguration.azure.com |
oaasguestconfigwcuss1.blob.core.windows.net |
| QatarCentral | Qatar |
agentserviceapi.guestconfiguration.azure.com qatarcentral-gas.guestconfiguration.azure.com qac-gas.guestconfiguration.azure.com |
oaasguestconfigqacs1.blob.core.windows.net oaasguestconfigwcuss1.blob.core.windows.net |
| SouthAfricaNorth | SouthAfrica |
agentserviceapi.guestconfiguration.azure.com southafricanorth-gas.guestconfiguration.azure.com san-gas.guestconfiguration.azure.com |
oaasguestconfigsans1.blob.core.windows.net oaasguestconfigsaws1.blob.core.windows.net oaasguestconfigwcuss1.blob.core.windows.net |
| SouthAfricaWest | SouthAfrica |
agentserviceapi.guestconfiguration.azure.com southafricawest-gas.guestconfiguration.azure.com saw-gas.guestconfiguration.azure.com |
oaasguestconfigsans1.blob.core.windows.net oaasguestconfigsaws1.blob.core.windows.net oaasguestconfigwcuss1.blob.core.windows.net |
| SpanienCentral | Spanien |
agentserviceapi.guestconfiguration.azure.com spaincentral-gas.guestconfiguration.azure.com spc-gas.guestconfiguration.azure.com |
oaasguestconfigspcs1.blob.core.windows.net oaasguestconfigwcuss1.blob.core.windows.net |
| SwedenCentral | Sverige |
agentserviceapi.guestconfiguration.azure.com swedencentral-gas.guestconfiguration.azure.com swc-gas.guestconfiguration.azure.com |
oaasguestconfigswcs1.blob.core.windows.net oaasguestconfigwcuss1.blob.core.windows.net |
| SchweizNorth | Schweiz |
agentserviceapi.guestconfiguration.azure.com switzerlandnorth-gas.guestconfiguration.azure.com stzn-gas.guestconfiguration.azure.com |
oaasguestconfigstzns1.blob.core.windows.net oaasguestconfigwcuss1.blob.core.windows.net |
| SchweizWest | Schweiz | agentserviceapi.guestconfiguration.azure.com switzerlandwest-gas.guestconfiguration.azure.com stzw-gas.guestconfiguration.azure.com |
oaasguestconfigstzns1.blob.core.windows.net oaasguestconfigwcuss1.blob.core.windows.net |
| TaiwanNorth | Taiwan |
agentserviceapi.guestconfiguration.azure.com taiwannorth-gas.guestconfiguration.azure.com twn-gas.guestconfiguration.azure.com |
oaasguestconfigtwns1.blob.core.windows.net oaasguestconfigwcuss1.blob.core.windows.net |
| UAENorth | Förenade Arabemiraten | agentserviceapi.guestconfiguration.azure.com uaenorth-gas.guestconfiguration.azure.com uaen-gas.guestconfiguration.azure.com |
oaasguestconfiguaens1.blob.core.windows.net oaasguestconfigwcuss1.blob.core.windows.net |
| UKSouth | Storbritannien |
agentserviceapi.guestconfiguration.azure.com uksouth-gas.guestconfiguration.azure.com uks-gas.guestconfiguration.azure.com |
oaasguestconfigukss1.blob.core.windows.net oaasguestconfigukws1.blob.core.windows.net oaasguestconfigwcuss1.blob.core.windows.net |
| UKWest | Storbritannien |
agentserviceapi.guestconfiguration.azure.com ukwest-gas.guestconfiguration.azure.com ukw-gas.guestconfiguration.azure.com |
oaasguestconfigukss1.blob.core.windows.net oaasguestconfigukws1.blob.core.windows.net oaasguestconfigwcuss1.blob.core.windows.net |
| EastUS | USA | agentserviceapi.guestconfiguration.azure.com eastus-gas.guestconfiguration.azure.com eus-gas.guestconfiguration.azure.com |
oaasguestconfigeuss1.blob.core.windows.net oaasguestconfigeus2s1.blob.core.windows.net oaasguestconfigwuss1.blob.core.windows.net oaasguestconfigwus2s1.blob.core.windows.net oaasguestconfigncuss1.blob.core.windows.net oaasguestconfigcuss1.blob.core.windows.net oaasguestconfigscuss1.blob.core.windows.net oaasguestconfigwus3s1.blob.core.windows.net oaasguestconfigwcuss1.blob.core.windows.net |
| EastUS2 | USA |
agentserviceapi.guestconfiguration.azure.com eastus2-gas.guestconfiguration.azure.com eus2-gas.guestconfiguration.azure.com |
oaasguestconfigeuss1.blob.core.windows.net oaasguestconfigeus2s1.blob.core.windows.net oaasguestconfigwuss1.blob.core.windows.net oaasguestconfigwus2s1.blob.core.windows.net oaasguestconfigncuss1.blob.core.windows.net oaasguestconfigcuss1.blob.core.windows.net oaasguestconfigscuss1.blob.core.windows.net oaasguestconfigwus3s1.blob.core.windows.net oaasguestconfigwcuss1.blob.core.windows.net |
| Västra USA | USA | agentserviceapi.guestconfiguration.azure.com westus-gas.guestconfiguration.azure.com wus-gas.guestconfiguration.azure.com |
oaasguestconfigeuss1.blob.core.windows.net oaasguestconfigeus2s1.blob.core.windows.net oaasguestconfigwuss1.blob.core.windows.net oaasguestconfigwus2s1.blob.core.windows.net oaasguestconfigncuss1.blob.core.windows.net oaasguestconfigcuss1.blob.core.windows.net oaasguestconfigscuss1.blob.core.windows.net oaasguestconfigwus3s1.blob.core.windows.net oaasguestconfigwcuss1.blob.core.windows.net |
| VästraUS2 | USA |
agentserviceapi.guestconfiguration.azure.com westus2-gas.guestconfiguration.azure.com wus2-gas.guestconfiguration.azure.com |
oaasguestconfigeuss1.blob.core.windows.net oaasguestconfigeus2s1.blob.core.windows.net oaasguestconfigwuss1.blob.core.windows.net oaasguestconfigwus2s1.blob.core.windows.net oaasguestconfigncuss1.blob.core.windows.net oaasguestconfigcuss1.blob.core.windows.net oaasguestconfigscuss1.blob.core.windows.net oaasguestconfigwus3s1.blob.core.windows.net oaasguestconfigwcuss1.blob.core.windows.net |
| VästraUS3 | USA | agentserviceapi.guestconfiguration.azure.com westus3-gas.guestconfiguration.azure.com wus3-gas.guestconfiguration.azure.com |
oaasguestconfigeuss1.blob.core.windows.net oaasguestconfigeus2s1.blob.core.windows.net oaasguestconfigwuss1.blob.core.windows.net oaasguestconfigwus2s1.blob.core.windows.net oaasguestconfigncuss1.blob.core.windows.net oaasguestconfigcuss1.blob.core.windows.net oaasguestconfigscuss1.blob.core.windows.net oaasguestconfigwus3s1.blob.core.windows.net oaasguestconfigwcuss1.blob.core.windows.net |
| CentralUS | USA |
agentserviceapi.guestconfiguration.azure.com centralus-gas.guestconfiguration.azure.com cus-gas.guestconfiguration.azure.com |
oaasguestconfigeuss1.blob.core.windows.net oaasguestconfigeus2s1.blob.core.windows.net oaasguestconfigwuss1.blob.core.windows.net oaasguestconfigwus2s1.blob.core.windows.net oaasguestconfigncuss1.blob.core.windows.net oaasguestconfigcuss1.blob.core.windows.net oaasguestconfigscuss1.blob.core.windows.net oaasguestconfigwus3s1.blob.core.windows.net oaasguestconfigwcuss1.blob.core.windows.net |
| NorthCentralUS | USA |
agentserviceapi.guestconfiguration.azure.com northcentralus-gas.guestconfiguration.azure.com ncus-gas.guestconfiguration.azure.com |
oaasguestconfigeuss1.blob.core.windows.net oaasguestconfigeus2s1.blob.core.windows.net oaasguestconfigwuss1.blob.core.windows.net oaasguestconfigwus2s1.blob.core.windows.net oaasguestconfigncuss1.blob.core.windows.net oaasguestconfigcuss1.blob.core.windows.net oaasguestconfigscuss1.blob.core.windows.net oaasguestconfigwus3s1.blob.core.windows.net oaasguestconfigwcuss1.blob.core.windows.net |
| SouthCentralUS | USA |
agentserviceapi.guestconfiguration.azure.com southcentralus-gas.guestconfiguration.azure.com scus-gas.guestconfiguration.azure.com |
oaasguestconfigeuss1.blob.core.windows.net oaasguestconfigeus2s1.blob.core.windows.net oaasguestconfigwuss1.blob.core.windows.net oaasguestconfigwus2s1.blob.core.windows.net oaasguestconfigncuss1.blob.core.windows.net oaasguestconfigcuss1.blob.core.windows.net oaasguestconfigscuss1.blob.core.windows.net oaasguestconfigwus3s1.blob.core.windows.net oaasguestconfigwcuss1.blob.core.windows.net |
| WestCentralUS | USA |
agentserviceapi.guestconfiguration.azure.com westcentralus-gas.guestconfiguration.azure.com wcus-gas.guestconfiguration.azure.com |
oaasguestconfigeuss1.blob.core.windows.net oaasguestconfigeus2s1.blob.core.windows.net oaasguestconfigwuss1.blob.core.windows.net oaasguestconfigwus2s1.blob.core.windows.net oaasguestconfigncuss1.blob.core.windows.net oaasguestconfigcuss1.blob.core.windows.net oaasguestconfigscuss1.blob.core.windows.net oaasguestconfigwus3s1.blob.core.windows.net oaasguestconfigwcuss1.blob.core.windows.net |
| USGovArizona | USA:s regering |
agentserviceapi.guestconfiguration.azure.us usgovarizona-gas.guestconfiguration.azure.us usga-gas.guestconfiguration.azure.us |
oaasguestconfigusgas1.blob.core.usgovcloudapi.net |
| USGovTexas | USA:s regering | agentserviceapi.guestconfiguration.azure.us usgovtexas-gas.guestconfiguration.azure.us usgt-gas.guestconfiguration.azure.us |
oaasguestconfigusgts1.blob.core.usgovcloudapi.net |
| USGovVirginia | USA:s regering | agentserviceapi.guestconfiguration.azure.us usgovvirginia-gas.guestconfiguration.azure.us usgv-gas.guestconfiguration.azure.us |
oaasguestconfigusgvs1.blob.core.usgovcloudapi.net |
Kommunicera via virtuella nätverk i Azure
För att kommunicera med datorkonfigurationsresursprovidern i Azure kräver datorer utgående åtkomst till Azure-datacenter på port 443*. Om ett nätverk i Azure inte tillåter utgående trafik konfigurerar du undantag med regler för nätverkssäkerhetsgrupp . Tjänsttaggar och AzureArcInfrastructure kan användas för att referera till gästkonfigurations- och lagringstjänster istället för att manuellt underhålla Storage för Azure-datacenter. Båda taggarna krävs eftersom Azure Storage är värd för innehållspaketen för datorkonfiguration.
Kommunicera via Private Link i Azure
Virtuella datorer kan använda privat länk för kommunikation till datorkonfigurationstjänsten.
Använd taggen med namnet EnablePrivateNetworkGC och värdet TRUE för att aktivera den här funktionen. Taggen kan användas före eller efter att datorkonfigurationsprincipdefinitioner tillämpas på datorn.
Viktigt!
Om du vill kommunicera via privat länk för anpassade paket måste länken till paketets plats läggas till i listan över tillåtna URL:er.
Trafik dirigeras med hjälp av den virtuella offentliga IP-adressen för Azure för att upprätta en säker, autentiserad kanal med Azure-plattformsresurser.
Kommunicera via offentliga slutpunkter utanför Azure
Servrar som finns lokalt eller i andra moln kan hanteras med datorkonfiguration genom att ansluta dem till Azure Arc.
För Azure Arc-aktiverade servrar tillåter du trafik med hjälp av följande mönster:
- Port: Endast TCP 443 krävs för utgående Internet-åtkomst
- Global URL:
*.guestconfiguration.azure.com
Se nätverkskraven för Azure Arc-aktiverade servrar för en fullständig lista över alla nätverksslutpunkter som krävs av Azure Connected Machine Agent för grundläggande scenarier för Azure Arc och datorkonfiguration.
Kommunicera via Private Link utanför Azure
När du använder privat länk med Arc-aktiverade servrar laddas inbyggda princippaket automatiskt ned via den privata länken. Du behöver inte ange några taggar på den Arc-aktiverade servern för att aktivera den här funktionen.
Tilldela principer till datorer utanför Azure
De granskningsprincipdefinitioner som är tillgängliga för datorkonfiguration inkluderar resurstypen Microsoft.HybridCompute/machines . Alla datorer som registreras på Azure Arc-aktiverade servrar som ingår i principtilldelningens omfång inkluderas automatiskt.
Krav för hanterad identitet
Principdefinitioner i initiativet Deploy prerequisites to enable guest configuration policies on virtual machines aktiverar en systemtilldelad hanterad identitet, om det inte finns någon. Det finns två principdefinitioner i initiativet som hanterar skapandet av identiteter. Villkoren if i principdefinitionerna säkerställer rätt beteende baserat på datorresursens aktuella tillstånd i Azure.
Viktigt!
Dessa definitioner skapar en systemtilldelad hanterad identitet på målresurserna, utöver befintliga användartilldelade identiteter (om sådana finns). För befintliga program, såvida de inte anger den användartilldelade identiteten i begäran, kommer datorn som standard att använda systemtilldelad identitet i stället. Läs mer
Om datorn för närvarande inte har några hanterade identiteter är den effektiva principen: Lägg till systemtilldelad hanterad identitet för att aktivera gästkonfigurationstilldelningar på virtuella datorer utan identiteter
Om datorn för närvarande har en användartilldelad systemidentitet är den effektiva principen: Lägg till systemtilldelad hanterad identitet för att aktivera gästkonfigurationstilldelningar på virtuella datorer med en användartilldelad identitet
Tillgänglighet
Kunder som utformar en lösning med hög tillgänglighet bör överväga planeringskraven för redundans för virtuella datorer eftersom gästtilldelningar är tillägg av datorresurser i Azure. När gästtilldelningsresurser etableras i en kopplad Azure-region, kan du visa gästtilldelningsrapporter om åtminstone en region i paret är tillgänglig. När Azure-regionen inte är kopplad och den blir otillgänglig kan du inte komma åt rapporter för en gästtilldelning. När regionen har återställts kan du komma åt rapporterna igen.
Det är bästa praxis att tilldela samma principdefinitioner med samma parametrar till alla datorer i lösningen för program med hög tillgänglighet. Detta gäller särskilt för scenarier där virtuella datorer etableras i tillgänglighetsuppsättningar bakom en lastbalanserare. En enskild principtilldelning som omfattar alla datorer har minst administrativa omkostnader.
För datorer som skyddas av Azure Site Recovery kontrollerar du att datorerna på den primära och sekundära platsen är inom omfånget för Azure Policy-tilldelningar för samma definitioner. Använd samma parametervärden för båda platserna.
Plats för datalagring
Datorkonfiguration lagrar och bearbetar kunddata. Som standard replikeras kunddata till den kopplade regionen. För regionerna Singapore, Brasilien, södra och Asien, östra lagras och bearbetas alla kunddata i regionen.
Felsöka maskinkonfiguration
Mer information om hur du felsöker datorkonfiguration finns i Felsökning av Azure Policy.
Flera uppgifter
För närvarande stöder endast vissa inbyggda definitioner av datorkonfigurationsprinciper flera tilldelningar. Alla anpassade principer har dock stöd för flera tilldelningar som standard om du använde den senaste versionen av PowerShell-modulen GuestConfiguration för att skapa datorkonfigurationspaket och principer.
Här följer en lista över inbyggda definitioner av datorkonfigurationsprinciper som stöder flera tilldelningar:
| ID-nummer | Visningsnamn |
|---|---|
| /providers/Microsoft.Authorization/policyDefinitions/5fe81c49-16b6-4870-9cee-45d13bf902ce | Lokala autentiseringsmetoder bör inaktiveras på Windows-servrar |
| /providers/Microsoft.Authorization/policyDefinitions/fad40cac-a972-4db0-b204-f1b15cced89a | Lokala autentiseringsmetoder bör inaktiveras på Linux-datorer |
| /providers/Microsoft.Authorization/policyDefinitions/f40c7c00-b4e3-4068-a315-5fe81347a904 | [Förhandsversion]: Lägg till användartilldelad hanterad identitet för att aktivera gästkonfigurationstilldelningar på virtuella datorer |
| /providers/Microsoft.Authorization/policyDefinitions/63594bb8-43bb-4bf0-bbf8-c67e5c28cb65 | [Förhandsversion]: Linux-datorer bör uppfylla STIG-efterlevnadskrav för Azure-beräkning |
| /providers/Microsoft.Authorization/policyDefinitions/50c52fc9-cb21-4d99-9031-d6a0c613361c | [Förhandsversion]: Windows-datorer bör uppfylla STIG-efterlevnadskrav för Azure-beräkning |
| /providers/Microsoft.Authorization/policyDefinitions/e79ffbda-ff85-465d-ab8e-7e58a557660f | [Förhandsversion]: Linux-datorer med OMI installerat bör ha version 1.6.8-1 eller senare |
| /providers/Microsoft.Authorization/policyDefinitions/934345e1-4dfb-4c70-90d7-41990dc9608b | Granska Windows-datorer som inte innehåller de angivna certifikaten i betrodd rot |
| /providers/Microsoft.Authorization/policyDefinitions/08a2f2d2-94b2-4a7b-aa3b-bb3f523ee6fd | Granska Windows-datorer där DSC-konfigurationen inte är kompatibel |
| /providers/Microsoft.Authorization/policyDefinitions/c648fbbb-591c-4acd-b465-ce9b176ca173 | Granska Windows-datorer som inte har den angivna Windows PowerShell-körningsprincipen |
| /providers/Microsoft.Authorization/policyDefinitions/3e4e2bd5-15a2-4628-b3e1-58977e9793f3 | Granska Windows-datorer som inte har de angivna Windows PowerShell-modulerna installerade |
| /providers/Microsoft.Authorization/policyDefinitions/58c460e9-7573-4bb2-9676-339c2f2486bb | Granska Windows-datorer där Windows-seriekonsolen inte är aktiverad |
| /providers/Microsoft.Authorization/policyDefinitions/e6ebf138-3d71-4935-a13b-9c7fdddd94df | Granska Windows-datorer där de angivna tjänsterna varken är installerade eller "körs" |
| /providers/Microsoft.Authorization/policyDefinitions/c633f6a2-7f8b-4d9e-9456-02f0f04f5505 | Granska Windows-datorer som inte är inställda på den angivna tidszonen |
Anteckning
På den här sidan finns regelbundet uppdateringar av listan över inbyggda definitioner av datorkonfigurationsprinciper som stöder flera tilldelningar.
Tilldelningar till Azure-hanteringsgrupper
Azure Policy-definitioner i kategorin Guest Configuration kan tilldelas till hanteringsgrupper när effekten är AuditIfNotExists eller DeployIfNotExists.
Viktigt!
När principundantag skapas i en maskinkonfigurationsprincip måste den associerade gästtilldelningen tas bort för att förhindra att agenten skannar.
Klientloggfiler
Datorkonfigurationstillägget skriver loggfiler till följande platser:
Windows
- Virtuell Azure-dator:
C:\ProgramData\GuestConfig\gc_agent_logs\gc_agent.log - Arc-aktiverad server:
C:\ProgramData\GuestConfig\arc_policy_logs\gc_agent.log
Linux
- Virtuell Azure-dator:
/var/lib/GuestConfig/gc_agent_logs/gc_agent.log - Arc-aktiverad server:
/var/lib/GuestConfig/arc_policy_logs/gc_agent.log
Fjärrinsamling av loggar
Det första steget i felsökning av datorkonfigurationer eller moduler bör vara att använda cmdletarna enligt stegen i Testa maskinkonfigurationspaketartefakter. Om det inte lyckas kan insamling av klientloggar hjälpa dig att diagnostisera problem.
Windows
Samla in information från loggfiler med Azure VM Run Command. Följande exempel på PowerShell-skript kan vara användbart.
$linesToIncludeBeforeMatch = 0
$linesToIncludeAfterMatch = 10
$params = @{
Path = 'C:\ProgramData\GuestConfig\gc_agent_logs\gc_agent.log'
Pattern = @(
'DSCEngine'
'DSCManagedEngine'
)
CaseSensitive = $true
Context = @(
$linesToIncludeBeforeMatch
$linesToIncludeAfterMatch
)
}
Select-String @params | Select-Object -Last 10
Linux
Samla in information från loggfiler med körkommandot för virtuella Azure-datorer. Följande exempel på Bash-skript kan vara användbart.
LINES_TO_INCLUDE_BEFORE_MATCH=0
LINES_TO_INCLUDE_AFTER_MATCH=10
LOGPATH=/var/lib/GuestConfig/gc_agent_logs/gc_agent.log
egrep -B $LINES_TO_INCLUDE_BEFORE_MATCH -A $LINES_TO_INCLUDE_AFTER_MATCH 'DSCEngine|DSCManagedEngine' $LOGPATH | tail
Agentfiler
Datorkonfigurationsagenten laddar ned innehållspaket till en dator och extraherar innehållet. Om du vill kontrollera vilket innehåll som har laddats ned och lagrats kan du visa mappplatserna i följande lista.
- Windows:
C:\ProgramData\guestconfig\configuration - Linux:
/var/lib/GuestConfig/Configuration
Nxtools-modulfunktioner med öppen källkod
En ny nxtools-modul med öppen källkod har släppts för att underlätta hanteringen av Linux-system för PowerShell-användare.
Modulen hjälper dig att hantera vanliga uppgifter, till exempel:
- Hantera användare och grupper
- Utföra filsystemåtgärder
- Hantera tjänster
- Utföra arkivåtgärder
- Hantera paket
Modulen innehåller klassbaserade DSC-resurser för Linux och inbyggda datorkonfigurationspaket.
Om du vill ge feedback om den här funktionen öppnar du ett problem i dokumentationen. Vi accepterar för närvarande inte PR för detta projekt, och stödet är på bästa möjliga sätt.
Datorkonfigurationsexempel
Inbyggda principexempel för datorkonfiguration är tillgängliga på följande platser:
- Inbyggda principdefinitioner – Gästkonfiguration
- Inbyggda initiativ – Gästkonfiguration
- GitHub-repositorium för Azure Policy-exempel
- Exempel på DSC-resursmoduler
Nästa steg
- Konfigurera en anpassad utvecklingsmiljö för datorkonfigurationspaket.
- Skapa en paketartefakt för datorkonfiguration.
- Testa paketartefakten från din utvecklingsmiljö.
- Använd modulen GuestConfiguration för att skapa en Azure Policy-definition för skalningshantering av din miljö.
- Tilldela din anpassade principdefinition med hjälp av Azure-portalen.
- Lär dig hur du visar efterlevnadsinformation för tilldelningar av datorkonfigurationsprinciper .