Styra Azure Arc-aktiverade servrar med Azure Policy-gästkonfiguration
Fabrikam Residences har registrerat sina datorer på Azure Arc-aktiverade servrar. Till skillnad från virtuella Azure-datorer där gästkonfiguration distribueras som ett VM-tillägg har Azure Arc-aktiverade servrar gästkonfigurationstjänsten som en del av den Anslut datoragenten. I den här lektionen får du lära dig mer om gästkonfiguration och hur den passar in i Azure Arc-aktiverade servrar.
Översikt över gästkonfiguration
Azure Policys gästkonfigurationsfunktion ger inbyggd funktion för att granska eller konfigurera operativsysteminställningar som kod, både för datorer som körs på Azure- och Arc-aktiverade datorer. Gästkonfiguration distribueras som ett VM-tillägg till virtuella Azure-datorer, men gästkonfigurationsagenten är inbäddad i Anslut d machine agent för Azure Arc-aktiverade servrar. Som standard kan Arc-aktiverade servrar förlita sig på gästkonfigurationstjänsten för att tillhandahålla funktioner för gästprincip och gästkonfiguration till Azure Arc-aktiverade servrar.
Gästkonfiguration kan användas för både konfigurationshantering och efterlevnad av resurser. Konfigurationsinställningar omfattar inställningar för operativsystem, programkonfiguration eller närvaro samt miljöinställningar. Från en efterlevnadslins kan du granska eller distribuera inställningar till alla datorer i omfånget antingen reaktivt till befintliga datorer eller proaktivt till nya datorer när de distribueras.
Inbyggd Gästkonfiguration för Azure Policy
Det finns dussintals inbyggda Azure-principer för Arc-aktiverade servrar som använder gästkonfiguration. Några exempel på Azure Policy-gästkonfiguration för Arc-aktiverade servrar är:
- Konfigurera tidszon på Windows-datorer.
- Windows-datorer bör ha de angivna grupprincipinställningarna i kategorin "Windows-brandväggsegenskaper" för brandväggstillstånd, anslutningar, regelhantering och meddelanden.
- Windows-datorer bör uppfylla kraven för "Säkerhetsalternativ – Användarkontokontroll"
Gästkonfiguration i frånkopplade scenarier
För frånkopplade datorer har Azure Arc-aktiverade servrar följande beteende för Azure Policy-gästkonfiguration:
- En Azure Policy-tilldelning som riktar sig till frånkopplade datorer påverkas inte.
- Gästtilldelning lagras lokalt i 14 dagar. Om den Anslut datoragenten återansluter till tjänsten inom 14 dagar tillämpas principtilldelningar igen.
- Tilldelningar tas bort efter 14 dagar och tilldelas inte om till datorn efter 14-dagarsperioden.
Prissättning för Azure Policy-gästkonfiguration
Faktureringen baseras på antalet servrar som registrerats med tjänsten som har en eller flera gästkonfigurationer tilldelade till sig. Debiteringen beräknas per timme. Offline-datorer, till exempel datorer som är frånkopplade eller avstängda under hela timmen, debiteras inte. Azure Arc-resurser som hanteras av gästkonfiguration undantas från faktureringen i följande scenarier.
- Azure Automation: Gästkonfigurationstilldelningar debiteras inte om datorn redan hanteras av tillståndskonfigurationen eller funktionerna för ändringsspårning som erbjuds av Azure Automation.
- Microsoft Defender för molnet: Azure Policy-tilldelning av Azure Security Benchmark-initiativet skapar konfigurationstilldelning. Azure Policy-tilldelning av ett inbyggt principinitiativ i kategorin "Regelefterlevnad" skapar konfigurationstilldelning. Azure Policy-tilldelning av ett anpassat principinitiativ som skapats i Microsoft Defender för molnet skapar konfigurationstilldelning.
- Azure Stack HCI: Azure-förmåner i ditt Azure Stack HCI-kluster kan användas så att gästkonfigurationstilldelningar kan användas utan extra kostnad för både virtuella datorer som hanteras av Azure Stack HCI och noder i ett Azure Stack HCI-kluster.
- Azure-säkerhetsbaslinjer och Azure-principer som inte är gästkonfiguration utlöser inte priser.
Azure Policy-gästkonfiguration (inklusive Ändringsspårning, inventering och tillståndskonfiguration i Azure Automation) kostar 6 USD/server/månad för Azure Arc-aktiverade servrar. Det kostar ingenting att tilldela Azure Policy-gästkonfiguration till virtuella Azure-datorer.