使用 Azure 原則來賓設定控管已啟用 Azure Arc 的伺服器
Fabrikam Residences 已將其機器上線至已啟用 Azure Arc 的伺服器。 有別於將來賓設定部署為虛擬機器 (VM) 延伸模組的 Azure VM,已啟用 Azure Arc 的伺服器會將來賓設定服務作為連線機器代理程式的一部分。 在本單元中,您將了解來賓設定相關知識,以及其如何配合已啟用 Azure Arc 的伺服器。
Azure 來賓設定概觀
Azure 原則的來賓設定功能提供原生功能,可稽核作業系統,或將作業系統設定為程式碼,這兩者均適用於在 Azure 中執行的機器和已啟用 Arc 的機器。 來賓設定部署為 Azure 虛擬機器的 VM 延伸模組時,來賓設定代理程式會內嵌在已啟用 Azure Arc 之伺服器的連線機器代理程式中。 根據預設,已啟用 Arc 的伺服器可以依賴來賓設定服務,為已啟用 Azure Arc 的伺服器提供來賓內原則和來賓設定功能。
來賓設定可用於資源的組態管理和合規性。 組態設定包括作業系統設定、應用程式組態或顯示狀態,以及環境設定。 從合規性的觀點來看,您可以稽核設定或將設定部署至範圍中的所有機器。 您可以對現有的機器以反應性的方式執行此動作。 或者,當您部署新機器時,以主動式方式針對新機器這樣做。
內建 Azure 原則來賓設定
已啟用 Arc 的伺服器有數十種內建的 Azure 原則,均可使用來賓設定。 以下是關於已啟用 Arc 的伺服器的一些 Azure 原則來賓設定範例:
- 設定 Windows 電腦上的時區。
- 在 Windows 電腦的 [Windows 防火牆內容] 類別中為防火牆狀態、連線、規則管理和通知指定群組原則設定。
- 符合 Windows 電腦的「安全性選項 - 使用者帳戶控制」需求。
中斷連線案例中的來賓設定
針對已中斷連線的電腦,已啟用 Azure Arc 的伺服器具有下列 Azure 原則來賓設定行為:
- 目標為已中斷連線機器的 Azure 原則指派,均不會受到影響。
- 來賓指派會儲存在本機 14 天。 在 14 天內,如果連線的電腦代理程式重新連線至服務,則會重新套用原則指派。
- 指派會在 14 天後刪除,且在 14 天期間之後不會再重新指派給機器。
Azure 原則來賓設定價格
計費基礎是已指派一或多個來賓設定的服務,所註冊的伺服器數目。 計費方式為每小時按比例計費。 離線機器 (例如已中斷連線或關閉一整個小時的電腦) 不在計費範圍內。 在下列案例中,來賓設定所管理的 Azure Arc 資源會從計費中排除。
- Azure 自動化:如果由 Azure 自動化所提供的狀態設定或變更追蹤功能會管理機器,則來賓設定指派不在計費範圍內。
- 適用於雲端的 Microsoft Defender:Azure 原則指派 Azure 安全性基準測試方案會建立設定指派。 Azure 原則「法規合規性」類別中,屬於內建原則方案的指派均會建立組態指派。 在適用於雲端的 Microsoft Defender 中所建立之自訂原則方案的 Azure 原則指派。
- Azure Stack HCI:您可以在 Azure Stack HCI 叢集上使用 Azure 權益,讓來賓設定指派不需額外費用即可使用。 您可以將這些權益用於 Azure Stack HCI 和 Azure Stack HCI 叢集中節點所裝載的虛擬機器。
- Azure 安全性基準和非來賓設定 Azure 原則,皆不會觸發任何費用。
針對已啟用 Azure Arc 的伺服器,Azure 原則來賓設定 (包括 Azure 自動化變更追蹤、清查和狀態設定) 的成本為每部伺服器每月 $6。 若要將 Azure 原則來賓設定指派給 Azure VM,則無須額外付費。