使用 Azure Arc 管理 Windows Server 執行個體

  • 12 分鐘

在您將 Windows Server 上線至 Azure Arc 之後,便可使用 Azure 來管理和設定該機器。 下表說明可用的函式。

選項

說明

概觀

可讓您檢閱關於 VM 的基本資訊,包括狀態、位置、訂用帳戶、電腦名稱、作業系統,以及標籤。

活動記錄檔

可讓您檢閱針對 VM 執行的活動清單,以及事件的執行者。

存取控制

可讓您檢閱和管理使用者、群組、服務主體對 Azure 資源的存取。 而且受控項目會建立角色指派,在此範圍進行身分識別。

標籤

可讓您將資源分類的名稱/值組。

擴充

可讓您新增和移除 VM 的延伸模組。

原則

可讓您新增、設定及移除 VM 的原則。

更新管理

可讓您利用更新管理,維持 VM 的一致控制和合規性。

變更追蹤與詳細目錄

可讓您檢閱 VM 的變更追蹤及清查設定。 變更追蹤和清查可協助啟用資源的一致控制和合規性。

深入解析

可讓您使用 Azure 監視器來檢閱 Azure Arc VM 的主機 CPU、磁碟及啟動/關閉狀態。

記錄

可讓您針對記錄執行查詢,以收集 VM 的相關資訊。

管理延伸模組

.VM 延伸模組是小型應用程式,可在 Azure VM 上提供部署後設定及自動化工作。 例如,如果 Contoso 要求 VM 需要安裝一些新軟體,或想要啟用防毒保護,或需要在 VM 內執行指令碼的 IT 人員,則可以使用 VM 延伸模組。 適用於伺服器的 Azure Arc 可讓您將 Azure VM 延伸模組部署至非 Azure Windows 和 Linux Vm;這可協助簡化這些電腦的管理。

您可以從 Azure 入口網站或使用 Azure CLI、Azure PowerShell 和 Azure Resource Manager 範本來管理 VM 延伸模組。 您可以將下表所列和所述的延伸模組新增至 Azure Arc VM。

副檔名

其他資訊

適用於雲端的 Microsoft Defender 整合式弱點掃描器

.Qualys

Microsoft Antimalware 延伸模組

Microsoft.Azure.Security

自訂指令碼延伸模組

Microsoft.Compute.

Log Analytics 代理程式

Microsoft.EnterpriseCloud.Monitoring

適用於 VM 的 Azure 監視器

Microsoft.Azure.Monitoring.DependencyAgent

Azure Key Vault 憑證同步

Microsoft.Azure.Key.Vault

Azure 監視器代理程式

Microsoft.Azure.Monitor

Azure 自動化混合式 Runbook 背景工作角色延伸模組

Microsoft.Compute

使用 Azure 原則治理

Azure 原則 是可以協助組織針對其 Microsoft Azure 環境的組織標準管理及評估合規性的服務。 Azure 原則會使用以目標 Azure 資源類型的屬性為基礎的宣告式規則。 這些規則會形成原則定義,系統管理員可以透過原則指派將這些原則定義套用至個別 Azure 資源、資源群組、訂用帳戶或管理群組之類的範圍。

例如,若要簡化原則定義的管理,Contoso 可以考慮將多個原則結合成方案,如此一來其便只需要建立幾個方案指派,而不是數個原則指派。

Azure 原則功能可以分組成四個主要類別:

  • 在佈建新的 Azure 資源時強制執行合規性
  • 稽核現有 Azure 資源的合規性
  • 補救現有 Azure 資源的非合規性
  • 稽核 Azure VM 內 OS、應用程式設定及環境設定的合規性

提示

上述最後一個類別是使用 Azure 原則客體設定用戶端來加以實作,其是以 Azure VM 擴充功能的形式提供使用。 適用於伺服器的 Azure Arc 會運用相同的用戶端,在混合式案例中提供稽核功能。

尤其 Contoso 可將 Azure 原則與已啟用 ARC 的伺服器搭配使用,來實作下列規則:

  • 在機器部署至 Azure Arc 期間,將標籤指派給機器
  • 將 Log Analytics 延伸模組部署至非 Azure 的機器
  • 在未啟用 Microsoft Defender 的情況下,識別啟用 Arc 的伺服器

Azure Arc 可讓您將 Azure 原則的治理延伸至伺服器和叢集,而這些伺服器和叢集在內部部署資料中心執行,或由協力廠商雲端提供者裝載。 此功能適用於作業系統、應用程式及環境設定的合規性稽核。

注意

若要啟用此功能,必須在管理範圍中的每一部電腦上安裝 Azure Connected Machine 代理程式。

在您安裝代理程式之後,其需要輸出連線能力,才能透過傳輸控制通訊協定 (TCP) 通訊埠 443 連線到 Azure Arc。 此時,所指派原則或方案定義中包含的任何 Azure 原則客體設定用戶端型設定都會自動生效。

尤其是,Contoso 可以使用 [[預覽] 稽核不符合 Azure 安全性基準設定的 Windows VM] 原則方案,根據 Azure 資訊安全中心基準來稽核合規性。 他們也能夠指派 [[預覽] 在 Windows 電腦上設定時區] 原則定義,在目標伺服器上設定時區。 稽核目標電腦時,Contoso 可以選擇在本機或遠端透過可從 Azure 入口網站取得的 AZURE VM Run 命令,來稽核記錄。

注意

若要識別特定原則定義是否支援 Azure 原則客體設定用戶端,您必須判斷其是否包含 Microsoft.HybridCompute/機器資源類型的參考。

指派 Azure Arc 原則

若要管理和指派電腦的 Azure Arc 原則:

  1. 從 Azure 入口網站中,瀏覽至 Azure Arc,然後選取 [管理伺服器]。

  2. 從傳回的受控伺服器清單中,選取適當的伺服器,然後在瀏覽窗格的 [作業] 底下,選取 [原則]。

  3. 若要指派原則,請在工具列上選取 [指派原則]。

  4. 在 [指派原則] 頁面上,選取下列資訊:

    • 原則的範圍及任何要排除的範圍
    • 原則定義。
    • 指派名稱。
    • 描述。
    • 原則強制執行 (已啟用或已停用)

    Azure 入口網站中 [指派原則] 頁面的螢幕擷取畫面。系統管理員正從可用的原則清單中選取。

  5. 選取 [檢閱 + 建立],或 [參數] 和 [補救] 索引標籤來設定其他行為。

從 Azure Arc 首頁指派了原則之後,您可以在選取的 VM 上檢閱原則設定。

VM 上套用原則的螢幕擷取畫面。套用兩個原則,VM (ContosoVM1) 符合其中一個原則規範,但不符合另一個原則規範。

延伸閱讀

您可檢閱下列文件來深入了解。