Grundlegendes zur Azure-Computerkonfiguration

Achtung

Dieser Artikel bezieht sich auf CentOS, eine Linux-Distribution, deren Dienstende (End-of-Life, EOL) ansteht. Sie sollten Ihre Nutzung entsprechend planen. Weitere Informationen finden Sie im CentOS End-of-Life-Leitfaden.

Das Azure Policy-Feature „Computerkonfiguration“ bietet native Funktionalität zum Überprüfen oder Konfigurieren von Betriebssystemeinstellungen als Code, sowohl für in Azure ausgeführte Computer als auch für hybride Arc-fähige Computer. Sie können das Feature direkt computerbezogen nutzen oder mit Azure Policy im großen Stil orchestrieren.

Konfigurationsressourcen in Azure sind als Erweiterungsressourcen konzipiert. Sie können sich jede Konfiguration als zusätzlichen Satz von Eigenschaften für den Computer vorstellen. Konfigurationen können Einstellungen enthalten wie:

  • Betriebssystemeinstellungen
  • Die Konfiguration oder das Vorhandensein der Anwendung
  • Umgebungseinstellungen

Konfigurationen unterscheiden sich von Richtliniendefinitionen. „Computerkonfiguration“ nutzt Azure Policy, um Computern Konfigurationen dynamisch zuzuweisen. Sie können Computern Konfigurationen auch manuell oder mithilfe anderer Azure-Dienste wie AutoManage zuweisen.

Beispiele für jedes Szenario sind in der folgenden Tabelle aufgeführt.

type BESCHREIBUNG Beispielstory
Konfigurationsverwaltung Sie möchten eine vollständige Darstellung eines Servers als Code in der Quellcodeverwaltung. Die Bereitstellung sollte Eigenschaften des Servers (Größe, Netzwerk, Speicher) und die Konfiguration von Betriebssystem- und Anwendungseinstellungen enthalten. "Dieser Computer sollte ein Webserver sein, der zum Hosten meiner Websete konfiguriert ist."
Compliance Sie möchten Einstellungen für alle Computer im Bereich überwachen oder bereitstellen, entweder reaktiv auf vorhandenen Computern oder proaktiv auf neuen Computern, nachdem sie bereitgestellt wurden. "Alle Computer sollten TLS 1.2 verwenden. Vorhandene Computer sollen überprüft werden, damit ich Änderungen dort vornehmen kann, wo sie benötigt werden, und zwar kontrolliert und im großen Stil. Für neue Computer soll die Einstellung erzwungen werden, wenn sie bereitgestellt werden.“

Sie können die Ergebnisse aus Konfigurationen auf der Seite Gastzuweisungen einstellungsbezogen anzeigen. Wenn eine Azure Policy-Zuweisung die Konfiguration orchestriert hat, können Sie auf der Seite Konformitätsdetails den Link „Zuletzt ausgewertete Ressource“ auswählen.

Durchsetzungsmodi für benutzerdefinierte Richtlinien

Um die Durchsetzung und Überwachung von Servereinstellungen, Anwendungen und Workloads zu verbessern, bietet die Computerkonfiguration drei Hauptdurchsetzungsmodi für jede Richtlinienzuweisung, wie in der folgenden Tabelle beschrieben.

Mode Beschreibung
Überwachung Nur Bericht über den Zustand des Computers
Anwenden und überwachen Auf den Computer angewendete Konfiguration und anschließende Überwachung auf Änderungen
Anwenden und automatisch korrigieren Auf den Computer angewendete Konfiguration und im Falle einer Abweichung wiederherstellen der Übereinstimmung

Für dieses Dokument ist ein Video zur exemplarischen Vorgehensweise verfügbar. (Update in Kürze verfügbar)

Computerkonfiguration aktivieren

Sehen Sie sich die folgenden ausführlichen Informationen an, um den Status der Computer in Ihrer Umgebung zu verwalten, einschließlich Computern in Azure und Arc-fähiger Server.

Ressourcenanbieter

Um das Computerkonfigurationsfeature von Azure Policy verwenden zu können, müssen Sie den Microsoft.GuestConfiguration-Ressourcenanbieter registrieren. Wenn die Zuweisung einer Computerkonfigurationsrichtlinie über das Portal erfolgt oder das Abonnement in Microsoft Defender für Cloud registriert ist, wird der Ressourcenanbieter automatisch registriert. Hierfür können Sie über das Portal, die Azure PowerShell oder Azure CLI manuell registrieren.

Bereitstellen von Anforderungen für virtuelle Azure-Computer

Für die Verwaltung von Einstellungen innerhalb eines Computers ist eine VM-Erweiterung aktiviert, und der Computer muss über eine systemseitig verwaltete Identität verfügen. Die Erweiterung lädt die zutreffenden Computerkonfigurationszuweisungen sowie die entsprechenden Abhängigkeiten herunter. Die Identität wird verwendet, um den Computer zu authentifizieren, wenn Lese- und Schreibvorgänge im Computerkonfigurationsdienst ausgeführt werden. Bei Arc-fähigen Servern wird die Erweiterung nicht benötigt, da sie bereits im Arc Connected Machine-Agent enthalten ist.

Wichtig

Für die Verwaltung von virtuellen Azure-Computern sind die Computerkonfigurationserweiterung und eine verwaltete Identität erforderlich.

Wenn Sie die Erweiterung im großen Stil auf vielen Computern bereitstellen möchten, weisen Sie die Richtlinieninitiative Deploy prerequisites to enable Guest Configuration policies on virtual machines zu einer Verwaltungsgruppe, einem Abonnement oder einer Ressourcengruppe mit den Maschinen, die Sie verwalten möchten.

Wenn Sie es vorziehen, die Erweiterung und verwaltete Identität auf einem einzelnen Computer bereitzustellen, lesen Sie Konfigurieren von verwalteten Identitäten für Azure-Ressourcen auf einem virtuellen Computer über das Azure-Portal.

Für die Verwendung von Gastkonfigurationspaketen, die Konfigurationen anwenden, ist die Azure-VM-Gastkonfigurationserweiterung, Version 1.26.24 oder höher, erforderlich.

Wichtig

Die Erstellung einer verwalteten Identität oder Zuweisung einer Richtlinie mit der Rolle „Gastkonfigurations-Ressourcenmitwirkender“ sind Aktionen, die entsprechende Azure RBAC-Berechtigungen erfordern. Weitere Informationen zu Azure Policyund Azure RBAC finden Sie unter rollenbasierte Zugriffssteuerung in Azure Policy.

Für die Erweiterung festgelegte Grenzwerte

Um die Auswirkungen der Erweiterung auf die auf dem Computer ausgeführten Anwendungen zu beschränken, darf der Computerkonfigurations-Agent höchstens 5 % der CPU auslasten. Diese Einschränkung gilt sowohl für integrierte als auch für angepasste Definitionen. Dies gilt auch für den Computerkonfigurationsdienst im Arc Connected Machine-Agent.

Überprüfungstools

Auf dem Computer verwendet der Computerkonfigurations-Agent für die Ausführung von Tasks lokale Tools.

In der folgenden Tabelle sind die lokalen Tools aufgeführt, die unter den jeweiligen unterstützten Betriebssystemen verwendet werden. Bei integrierten Inhalten werden diese Tools in der Computerkonfiguration automatisch geladen.

Betriebssystem Überprüfungstool Notizen
Windows PowerShell Desired State Configuration v2 Wird mittels Sideloading in einen Ordner quergeladen, der nur von Azure Policy verwendet wird. Verursacht keinen Konflikt mit Windows PowerShell DSC. PowerShell wird nicht zum Systempfad hinzugefügt.
Linux PowerShell Desired State Configuration, Version 3 Wird mittels Sideloading in einen Ordner quergeladen, der nur von Azure Policy verwendet wird. PowerShell wird nicht zum Systempfad hinzugefügt.
Linux Chef InSpec Installiert Chef InSpec (Version 2.2.61) am Standardspeicherort und wird dessen Systempfad hinzugefügt. Außerdem werden Abhängigkeiten von InSpec installiert, einschließlich Ruby und Python.

Validierungshäufigkeit

Der Gastkonfigurations-Agent überprüft alle 5 Minuten, ob Gastzuweisungen hinzugefügt oder geändert wurden. Nachdem eine Gastzuweisung empfangen wurde, werden die Einstellungen für diese Konfiguration alle 15 Minuten erneut überprüft. Wenn mehrere Konfigurationen zugewiesen sind, werden diese einzeln nacheinander ausgewertet. Zeitintensive Konfigurationen wirken sich auf das Intervall für alle Konfigurationen aus, da die nächste Konfiguration erst ausgeführt werden kann, wenn die vorherige abgeschlossen ist.

Die Ergebnisse werden nach Abschluss der Überprüfung an den Computerkonfigurationsdienst gesendet. Wenn ein Auswertungstrigger für Richtlinien auftritt, wird der Status des Computers an den Ressourcenanbieter der Computerkonfiguration übermittelt. Dieses Update bewirkt, dass Azure Policy die Azure Resource Manager-Eigenschaften auswertet. Bei einer bei Bedarf ausgelösten Auswertung durch Azure Policy wird der aktuelle Wert beim Ressourcenanbieter der Computerkonfiguration abgerufen. Es wird jedoch keine neue Aktivität auf dem Computer ausgelöst. Der Status wird anschließend an Azure Resource Graph übermittelt.

Unterstützte Clienttypen

Richtliniendefinitionen für die Computerkonfiguration umfassen neue Versionen. Ältere Versionen von Betriebssystemen, die im Azure Marketplace verfügbar sind, sind ausgeschlossen, wenn der Gastkonfigurationsclient nicht kompatibel ist. Darüber hinaus werden Linux-Serverversionen, die von ihren jeweiligen Herausgebern nicht mehr unterstützt werden, von der Supportmatrix ausgeschlossen.

In der folgenden Tabelle werden die für Azure-Images unterstützten Betriebssysteme aufgeführt. Die Angabe .x steht symbolisch für neue Nebenversionen von Linux-Distributionen.

Herausgeber Name Versionen
Alma AlmaLinux 9
Amazon Linux 2
Canonical Ubuntu Server 16.04 - 22.x
Credativ Debian 10.x - 12.x
Microsoft CBL-Mariner 1 - 2
Microsoft Windows-Client Windows 10, 11
Microsoft Windows Server 2012 - 2022
Oracle Oracle-Linux 7.x – 8.x
OpenLogic CentOS 7.3 – 8.x
Red Hat Red Hat Enterprise Linux* 7.4 – 9.x
Rocky Rocky Linux 8
SUSE SLES 12 SP5, 15.x

* Red Hat CoreOS wird nicht unterstützt.

Benutzerdefinierte VM-Images werden von Richtliniendefinitionen für „Computerkonfiguration“ unterstützt, sofern es sich um eines der Betriebssysteme in der vorherigen Tabelle handelt. Die Computerkonfiguration unterstützt VMSS Uniform nicht, unterstützt aber VMSS Flex.

Netzwerkanforderungen

Virtuelle Azure-Computer können entweder ihren lokalen virtuellen Netzwerkadapter (vNIC) oder Azure Private Link verwenden, um mit dem Computerkonfigurationsdienst zu kommunizieren.

Computer mit Azure Arc-Unterstützung stellen mithilfe der lokalen Netzwerkinfrastruktur eine Verbindung her, um Azure-Dienste zu erreichen und den Compliancestatus zu melden.

Im Folgenden finden Sie eine Liste der Azure Storage-Endpunkte, die für Azure-VMs und VMs mit Azure Arc-Unterstützung erforderlich sind, um mit dem Ressourcenanbieter für die Computerkonfiguration in Azure zu kommunizieren:

  • oaasguestconfigac2s1.blob.core.windows.net
  • oaasguestconfigacs1.blob.core.windows.net
  • oaasguestconfigaes1.blob.core.windows.net
  • oaasguestconfigases1.blob.core.windows.net
  • oaasguestconfigbrses1.blob.core.windows.net
  • oaasguestconfigbrss1.blob.core.windows.net
  • oaasguestconfigccs1.blob.core.windows.net
  • oaasguestconfigces1.blob.core.windows.net
  • oaasguestconfigcids1.blob.core.windows.net
  • oaasguestconfigcuss1.blob.core.windows.net
  • oaasguestconfigeaps1.blob.core.windows.net
  • oaasguestconfigeas1.blob.core.windows.net
  • oaasguestconfigeus2s1.blob.core.windows.net
  • oaasguestconfigeuss1.blob.core.windows.net
  • oaasguestconfigfcs1.blob.core.windows.net
  • oaasguestconfigfss1.blob.core.windows.net
  • oaasguestconfiggewcs1.blob.core.windows.net
  • oaasguestconfiggns1.blob.core.windows.net
  • oaasguestconfiggwcs1.blob.core.windows.net
  • oaasguestconfigjiws1.blob.core.windows.net
  • oaasguestconfigjpes1.blob.core.windows.net
  • oaasguestconfigjpws1.blob.core.windows.net
  • oaasguestconfigkcs1.blob.core.windows.net
  • oaasguestconfigkss1.blob.core.windows.net
  • oaasguestconfigncuss1.blob.core.windows.net
  • oaasguestconfignes1.blob.core.windows.net
  • oaasguestconfignres1.blob.core.windows.net
  • oaasguestconfignrws1.blob.core.windows.net
  • oaasguestconfigqacs1.blob.core.windows.net
  • oaasguestconfigsans1.blob.core.windows.net
  • oaasguestconfigscuss1.blob.core.windows.net
  • oaasguestconfigseas1.blob.core.windows.net
  • oaasguestconfigsecs1.blob.core.windows.net
  • oaasguestconfigsfns1.blob.core.windows.net
  • oaasguestconfigsfws1.blob.core.windows.net
  • oaasguestconfigsids1.blob.core.windows.net
  • oaasguestconfigstzns1.blob.core.windows.net
  • oaasguestconfigswcs1.blob.core.windows.net
  • oaasguestconfigswns1.blob.core.windows.net
  • oaasguestconfigswss1.blob.core.windows.net
  • oaasguestconfigswws1.blob.core.windows.net
  • oaasguestconfiguaecs1.blob.core.windows.net
  • oaasguestconfiguaens1.blob.core.windows.net
  • oaasguestconfigukss1.blob.core.windows.net
  • oaasguestconfigukws1.blob.core.windows.net
  • oaasguestconfigwcuss1.blob.core.windows.net
  • oaasguestconfigwes1.blob.core.windows.net
  • oaasguestconfigwids1.blob.core.windows.net
  • oaasguestconfigwus2s1.blob.core.windows.net
  • oaasguestconfigwus3s1.blob.core.windows.net
  • oaasguestconfigwuss1.blob.core.windows.net

Kommunizieren über virtuelle Netzwerke in Azure

Für die Kommunikation mit dem Ressourcenanbieter von „Computerkonfiguration“ in Azure benötigen Computer ausgehenden Zugriff auf Azure-Rechenzentren über Port 443*. Wenn ein Netzwerk in Azure keinen ausgehenden Datenverkehr zulässt, müssen Ausnahmen über Netzwerksicherheitsgruppen-Regeln konfiguriert werden. Die DiensttagsAzureArcInfrastructure und Storage können verwendet werden, um auf den Gastkonfigurations- und Storage-Dienst zu verweisen, damit die Liste der IP-Adressbereiche für Azure-Rechenzentren nicht manuell geführt werden muss. Beide Tags sind erforderlich, da Inhaltspakete für „Computerkonfiguration“ von Azure Storage gehostet werden.

Für die Kommunikation mit dem Computerkonfigurationsdienst können virtuelle Computer eine private Verbindung verwenden. Wenden Sie ein Tag mit dem Namen EnablePrivateNetworkGC und dem Wert TRUE an, um dieses Feature zu aktivieren. Das Tag kann vor oder nach der Anwendung der Richtliniendefinitionen der Computerkonfiguration auf den Computer angewendet werden.

Wichtig

Für die Kommunikation über eine private Verbindung für benutzerdefinierte Pakete muss der Link zum Speicherort des Pakets der Liste zulässiger URLs hinzugefügt werden.

Der Datenverkehr wird mithilfe der virtuellen öffentlichen IP-Adresse von Azure weitergeleitet, um einen sicheren, authentifizierten Kanal mit Azure-Plattformressourcen einzurichten.

Kommunikation über öffentliche Endpunkte außerhalb von Azure

Server, die sich in lokalen Umgebungen oder in anderen Clouds befinden, können mithilfe der Computerkonfiguration verwaltet werden, indem sie mit Azure Arc verbunden werden.

Lassen Sie bei Servern mit Azure Arc-Unterstützung den Datenverkehr anhand der folgenden Muster zu:

  • Port: Für ausgehenden Zugriff auf das Internet ist nur TCP 443 erforderlich
  • Globale URL: *.guestconfiguration.azure.com

Unter Netzwerkanforderungen für Server mit Azure Arc-Unterstützung finden Sie eine vollständige Liste aller Netzwerkendpunkte, die vom Azure Connected Machine-Agent für wichtige Azure Arc- und Computerkonfigurationsszenarien erforderlich sind.

Bei Verwendung einer privaten Verbindung mit Arc-fähigen Servern werden integrierte Richtlinienpakete automatisch über die private Verbindung heruntergeladen. Sie müssen auf dem Arc-fähigen Server keine Tags festlegen, um dieses Feature zu aktivieren.

Zuweisen von Richtlinien zu Computern außerhalb von Azure

Die für die Computerkonfiguration verfügbaren Überwachungsrichtliniendefinitionen umfassen den Ressourcentyp Microsoft.HybridCompute/machines. Alle Computer, für die ein Onboarding auf Servern mit Azure Arc-Unterstützung durchgeführt wurde und die sich im Geltungsbereich der Richtlinienzuweisung befinden, werden automatisch eingeschlossen.

Anforderungen für verwaltete Identitäten

Durch die Richtliniendefinitionen in der Initiative Deploy prerequisites to enable guest configuration policies on virtual machines wird eine systemseitig zugewiesene verwaltete Identität aktiviert, sofern noch keine solche vorhanden ist. Die Initiative enthält zwei Richtliniendefinitionen, durch die die Identitätserstellung verwaltet wird. Die if-Bedingungen in den Richtliniendefinitionen gewährleisten das ordnungsgemäße Verhalten basierend auf dem aktuellen Zustand der Computerressource in Azure.

Wichtig

Diese Definitionen erstellen eine vom System zugewiesene verwaltete Identität auf den Zielressourcen, zusätzlich zu vorhandenen benutzerzugewiesenen Identitäten (sofern vorhanden). Wenn die benutzerseitig zugewiesene Identität nicht extra angegeben wird, wird auf dem Computer für vorhandene Anwendungen standardmäßig die systemseitig zugewiesene Identität verwendet. Weitere Informationen

Wenn der Computer derzeit über keine verwalteten Identitäten verfügt, ist die effektive Richtlinie: Systemseitig zugewiesene verwaltete Identität hinzufügen, um Gastkonfigurationszuweisungen auf VMs ohne Identität zu aktivieren.

Wenn der Computer derzeit über eine benutzerseitig zugewiesene Systemidentität verfügt, ist die effektive Richtlinie: Systemseitig zugewiesene verwaltete Identität hinzufügen, um Gastkonfigurationszuweisungen auf VMs mit einer benutzerseitig zugewiesenen verwalteten Identität zu aktivieren.

Verfügbarkeit

Kunden, die eine hochverfügbare Lösung entwerfen, sollten die Anforderungen an die Redundanzplanung für virtuelle Computer berücksichtigen, da Gastzuweisungen Erweiterungen von Computerressourcen in Azure sind. Wenn Gastzuweisungsressourcen in einer gekoppelten Azure-Region bereitgestellt werden, können Sie Berichte über Gastzuweisungen anzeigen, wenn mindestens eine Region in der Kopplung verfügbar ist. Wenn die Azure-Region nicht gekoppelt und nicht mehr verfügbar ist, können Sie nicht auf Berichte zu einer Gastzuweisung zugreifen. Nach Wiederherstellung der Region können Sie wieder auf die Berichte zugreifen.

Bewährte hat sich die Methode, allen Computern in der Lösung für hochverfügbare Anwendungen die gleichen Richtliniendefinitionen mit den gleichen Parametern zuzuweisen. Dies gilt insbesondere für Szenarien, in denen virtuelle Computer in Verfügbarkeitsgruppen hinter einer Lastenausgleichslösung bereitgestellt werden. Eine einzelne Richtlinienzuweisung für alle Computer ist mit dem geringsten Verwaltungsaufwand verbunden.

Stellen Sie für durch Azure Site Recovery geschützte Computer sicher, dass sie sich am primären und sekundären Standort innerhalb des Bereichs von Azure Policy-Zuweisungen mit denselben Definitionen befinden. Verwenden Sie für beide Standorte die gleichen Parameterwerte.

Datenresidenz

„Computerkonfiguration“ speichert und verarbeitet Kundendaten. Standardmäßig werden Kundendaten in die gekoppelte Region repliziert. Für die Regionen Singapur, Brasilien, Süden und Asien, Osten werden alle Kundendaten in der Region gespeichert und verarbeitet.

Problembehandlung bei der Computerkonfiguration

Weitere Informationen zur Problembehandlung bei der Computerkonfiguration finden Sie unter Problembehandlung mit Azure Policy.

Mehrere Zuweisungen

Derzeit unterstützen nur einige integrierte Richtliniendefinitionen für „Computerkonfiguration“ mehrere Zuweisungen. Alle benutzerdefinierten Richtlinien unterstützen jedoch standardmäßig mehrere Zuweisungen, wenn Sie mit der neuesten Version des PowerShell-Moduls GuestConfiguration Computerkonfigurationspaketen und -richtlinien erstellt haben.

Es folgt die Liste integrierter Richtliniendefinitionen für „Computerkonfiguration“, die mehrere Zuweisungen unterstützen:

ID DisplayName
/providers/Microsoft.Authorization/policyDefinitions/5fe81c49-16b6-4870-9cee-45d13bf902ce Lokale Authentifizierungsmethoden sollten auf Windows-Servern deaktiviert werden
/providers/Microsoft.Authorization/policyDefinitions/fad40cac-a972-4db0-b204-f1b15cced89a Lokale Authentifizierungsmethoden sollten auf Linux-Servern deaktiviert werden
/providers/Microsoft.Authorization/policyDefinitions/f40c7c00-b4e3-4068-a315-5fe81347a904 [Vorschau]: Hinzufügen einer benutzerseitig zugewiesenen verwalteten Identität zum Aktivieren von Gastkonfigurationszuweisungen auf virtuellen Computern
/providers/Microsoft.Authorization/policyDefinitions/63594bb8-43bb-4bf0-bbf8-c67e5c28cb65 [Vorschau]: Linux-Computer müssen die STIG-Complianceanforderung für Azure Compute erfüllen
/providers/Microsoft.Authorization/policyDefinitions/50c52fc9-cb21-4d99-9031-d6a0c613361c [Vorschau]: Windows-Computer müssen die STIG-Konformitätsanforderungen für Azure Compute erfüllen
/providers/Microsoft.Authorization/policyDefinitions/e79ffbda-ff85-465d-ab8e-7e58a557660f [Vorschau]: Auf Linux-Computern mit installierter OMI muss mindestens Version 1.6.8-1 installiert sein
/providers/Microsoft.Authorization/policyDefinitions/934345e1-4dfb-4c70-90d7-41990dc9608b Windows-Computer überwachen, die nicht die angegebenen Zertifikate im vertrauenswürdigen Stamm enthalten
/providers/Microsoft.Authorization/policyDefinitions/08a2f2d2-94b2-4a7b-aa3b-bb3f523ee6fd Windows-Computer mit nicht konformer DSC-Konfiguration überwachen
/providers/Microsoft.Authorization/policyDefinitions/c648fbbb-591c-4acd-b465-ce9b176ca173 Windows-VMs ohne die angegebene Windows PowerShell-Ausführungsrichtlinie überwachen
/providers/Microsoft.Authorization/policyDefinitions/3e4e2bd5-15a2-4628-b3e1-58977e9793f3 Windows-VMs ohne Installation der angegebenen Windows PowerShell-Module überwachen
/providers/Microsoft.Authorization/policyDefinitions/58c460e9-7573-4bb2-9676-339c2f2486bb Windows-Computer ohne aktivierte serielle Windows-Konsole überwachen
/providers/Microsoft.Authorization/policyDefinitions/e6ebf138-3d71-4935-a13b-9c7fdddd94df Windows-Computer überwachen, auf denen die angegebenen Dienste nicht installiert sind und ausgeführt werden
/providers/Microsoft.Authorization/policyDefinitions/c633f6a2-7f8b-4d9e-9456-02f0f04f5505 Windows-Computer überwachen, die nicht auf die angegebene Zeitzone festgelegt sind

Hinweis

Überprüfen Sie diese Seite in regelmäßigen Abständen auf Aktualisierungen der Liste integrierter Richtliniendefinitionen für „Computerkonfiguration“, die mehrere Zuweisungen unterstützen.

Zuweisungen zu Azure-Verwaltungsgruppen

Azure Policy-Definitionen in der Kategorie Guest Configuration können Verwaltungsgruppen zugewiesen werden, wenn die Auswirkung AuditIfNotExists oder DeployIfNotExists ist.

Protokolldateien des Clients

Die Computerkonfigurationserweiterung schreibt Protokolldateien an die folgenden Speicherorte:

Windows

  • Azure-VM: C:\ProgramData\GuestConfig\gc_agent_logs\gc_agent.log
  • Arc-fähiger Server: C:\ProgramData\GuestConfig\arc_policy_logs\gc_agent.log

Linux

  • Azure-VM: /var/lib/GuestConfig/gc_agent_logs/gc_agent.log
  • Arc-fähiger Server: /var/lib/GuestConfig/arc_policy_logs/gc_agent.log

Remotesammeln von Protokollen

Im ersten Schritt bei der Problembehandlung von Computerkonfigurationen oder Modulen sollten die Cmdlets entsprechend den unter Testen von Computerkonfigurations-Paketartefakten beschriebenen Schritten ausgeführt werden. Wenn dies nicht erfolgreich ist, kann das Sammeln von Clientprotokollen helfen, Probleme zu diagnostizieren.

Windows

Erfassen Sie Informationen aus Protokolldateien mithilfe des Azure-VM-Befehls Ausführen, wobei das folgende PowerShell-Beispiel hilfreich sein kann.

$linesToIncludeBeforeMatch = 0
$linesToIncludeAfterMatch  = 10
$params = @{
    Path = 'C:\ProgramData\GuestConfig\gc_agent_logs\gc_agent.log'
    Pattern = @(
        'DSCEngine'
        'DSCManagedEngine'
    )
    CaseSensitive = $true
    Context = @(
        $linesToIncludeBeforeMatch
        $linesToIncludeAfterMatch
    )
}
Select-String @params | Select-Object -Last 10

Linux

Erfassen Sie Informationen aus Protokolldateien mithilfe des Azure VM-Befehls Ausführen, wobei das folgende Bash-Beispiel hilfreich sein kann.

LINES_TO_INCLUDE_BEFORE_MATCH=0
LINES_TO_INCLUDE_AFTER_MATCH=10
LOGPATH=/var/lib/GuestConfig/gc_agent_logs/gc_agent.log
egrep -B $LINES_TO_INCLUDE_BEFORE_MATCH -A $LINES_TO_INCLUDE_AFTER_MATCH 'DSCEngine|DSCManagedEngine' $LOGPATH | tail

Agent-Dateien

Der Computerkonfigurations-Agent lädt Inhaltspakete auf einen Computer herunter und extrahiert deren Inhalte. Um zu überprüfen, welche Inhalte heruntergeladen und gespeichert wurden, sehen Sie sich die Ordnerspeicherorte in der folgenden Liste an.

  • Windows: C:\ProgramData\guestconfig\configuration
  • Linux: /var/lib/GuestConfig/Configuration

Funktionen des Open-Source-Moduls nxtools

Das neue Open-Source-Modul nxtools wurde veröffentlicht, um die Verwaltung von Linux-Systemen für PowerShell-Benutzer zu vereinfachen.

Das Modul unterstützt Sie bei allgemeinen Aufgaben wie z. B.:

  • Verwalten von Benutzern und Gruppen
  • Ausführen von Dateisystemvorgängen
  • Verwalten von Diensten
  • Ausführen von Archivvorgängen
  • Verwalten von Paketen

Das Modul enthält klassenbasierte DSC-Ressourcen für Linux sowie integrierte Computerkonfigurationspakete.

Um Feedback zu dieser Funktionalität zu geben, erstellen Sie ein Issue zur Dokumentation. Wir akzeptieren derzeit keine PRs für dieses Projekt, und Unterstützung wird auf bestmögliche Weise bereitgestellt.

Computerkonfigurationsbeispiele

Beispiele für integrierte Computerkonfigurationsrichtlinien finden Sie unter:

Nächste Schritte