Options de correction pour la configuration de machine

Avant de commencer, nous vous conseillons de lire la page de présentation de la configuration machine.

Important

L’extension de configuration machine est requise pour les machines virtuelles Azure. Pour déployer l’extension à grande échelle sur toutes les machines, attribuez l’initiative de stratégie suivante : Deploy prerequisites to enable guest configuration policies on virtual machines

Pour utiliser les packages de configuration de la machine qui appliquent des configurations, l’extension de configuration invité de machine virtuelle Azure version 1.26.24 ou ultérieure, ou l’agent Arc version 1.10.0 ou version ultérieure, sont requis.

Les définitions de stratégie de configuration d’ordinateur personnalisées utilisant AuditIfNotExists et DeployIfNotExists sont incluses dans l’état de prise en charge en disponibilité générale (GA).

Comment la configuration d’ordinateur gère la correction (Set)

La configuration machine utilise l’effet de stratégie DeployIfNotExists pour les définitions qui apportent des modifications à l’intérieur des machines. Définissez les propriétés d’une attribution de stratégie pour contrôler la façon dont une évaluation fournit des configurations automatiquement ou à la demande.

Un guide vidéo de ce document est disponible.

Types d’attributions de configuration de la machine

Trois types d’attribution sont disponibles lors de la création d’attributions d’invité. La propriété est disponible en tant que paramètre des définitions de configuration de la machine qui prennent en charge DeployIfNotExists.

La propriété assignmentType respecte la casse

Type d’attribution Comportement
Audit Rendre compte de l’état de la machine, mais ne pas apporter de modifications.
ApplyAndMonitor Appliqué une fois à la machine, puis analysé pour suivre les modifications. Si la configuration dérive et devient NonCompliant, elle n’est pas corrigée automatiquement, sauf si une correction est déclenchée.
ApplyAndAutoCorrect Appliqué à la machine. En cas de dérive, le service local à l’intérieur de la machine effectue une correction lors de l’évaluation suivante.

Lorsqu’une nouvelle affectation de stratégie est attribuée à un ordinateur existant, une affectation d’invité est automatiquement créée pour auditer d’abord l’état de la configuration. L’audit vous fournit des informations que vous pouvez utiliser pour déterminer les ordinateurs à corriger.

Correction à la demande (ApplyAndMonitor)

Par défaut, les affectations de configuration d’ordinateur fonctionnent dans un scénario de correction à la demande. La configuration est appliquée, puis autorisée à dériver par rapport à la conformité.

L’état de conformité de l’affectation d’invité est Compliant, sauf si :

  • Une erreur se produit lors de l’application de la configuration
  • L’ordinateur n’est plus dans l’état souhaité lors de la prochaine évaluation

Lorsque l’une de ces conditions est remplie, l’agent signale l’état comme NonCompliant et n’effectue pas de correction automatique.

Pour activer ce comportement, définissez la propriété assignmentType de l’affectation de configuration d’ordinateur sur ApplyandMonitor. Chaque fois que l’affectation est traitée à l’intérieur de l’ordinateur, l’agent signale Compliant pour chaque ressource lorsque la méthode Test retourne $true ou NonCompliant si elle retourne $false.

Correction continue (automatique)

La configuration d’ordinateur prend en charge le concept de correction continue. Si la machine dérive de la conformité pour une configuration, lors de l’évaluation suivante, la configuration est corrigée automatiquement. Si aucune erreur ne se produit, l’ordinateur signale toujours l’état Compliant pour la configuration. Lors de l’utilisation de la correction continue, il n’existe aucun moyen de signaler qu’une dérive a été corrigée automatiquement.

Pour activer ce comportement, définissez la propriété assignmentType de l’affectation de configuration d'ordinateur sur ApplyandAutoCorrect. Chaque fois que l’affectation est traitée à l’intérieur de l’ordinateur, la méthode Set s’exécute automatiquement pour chaque ressource, et la méthode Test renvoie false.

Désactiver la correction

Lorsque la propriété assignmentType est définie sur Audit, l’agent effectue uniquement un audit de l’ordinateur et ne tente pas de corriger la configuration si elle n’est pas conforme.

Désactiver la correction du contenu personnalisé

Vous pouvez remplacer la propriété de type d’attribution pour les packages de contenu personnalisé en ajoutant une étiquette à la machine avec le nom CustomGuestConfigurationSetPolicy et la valeur disable. L’ajout de l’étiquette désactive la correction des packages de contenu personnalisé uniquement, pas le contenu intégré fourni par Microsoft.

Mise en conformité d’Azure Policy

Les attributions d’Azure Policy incluent un Mode de mise en conformité de propriété requise qui détermine le comportement des ressources nouvelles et existantes. Utilisez cette propriété pour contrôler si les configurations sont automatiquement appliquées aux machines.

Par défaut, l’application est définie sur Enabled. Azure Policy applique automatiquement la configuration lorsqu’un nouvel ordinateur est déployé. Il applique également la configuration lorsque les propriétés d’un ordinateur dans l’étendue d’une affectation d’Azure Policy avec une stratégie dans la catégorie Guest Configuration sont mises à jour. Les opérations de mise à jour incluent des actions qui se produisent dans Azure Resource Manager, comme l’ajout ou la modification d’une balise. Les opérations de mise à jour incluent également des modifications pour les machines virtuelles telles que le redimensionnement ou l’attachement d’un disque.

Laissez la mise en conformité activée si la configuration doit être corrigée lorsque des modifications sont apportées à la ressource machine dans Azure. Les modifications qui se produisent à l’intérieur de la machine ne déclenchent pas de correction automatique tant qu’elles ne modifient pas la ressource machine dans Azure Resource Manager.

Si la mise en conformité est définie sur Disabled, l’affectation de configuration vérifie l’état de l’ordinateur jusqu’à ce que le comportement soit modifié par une tâche de correction. Par défaut, les définitions de configuration d’ordinateur mettent à jour la propriété assignmentType de Audit à ApplyandMonitor de sorte que la configuration soit appliquée une seule fois, puis ne s’applique plus tant qu’une correction n’a pas été déclenchée.

Facultatif : corriger tous les ordinateurs existants

Si une affectation Azure Policy est créée à partir du portail Azure, sous l’onglet « Correction », une case à cocher « Créer une tâche de correction » est disponible. Quand cette case est activée, une fois l’affectation de stratégie créée, les tâches de correction corrigent automatiquement toutes les ressources dont la valeur est NonCompliant.

L’effet de ce paramètre pour la configuration d’ordinateur est que vous pouvez déployer une configuration sur plusieurs ordinateurs en attribuant une stratégie. Vous n’aurez pas besoin d’exécuter la tâche de correction manuellement pour les ordinateurs qui ne sont pas conformes.

Déclencher manuellement une correction en dehors d’Azure Policy

Vous pouvez orchestrer une correction en dehors d’Azure Policy en mettant à jour une ressource d’affectation d’invité, même si la mise à jour n’apporte pas de modification aux propriétés de la ressource.

Lors de la création d’une affectation de configuration d’ordinateur, la propriété complianceStatus est définie sur Pending. Le service de configuration d’ordinateur demande une liste d’affectations toutes les 5 minutes. Si le paramètre complianceStatus de l’affectation de configuration d’ordinateur est Pending et que son paramètre configurationMode est ApplyandMonitor ou ApplyandAutoCorrect, le service de l’ordinateur applique la configuration.

Une fois la configuration appliquée, le mode de configuration dicte si le comportement consiste uniquement à rendre compte de l’état de conformité et à autoriser la dérive, ou à effectuer une correction automatique.

Compréhension des combinaisons de paramètres

~ Audit ApplyandMonitor ApplyandAutoCorrect
Mise en conformité activée État des rapports uniquement Configuration appliquée lors de la création de la machine virtuelle et réappliquée lors de la mise à jour. Autrement, dérive autorisée Configuration appliquée lors de la création de la machine virtuelle et réappliquée lors de la mise à jour, puis corrigée à l’intervalle suivant en cas de dérive
Mise en conformité désactivée État des rapports uniquement Configuration appliquée mais dérive autorisée Configuration appliquée lors de la création ou de la mise jour de la machine virtuelle, puis corrigée à l’intervalle suivant en cas de dérive.

Étapes suivantes