Conectar computadores em escala usando a Política de Grupo

Você pode integrar computadores Windows associados ao Active Directory a servidores habilitados para Azure Arc em escala usando Políticas de Grupo.

Primeiro você precisa configurar um compartilhamento remoto local com o Connected Machine Agent e modificar um script que especifique a zona de destino do servidor habilitado para Arc no Azure. Em seguida, você executará um script que gera um GPO (Objeto de Política de Grupo) para integrar um grupo de computadores aos servidores habilitados para Azure Arc. Esse Objeto de Política de Grupo pode ser aplicado no nível do site, no nível do domínio ou no nível organizacional. A atribuição também pode usar ACLs (Listas de Controle de Acesso) e outras filtragens de segurança nativas da Política de Grupo. Os computadores no escopo da Política de Grupo serão integrados aos servidores habilitados para Azure Arc. Defina o escopo do GPO para incluir apenas os computadores que você deseja integrar ao Azure Arc.

Antes de começar, examine os pré-requisitos e verifique se a sua assinatura e os recursos atendem aos requisitos. Para obter informações sobre as regiões com suporte e outras considerações relacionadas, confira Regiões com suporte do Azure. Examine também nosso guia de planejamento em escala para entender os critérios de design e implantação, bem como nossas recomendações de gerenciamento e monitoramento.

Se você não tiver uma assinatura do Azure, crie uma conta gratuita antes de começar.

Conexão automática do SQL Server

Quando você conecta um servidor Windows ou Linux ao Azure Arc que também tem o Microsoft SQL Server instalado, as instâncias do SQL Server também são conectadas automaticamente ao Azure Arc. O SQL Server habilitado pelo Azure Arc fornece um inventário detalhado e recursos de gerenciamento adicionais para suas instâncias e bancos de dados do SQL Server. Como parte do processo de conexão, uma extensão é implantada no servidor habilitado para Azure Arc e novas funções serão aplicadas ao SQL Server e aos bancos de dados. Se você não quiser conectar automaticamente seus SQL Servers ao Azure Arc, poderá recusar a adição de uma marca ao servidor Windows ou Linux com o nome ArcSQLServerExtensionDeployment e o valor Disabled quando ele estiver conectado ao Azure Arc.

Para obter mais informações, confira Gerenciar conexão automática para o SQL Server habilitado pelo Azure Arc.

Preparar um compartilhamento remoto e criar uma entidade de serviço

O Objeto de Política de Grupo usado para integrar servidores habilitados para Azure Arc exige um compartilhamento remoto com o Connected Machine Agent. Você precisará:

  1. Preparar um compartilhamento remoto para hospedar o pacote do agente do Connected Machine para Windows e o arquivo de configuração. Você deverá ser capaz de adicionar arquivos à localização distribuída. O compartilhamento de rede deve fornecer Controladores de Domínio e computadores de domínio com permissões de alteração e administradores de domínio com permissões de Controle Total.

  2. Siga as etapas para criar uma entidade de serviço para integração em escala.

    • Atribua a função de integração do Azure Connected Machine à sua entidade de serviço e limite o escopo da função à zona de aterrissagem de destino do Azure.
    • Anote o Segredo da Entidade de Serviço; você precisará desse valor mais tarde.
  3. Baixe e descompacte a pasta ArcEnabledServersGroupPolicy_vX.X.X de https://github.com/Azure/ArcEnabledServersGroupPolicy/releases/latest/. Esta pasta contém a estrutura do projeto ArcGPO com os scripts EnableAzureArc.ps1, DeployGPO.ps1 e AzureArcDeployment.psm1. Esses ativos serão usados para integrar o computador aos servidores habilitados para Azure Arc.

  4. Baixe a versão mais recente do Pacote do Windows Installer do Azure Connected Machine Agent no Centro de Download da Microsoft e salve-o no compartilhamento remoto.

  5. Execute o script de implantação DeployGPO.ps1, modificando os parâmetros de execução para DomainFQDN, ReportServerFQDN, ArcRemoteShare, segredo da Entidade de Serviço, ID do Cliente da Entidade de Serviço, ID da Assinatura, Grupo de Recursos, Região, Locatário e AgentProxy (se aplicável):

    .\DeployGPO.ps1 -DomainFQDN contoso.com -ReportServerFQDN Server.contoso.com -ArcRemoteShare AzureArcOnBoard -ServicePrincipalSecret $ServicePrincipalSecret -ServicePrincipalClientId $ServicePrincipalClientId -SubscriptionId $SubscriptionId -ResourceGroup $ResourceGroup -Location $Location -TenantId $TenantId [-AgentProxy $AgentProxy]
    

Aplicar o Objeto de Política de Grupo

No GPMC (Console de Gerenciamento de Política de Grupo), clique com o botão direito do mouse na Unidade Organizacional desejada e vincule o GPO chamado [MSFT] Servidores Azure Arc (datetime). Esse é o Objeto de Política de Grupo que tem a Tarefa Agendada para integrar os computadores. Depois de 10 ou 20 minutos, o Objeto de Política de Grupo será replicado para os respectivos controladores de domínio. Saiba mais sobre como criar e gerenciar políticas de grupo no Microsoft Entra Domain Services.

Depois de ter instalado o agente com êxito e configurado para conexão com os servidores habilitados para Azure Arc, vá para o portal do Azure e verifique se os servidores na sua Unidade Organizacional se conectaram com êxito. Veja seus computadores no portal do Azure.

Importante

Depois de confirmar que os servidores foram integrados com êxito ao Arc, desabilite o Objeto de Política de Grupo. Isso impedirá que os mesmos comandos do Powershell nas tarefas agendadas sejam executados quando o sistema for reinicializado ou quando a política de grupo for atualizada.

Próximas etapas