Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Die cloudeigene Richtlinienverwaltung ergänzt herkömmliche Active Directory-Gruppenrichtlinienobjekte (GPOs) mit Azure-gestützter Überwachung und Durchsetzung. In einem herkömmlichen Setup erzwingen GPOs in Active Directory Konfigurationen, z. B. Kennwortrichtlinien und Überwachungseinstellungen auf Ihren Servern. Azure bietet ähnliche Funktionen über Azure-Richtlinie, die ein Gastkonfigurationsfeature enthält, das Einstellungen auf virtuellen Computern (VMs) überwachen und konfigurieren kann.
Mit Azure Policy können Sie wichtige Einstellungen mit integrierten und benutzerdefinierten Richtliniendefinitionen überwachen, um eine ganzheitliche Ansicht Ihrer Umgebung bereitzustellen. Im Laufe der Zeit können Sie Konfigurationen erzwingen, sodass unabhängig davon, ob ein Server lokal oder in Azure ist, Ihre Standards erfüllt und "Richtlinie als Code" in Ihrer Hybridumgebung bereitgestellt wird.
Lassen Sie uns erläutern, wie Azure-Richtlinie für Server funktioniert und wie sie mit Gruppenrichtlinien verglichen wird.
Azure-Computerkonfiguration
Azure-Richtlinie gilt in der Regel für Cloudressourcen. Die Azure-Computerkonfiguration (zuvor azure Policy Guest Configuration genannt) erweitert Die Azure-Richtlinie innerhalb des Betriebssystems, sodass Sie GPO-ähnliche Kontrolle über arc-verbundene Server erhalten. Die Computerkonfiguration verwendet die Desired State Configuration (DSC) unter der Haube, um Betriebssystemeinstellungen auf VMs oder Arc-fähigen Servern zu überprüfen oder festzulegen. Beispielsweise kann Azure Policy überwachen, ob die Richtlinie für die Kennwortkomplexität auf einem Windows-Server anforderungen erfüllt oder sogar festgelegt wird, wenn dies nicht der Grund ist. Microsoft stellt integrierte Computerkonfigurationsrichtlinien für allgemeine Szenarien bereit, z. B. sicherstellen, dass die Windows-Firewall aktiviert ist, die Mindestlänge des Kennworts X ist oder bestimmte Dienste ausgeführt werden. Diese Funktion ähnelt gruppenrichtlinienvorlagen, und viele der gleichen Einstellungen können von beiden Tools erzwungen werden.
Die Azure-Richtlinie wertet die Compliance kontinuierlich aus und stellt ein einzelnes Dashboard bereit, in dem alle Computer und deren Compliancestatus angezeigt werden. Um die gleichen Informationen über Active Directory abzurufen, müssen Sie möglicherweise den Resultsant Set of Policy (RSoP) auf jedem Server durchkämpfen oder zusätzliche Tools verwenden.
Ein wichtiger Unterschied besteht darin, dass Die Azure-Richtlinie auf Azure-Ressourcenebene (Abonnement, Ressourcengruppe oder einzelner Computerbereich) angewendet wird, während GPOs auf Domänen-/Organisationseinheitsebenen (OU)-Ebenen auf In die Domäne eingebundene Computer angewendet werden. Mit Azure können Sie eine Richtlinie auf alle Arc-Server in einer Ressourcengruppe (möglicherweise eine Abteilung darstellen) in einer Zuordnung ausrichten. Auch wenn sich diese Server nicht in derselben ORGANISATIONSeinheit befinden, werden sie von der Richtlinie abgedeckt, solange sie sich in diesem Azure-Bereich befinden.
Zusätzlich zur Überwachung der Compliance können Sie Richtlinien erzwingen oder korrigieren. Wenn z. B. das Remotedesktopprotokoll (REMOTE Desktop Protocol, RDP) eines Servers nicht auf die erforderliche Verschlüsselung festgelegt ist, könnte eine Korrekturrichtlinie sie auf die Kompatibilität kippen. Mit Arc-fähigen Servern wendet eine Erweiterung die gewünschte Einstellung (über DSC) auf jedem nicht kompatiblen Computer an.
Gewünschte Zustandskonfiguration
Wenn Sie über benutzerdefinierte Konfigurationsanforderungen verfügen, sind Sie nicht auf integrierte Richtlinien beschränkt. Mit der Azure-Gastkonfiguration können Sie Ihre eigenen DSC-Konfigurationen oder Skripts mitbringen und als (oder in) einer Richtlinie bereitstellen. Diese Option entspricht dem Schreiben einer benutzerdefinierten administrativen GPO-Vorlage oder eines Startskripts.
Wenn Sie z. B. über eine bestimmte Registrierungseinstellung verfügen, die von keiner von Microsoft bereitgestellten Richtlinie abgedeckt ist, können Sie ein DSC-Skript schreiben, um es zu überprüfen und zu erzwingen, und dies dann in eine Azure-Richtlinie umschließen. Auf diese Weise wird Azure Zu Ihrem One-Stop-Shop, um sowohl Standard- als auch benutzerdefinierte Konfigurationen zu erzwingen.
Funktionsvergleich
Beide Tools können zwar Die Betriebssystemeinstellungen, z. B. Kennwortrichtlinien oder Firewallregeln, sicherstellen, aber Azure Policy steuert Cloudaspekte, die Gruppenrichtlinien nicht verwalten können. Sie können z. B. Azure-Richtlinie verwenden, um sicherzustellen, dass virtuelle Computer Azure Backup aktiviert haben oder um die Erstellung einer teuren VM-SKU zu verhindern. Azure-Richtlinie kann auch überprüfen, ob ein arc-verbundener Server in Azure-Dienste wie Microsoft Defender für Cloud integriert ist, was außerhalb des Bereichs der Gruppenrichtlinie liegt.
Microsoft bietet sogar eine Azure-Richtlinieninitiative, die den Windows-Sicherheitsbaselines zugeordnet ist und viele der gleichen Einstellungen wie die Gruppenrichtliniensicherheitsgrundlinie (Kontorichtlinien, Überwachungseinstellungen usw.) abdeckt. Diese Richtlinie ist nützlich, wenn Sie alle Server anhand eines bekannten Basisplans überprüfen und Compliance-Prozentsätze anzeigen möchten.
Verwenden von Azure-Richtlinien zusammen mit Gruppenrichtlinien
Die zentrale Sichtbarkeit ist ein weiterer Anreiz für die Einführung von Azure-Richtlinien. Wenn Sie Azure Policy als zentralen Verwaltungspunkt für Windows-Server verwenden, unabhängig davon, ob sie sich in Azure befinden oder nicht, erhalten Sie ein einheitliches Compliance-Dashboard. Sie können die Gruppenrichtlinie weiterhin für die lokale Erzwingung zulassen, aber azure-Richtlinie verwenden, um dieselben Einstellungen zu überwachen. Mit dieser Option können Sie in Azure anzeigen, ob ein Server vom gewünschten Zustand abweicht. Schließlich können Sie Azure diese tatsächlich erzwingen und die Abhängigkeit von Gruppenrichtlinienobjekten verringern. Dieser Prozess ist Teil der "Cloud-Administrator"-Reise: Sie verschieben die Governance schrittweise auf Azure.
Wenn Sie weiterhin Gruppenrichtlinien auf lokalen Servern verwenden möchten, um benutzerorientierte einstellungen oder UI-Einstellungen wie Bildschirmschonertimeout und zugeordnete Laufwerke zu verwalten oder MSI-Pakete über GPO zu installieren. Azure Policy verwaltet diese Arten von Einstellungen nicht pro Benutzer, da sie nicht in den Benutzeranmeldungsprozess integriert ist. In einem Kombinationsansatz könnten Sie die Active Directory-Gruppenrichtlinie weiterhin für die optimale Nutzung verwenden (insbesondere, wenn Ihre Server in der Domäne eingebunden sind und Sie über vorhandene GPOs verfügen), aber verwenden Sie Azure-Richtlinie für Governance auf Cloudebene und zum Verwalten von Servern, die sich nicht in Ihrer Domäne befinden.
Bei der gemeinsamen Verwendung von Azure-Richtlinien und -Gruppenrichtlinien ist es wichtig zu verstehen, wie sie interagieren. Im Allgemeinen gilt die Gruppenrichtlinie weiterhin auf Computern, die einer Domäne beigetreten sind, bei der Anmeldung/Aktualisierung, auch wenn der Server auch mit Azure Arc verbunden ist. Azure Policy machine configuration is applied via the Arc agent, and is checked regelmäßig or when triggered by an event.
Aus diesem Gründen wird empfohlen, konflikteierende Konfigurationen zu vermeiden. Sie können z. B. Azure-Richtlinie hauptsächlich verwenden, um GPO-verwaltete Einstellungen für die Complianceberichterstattung zu überwachen oder bestimmte GPOs schrittweise durch Azure-Richtlinien zu ersetzen, während Sie zur Cloudverwaltung wechseln. Insbesondere werden Azure-Richtlinieneinstellungen nicht in RSoP oder gpresult auf dem Server angezeigt. Gruppenrichtlinien wissen nicht, dass eine bestimmte Registrierungseinstellung über Azure-Richtlinie angewendet wurde; die Einstellung ist nur bekannt. Als Administrator verlassen Sie sich auf die Complianceberichte von Azure und nicht auf RSOP, um Details zu diesen Einstellungen zu erhalten.