Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Lorsqu’une instance de la Stratégie Azure est affectée, si elle se trouve dans la catégorie Guest Configuration, alors des métadonnées sont incluses pour décrire une affectation d’invité.
Une vidéo pas à pas de ce document est disponible.
Vous pouvez considérer une attribution d’invité comme un lien entre une machine et un scénario Azure Policy. Par exemple, l’extrait de code suivant associe la configuration de référence de base de Windows Azure à partir de la version minimale 1.0.0 à toutes les machines concernées par la stratégie.
"metadata": {
"category": "Guest Configuration",
"guestConfiguration": {
"name": "AzureWindowsBaseline",
"version": "1.*"
}
//additional metadata properties exist
}
Utilisation des attributions de configuration de machine par Azure Policy
Le service de configuration de la machine utilise les informations de métadonnées pour créer automatiquement une ressource d'audit pour les définitions avec des effets de stratégie AuditIfNotExists ou DeployIfNotExists. Le type de ressource, est Microsoft.GuestConfiguration/guestConfigurationAssignments. Azure Policy utilise la propriété complianceStatus de la ressource d’affectation d’invité pour signaler l’état de conformité. Pour plus d’informations, consultez obtenir des données de conformité.
Note
Lors de l’affectation d’une stratégie personnalisée qui déploie une configuration invité, la propriété assignmentType sur la ressource d’affectation d’invité peut apparaître temporairement sous la forme « Null » avant d’être mise à jour pour refléter la valeur spécifiée dans la définition de stratégie. Ce comportement est attendu et se résout généralement dans un délai d’une heure.
Suppression des attributions d’invités d’Azure Policy
Lorsqu'une attribution Azure Policy est supprimée, si elle a créé une attribution de configuration d'ordinateur, celle-ci est également supprimée.
Lorsqu’une affectation Azure Policy est supprimée d’une initiative, vous devez supprimer manuellement toutes les affectations de configuration de machine créées par la stratégie. Pour ce faire, accédez à la page affectations d’invités sur le portail Azure et supprimez l’affectation.
Création manuelle d’affectations de configuration de l’ordinateur
Vous pouvez créer des ressources d’attribution d’invité dans Azure Resource Manager à l’aide d’Azure Policy ou de n’importe quel kit de développement logiciel (SDK) client.
Exemple de modèle de déploiement :
{
"$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
"contentVersion": "1.0.0.0",
"resources": [
{
"apiVersion": "2021-01-25",
"type": "Microsoft.Compute/virtualMachines/providers/guestConfigurationAssignments",
"name": "myMachine/Microsoft.GuestConfiguration/myConfig",
"location": "westus2",
"properties": {
"guestConfiguration": {
"name": "myConfig",
"contentUri": "https://mystorageaccount.blob.core.windows.net/mystoragecontainer/myConfig.zip?sv=SASTOKEN",
"contentHash": "SHA256HASH",
"version": "1.0.0",
"assignmentType": "ApplyAndMonitor",
"configurationParameter": [
"name":"configurationName",
"value":"configurationValue"
]
}
}
}
]
}
Exemple de configurationParameter :
"configurationParameter": [
{
"name": "[SecureWebServer]s1;MinimumTLSVersion",
"value": "1.2"
}
],
Le tableau suivant décrit chaque propriété des ressources d’affectation d’invité.
| Propriété | Descriptif |
|---|---|
| name | Nom de la configuration à l’intérieur du fichier MOF du package de contenu. |
| contentUri | Chemin de l’URI HTTPS vers le package de contenu (.zip). |
| contentHash | Valeur de hachage SHA256 du package de contenu utilisée pour vérifier qu’elle n’a pas changé. |
| version | Version du package de contenu. Utilisé uniquement pour les packages intégrés et non utilisé pour les packages de contenu personnalisés. |
| assignmentType | Comportement de l’affectation. Valeurs autorisées : Audit, ApplyandMonitor et ApplyandAutoCorrect. |
| configurationParameter | Liste du type, du nom et de la valeur de ressource DSC dans le fichier MOF du package de contenu à remplacer après son téléchargement sur l’ordinateur. |
Suppression des affectations de configuration de machine créées manuellement
Vous devez supprimer manuellement les affectations de configuration de machine créées par le biais d’une approche manuelle (par exemple, un déploiement de modèle Azure Resource Manager). La suppression de la ressource parente (machine virtuelle ou machine avec Arc) supprime également l’affectation de configuration de l’ordinateur.
Pour supprimer manuellement une attribution de configuration de machine, utilisez l’exemple suivant. Veillez à remplacer toutes les chaînes d’exemple, indiquées par des crochets <>.
# First get details about the machine configuration assignment
$resourceDetails = @{
ResourceGroupName = '<resource-group-name>'
ResourceType = 'Microsoft.Compute/virtualMachines/providers/guestConfigurationAssignments/'
ResourceName = '<vm-name>/Microsoft.GuestConfiguration'
ApiVersion = '2020-06-25'
}
$guestAssignment = Get-AzResource @resourceDetails
# Review details of the machine configuration assignment
$guestAssignment
# After reviewing properties of $guestAssignment to confirm
$guestAssignment | Remove-AzResource
Étapes suivantes
- Développez un package de configuration d’ordinateur personnalisé.
- Utilisez le module GuestConfiguration pour créer une définition Azure Policy pour la gestion à grande échelle de votre environnement.
- Attribuez votre définition de stratégie personnalisée à l’aide du portail Azure.
- Découvrez comment visualiser les attributions de stratégie desinformations relatives à la conformité pour la configuration de machine.