Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Quando uma Azure Policy é atribuída, se ela está na categoria Guest Configuration, há metadados incluídos para descrever uma atribuição de convidado.
Um vídeo passo a passo deste documento está disponível.
Você pode pensar em uma atribuição de convidado como um vínculo entre um computador e um cenário do Azure Policy. Por exemplo, o snippet a seguir associa a configuração Baseline do Windows do Azure com a versão mínima 1.0.0 a quaisquer máquinas no escopo da política.
"metadata": {
"category": "Guest Configuration",
"guestConfiguration": {
"name": "AzureWindowsBaseline",
"version": "1.*"
}
//additional metadata properties exist
}
Como o Azure Policy usa atribuições de configuração de computador
O serviço de configuração de máquinas usa as informações de metadados para criar automaticamente um recurso de auditoria para definições com efeitos de política AuditIfNotExists ou DeployIfNotExists. O tipo de recurso é Microsoft.GuestConfiguration/guestConfigurationAssignments. O Azure Policy usa a propriedade complianceStatus do recurso de atribuição de convidado para relatar o status de conformidade. Para obter mais informações, consulte como obter dados de conformidade.
Observação
Ao atribuir uma política personalizada que implanta uma configuração de convidado, a propriedade assignmentType no recurso de atribuição de convidado pode aparecer temporariamente como "Null" antes de ser atualizada para refletir o valor especificado na definição de política. Esse é o comportamento esperado e normalmente é resolvido dentro de uma hora.
Exclusão de funções de usuário convidado do Azure Policy
Quando uma atribuição do Azure Policy é excluída, se a política criou uma atribuição de configuração de computador, a atribuição de configuração do computador também é excluída.
Quando uma atribuição do Azure Policy é excluída de uma iniciativa, você precisa excluir manualmente as atribuições de configuração do computador que a política criou. Você pode fazer isso navegando até a página de atribuições de convidado no portal do Azure e excluindo a atribuição lá.
Criar manualmente atribuições de configuração do computador
Você pode criar recursos de atribuição de convidado no Azure Resource Manager usando o Azure Policy ou qualquer SDK do cliente.
Um exemplo de modelo de implantação:
{
"$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
"contentVersion": "1.0.0.0",
"resources": [
{
"apiVersion": "2021-01-25",
"type": "Microsoft.Compute/virtualMachines/providers/guestConfigurationAssignments",
"name": "myMachine/Microsoft.GuestConfiguration/myConfig",
"location": "westus2",
"properties": {
"guestConfiguration": {
"name": "myConfig",
"contentUri": "https://mystorageaccount.blob.core.windows.net/mystoragecontainer/myConfig.zip?sv=SASTOKEN",
"contentHash": "SHA256HASH",
"version": "1.0.0",
"assignmentType": "ApplyAndMonitor",
"configurationParameter": [
"name":"configurationName",
"value":"configurationValue"
]
}
}
}
]
}
Exemplo de configurationParameter:
"configurationParameter": [
{
"name": "[SecureWebServer]s1;MinimumTLSVersion",
"value": "1.2"
}
],
A tabela a seguir descreve cada propriedade dos recursos de atribuição de convidado.
| Propriedade | Description |
|---|---|
| name | Nome da configuração dentro do arquivo MOF do pacote de conteúdo. |
| contentUri | Caminho do URL HTTPS para o pacote de conteúdo (.zip). |
| contentHash | Um valor de hash SHA256 do pacote de conteúdo, usado para verificar se ele não foi alterado. |
| version | Versão do pacote de conteúdo. Usados apenas para pacotes internos e não usados para pacotes de conteúdo personalizados. |
| tipoDeAtribuicao | Comportamento da atribuição. Valores permitidos: Audit, ApplyandMonitor e ApplyandAutoCorrect. |
| configurationParameter | Lista de tipo de recurso de DSC, nome e valor no arquivo MOF do pacote de conteúdo a ser substituído depois de ser baixado no computador. |
Exclusão de atribuições de configuração de máquina criadas manualmente
Você deve excluir manualmente as atribuições de configuração do computador criadas por meio de qualquer abordagem manual (como uma implantação de modelo do Azure Resource Manager). Excluir o recurso pai (máquina virtual ou máquina habilitada para Arc) também exclui a atribuição de configuração do computador.
Para excluir manualmente uma atribuição de configuração de computador, use o exemplo a seguir. Certifique-se de substituir todas as cadeias de caracteres de exemplo, que estão indicadas pelos colchetes <>.
# First get details about the machine configuration assignment
$resourceDetails = @{
ResourceGroupName = '<resource-group-name>'
ResourceType = 'Microsoft.Compute/virtualMachines/providers/guestConfigurationAssignments/'
ResourceName = '<vm-name>/Microsoft.GuestConfiguration'
ApiVersion = '2020-06-25'
}
$guestAssignment = Get-AzResource @resourceDetails
# Review details of the machine configuration assignment
$guestAssignment
# After reviewing properties of $guestAssignment to confirm
$guestAssignment | Remove-AzResource
Próximas etapas
- Desenvolva um pacote de configuração de computador personalizado.
- Use o módulo GuestConfiguration para criar uma definição do Azure Policy para o gerenciamento em escala do seu ambiente.
- Atribuir a definição de política personalizada usando o portal do Azure.
- Saiba como ver os detalhes de conformidade para atribuições da política de configuração de computador.