Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Atenção
Este artigo faz referência ao CentOS, uma distribuição do Linux que é o status EOL (Fim da Vida Útil). Considere seu uso e planejamento adequadamente. Para obter mais informações, veja a orientação CentOS End Of Life.
O recurso de configuração de máquina do Azure Policy fornece recursos nativos para auditar ou definir configurações do sistema operacional como código, para máquinas em execução no Azure quanto em máquinas híbridas habilitadas para Arc. Você pode usar o recurso diretamente por computador ou orquestrá-lo em escala usando o Azure Policy.
Os recursos de configuração no Azure são projetados como um recurso de extensão. Você pode imaginar cada configuração como um conjunto adicional de propriedades para o computador. As configurações podem incluir configurações como:
- Configurações do sistema operacional
- Configuração ou presença do aplicativo
- Configurações do ambiente
As configurações são diferentes das definições de política. A configuração de máquina usa o Azure Policy para atribuir configurações dinamicamente aos computadores. Você também pode atribuir configurações a computadores manualmente.
Exemplos de cada cenário são fornecidos na tabela a seguir.
| Tipo | Descrição | Exemplo de história |
|---|---|---|
| Gerenciamento da configuração | Você deseja uma representação completa de um servidor, como código no controle do código-fonte. A implantação deve incluir propriedades do servidor (tamanho, rede, armazenamento) e configurações do sistema operacional e de aplicativo. | "Esse computador deve ser um servidor Web configurado para hospedar meu site". |
| Conformidade | Você deseja auditar ou implantar configurações em todos os computadores do escopo, seja de maneira reativa nas máquinas existentes ou de maneira proativa nas novas máquinas, à medida que eles forem implantados. | "Todos os computadores devem usar o TLS 1.2. Audite os computadores existentes para que eu possa liberar a alteração onde for necessário, de maneira controlada, em escala. Para os novos computadores, imponha a configuração quando eles forem implantados." |
Você pode exibir os resultados por configuração de configurações na página Atribuições de convidado. Se uma atribuição de Azure Policy orquestrada a configuração for orquestrada, você poderá selecionar o link "Último recurso avaliado" na página "Detalhes da conformidade".
Observação
Atualmente, a Configuração do Computador dá suporte à criação de até 50 atribuições de convidado por computador.
Modos de Imposição para Políticas Personalizadas
Para oferecer maior flexibilidade na imposição e monitoramento das configurações do servidor, aplicativos e cargas de trabalho, a Configuração de Máquina oferece três modos principais de imposição para cada atribuição de política, conforme descrito na tabela a seguir.
| Mode | Descrição |
|---|---|
| Auditoria | Relatar apenas o estado do computador |
| Aplicar e Monitorar | Configuração aplicada ao computador e depois monitorada para alterações |
| Aplicação e Correção Automática | Configuração aplicada ao computador e trazida de volta à conformidade em caso de descompasso |
Um passo a passo em vídeo sobre este documento está disponível. (Atualização em breve)
Habilitar a configuração do computador
Para gerenciar o estado dos computadores em seu ambiente, incluindo computadores no Azure e em servidores habilitados para o Arc, examine os detalhes a seguir.
Provedor de recursos
Antes de usar o recurso do Azure Policy de configuração de máquina, você precisa registrar o provedor de recursos Microsoft.GuestConfiguration. Se a atribuição de uma política de configuração de máquina for feita por meio do portal ou se a assinatura estiver inscrita no Microsoft Defender para Nuvem, o provedor de recursos será registrado automaticamente. Você pode registrar manualmente por meio do portal, do Azure PowerShell ou da CLI do Azure.
Requisitos de implantação das máquinas virtuais do Azure
Para gerenciar as configurações de um computador, uma extensão de máquina virtual é habilitada e o computador precisa ter uma identidade gerenciada pelo sistema. A extensão baixa as atribuições de configuração de máquina aplicável e as dependências correspondentes. A identidade é usada para autenticar o computador conforme ele lê e grava no serviço de configuração de máquina. A extensão não é necessária para servidores habilitados para o Arc porque está incluída no agente do Computador Conectado ao Arc.
Importante
A extensão de configuração de máquina e uma identidade gerenciada são necessárias para gerenciar as máquinas virtuais do Azure.
Para implantar a extensão em escala em vários computadores, atribua a iniciativa de política
Deploy prerequisites to enable Guest Configuration policies on virtual machines a um grupo de gerenciamento, a uma assinatura ou a um grupo de recursos que contenham os computadores que você planeja gerenciar.
Se você preferir implantar a extensão e a identidade gerenciada em um único computador, consulte Configurar identidades gerenciadas para recursos do Azure em uma VM usando o portal do Azure.
Para usar pacotes de configuração de computador que aplicam configurações, a extensão de configuração de convidado da VM do Azure versão 1.26.24 ou posterior é necessária.
Importante
A criação de uma identidade gerenciada ou atribuição de uma política com a função "Colaborador de Recurso de Configuração de Convidado" são ações que exigem as permissões adequadas de RBAC do Azure para serem executadas. Para saber mais sobre o Azure Policy e o RBAC do Azure, confira controle de acesso baseado em função no Azure Policy.
Limites definidos na extensão
Para limitar a extensão de afetar os aplicativos em execução dentro do computador, o agente de configuração de máquina não tem permissão para exceder mais de 5% da CPU. Essa limitação existe para as definições internas e personalizadas. O mesmo é verdadeiro para o serviço de configuração de máquina no agente do Computador Conectado pelo Arc.
Ferramentas de validação
No computador, o cliente de configuração de máquina usa ferramentas locais para realizar tarefas.
A tabela a seguir mostra uma lista das ferramentas locais usadas em cada sistema operacional com suporte. Para conteúdo interno, a configuração de máquina gerencia o carregamento dessas ferramentas automaticamente.
| Sistema operacional | Ferramenta de validação | Observações |
|---|---|---|
| Windows | Desired State Configuration do PowerShell | Transmitido por sideload a uma pasta usada apenas pelo Azure Policy. Não entra em conflito com a DSC do Windows PowerShell. O PowerShell não é adicionado ao caminho do sistema. |
| Linux | Desired State Configuration do PowerShell | Transmitido por sideload a uma pasta usada apenas pelo Azure Policy. O PowerShell não é adicionado ao caminho do sistema. |
| Linux | Chef InSpec | Instala o Chef InSpec versão 2.2.61 na localização padrão e adiciona-o ao caminho do sistema. Ele instala as dependências do InSpec, incluindo Ruby e Python, também. |
Frequência de validação
O agente de configuração de máquina verifica se há atribuições de convidado novas ou alteradas a cada cinco minutos. Depois que uma atribuição de convidado for recebida, as definições para essa configuração serão verificadas repetidamente em um intervalo de 15 minutos. Se houver várias configurações atribuídas, cada uma será avaliada sequencialmente. As configurações de execução longa afetam o intervalo de todas as configurações, pois a próxima não pode ser executada até que a configuração anterior seja concluída.
Os resultados são enviados ao serviço de configuração de máquina quando a auditoria é concluída. Quando ocorre um gatilho de avaliação de política, o estado do computador é gravado no provedor de recursos de configuração de máquina. Essa atualização faz com que o Azure Policy avalie as propriedades do Azure Resource Manager. Uma avaliação do Azure Policy sob demanda recupera o valor mais recente do provedor de recursos de configuração de máquina. No entanto, ela não dispara uma nova atividade dentro do computador. O status é, em seguida, gravado no Azure Resource Graph.
Tipos de clientes com suporte
As definições de políticas de configuração de máquina incluem novas versões. As versões mais antigas dos sistemas operacionais disponíveis no Azure Marketplace serão excluídas se o cliente de Configuração de Convidado não for compatível. Além disso, as versões do servidor Linux que estão fora do tempo de vida de suporte por seus respectivos editores são excluídas da matriz de suporte.
A tabela a seguir mostra uma lista de sistemas operacionais compatíveis em imagens do Azure. O texto .x é simbólico para representar novas versões secundárias de distribuições do Linux.
| Publicador | Nome | Versões |
|---|---|---|
| Alma | AlmaLinux | 9 |
| Amazona | Linux | 2 |
| Canonical | Servidor Ubuntu | 16.04 – 24.x |
| Credativ | Debian | 10.x - 13.x |
| Microsoft | CBL-Mariner | 1 - 2 |
| Microsoft | Azure Linux | 3 |
| Microsoft | Cliente Windows | Windows 10, 11 |
| Microsoft | Servidor Windows | 2012 - 2025 |
| Oráculo | Oracle-Linux | 7.x – 8.x |
| OpenLogic | CentOS | 7.3 – 8.x |
| Red Hat | Red Hat Enterprise Linux* | 7.4 – 9.x |
| Rocky | Rocky Linux | oito |
| SUSE | SLES | 12 SP5, 15.x |
* O Red Hat CoreOS não é compatível.
As definições de política de configuração de máquina dão suporte a imagens de máquina virtual personalizadas, desde que sejam um dos sistemas operacionais na tabela anterior. A Configuração de Máquina não dá suporte para VMSS uniforme, mas dá suporte para VMSS Flex.
Importante
Para que qualquer extensão de VM funcione corretamente no Azure, as permissões de gravação devem ser concedidas ao diretório /var/lib. Sem essa permissão, a extensão configuração do computador não pode ser instalada. Quanto aos servidores habilitados para o Azure Arc, o acesso de gravação a diretórios específicos também é necessário para habilitar o registro e a telemetria. Como resultado, a Configuração de Máquina do Azure não oferece suporte oficial às configurações padrão reforçadas pelo CIS ou SELinux. A configuração adicional pode ser necessária para que a extensão opere conforme o esperado. Os clientes que usam ambientes protegidos devem avaliar a compatibilidade e planejar adequadamente.
Requisitos de rede
As máquinas virtuais no Azure podem usar o vNIC (adaptador de rede virtual local) ou um Link Privado do Azure para se comunicarem com o serviço de configuração de máquina.
Os computadores habilitados para o Azure Arc se conectam usando a infraestrutura de rede local para acessar os serviços do Azure e relatar o status de conformidade.
A tabela a seguir mostra os pontos de extremidade com suporte para computadores habilitados para Azure e Azure Arc:
| Região | Geografia | URL | Ponto de extremidade de armazenamento |
|---|---|---|---|
| EastAsia | Pacífico Asiático |
ea-gas.guestconfiguration.azure.com agentserviceapi.guestconfiguration.azure.com eastasia-gas.guestconfiguration.azure.com |
oaasguestconfigwcuss1.blob.core.windows.net oaasguestconfigseas1.blob.core.windows.net oaasguestconfigeas1.blob.core.windows.net |
| SoutheastAsia | Pacífico Asiático |
agentserviceapi.guestconfiguration.azure.com southeastasia-gas.guestconfiguration.azure.com sea-gas.guestconfiguration.azure.com |
oaasguestconfigwcuss1.blob.core.windows.net oaasguestconfigseas1.blob.core.windows.net oaasguestconfigeas1.blob.core.windows.net |
| AustraliaEast | Austrália |
agentserviceapi.guestconfiguration.azure.com australiaeast-gas.guestconfiguration.azure.com ae-gas.guestconfiguration.azure.com |
oaasguestconfigases1.blob.core.windows.net oaasguestconfigaes1.blob.core.windows.net oaasguestconfigwcuss1.blob.core.windows.net |
| AustraliaSoutheast | Austrália |
agentserviceapi.guestconfiguration.azure.com australiaeast-gas.guestconfiguration.azure.com ae-gas.guestconfiguration.azure.com |
oaasguestconfigases1.blob.core.windows.net oaasguestconfigaes1.blob.core.windows.net oaasguestconfigwcuss1.blob.core.windows.net |
| BrazilSouth | Brasil |
agentserviceapi.guestconfiguration.azure.com brazilsouth-gas.guestconfiguration.azure.com brs-gas.guestconfiguration.azure.com |
oaasguestconfigbrss1.blob.core.windows.net oaasguestconfigwcuss1.blob.core.windows.net |
| CanadaCentral | Canadá |
agentserviceapi.guestconfiguration.azure.com canadacentral-gas.guestconfiguration.azure.com cc-gas.guestconfiguration.azure.com |
oaasguestconfigccs1.blob.core.windows.net oaasguestconfigccs1.blob.core.windows.net oaasguestconfigwcuss1.blob.core.windows.net de oaasguestconfigces1.blob.core.windows.net |
| CanadaEast | Canadá |
ce-gas.guestconfiguration.azure.com canadaeast-gas.guestconfiguration.azure.com agentserviceapi.guestconfiguration.azure.com |
oaasguestconfigccs1.blob.core.windows.net oaasguestconfigccs1.blob.core.windows.net oaasguestconfigwcuss1.blob.core.windows.net de oaasguestconfigces1.blob.core.windows.net |
| ChinaEast2 | China |
agentserviceapi.guestconfiguration.azure.cn chinaeast2-gas.guestconfiguration.azure.cn chne2-gas.guestconfiguration.azure.cn |
oaasguestconfigchne2s2.blob.core.chinacloudapi.cn |
| ChinaNorth | China |
agentserviceapi.guestconfiguration.azure.cn chinanorth-gas.guestconfiguration.azure.cn chnn-gas.guestconfiguration.azure.cn |
oaasguestconfigchnns2.blob.core.chinacloudapi.cn |
| ChinaNorth2 | China |
agentserviceapi.guestconfiguration.azure.cn chinanorth2-gas.guestconfiguration.azure.cn chnn2-gas.guestconfiguration.azure.cn |
oaasguestconfigchnn2s2.blob.core.chinacloudapi.cn |
| ChinaNorth3 | China |
agentserviceapi.guestconfiguration.azure.cn chinanorth3-gas.guestconfiguration.azure.cn chnn3-gas.guestconfiguration.azure.cn |
oaasguestconfigchnn3s1.blob.core.chinacloudapi.cn |
| NorthEurope | Europa |
agentserviceapi.guestconfiguration.azure.com northeurope-gas.guestconfiguration.azure.com ne-gas.guestconfiguration.azure.com |
oaasguestconfignes1.blob.core.windows.net oaasguestconfigwes1.blob.core.windows.net oaasguestconfigwcuss1.blob.core.windows.net |
| WestEurope | Europa |
agentserviceapi.guestconfiguration.azure.com westeurope-gas.guestconfiguration.azure.com we-gas.guestconfiguration.azure.com |
oaasguestconfignes1.blob.core.windows.net oaasguestconfigwes1.blob.core.windows.net oaasguestconfigwcuss1.blob.core.windows.net |
| FranceCentral | França |
agentserviceapi.guestconfiguration.azure.com francecentral-gas.guestconfiguration.azure.com fc-gas.guestconfiguration.azure.com |
oaasguestconfigfcs1.blob.core.windows.net oaasguestconfigwcuss1.blob.core.windows.net |
| GermanyNorth | Alemanha |
agentserviceapi.guestconfiguration.azure.com germanynorth-gas.guestconfiguration.azure.com gen-gas.guestconfiguration.azure.com |
oaasguestconfigwcuss1.blob.core.windows.net oaasguestconfiggewcs1.blob.core.windows.net oaasguestconfiggens1.blob.core.windows.net |
| GermanyWestCentral | Alemanha |
agentserviceapi.guestconfiguration.azure.com germanywestcentral-gas.guestconfiguration.azure.com gewc-gas.guestconfiguration.azure.com |
oaasguestconfigwcuss1.blob.core.windows.net oaasguestconfiggewcs1.blob.core.windows.net oaasguestconfiggens1.blob.core.windows.net |
| CentralIndia | Índia |
agentserviceapi.guestconfiguration.azure.com centralindia-gas.guestconfiguration.azure.com cid-gas.guestconfiguration.azure.com |
oaasguestconfigwcuss1.blob.core.windows.net oaasguestconfigsids1.blob.core.windows.net oaasguestconfigcids1.blob.core.windows.net |
| SouthIndia | Índia |
sid-gas.guestconfiguration.azure.com southindia-gas.guestconfiguration.azure.com agentserviceapi.guestconfiguration.azure.com |
oaasguestconfigwcuss1.blob.core.windows.net oaasguestconfigsids1.blob.core.windows.net oaasguestconfigcids1.blob.core.windows.net |
| IsraelCentral | Israel |
agentserviceapi.guestconfiguration.azure.com israelcentral-gas.guestconfiguration.azure.com ilc-gas.guestconfiguration.azure.com |
oaasguestconfigilcs1.blob.core.windows.net oaasguestconfigwcuss1.blob.core.windows.net |
| ItalyNorth | Itália |
agentserviceapi.guestconfiguration.azure.com italynorth-gas.guestconfiguration.azure.com itn-gas.guestconfiguration.azure.com |
oaasguestconfigitns1.blob.core.windows.net oaasguestconfigwcuss1.blob.core.windows.net |
| JapanEast | Japão |
agentserviceapi.guestconfiguration.azure.com japaneast-gas.guestconfiguration.azure.com jpe-gas.guestconfiguration.azure.com |
oaasguestconfigjpws1.blob.core.windows.net oaasguestconfigjpes1.blob.core.windows.net oaasguestconfigwcuss1.blob.core.windows.net |
| JapanWest | Japão |
agentserviceapi.guestconfiguration.azure.com japanwest-gas.guestconfiguration.azure.com jpw-gas.guestconfiguration.azure.com |
oaasguestconfigjpws1.blob.core.windows.net oaasguestconfigjpes1.blob.core.windows.net oaasguestconfigwcuss1.blob.core.windows.net |
| KoreaCentral | Coréia |
agentserviceapi.guestconfiguration.azure.com koreacentral-gas.guestconfiguration.azure.com kc-gas.guestconfiguration.azure.com |
oaasguestconfigkcs1.blob.core.windows.net oaasguestconfigwcuss1.blob.core.windows.net |
| MexicoCentral | México |
agentserviceapi.guestconfiguration.azure.com mexicocentral-gas.guestconfiguration.azure.com mxc-gas.guestconfiguration.azure.com |
oaasguestconfigmxcs1.blob.core.windows.net oaasguestconfigwcuss1.blob.core.windows.net |
| NorwayEast | Noruega |
agentserviceapi.guestconfiguration.azure.com norwayeast-gas.guestconfiguration.azure.com noe-gas.guestconfiguration.azure.com |
oaasguestconfignoes2.blob.core.windows.net oaasguestconfigwcuss1.blob.core.windows.net |
| PolôniaCentral | Polônia |
agentserviceapi.guestconfiguration.azure.com polandcentral-gas.guestconfiguration.azure.com plc-gas.guestconfiguration.azure.com |
oaasguestconfigwcuss1.blob.core.windows.net |
| QatarCentral | Catar |
agentserviceapi.guestconfiguration.azure.com qatarcentral-gas.guestconfiguration.azure.com qac-gas.guestconfiguration.azure.com |
oaasguestconfigqacs1.blob.core.windows.net oaasguestconfigwcuss1.blob.core.windows.net |
| SouthAfricaNorth | SouthAfrica |
agentserviceapi.guestconfiguration.azure.com southafricanorth-gas.guestconfiguration.azure.com san-gas.guestconfiguration.azure.com |
oaasguestconfigsans1.blob.core.windows.net oaasguestconfigsaws1.blob.core.windows.net oaasguestconfigwcuss1.blob.core.windows.net |
| SouthAfricaWest | SouthAfrica |
agentserviceapi.guestconfiguration.azure.com southafricawest-gas.guestconfiguration.azure.com saw-gas.guestconfiguration.azure.com |
oaasguestconfigsans1.blob.core.windows.net oaasguestconfigsaws1.blob.core.windows.net oaasguestconfigwcuss1.blob.core.windows.net |
| SpainCentral | Espanha |
agentserviceapi.guestconfiguration.azure.com spaincentral-gas.guestconfiguration.azure.com spc-gas.guestconfiguration.azure.com |
oaasguestconfigspcs1.blob.core.windows.net oaasguestconfigwcuss1.blob.core.windows.net |
| SwedenCentral | Suécia |
agentserviceapi.guestconfiguration.azure.com swedencentral-gas.guestconfiguration.azure.com swc-gas.guestconfiguration.azure.com |
oaasguestconfigswcs1.blob.core.windows.net oaasguestconfigwcuss1.blob.core.windows.net |
| SwitzerlandNorth | Suíça |
agentserviceapi.guestconfiguration.azure.com switzerlandnorth-gas.guestconfiguration.azure.com stzn-gas.guestconfiguration.azure.com |
oaasguestconfigstzns1.blob.core.windows.net oaasguestconfigwcuss1.blob.core.windows.net |
| SwitzerlandWest | Suíça |
agentserviceapi.guestconfiguration.azure.com switzerlandwest-gas.guestconfiguration.azure.com stzw-gas.guestconfiguration.azure.com |
oaasguestconfigstzns1.blob.core.windows.net oaasguestconfigwcuss1.blob.core.windows.net |
| TaiwanNorth | Taiwan |
twn-gas.guestconfiguration.azure.com taiwannorth-gas.guestconfiguration.azure.com agentserviceapi.guestconfiguration.azure.com |
oaasguestconfigtwns1.blob.core.windows.net oaasguestconfigwcuss1.blob.core.windows.net |
| UaeNorth | Emirados Árabes Unidos |
agentserviceapi.guestconfiguration.azure.com uaenorth-gas.guestconfiguration.azure.com uaen-gas.guestconfiguration.azure.com |
oaasguestconfiguaens1.blob.core.windows.net oaasguestconfigwcuss1.blob.core.windows.net |
| UkSouth | Reino Unido |
agentserviceapi.guestconfiguration.azure.com uksouth-gas.guestconfiguration.azure.com uks-gas.guestconfiguration.azure.com |
oaasguestconfigukss1.blob.core.windows.net oaasguestconfigukws1.blob.core.windows.net oaasguestconfigwcuss1.blob.core.windows.net |
| UKWest | Reino Unido |
agentserviceapi.guestconfiguration.azure.com ukwest-gas.guestconfiguration.azure.com ukw-gas.guestconfiguration.azure.com |
oaasguestconfigukss1.blob.core.windows.net oaasguestconfigukws1.blob.core.windows.net oaasguestconfigwcuss1.blob.core.windows.net |
| EastUS | EUA |
agentserviceapi.guestconfiguration.azure.com eastus-gas.guestconfiguration.azure.com eus-gas.guestconfiguration.azure.com |
oaasguestconfigeuss1.blob.core.windows.net oaasguestconfigeus2s1.blob.core.windows.net oaasguestconfigwus2s1.blob.core.windows.net oaasguestconfigwuss1.blob.core.windows.net oaasguestconfigncuss1.blob.core.windows.net oaasguestconfigcuss1.blob.core.windows.net oaasguestconfigscuss1.blob.core.windows.net oaasguestconfigscuss1.blob.core.windows.net oaasguestconfigwus3s1.blob.core.windows.net oaasguestconfigwcuss1.blob.core.windows.net |
| EastUS2 | EUA |
agentserviceapi.guestconfiguration.azure.com eastus2-gas.guestconfiguration.azure.com eus2-gas.guestconfiguration.azure.com |
oaasguestconfigeuss1.blob.core.windows.net oaasguestconfigeus2s1.blob.core.windows.net oaasguestconfigwus2s1.blob.core.windows.net oaasguestconfigwuss1.blob.core.windows.net oaasguestconfigncuss1.blob.core.windows.net oaasguestconfigcuss1.blob.core.windows.net oaasguestconfigscuss1.blob.core.windows.net oaasguestconfigscuss1.blob.core.windows.net oaasguestconfigwus3s1.blob.core.windows.net oaasguestconfigwcuss1.blob.core.windows.net |
| WestUS | EUA |
agentserviceapi.guestconfiguration.azure.com westus-gas.guestconfiguration.azure.com wus-gas.guestconfiguration.azure.com |
oaasguestconfigeuss1.blob.core.windows.net oaasguestconfigeus2s1.blob.core.windows.net oaasguestconfigwus2s1.blob.core.windows.net oaasguestconfigwuss1.blob.core.windows.net oaasguestconfigncuss1.blob.core.windows.net oaasguestconfigcuss1.blob.core.windows.net oaasguestconfigscuss1.blob.core.windows.net oaasguestconfigscuss1.blob.core.windows.net oaasguestconfigwus3s1.blob.core.windows.net oaasguestconfigwcuss1.blob.core.windows.net |
| WestUS2 | EUA |
agentserviceapi.guestconfiguration.azure.com westus2-gas.guestconfiguration.azure.com wus2-gas.guestconfiguration.azure.com |
oaasguestconfigeuss1.blob.core.windows.net oaasguestconfigeus2s1.blob.core.windows.net oaasguestconfigwus2s1.blob.core.windows.net oaasguestconfigwuss1.blob.core.windows.net oaasguestconfigncuss1.blob.core.windows.net oaasguestconfigcuss1.blob.core.windows.net oaasguestconfigscuss1.blob.core.windows.net oaasguestconfigscuss1.blob.core.windows.net oaasguestconfigwus3s1.blob.core.windows.net oaasguestconfigwcuss1.blob.core.windows.net |
| WestUS3 | EUA |
agentserviceapi.guestconfiguration.azure.com westus3-gas.guestconfiguration.azure.com wus3-gas.guestconfiguration.azure.com |
oaasguestconfigeuss1.blob.core.windows.net oaasguestconfigeus2s1.blob.core.windows.net oaasguestconfigwus2s1.blob.core.windows.net oaasguestconfigwuss1.blob.core.windows.net oaasguestconfigncuss1.blob.core.windows.net oaasguestconfigcuss1.blob.core.windows.net oaasguestconfigscuss1.blob.core.windows.net oaasguestconfigscuss1.blob.core.windows.net oaasguestconfigwus3s1.blob.core.windows.net oaasguestconfigwcuss1.blob.core.windows.net |
| CentralUS | EUA |
agentserviceapi.guestconfiguration.azure.com centralus-gas.guestconfiguration.azure.com cus-gas.guestconfiguration.azure.com |
oaasguestconfigeuss1.blob.core.windows.net oaasguestconfigeus2s1.blob.core.windows.net oaasguestconfigwus2s1.blob.core.windows.net oaasguestconfigwuss1.blob.core.windows.net oaasguestconfigncuss1.blob.core.windows.net oaasguestconfigcuss1.blob.core.windows.net oaasguestconfigscuss1.blob.core.windows.net oaasguestconfigscuss1.blob.core.windows.net oaasguestconfigwus3s1.blob.core.windows.net oaasguestconfigwcuss1.blob.core.windows.net |
| NorthCentralUS | EUA |
ncus-gas.guestconfiguration.azure.com northcentralus-gas.guestconfiguration.azure.com agentserviceapi.guestconfiguration.azure.com |
oaasguestconfigeuss1.blob.core.windows.net oaasguestconfigeus2s1.blob.core.windows.net oaasguestconfigwus2s1.blob.core.windows.net oaasguestconfigwuss1.blob.core.windows.net oaasguestconfigncuss1.blob.core.windows.net oaasguestconfigcuss1.blob.core.windows.net oaasguestconfigscuss1.blob.core.windows.net oaasguestconfigscuss1.blob.core.windows.net oaasguestconfigwus3s1.blob.core.windows.net oaasguestconfigwcuss1.blob.core.windows.net |
| SouthCentralUS | EUA |
agentserviceapi.guestconfiguration.azure.com southcentralus-gas.guestconfiguration.azure.com scus-gas.guestconfiguration.azure.com |
oaasguestconfigeuss1.blob.core.windows.net oaasguestconfigeus2s1.blob.core.windows.net oaasguestconfigwus2s1.blob.core.windows.net oaasguestconfigwuss1.blob.core.windows.net oaasguestconfigncuss1.blob.core.windows.net oaasguestconfigcuss1.blob.core.windows.net oaasguestconfigscuss1.blob.core.windows.net oaasguestconfigscuss1.blob.core.windows.net oaasguestconfigwus3s1.blob.core.windows.net oaasguestconfigwcuss1.blob.core.windows.net |
| WestCentralUS | EUA |
agentserviceapi.guestconfiguration.azure.com westcentralus-gas.guestconfiguration.azure.com wcus-gas.guestconfiguration.azure.com |
oaasguestconfigeuss1.blob.core.windows.net oaasguestconfigeus2s1.blob.core.windows.net oaasguestconfigwus2s1.blob.core.windows.net oaasguestconfigwuss1.blob.core.windows.net oaasguestconfigncuss1.blob.core.windows.net oaasguestconfigcuss1.blob.core.windows.net oaasguestconfigscuss1.blob.core.windows.net oaasguestconfigscuss1.blob.core.windows.net oaasguestconfigwus3s1.blob.core.windows.net oaasguestconfigwcuss1.blob.core.windows.net |
| USGovArizona | US Gov |
agentserviceapi.guestconfiguration.azure.us usgovarizona-gas.guestconfiguration.azure.us usga-gas.guestconfiguration.azure.us |
oaasguestconfigusgas1.blob.core.usgovcloudapi.net |
| USGovTexas | US Gov |
agentserviceapi.guestconfiguration.azure.us usgovtexas-gas.guestconfiguration.azure.us usgt-gas.guestconfiguration.azure.us |
oaasguestconfigusgts1.blob.core.usgovcloudapi.net |
| USGovVirginia | US Gov |
agentserviceapi.guestconfiguration.azure.us usgovvirginia-gas.guestconfiguration.azure.us usgv-gas.guestconfiguration.azure.us |
oaasguestconfigusgvs1.blob.core.usgovcloudapi.net |
Comunicação por meio de redes virtuais no Azure
Para se comunicar com o provedor de recursos de configuração de máquina no Azure, as máquinas virtuais exigem acesso de saída aos datacenters do Azure na porta 443. Se uma rede no Azure não permitir tráfego de saída, configure exceções com regras de grupo de segurança de rede. As marcas de serviçoAzureArcInfrastructure e Storage podem ser usadas para referenciar o serviço de configuração de convidado e de Armazenamento em vez de manter manualmente a lista de intervalos de IP para datacenters do Azure. As duas marcas são necessárias porque o Armazenamento do Microsoft Azure hospeda os pacotes de conteúdo de configuração do computador.
Comunicação por meio do Link Privado no Azure
As máquinas virtuais podem usar o link privado para comunicação com o serviço de configuração de máquina.
Aplique a marca com o nome EnablePrivateNetworkGC e o valor TRUE para habilitar esse recurso. A marca pode ser aplicada antes ou após as definições de política de configuração de máquina serem aplicadas ao computador.
Importante
Para se comunicar por link privado para pacotes personalizados, o link para o local do pacote deve ser adicionado à lista de URLs permitidas.
O tráfego é roteado usando o endereço IP público virtual do Azure para estabelecer um canal seguro e autenticado com os recursos da plataforma do Azure.
Comunicar-se por pontos de extremidade públicos fora do Azure
Os servidores localizados localmente ou em outras nuvens podem ser gerenciados com a configuração do computador conectando-os ao Azure Arc.
Para servidores habilitados para Azure Arc, permita o tráfego usando os seguintes padrões:
- Porta: somente TCP 443 necessário para acesso à Internet de saída
- URL global:
*.guestconfiguration.azure.com
Consulte os Requisitos de rede de servidores habilitados para Azure Arc para obter uma lista completa de todos os pontos de extremidade de rede exigidos pelo Azure Connected Machine Agent para os principais cenários de configuração do Azure Arc e do computador.
Comunicação por meio do Link Privado fora do Azure
Ao usar o link privado com servidores habilitados para Arc, os pacotes de políticas internos são baixados automaticamente pelo link privado. Você não precisa definir nenhuma marca no servidor habilitado para Arc para habilitar esse recurso.
Atribuindo políticas a computadores fora do Azure
As definições de política de auditoria disponíveis para a configuração de máquina incluem o tipo de recurso Microsoft.HybridCompute/machines. Todos os computadores integrados ao Azure Arc habilitado para servidores que estão no escopo da atribuição de política são incluídos automaticamente.
Requisitos de identidade gerenciada
As definições de política na iniciativa Deploy prerequisites to enable guest configuration policies on virtual machines habilitam uma identidade gerenciada atribuída pelo sistema, caso ela não exista. Há duas definições de política na iniciativa que gerenciam a criação de identidade. As condições if nas definições de política garantem o comportamento correto com base no estado atual do recurso de computador no Azure.
Importante
Essas definições criam uma identidade gerenciada atribuída pelo sistema nos recursos de destino, além das identidades atribuídas pelo usuário existentes (se houver). Para os aplicativos existentes, a menos que especifiquem a identidade atribuída pelo usuário na solicitação, o computador assumirá como padrão o uso da identidade atribuída pelo sistema. Saiba mais
Se o computador não tiver nenhuma identidade gerenciada no momento, a política efetiva será: Adicionar identidade gerenciada atribuída pelo sistema para habilitar atribuições de Configuração de Convidado em máquinas virtuais sem identidades
Se o computador tiver atualmente uma identidade de sistema atribuída pelo usuário, a política efetiva será: Adicionar identidade gerenciada atribuída pelo sistema para habilitar atribuições de Configuração de Convidado em VMs com uma identidade atribuída pelo usuário
Disponibilidade
Os clientes que projetam uma solução altamente disponível devem considerar os requisitos de planejamento de redundância para máquinas virtuais, pois as atribuições de convidado são extensões de recursos de máquina no Azure. Quando os recursos de atribuição de convidado são provisionados em uma região do Azure emparelhada, você pode visualizar relatórios de atribuição de convidados se pelo menos uma região emparelhada estiver disponível. Quando a região do Azure não está emparelhada e fica indisponível, você não pode acessar relatórios para uma atribuição de convidado. Quando a região é restaurada, você pode acessar os relatórios novamente.
É recomendável atribuir as mesmas definições de política com os mesmos parâmetros a todos os computadores na solução para aplicativos altamente disponíveis. Isso é especialmente verdadeiro para cenários em que as máquinas virtuais são provisionadas em Conjuntos de Disponibilidade por trás de uma solução de balanceador de carga. Uma única atribuição de política abrangendo todas as máquinas tem a menor sobrecarga administrativa.
Para máquinas protegidas pelo Azure Site Recovery, verifique se as máquinas em um site primário e secundário estão dentro do escopo das atribuições do Azure Policy para as mesmas definições. Use os mesmos valores de parâmetro para ambos os sites.
Residência de dadosResidência de dados
A configuração do computador armazena e processa dados do cliente. Por padrão, os dados do cliente são replicados para região pareada. Para as regiões Cingapura, Sul do Brasil e Leste da Ásia, todos os dados do cliente são armazenados e processados na região.
Solução de problemas de configuração do computador
Para obter mais informações sobre como solucionar problemas de configuração de máquina, confira Solução de problemas do Azure Policy.
Atribuições múltiplas
Neste momento, apenas algumas definições da política de configuração de máquina interna suporta várias atribuições. No entanto, todas as políticas personalizadas suportam várias atribuições por padrão se você usou a versão mais recente do módulo GuestConfiguration do PowerShell para criar pacotes e políticas de configuração de máquina.
A seguir está a lista de definições da política de configuração de máquina interna que suporta várias atribuições:
| ID | DisplayName |
|---|---|
| /providers/Microsoft.Authorization/policyDefinitions/5fe81c49-16b6-4870-9cee-45d13bf902ce | Os métodos de autenticação local devem ser desabilitados nos Windows Servers |
| /providers/Microsoft.Authorization/policyDefinitions/fad40cac-a972-4db0-b204-f1b15cced89a | Os métodos de autenticação local devem ser desabilitados em computadores Linux |
| /providers/Microsoft.Authorization/policyDefinitions/f40c7c00-b4e3-4068-a315-5fe81347a904 | [Versão prévia]: adicionar identidade gerenciada atribuída pelo usuário para habilitar atribuições de Configuração de Convidado em máquinas virtuais |
| /providers/Microsoft.Authorization/policyDefinitions/63594bb8-43bb-4bf0-bbf8-c67e5c28cb65 | [Versão prévia]: os computadores Linux devem atender ao requisito de conformidade do STIG para computação do Azure |
| /providers/Microsoft.Authorization/policyDefinitions/50c52fc9-cb21-4d99-9031-d6a0c613361c | [Versão prévia]: os computadores Windows devem atender aos requisitos de conformidade do STIG para computação do Azure |
| /providers/Microsoft.Authorization/policyDefinitions/e79ffbda-ff85-465d-ab8e-7e58a557660f | [Versão prévia]: computadores Linux com OMI instalado devem ter a versão 1.6.8-1 ou posterior |
| /providers/Microsoft.Authorization/policyDefinitions/934345e1-4dfb-4c70-90d7-41990dc9608b | Auditar computadores Windows que não contêm os certificados especificados na Raiz Confiável |
| /providers/Microsoft.Authorization/policyDefinitions/08a2f2d2-94b2-4a7b-aa3b-bb3f523ee6fd | Auditar computadores Windows nos quais a configuração de DSC não está em conformidade |
| /providers/Microsoft.Authorization/policyDefinitions/c648fbbb-591c-4acd-b465-ce9b176ca173 | Auditar computadores Windows que não têm a política de execução do Windows PowerShell especificada |
| /providers/Microsoft.Authorization/policyDefinitions/3e4e2bd5-15a2-4628-b3e1-58977e9793f3 | Auditar computadores Windows que não têm os módulos do Windows PowerShell especificados instalados |
| /providers/Microsoft.Authorization/policyDefinitions/58c460e9-7573-4bb2-9676-339c2f2486bb | Auditar computadores Windows nos quais o Console Serial do Windows não está habilitado |
| /providers/Microsoft.Authorization/policyDefinitions/e6ebf138-3d71-4935-a13b-9c7fdddd94df | Auditar computadores Windows nos quais os serviços especificados não estão instalados e "Em execução" |
| /providers/Microsoft.Authorization/policyDefinitions/c633f6a2-7f8b-4d9e-9456-02f0f04f5505 | Auditar computadores Windows que não estão definidos para o fuso horário especificado |
Observação
Verifique esta página periodicamente para obter as atualizações da lista de definições da política de configuração de máquina interna que suporta várias atribuições.
Atribuições a grupos de gerenciamento do Azure
As definições do Azure Policy na categoria Guest Configuration podem ser atribuídas a grupos de gerenciamento quando o efeito for AuditIfNotExists ou DeployIfNotExists.
Importante
Quando isenções de política são criadas em uma política de Configuração de Computador, a atribuição de convidado associada precisará ser excluída para que o agente pare de realizar verificações.
Arquivos de log do cliente
A extensão de configuração de máquina grava arquivos de log nos seguintes locais:
Windows
- VM do Azure:
C:\ProgramData\GuestConfig\gc_agent_logs\gc_agent.log - Servidores habilitados para o Arc:
C:\ProgramData\GuestConfig\arc_policy_logs\gc_agent.log
Linux
- VM do Azure:
/var/lib/GuestConfig/gc_agent_logs/gc_agent.log - Servidores habilitados para o Arc:
/var/lib/GuestConfig/arc_policy_logs/gc_agent.log
Coletando logs remotamente
A primeira etapa na solução de problemas de configurações ou módulos de computador deve ser usar os cmdlets seguindo os passos em Como testar os artefatos de pacote de configuração de computador. Se isso não for bem-sucedido, a coleta dos logs do cliente poderá ajudar a diagnosticar problemas.
Windows
Capture informações de arquivos de log usando o comando de execução de VM do Azure. O exemplo de script do PowerShell a seguir pode ser útil.
$linesToIncludeBeforeMatch = 0
$linesToIncludeAfterMatch = 10
$params = @{
Path = 'C:\ProgramData\GuestConfig\gc_agent_logs\gc_agent.log'
Pattern = @(
'DSCEngine'
'DSCManagedEngine'
)
CaseSensitive = $true
Context = @(
$linesToIncludeBeforeMatch
$linesToIncludeAfterMatch
)
}
Select-String @params | Select-Object -Last 10
Linux
Capture informações de arquivos de log usando o comando de execução de VM do Azure. O exemplo de script Bash a seguir pode ser útil.
LINES_TO_INCLUDE_BEFORE_MATCH=0
LINES_TO_INCLUDE_AFTER_MATCH=10
LOGPATH=/var/lib/GuestConfig/gc_agent_logs/gc_agent.log
egrep -B $LINES_TO_INCLUDE_BEFORE_MATCH -A $LINES_TO_INCLUDE_AFTER_MATCH 'DSCEngine|DSCManagedEngine' $LOGPATH | tail
Arquivos do agente
O agente de configuração de máquina baixa pacotes de conteúdo em um computador e extrai o conteúdo. Para verificar qual conteúdo foi baixado e armazenado, veja as localizações da pasta na lista abaixo.
- Windows:
C:\ProgramData\guestconfig\configuration - Linux:
/var/lib/GuestConfig/Configuration
Funcionalidade do módulo nxtools de software livre
Um novo módulo nxtools de software livre foi lançado para ajudar a facilitar o gerenciamento de sistemas Linux para usuários do PowerShell.
O módulo ajuda no gerenciamento de tarefas comuns, como:
- Gerenciando usuários e grupos
- Executar operações do sistema de arquivos
- Gerenciando serviços
- Executar operações de arquivo morto
- Gerenciando pacotes
O módulo inclui recursos de DSC baseados em classe para Linux e pacotes internos de configuração de máquina.
Para fornecer comentários sobre essa funcionalidade, abra um problema na documentação. Atualmente , não aceitamos PRs para este projeto e o suporte é o melhor esforço.
Exemplos de configuração do computador
Os exemplos de política interna de configuração de máquina estão disponíveis nos seguintes locais:
- Definições de política interna – Configuração de Convidado
- Iniciativas internas – Configuração de Convidado
- Repositório do GitHub de exemplos do Azure Policy
- Módulos de recurso DSC de exemplo
Próximas etapas
- Configure um ambiente de desenvolvimento do pacote de configuração de computador personalizado.
- Criar um artefato de pacote para a configuração de computador.
- Testar o artefato de pacote no ambiente de desenvolvimento.
- Use o módulo GuestConfiguration para criar uma definição do Azure Policy para o gerenciamento do seu ambiente em grande escala.
- Atribuir a definição de política personalizada usando o portal do Azure.
- Saiba como ver os detalhes de conformidade para atribuições da política de configuração de computador.