Connecter des machines à grande échelle à l’aide d’une stratégie de groupe

  • Article

Vous pouvez intégrer des machines Windows jointes à Active Directory à des serveurs avec Azure Arc à grande échelle à l’aide d’une stratégie de groupe.

Vous devez d’abord configurer un partage distant local avec l’agent Connected Machine et modifier un script spécifiant la zone d’atterrissage du serveur avec Arc dans Azure. Vous allez ensuite exécuter un script qui génère un Objet de stratégie de groupe (Group Policy Object, GPO) pour intégrer un groupe de machines à des serveurs avec Azure Arc. Cette Objet de stratégie de groupe peut être appliqué au niveau d’un site, d’un domaine ou d’une organisation. L’affectation peut également utiliser une liste de contrôle d’accès (ACL) et d’autres filtrages de sécurité natifs pour la stratégie de groupe. Les machines créées dans l’étendue de la stratégie de groupe seront intégrées aux serveurs avec Azure Arc. Définissez l’étendue de votre Objet de stratégie de groupe de façon à n’inclure que les machines que vous souhaitez intégrer à Azure Arc.

Avant de commencer, veillez à consulter les conditions préalables et vérifiez que votre abonnement et vos ressources répondent aux exigences. Pour plus d'informations sur les régions prises en charge et d'autres considérations connexes, consultez Régions Azure prises en charge. Consultez également notre Guide de planification à grande échelle pour comprendre les critères de conception et de déploiement, ainsi que nos recommandations en matière de gestion et de surveillance.

Si vous n’avez pas d’abonnement Azure, créez un compte gratuit avant de commencer.

Connexion automatique pour SQL Server

Lorsque vous connectez à Azure Arc un serveur Windows ou Linux sur lequel Microsoft SQL Server est également installé, les instances SQL Server sont automatiquement connectées à Azure Arc. SQL Server activé par Azure Arc fournit un inventaire détaillé et des fonctionnalités de gestion supplémentaires pour vos instances et bases de données SQL Server. Dans le cadre du processus de connexion, une extension est déployée sur votre serveur avec Azure Arc et de nouveaux rôles sont appliqués à votre SQL Server et à vos bases de données. Si vous ne souhaitez pas connecter automatiquement vos SQL Servers à Azure Arc, vous pouvez refuser la connexion en ajoutant une balise au serveur Windows ou Linux avec le nom ArcSQLServerExtensionDeployment et la valeur Disabled lorsqu’il est connecté à Azure Arc.

Pour plus d’informations, consultez Gérer la connexion automatique pour SQL Server activée par Azure Arc.

Préparer un partage distant et créer un principal de service

L’Objet de stratégie de groupe permettant d’intégrer des serveurs avec Azure Arc nécessite un partage distant avec l’agent Connected Machine. Vous devez :

  1. Préparez un partage distant pour héberger le package de l’agent Azure Connected Machine pour Windows et le fichier de configuration. Vous devez pouvoir ajouter des fichiers dans l’emplacement distribué. Le partage réseau doit fournir des autorisations de modification aux Contrôleurs de domaine et aux Ordinateurs de domaine, et des autorisations de contrôle total aux Administrateurs de domaine.

  2. Effectuez les étapes permettant de créer un principal de service pour une intégration à grande échelle.

    • Attribuez le rôle Intégration Azure Connected Machine à votre principal de service et limitez l’étendue du rôle à la zone d’atterrissage Azure cible.
    • Notez le secret du principal de service : vous en aurez besoin ultérieurement.

  3. Téléchargez et décompressez le dossier ArcEnabledServersGroupPolicy_vX.X.X à partir de https://github.com/Azure/ArcEnabledServersGroupPolicy/releases/latest/. Ce dossier contient la structure de projet ArcGPO avec les scripts EnableAzureArc.ps1, DeployGPO.ps1 et AzureArcDeployment.psm1. Ces ressources seront utilisées pour intégrer la machine aux serveurs avec Azure Arc.

  4. Téléchargez la dernière version du Package Windows Installer de l’Agent Azure Connected Machine à partir du Centre de téléchargement Microsoft, puis enregistrez-la dans le partage distant.

  5. Exécutez le script de déploiement DeployGPO.ps1, en modifiant les paramètres d’exécution pour DomainFQDN, ReportServerFQDN, ArcRemoteShare, le secret du principal de service, l’ID client du principal de service, l’ID d’abonnement, le groupe de ressources, la région, le locataire et AgentProxy (le cas échéant) :

    .\DeployGPO.ps1 -DomainFQDN contoso.com -ReportServerFQDN Server.contoso.com -ArcRemoteShare AzureArcOnBoard -ServicePrincipalSecret $ServicePrincipalSecret -ServicePrincipalClientId $ServicePrincipalClientId -SubscriptionId $SubscriptionId -ResourceGroup $ResourceGroup -Location $Location -TenantId $TenantId [-AgentProxy $AgentProxy]

Appliquer l’objet de stratégie de groupe

Dans la Console de gestion des stratégies de groupe (GPMC), cliquez avec le bouton droit sur l’unité d’organisation souhaitée et liez l’Objet de stratégie de groupe nommé [MSFT] Serveurs Azure Arc (dateheure). Il s’agit de l’Objet stratégie de groupe qui a la Tâche planifiée pour intégrer les machines. Après 10 ou 20 minutes, l’objet de stratégie de groupe est répliqué sur les contrôleurs de domaine respectifs. En savoir plus sur la création et la gestion de la stratégie de groupe dans microsoft Entra Domain Services.

Après avoir correctement installé l’agent et l’avoir configuré pour qu’il se connecte aux serveurs avec Azure Arc, accédez au Portail Azure pour vérifier que les serveurs de votre unité d’organisation se sont connectés. Affichez vos machines dans le portail Azure.

Important

Une fois que vous avez confirmé que vos serveurs ont correctement été intégrés à Arc, désactivez l’objet de stratégie de groupe. Cela empêche l’exécution des mêmes commandes PowerShell dans les tâches planifiées lorsque le système redémarre ou lorsque la stratégie de groupe est mise à jour.

Étapes suivantes