Opzioni di correzione per la configurazione del computer
Prima di iniziare, è consigliabile leggere la pagina di panoramica per la configurazione del computer.
Importante
L'estensione di configurazione del computer è necessaria per le macchine virtuali di Azure. Per distribuire l'estensione su larga scala in tutti i computer, assegnare l'iniziativa di criteri seguente: Deploy prerequisites to enable guest configuration policies on virtual machines
Per usare i pacchetti di configurazione del computer che applicano configurazioni, è necessaria l'estensione di configurazione guest della macchina virtuale di Azure versione 1.26.24 o successiva oppure l'agente Arc 1.10.0 o versione successiva.
Le definizioni dei criteri di configurazione del computer personalizzato che usano AuditIfNotExists e DeployIfNotExists sono in stato di supporto disponibile a livello generale.
Come la configurazione del computer gestisce la correzione (set)
La configurazione del computer usa l'effetto dei criteri DeployIfNotExists per le definizioni che recapitano modifiche all'interno dei computer. Impostare le proprietà di un'assegnazione di criteri per controllare il modo in cui la valutazione fornisce le configurazioni automaticamente o su richiesta.
È disponibile una procedura dettagliata video di questo documento.
Tipi di assegnazione della configurazione del computer
Quando vengono create assegnazioni guest, sono disponibili tre tipi di assegnazione. La proprietà è disponibile come parametro delle definizioni di configurazione del computer che supportano DeployIfNotExists.
La proprietà assignmentType fa distinzione tra maiuscole e minuscole
| Tipo di assegnazione | Comportamento |
|---|---|
Audit |
Segnalare lo stato del computer, ma non apportare modifiche. |
ApplyAndMonitor |
Applicato alla macchina una sola volta e quindi monitorato per le modifiche. Se la configurazione deriva e diventa NonCompliant, non viene corretta automaticamente a meno che non venga attivata la correzione. |
ApplyAndAutoCorrect |
Applicato alla macchina. In caso di deviazione, il servizio locale all'interno del computer esegue una correzione alla valutazione successiva. |
Quando viene assegnata una nuova assegnazione di criteri a un computer esistente, viene creata automaticamente un'assegnazione guest per controllare prima lo stato della configurazione. Il controllo fornisce informazioni che è possibile usare per decidere quali computer necessitano di correzione.
Correzione su richiesta (ApplyAndMonitor)
Per impostazione predefinita, le assegnazioni di configurazione del computer operano in uno scenario di correzione su richiesta. La configurazione viene applicata e quindi consentita la deviazione dalla conformità.
Lo stato di conformità dell'assegnazione guest è Compliant a meno che:
- Si verifica un errore durante l'applicazione della configurazione
- Se il computer non è più nello stato desiderato durante la valutazione successiva
Quando una di queste condizioni viene soddisfatta, l'agente segnala lo stato come NonCompliant e non corregge automaticamente.
Per abilitare questo comportamento, impostare la proprietà assignmentType dell'assegnazione della configurazione del computer su ApplyandMonitor. Ogni volta che l'assegnazione viene elaborata all'interno del computer, l'agente segnala Compliant per ogni risorsa quando il metodo Test restituisce $true o NonCompliant se il metodo restituisce $false.
Correzione continua (correzione automatica)
La configurazione del computer supporta il concetto di correzione continua. Se il computer non è conforme a una configurazione, la successiva valutazione della configurazione viene corretta automaticamente. A meno che non si verifichi un errore, il computer segnala sempre lo stato come Compliant per la configurazione. Non è possibile segnalare quando una deriva è stata corretta automaticamente quando si usa la correzione continua.
Per abilitare questo comportamento, impostare la proprietà assignmentType dell'assegnazione della configurazione del computer su ApplyandAutoCorrect. Ogni volta che l'assegnazione viene elaborata all'interno del computer, il metodo Set viene eseguito automaticamente per ogni risorsa che il metodo Test restituisce false.
Disabilitare la correzione
Quando la proprietà assignmentType è impostata su Audit, l'agente esegue solo un controllo del computer e non tenta di correggere la configurazione se non è conforme.
Disabilitare la correzione del contenuto personalizzato
È possibile eseguire l'override della proprietà del tipo di assegnazione per i pacchetti di contenuto personalizzati aggiungendo un tag al computer con il nome CustomGuestConfigurationSetPolicy e il valore disable. L'aggiunta del tag disabilita la correzione solo per i pacchetti di contenuto personalizzati, non per il contenuto predefinito fornito da Microsoft.
applicazione Criteri di Azure
Criteri di Azure assegnazioni includono una proprietà obbligatoriaModalità di imposizione che determina il comportamento per le risorse nuove ed esistenti. Utilizzare questa proprietà per controllare se le configurazioni vengono applicate automaticamente ai computer.
Per impostazione predefinita, l'imposizione è impostata su Enabled. Criteri di Azure applica automaticamente la configurazione quando viene distribuito un nuovo computer. Applica anche la configurazione quando vengono aggiornate le proprietà di un computer nell'ambito di un'assegnazione di Criteri di Azure con un criterio nella categoriaGuest Configuration. Le operazioni di aggiornamento includono azioni che si verificano in Azure Resource Manager, ad esempio l'aggiunta o la modifica di un tag. Le operazioni di aggiornamento includono anche modifiche per le macchine virtuali, ad esempio il ridimensionamento o il collegamento di un disco.
Lasciare abilitata l'imposizione se la configurazione deve essere risolta quando si verificano modifiche alla risorsa computer in Azure. Le modifiche apportate all'interno del computer non attivano la correzione automatica, purché non modifichino la risorsa del computer in Azure Resource Manager.
Se l'imposizione è impostata su Disabled, l'assegnazione di configurazione controlla lo stato del computer fino a quando un'attività di correzione non modifica il comportamento. Per impostazione predefinita, le definizioni di configurazione del computer aggiornano la proprietà assignmentType da Audit a ApplyandMonitor in modo che la configurazione venga applicata una sola volta e quindi non venga applicata di nuovo finché non viene attivata una correzione.
Facoltativo: correggere tutti i computer esistenti
Se viene creata un'assegnazione Criteri di Azure dalla portale di Azure, nella scheda "Correzione" è disponibile una casella di controllo denominata "Crea un'attività di correzione". Quando la casella è selezionata, dopo la creazione dell'assegnazione dei criteri, le attività di correzione correggeno automaticamente tutte le risorse che restituiscono NonCompliant.
L'effetto di questa impostazione per la configurazione del computer è che è possibile distribuire una configurazione in più computer assegnando un criterio. Non è inoltre necessario eseguire manualmente l'attività di correzione per i computer non conformi.
Attivare manualmente la correzione all'esterno di Criteri di Azure
È possibile orchestrare la correzione all'esterno dell'esperienza di Criteri di Azure aggiornando una risorsa di assegnazione guest, anche se l'aggiornamento non apporta modifiche alle proprietà della risorsa.
Quando viene creata un'assegnazione di configurazione del computer, la proprietà complianceStatus viene impostata su Pending. Il servizio di configurazione del computer richiede un elenco di assegnazioni ogni 5 minuti. Se complianceStatus dell'assegnazione di configurazione del computer è e la relativa configurazioneMode è PendingApplyandMonitor o ApplyandAutoCorrect, il servizio nel computer applica la configurazione.
Dopo l'applicazione della configurazione, la modalità di configurazione determina se il comportamento consiste nel segnalare solo lo stato di conformità e consentire la deriva o correggere automaticamente.
Informazioni sulle combinazioni di impostazioni
| ~ | Audit | ApplyandMonitor | ApplyandAutoCorrect |
|---|---|---|---|
| Imposizione abilitata | Segnala solo lo stato | Configurazione applicata alla creazione e alla riapplicazione della macchina virtuale nell'aggiornamento, ma altrimenti consentita la deriva | Configurazione applicata alla creazione della macchina virtuale, riapplicata nell'aggiornamento e corretta all'intervallo successivo in caso di deviazione |
| Imposizione disabilitata | Segnala solo lo stato | Configurazione applicata ma consentita la deriva | Configurazione applicata alla creazione o all'aggiornamento della macchina virtuale e corretta all'intervallo successivo in caso di deviazione |
Passaggi successivi
- Sviluppare un pacchetto di configurazione del computer personalizzato.
- Usare il modulo GuestConfiguration per creare una definizione di Criteri di Azure per la gestione su larga scala dell'ambiente.
- Assegnare la definizione dei criteri personalizzata usando il portale di Azure.
- Informazioni su come visualizzare i dettagli di conformità per le assegnazioni dei criteri di configurazione del computer.