Usare Azure Arc per gestire le istanze di Windows Server
Dopo avere eseguito l'onboarding di un computer Windows Server in Azure Arc, è possibile usare Azure per gestire e configurare tale dispositivo. Alcune delle funzioni disponibili sono descritte nella tabella seguente.
Opzione
Spiegazione
Panoramica
Consente di rivedere le informazioni di base sulla macchina virtuale, tra cui stato, posizione, sottoscrizione, nome del computer, sistema operativo e tag.
Log attività
Consente di rivedere un elenco di attività eseguite sulla macchina virtuale e l'utente che ha eseguito l'evento.
Controllo di accesso
Consente di rivedere e gestire l'accesso alle risorse di Azure per utenti, gruppi, entità di servizio. e identità gestite in questo ambito attraverso la creazione di assegnazioni di ruolo.
Tag
Coppie nome/valore che consentono di classificare le risorse.
Estensioni
Consentono di aggiungere e rimuovere estensioni per la macchina virtuale.
Criteri
Consentono di aggiungere, configurare e rimuovere criteri per la macchina virtuale.
Gestione aggiornamenti
Consente di mantenere il controllo e la conformità della macchina virtuale coerenti con Gestione aggiornamenti.
Rilevamento modifiche e inventario
Consente di rivedere il rilevamento delle modifiche e la configurazione dell'inventario per la macchina virtuale. Rilevamento modifiche e inventario contribuiscono a un controllo e una conformità coerenti delle risorse.
Informazioni dettagliate
Consente di usare Monitoraggio di Azure per rivedere la CPU, il disco e lo stato di attività e inattività dell'host delle macchine virtuali di Azure Arc.
Registri
Consente di eseguire query sui log per raccogliere informazioni sulla macchina virtuale.
Gestire le estensioni
Le estensioni macchina virtuale sono piccole app che forniscono attività di configurazione e automazione post distribuzione nelle macchine virtuali di Azure. Ad esempio, se Contoso richiede l'installazione di nuovo software su una macchina virtuale o l'abilitazione della protezione antivirus o se lo staff IT ha bisogno di eseguire uno script all'interno della macchina virtuale, possono usare un'estensione della macchina virtuale. Azure Arc per server consente di distribuire le estensioni delle macchine virtuali di Azure a macchine virtuali sia Windows che Linux non di Azure. Questo consente di semplificare la gestione di quei computer.
Le estensioni macchina virtuale possono essere gestite tramite il portale di Azure, l'interfaccia della riga di comando di Azure, Azure PowerShell e i modelli di Azure Resource Manager. È possibile aggiungere a una macchina virtuale di Azure Arc le estensioni elencate e descritte nella tabella seguente.
Estensione
Altre informazioni
Rilevatore di vulnerabilità integrato in Microsoft Defender per il cloud
.Qualys
Estensione Microsoft Antimalware
Microsoft.Azure.Security
Estensione di script personalizzati
Microsoft.Compute.
Agente di Log Analytics
Microsoft.EnterpriseCloud.Monitoring
Monitoraggio di Azure per le macchine virtuali
Microsoft.Azure.Monitoring.DependencyAgent
Sincronizzazione certificati di Azure Key Vault
Microsoft.Azure.Key.Vault
Agente di Monitoraggio di Azure
Microsoft.Azure.Monitor
Estensione ruolo di lavoro ibrido per runbook di Automazione di Azure
Microsoft.Compute
Governance con Criteri di Azure
Criteri di Azure è un servizio che consente alle organizzazioni di gestire e valutare la conformità dell'organizzazione agli standard degli ambienti Microsoft Azure. Criteri di Azure usa regole dichiarative basate sulle proprietà dei tipi di risorse di Azure di destinazione. Queste regole formano le definizioni dei criteri, che gli amministratori possono applicare tramite l'assegnazione dei criteri a un ambito, ad esempio a una singola risorsa, a un gruppo di risorse, a una sottoscrizione o a un gruppo di gestione di Azure.
Ad esempio, per semplificare la gestione delle definizioni dei criteri, Contoso può prendere in considerazione la possibilità di combinare più criteri in iniziative e quindi creare poche assegnazioni di iniziative al posto di molte assegnazioni di criteri.
La funzionalità Criteri di Azure può essere raggruppata in quattro categorie principali:
- Applicazione della conformità durante il provisioning di nuove risorse di Azure
- Controllo della conformità delle risorse di Azure esistenti
- Correzione della mancata conformità delle risorse di Azure esistenti
- Controllo della conformità del sistema operativo, della configurazione delle applicazioni e delle impostazioni dell'ambiente nelle macchine virtuali di Azure
Suggerimento
L'ultima di queste categorie viene implementata usando il client Configurazione guest di Criteri di Azure, disponibile come estensione macchina virtuale di Azure. Azure Arc per server usa lo stesso client per offrire funzionalità di controllo in scenari ibridi.
Contoso, ad esempio, potrebbe usare Criteri di Azure con i server abilitati per Arc per implementare le regole seguenti:
- Assegnazione di tag ai computer durante la distribuzione in Azure Arc
- Distribuzione dell'estensione di Log Analytics in computer non Azure
- Identificazione dei server abilitati per Arc senza Microsoft Defender abilitato
Azure Arc consente di estendere la governance di Criteri di Azure ai server e ai cluster in esecuzione in data center locali o ospitati da provider di servizi cloud di terze parti. Questa funzionalità si applica al controllo della conformità delle impostazioni per il sistema operativo, le applicazioni e l'ambiente.
Nota
Per abilitare questa funzionalità è necessario che l'agente Azure Connected Machine sia installato in ogni computer incluso nell'ambito della gestione.
Dopo l'installazione dell'agente è necessaria la connettività in uscita ad Azure Arc sulla porta TCP 443. A quel punto, qualsiasi configurazione basata su client Configurazione guest di Criteri di Azure inclusa nella definizione dell'iniziativa o dei criteri assegnati verrà applicata automaticamente.
In particolare, Contoso può usare l'iniziativa dei criteri [Anteprima] Controlla le macchine virtuali Windows che non corrispondono alle impostazioni di base di sicurezza di Azure per controllare la conformità rispetto alle linee di base del Centro sicurezza di Azure. Contoso ha anche la possibilità di impostare il fuso orario nei server di destinazione assegnando la definizione dei criteri [Anteprima] Configura il fuso orario nei computer Windows. Durante il controllo dei computer di destinazione, Contoso avrà la possibilità di rivedere i log in locale o in remoto tramite il comando Azure VM Run (Esecuzione macchina virtuale Azure), disponibile nel portale di Azure.
Nota
Per sapere se una determinata definizione di criteri supporti il client Configurazione guest di Criteri di Azure, è necessario stabilire se includa un riferimento al tipo di risorsa Microsoft.HybridCompute/machines.
Assegnare criteri di Azure Arc
Per gestire e assegnare criteri di Azure Arc a un computer:
Dal portale di Azure passare ad Azure Arc, quindi selezionare Gestisci server.
Dall'elenco restituito dei server gestiti selezionare il server appropriato, quindi nel pannello di navigazione, in Operazioni, selezionare Criteri.
Per assegnare un criterio, selezionare Assegna criterio nella barra degli strumenti.
Nella pagina Assegna criteri selezionare le informazioni seguenti:
- Ambito del criterio ed eventuali sue esclusioni dall'ambito
- Definizione dei criteri.
- Nome dell'assegnazione.
- Descrizione.
- Applicazione dei criteri (Abilitata o disabilitata)
Selezionare Rivedi + crea oppure le schede Parametri e Correzione per configurare comportamenti aggiuntivi.
Dopo aver assegnato i criteri, dalla pagina iniziale di Azure Arc è possibile rivedere le impostazioni dei criteri nella macchina virtuale selezionata.
Altre letture
Per altre informazioni, vedere i documenti seguenti.