Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Essential machine management simplifica a integração e a configuração do gerenciamento para máquinas virtuais do Azure (VMs) e servidores com suporte a Arc. Quando você habilita uma assinatura para o gerenciamento essencial de máquinas, todas as VMs e servidores habilitados para arc nessa assinatura são automaticamente registrados e configurados com um conjunto de recursos de gerenciamento selecionados. Isso garante que seus computadores estejam configurados consistentemente para monitoramento, segurança e gerenciamento.
Pré-requisitos
- Workspace do Log Analytics para coleta de dados de log de VMs.
- Workspace do Azure Monitor para coleta de métricas de VMs.
- Identidade gerenciada atribuída pelo usuário , conforme descrito na seção Identidade gerenciada abaixo.
Permissões necessárias
Utilizador
O usuário que executa o registro deve ter as seguintes funções na assinatura que está sendo habilitada:
- Administrador de Gerenciamento de Máquinas Essenciais
- Funções do Operador de Identidade Gerenciada
- Colaborador da política de recurso
Se você estiver usando um workspace do Log Analytics ou um workspace do Azure Monitor em uma assinatura diferente daquela que está sendo habilitada para o gerenciamento essencial de máquinas:
- A conta de usuário também deve ter a função Essential Machine Management Administrator no grupo de recursos do espaço de trabalho do Log Analytics ou do espaço de trabalho do Azure Monitor.
- O provedor de recursos Microsoft.ManagedOps precisa estar registrado na assinatura do workspace do Log Analytics ou do workspace do Azure Monitor. Use o comando Azure PowerShell:
Register-AzResourceProvider -ProviderNamespace "Microsoft.ManagedOps".
Identidade gerenciada
O registro requer uma identidade gerenciada atribuída pelo usuário com permissão Colaborador para a subscrição.
Se você estiver utilizando um workspace do Log Analytics ou do Azure Monitor em uma assinatura diferente daquela habilitada para o Gerenciamento Essencial de Máquinas, a identidade gerenciada também deverá ter permissões de Colaborador no grupo de recursos correspondente.
Recursos habilitados
O gerenciamento de máquinas essenciais permite um conjunto padrão de recursos e permite que você habilite opcionalmente recursos de segurança adicionais.
Camada Essentials
Os recursos a seguir fazem parte da camada de itens essenciais.
| Característica | Description |
|---|---|
| Azure Monitor | Monitora e fornece insights sobre o desempenho e a integridade da VM. Configura alertas recomendados baseados em métrica. |
| Gerenciador de Atualizações do Azure | Automatiza a implantação de atualizações do sistema operacional em VMs. |
| Azure Machine Configuration | Audita a política de linha de base de segurança do Azure |
| Controle de Alterações e Inventário do Azure | Controla as alterações nas configurações da VM e mantém um inventário de recursos. |
Preços do plano Essentials
Observação
Durante a fase inicial da visualização pública, os recursos do Essential Machine Management são fornecidos sem custo adicional. Os logs gerados por Controle de Alterações e Inventário incorrem em uma cobrança separada tanto para Máquinas Virtuais do Azure quanto para servidores habilitados para Arc.
- Somente para Máquinas Virtuais do Azure, os recursos habilitados pelo Essential Machine Management são fornecidos sem custo adicional.
- Para servidores habilitados para Azure Arc com Windows Server Software Assurance, Windows Server PayGo e Windows Server Extended Security Updates, os recursos disponibilizados pelo Gerenciamento Essencial de Máquinas são fornecidos sem custo adicional.
- Para todos os outros servidores habilitados para Arc, o Gerenciamento de Máquinas Essenciais será precificado em US$ 9 por servidor por mês, depois que a cobrança estiver habilitada em uma data futura. Uma atualização de comunicado e documentação será postada quando a cobrança começar.
Camada de segurança
Os recursos de segurança a seguir estão disponíveis como parte do gerenciamento de máquina essencial. Você pode optar por habilitar qualquer combinação desses recursos para as VMs registradas. Os recursos nesta seção podem gerar um custo adicional.
| Característica | Description | Custo |
|---|---|---|
| GPSN fundamental | Fornece recursos básicos de CSPM (gerenciamento de postura de segurança de nuvem) para avaliar e melhorar a segurança de seus recursos de nuvem. | Não |
| GPSN do Defender | Funcionalidades avançadas de CSPM (gerenciamento de postura de segurança de nuvem) para aprimorar a segurança dos recursos de nuvem. | Yes |
| Defender para nuvem | Proteção avançada contra ameaças e gerenciamento de segurança para VMs. | Yes |
Habilitar uma assinatura
Para habilitar o gerenciamento de máquinas para uma assinatura, selecione o gerenciamento de máquinas Essential no menu Configuração e clique em Habilitar.
Observação
Durante a visualização pública, o portal Azure é o único método com suporte para habilitar o gerenciamento de máquinas.
Guia Escopo
A guia Escopo inclui a assinatura que você deseja habilitar e a identidade gerenciada.
| Configurações | Descrição |
|---|---|
| Selecionar uma assinatura | Clique para selecionar a assinatura a ser habilitada. Uma lista é fornecida com todas as assinaturas às quais você tem acesso e o número de VMs Azure e VMs habilitadas para Arc em cada uma. |
| Atribuições de função de usuário necessárias | Lista as funções necessárias às quais sua conta de usuário deve ser atribuída. |
| Atribuições de função de usuário atuais | Lista as funções que estão atribuídas atualmente à sua conta de usuário. |
| Identidade gerenciada atribuída ao usuário | Selecione a identidade gerenciada a ser usada para integrar VMs na assinatura. |
| Necessária a atribuição de função de identidade | Lista as funções necessárias às quais a identidade gerenciada deve estar atribuída. |
| Atribuição de função atual da identidade | Lista as funções atualmente atribuídas à identidade gerenciada. |
Configurar aba
A guia Configure inclui o workspace Log Analytics e o workspace Azure Monitor, onde serão coletados dados das VMs gerenciadas.
| Configurações | Descrição |
|---|---|
| Área de Trabalho do Log Analytics | Selecione o workspace do Log Analytics que será utilizado para a coleta de dados de log das VMs. |
| Azure Monitor workspace | Selecione o espaço de trabalho do Azure Monitor para coletar dados de métricas de VMs. |
Guia Segurança
A guia Segurança permite que você selecione serviços de segurança adicionais para as VMs gerenciadas.
| Configurações | Descrição |
|---|---|
| CSPM Fundamental | Avalie continuamente seu ambiente de nuvem com insights priorizados por risco e sem agente. Recomendado para todas as cargas de trabalho. Esse complemento não incorre em encargos adicionais. |
| GPSN do Defender | Avalie continuamente seu ambiente de nuvem com insights priorizados por risco e sem agente. Recomendado para todas as cargas de trabalho. Esse complemento incorre em uma cobrança adicional. |
| Defender para nuvem | Proteção abrangente do servidor com EDR (detecção e resposta de ponto de extremidade integrado), gerenciamento de vulnerabilidades, monitoramento de integridade de arquivos e detecção avançada de ameaças. Recomendado para cargas de trabalho comercialmente críticas. Esse complemento incorre em uma cobrança adicional. |
VMs existentes
O gerenciamento de máquina essencial está habilitado em cada assinatura para integrar automaticamente todas as VMs do Azure e servidores habilitados pelo Arc da assinatura. Uma vez habilitadas, todas as VMs adicionadas à assinatura são registradas e configuradas com os recursos selecionados. O comportamento a seguir se aplica a VMs existentes na assinatura quando o gerenciamento de máquina essencial está habilitado.
- Os serviços existentes manterão sua configuração. Por exemplo, se uma VM já estiver usando o Gerenciamento de Atualizações com um agendamento de manutenção, ela ainda seguirá esse agendamento de manutenção.
- Depois que a assinatura estiver habilitada, as tarefas de correção serão criadas para habilitar o serviço selecionado para todas as VMs existentes na assinatura.
Aviso
Tenha cuidado com a visualização pública se você tiver VMs existentes com o Controle de Alterações habilitado. Nesse caso, um DCR de Controle de Alterações adicional será criado e associado à VM. Como o Controle de Alterações dá suporte apenas a um único DCR, qualquer um dos dois DCRs pode ser atribuído. Se você quiser usar o DCR ManagedOps, remova o DCR existente.
Exclusão de VMs
No momento, não há nenhuma capacidade de excluir VMs na assinatura habilitada. Todas as VMs na assinatura são integradas e configuradas com os recursos selecionados.
Desabilitar uma assinatura
Desabilite uma assinatura selecionando-a e clicando em Offboard. Quando você desabilitar uma assinatura, todas as VMs adicionadas a essa assinatura não serão mais configuradas com os recursos de gerenciamento selecionados. No entanto, a configuração não é alterada para VMs existentes. Eles continuarão a ser gerenciados com os recursos existentes até que você os remova manualmente.
Aviso
Quando você desabilitar uma assinatura, os computadores nessa assinatura não usam mais preços consolidados. Os preços desses computadores serão revertidos para preços padrão para cada serviço individual, o que provavelmente aumentará seus custos. Certifique-se de desabilitar quaisquer serviços desnecessários em VMs existentes para evitar encargos adicionais.
Resolução de problemas
Consulte Solucionar problemas de gerenciamento de máquinas essenciais (versão prévia) para ajudar a resolver problemas comuns com o gerenciamento de máquina essencial. Este artigo também identifica os objetos criados durante o registro e como verificar sua criação.
Configuração detalhada
A tabela a seguir descreve a configuração específica aplicada a cada VM quando o gerenciamento de máquina essencial está habilitado.
| Característica | Detalhes da configuração |
|---|---|
| Azure Monitor | - Instala o agente do Azure Monitor - Coleta o conjunto padrão de contadores de desempenho. – Configura alertas recomendados baseados em métrica |
| Gerenciador de Atualizações do Azure | - Instala a extensão (Microsoft.CPlat.Core.LinuxPatchExtension ou Microsoft.CPlat.Core.WindowsPatchExtension)- Avaliação periódica habilitada. |
| Configuração do computador Azure | - Instala a extensão (Microsoft.GuestConfiguration.ConfigurationforLinux ou Microsoft.GuestConfiguration.ConfigurationforWindows)- Aplica a linha de base de segurança do Linux e do Windows no modo Apenas auditoria. |
| Rastreamento de Alterações e Inventário do Azure | - Instala a extensão (Microsoft.Azure.ChangeTrackingAndInventory.<br>ChangeTracking-Windows ou Microsoft.Azure.ChangeTrackingAndInventory.ChangeTracking-Linux)- Utiliza o workspace do Log Analytics especificado na integração. - Coleta arquivos básicos e chaves do Registro. |
| GPSN do Defender | – Todas as configurações ativadas por padrão. |