云原生策略管理使用 Azure 支持的审核和强制执行来补充传统的 Active Directory 组策略对象(GPO)。 在传统设置中,Active Directory 中的 GPO 强制实施配置,例如服务器上的密码策略和审核设置。 Azure 通过 Azure Policy 提供类似的功能,其中包括一项来宾配置功能,可在虚拟机(VM)内审核和配置设置。
Azure Policy 允许你审核关键设置(内置和自定义策略定义)以提供环境的整体视图。 随着时间的推移,可以强制实施配置,以便无论服务器是本地服务器还是 Azure 中,它都符合标准,在混合环境中传递“策略即代码”。
让我们来细分 Azure Policy 如何适用于服务器,以及如何将其与组策略进行比较。
Azure 计算机配置
Azure Policy 通常适用于云资源。 Azure 计算机配置(以前称为 Azure Policy 来宾配置)在作系统中扩展 Azure Policy,从而提供对 Arc 连接的服务器的类似 GPO 的控制。 计算机配置使用后台的 Desired State Configuration (DSC)来检查或设置 VM 或已启用 Arc 的服务器上的 OS 设置。 例如,Azure Policy 可以审核 Windows 服务器上的密码复杂性策略是否满足要求,甚至可以在未满足要求的情况下对其进行设置。 Microsoft为常见方案提供内置计算机配置策略,例如确保启用 Windows 防火墙、密码最短长度为 X 或某些服务正在运行。 此功能与组策略模板类似,许多相同的设置都可以由任一工具强制执行。
Azure Policy 持续评估合规性,并提供一个仪表板,其中显示了所有计算机及其符合性状态。 若要通过 Active Directory 获取相同的信息,可能需要在每个服务器上梳理结果策略集(RSoP),或使用其他工具。
请记住的一个关键区别是,Azure Policy 在 Azure 资源级别(订阅、资源组或单个计算机范围)应用,而 GPO 在域/组织单位(OU)级别应用于已加入域的计算机。 使用 Azure,可以将策略定向到资源组中的所有 Arc 服务器(可能代表部门)在一个分配中。 即使这些服务器不在同一 OU 中,只要这些服务器位于该 Azure 范围内,策略就会覆盖这些服务器。
除了审核合规性之外,还可以强制或修正策略。 例如,如果服务器的远程桌面协议(RDP)未设置为所需的密码,修正策略可能会将其翻转为合规。 启用 Arc 的服务器时,扩展在每个不符合的计算机上应用所需的设置(通过 DSC)。
Desired State Configuration
如果具有自定义配置需求,则不限于内置策略。 Azure 来宾配置允许你自带 DSC 配置或脚本,并将其部署为策略(或传入)。 此选项类似于编写自定义 GPO 管理模板或启动脚本。
例如,如果你有任何Microsoft提供的策略未涵盖的特定注册表设置,则可以编写 DSC 脚本来检查它并强制实施它,然后将它包装在 Azure Policy 中。 这样,Azure 就会成为一站式商店,以强制实施标准和自定义配置。
功能比较
虽然这两种工具都可以确保 OS 设置(如密码策略或防火墙规则),但 Azure Policy 管理组策略无法管理的云方面。 例如,可以使用 Azure Policy 来确保 VM 已启用 Azure 备份 ,或防止创建昂贵的 VM SKU。 Azure Policy 还可以验证已连接到 Arc 的服务器是否已载入 Azure 服务,例如 Microsoft Defender for Cloud(超出了组策略的范围)。
Microsoft甚至提供了一个映射到 Windows 安全基线的 Azure Policy 计划,涵盖与组策略安全基线(帐户策略、审核设置等)相同的许多设置。 如果要根据已知基线检查所有服务器并查看符合性百分比,则此策略非常有用。
将 Azure Policy 与组策略一起使用
集中可见性是采用 Azure Policy 的另一个激励措施。 如果使用 Azure Policy 作为 Windows Server 的单一管理点,无论它们是否在 Azure 中,都会获得统一的合规性仪表板。 你仍然可以让组策略在本地执行实际强制,但使用 Azure Policy 审核这些相同的设置。 使用此选项,Azure 可以向你显示任何服务器是否偏离了所需状态。 最终,可以让 Azure 实际强制实施它们并减少对 GPO 的依赖。 此过程是“云管理员”旅程的一部分:逐步将治理转移到 Azure。
如果想要继续使用本地服务器上的组策略来管理以用户为中心的或 UI 设置,例如屏幕程序超时和映射驱动器,或者通过 GPO 安装 MSI 包。 Azure Policy 不按用户管理这些类型的设置,因为它未与用户登录过程集成。 在组合方法中,可以继续使用 Active Directory 组策略(尤其是服务器已加入域且已有现有 GPO),但使用 Azure Policy 进行云级治理,并管理不在域中的服务器。
一起使用 Azure Policy 和组策略时,请务必了解它们如何交互。 通常,即使服务器也连接到 Azure Arc,组策略仍会在登录/刷新时继续应用于已加入域的计算机。Azure Policy 计算机配置通过 Arc 代理应用,并定期或由事件触发时进行检查。
因此,我们建议避免出现冲突的配置。 例如,你可能主要使用 Azure Policy 来审核 GPO 管理的符合性报告设置,或者在迁移到云管理时逐渐将某些 GPO 替换为 Azure 策略。 值得注意的是,Azure Policy 设置不会显示在 RSoP 或 gpresult 服务器上。 组策略不知道某个注册表设置是通过 Azure Policy 应用的;它只知道设置。 作为管理员,你将依赖 Azure 的符合性报告,而不是 RSOP 来了解有关这些设置的详细信息。