Um den Mehrwert von Azure Arc zu verstehen, lohnt zunächst eine klare Abgrenzung zu klassischen Azure-Diensten. Während traditionelle Azure-Services komplett innerhalb der Microsoft-Rechenzentren laufen, erweitert Arc das Azure-Management über die Cloud hinaus und macht externe Ressourcen sicht-und steuerbar. Konkret ermöglicht Azure Arc, Systeme zu verwalten, die sich im eigenen Rechenzentrum, bei anderen Cloudanbietern oder in hybriden Umgebungen befinden – ganz so, als wären sie Teil der nativen Azure-Infrastruktur. Der Service unterstützt Server auf Basis von Windows und Linux, Kubernetes-Cluster, diverse Datenbankdienste (unter anderem SQL und PostgreSQL) sowie virtuelle Maschinen, die auf VMware oder in Drittanbieterclouds laufen.

Technisch basiert Arc auf drei Kernkomponenten: Zum einen dem Azure Resource Manager (ARM) als zentrale Verwaltungsschicht, die Ressourcen unabhängig vom Standort integriert. Dazu kommen Agenten, die auf den jeweiligen Systemen installiert werden und den Datenaustausch zwischen Ressourcen und Azure ermöglichen. Schließlich gewährleistet Tagging und Inventarisierung Übersicht und Struktur der angebundenen Ressourcen. Das Ergebnis ist eine Single Pane of Glass, die erlaubt, hybride Infrastrukturen einheitlich zu überwachen, zu verwalten und zu sichern. Azure Arc macht hybride Umgebungen so deutlich einfacher handhabbar und reduziert die Komplexität des Managements erheblich.

Arc deckt mehrere Klassen von Ressourcen ab, die jeweils eigene Erweiterungen ("Extensions") und Verwaltungsmodelle mitbringen:

- Arc-enabled Servers (Windows/Linux): Einbinden physischer oder virtueller Server außerhalb von Azure. Zentrale Funktionen sind Inventarisierung, RBAC, Policy/Guest, Konfiguration, Monitoring Update-Manager, Defender for Cloud.

- Arc-enabled Kubernetes: Registrierung bestehender Kubernetes-Cluster (lokal, AKS-Edge, andere Clouds). Bringt Git-Ops mit Flux v2, Cluster-Extensions (zum Beispiel "Azure Monitor for Containers") und Richtlinien für Cluster-/Namespace-Ebene mit.

- Arc-enabled SQL & PostgreSQL (Data Services): Betrieb ausgewählter, von Azure gemanagter Datenbankdienste auf eigener Infrastruktur. Geeignet für datensensible Workloads mit Cloudbetriebsmodell.

- Arc-enabled VMs für VMware, AWS, Google Cloud: Sichtbarkeit und Governance für VMs in Clouds. Vereinheitlicht Tagging, RBAC und Richtlinien.

Diese Trennung hilft bei Rollen, Kosten und Zuständigkeiten, etwa wenn Plattform-Teams die Kubernetes-Ebene verantworten, während Fachbereiche nur über GitOps an Applikationsmanifeste gelangen.

Wie angesprochen erweitert Azure Arc zentrale Azure-Services auf hybride und Multicloud-Umgebungen. So lassen sich Systeme, die außerhalb von Azure in Betrieb sind durch eine Arc-Registrierung mit einer Azure-Resource-ID versehen. Auch ist es möglich, solche Systeme wie native Azure-Objekte mit Tags zu versehen, in Rollenmodellen abzubilden und natürlich über das Azure-Portal zu administrieren. Auf diese Art und Weise setzen IT-Verantwortliche Governance- und Security-Vorgaben zentral für alle verbundenen Maschinen durch. Zudem stehen über "Azure Monitor" Dashboards, Logsammlung, Metriken und Alarme zur Verfügung – konsistent über alle Umgebungen hinweg. In Kombination mit Azure Automation und Logic Apps lassen sich wiederkehrende Aufgaben wie Updates oder Systemprüfungen automatisieren. Auch GitOps-Szenarien für Kubernetes-Cluster sind über Azure Arc realisierbar, indem der Dienst Konfigurationen aus einem Git-Repository automatisch synchronisiert und ausrollt.

So sind IT-Verantwortliche beispielsweise in der Lage, alle Windows-Server an verschiedenen Standorten und im zentralen Rechenzentrum per Azure Arc verwalten. Kommt nun zum Beispiel im Logistikzentrum Hamburg ein neuer Server zum Einsatz, verbindet ihn die IT direkt über Arc mit Azure. Daraufhin greift automatisch eine zentrale Sicherheitsrichtlinie und aktiviert Defender for Endpoint, richtet monatliche Updates ein und der Server erhält Tags wie "costCenter=Logistik" und "owner=IT". Im Azure-Portal sieht die IT-Abteilung, dass alle Logistikserver den aktuellen Sicherheits- und Compliancevorgaben entsprechen und erkennt sofort, falls beispielsweise im Rechenzentrum eine Maschine ein kritisches Update verpasst hat. Damit schafft Azure Arc einen einheitlichen Steuerungsrahmen über die gesamte Infrastruktur hinweg, ohne dass Systeme zwingend migriert werden müssen. Es bringt bewährte Azure-Funktionalitäten dorthin, wo sie bislang fehlten: in lokale Rechenzentren, andere Clouds und an den Edge.

Ein zentraler Vorteil von Arc sind die Azure Policies, über die sich Compliancevorgaben, Sicherheitsregeln und organisatorische Standards konsistent durchsetzen lassen. Ausgestattet mit den gewohnten Azure-Werkzeugen und -Kontrollmechanismen steuern IT-Verantwortliche dergestalt Richtlinien und Sicherheitsanforderungen. Die folgenden Policy-Typen sind besonders hilfreich:

- Sicherheitsstandard durchsetzen: Eine der häufigsten Anforderungen ist die verpflichtende Nutzung von Microsoft Defender for Endpoint. Mit einer entsprechenden Policy stellen Admins sicher, dass alle mit Arc verbundenen Server über einen aktiven, aktuellen Defender-Agenten verfügen.

- Konsistentes Tagging für Governance und Abrechnung: Tags wie "costCenter", "owner" oder "environment" helfen dabei, Ressourcen strukturiert zuzuordnen. Eine Policy kann beispielsweise vorschreiben, dass bestimmte Tags vorhanden und korrekt befüllt sein müssen, bevor ein Server als "compliant" gilt. Das verbessert nicht nur die Übersicht, sondern unterstützt auch interne Verrechnungsmodelle.

- Verbot bestimmter Konfigurationen: Gerade an Edge- oder Außenstandorten ist es wichtig, unsichere Konfigurationen wie etwa ein aktiviertes Remote Desktop Protocol (RDP) zu unterbinden. Azure Policy erkennt solche Abweichungen und kann bei Bedarf automatisch Korrekturmaßnahmen einleiten oder Administratoren benachrichtigen.

- Überwachung der Betriebsbereitschaft: Mit einer Heartbeat-Policy lassen sich Systeme identifizieren, die seit einer definierten Zeit keinen Kontakt mehr zu Azure hatten – etwa weil sie abgeschaltet, isoliert oder ausgemustert wurden. Das hilft bei der Pflege der CMDB und vermeidet blinde Flecken in der Sicherheitsüberwachung.

- Erzwingen aktueller Agenten und Tools: Azure Monitor und andere Dienste setzen auf Agenten. Über eine Policy lässt sich sicherstellen, dass dieser auf allen mit Arc verbundenen Servern installiert ist. Dies ist beispielsweise wichtig, um Telemetriedaten korrekt und performant zu erfassen.

Diese und viele weitere Richtlinien lassen sich im Azure-Portal definieren, zu sogenannten Initiativen bündeln und mit automatischer Remediation, also dem Korrigieren nicht konformer Ressourcen, versehen. Azure Arc sorgt dafür, dass diese Vorgaben nicht an der Cloudgrenze enden, sondern alle relevanten Systeme unabhängig vom Standort erfassen.

Für Organisationen mit aktiver Software-Assurance oder abonnementbasierten Windows-Server-Lizenzen bietet Microsoft zusätzliche, kostenlose Funktionen in Azure Arc. Voraussetzung ist, dass die betreffenden Windows-Server korrekt mit Arc verbunden sind. Technisch gesehen stammen diese Features aus Azure, doch beachten Sie, dass etwaige Kosten für Log-Ingestion, Compute oder Storage dennoch anfallen können. Die kostenlosen Zusatzfunktionen umfassen unter anderem den "Azure Update Manager", der für zentrales Patchmanagement und Updatecompliance sorgt. Mit "Change Tracking & Inventory" lassen sich Änderungen an Software, Diensten, Registry und Dateien nachvollziehen, was besonders bei Audits und Fehlersuche hilfreich ist. Daneben erweitert "Azure Machine Configuration" die Policy-Steuerung auf Betriebssystem- und Anwendungsebene und ermöglicht es, gewünschte Systemzustände per Richtlinie durchzusetzen.

Ein besonderes Highlight ist die Integration des Windows Admin Center direkt in das Azure-Portal. Administratoren können damit aus der Ferne auf verbundene Server zugreifen, ohne VPNs oder öffentliche IP-Adressen einrichten zu müssen. Darüber hinaus erlaubt Azure Arc den Remotesupport durch Microsoft – zeitlich begrenzt, protokolliert und auf Anfrage. Auch eine Best-Practices-Bewertung ist enthalten: Sie analysiert Konfigurationen, erkennt Schwachstellen und schlägt Verbesserungen vor. Zudem lassen sich mit Azure Arc auch Azure-Site-Recovery-Konfigurationen vorbereiten, etwa zur Replikation und Absicherung geschäftskritischer Workloads. Auch Funktionen zur erweiterten Netzwerkanalyse sind enthalten.

Damit Arc zuverlässig arbeitet, müssen Sie vorab einige Rahmenbedingungen abklopfen: Der Arc-Agent initiiert ausgehende TLS-Verbindungen (TCP/443) zu Azure-Endpunkten, hier sind eingehende Firewallfreigaben in der Regel nicht nötig. In streng reglementierten Umgebungen empfiehlt sich eine FQDN-Allowlist beziehungsweise die Verwendung des Service-Tags "AzureArcInfrastructure" in Firewall-/NSG-Regeln. Der Agent unterstützt Auth-Proxy. Kommt TLS-Inspection zum Einsatz, muss der Unternehmens-Root-CA-Trust korrekt verteilt sein, sonst scheitern Agenten-Updates oder GitOps-Synchronisationen. Für ein Non-Interactive- Onboarding empfiehlt sich eine Service-Principal-basierte Anmeldung mit minimalen Rollen (zum Beispiel Azure Connected Machine Onboarding). Diese Punkte sollten Sie in ein "Connectivity-Runbook" aufnehmen, damit spätere Rollouts reibungslos funktionieren.

Haben Sie diese Vorbereitungen erledigt, binden Sie einen Windows-Server in wenigen Schritten in Arc ein. Im Azure-Portal generieren Sie ein Onboarding-Skript und führen es auf dem Zielserver aus. Nun installiert sich der Agent automatisch, Sie authentifizieren die Verbindung und kurz darauf erscheint der Server als Ressource im Azure-Portal. Aber gehen wir Schritt für Schritt durch den Vorgang und starten das Onboarding im Azure-Portal. Hier navigieren Sie zu "Azure Arc / Add Resources / Machines - Add/Create" und wählen "Add a machine". Jetzt klicken Sie auf "Generate Script" und legen anschließend notwendige Konfigurationen wie Resource Group oder Tags fest.

Anschließend laden Sie das PowerShell-Skript herunter und kopieren es auf den Zielserver. Dort öffnen Sie die PowerShell mit Admin-Rechten und führen das Skript aus. Das Skript lädt den "Azure Connected Machine Agent" automatisch herunter und installiert ihn. Statusmeldungen informieren Sie über Fortschritt und eventuelle Anforderungen. Im Anschluss erfolgt die Authentifizierung gegenüber Azure. Dies vollzieht sich entweder interaktiv oder über einen hinterlegten Service-Principal – je nach Konfiguration des Skripts. Nach erfolgreicher Verbindung meldet das Skript den Abschluss. Der Server erhält eine Azure-Resource-ID, erscheint in der gewählten Resource Group und ist nun mit Tags, RBAC, Policies und Extensions verwaltbar.

So mächtig Azure Arc auch ist, wie jede Technologie hat auch diese Plattform ihre Grenzen. Nicht alle Funktionalitäten von Azure lassen sich 1-zu-1 auf verbundene Ressourcen außerhalb der Cloud übertragen. Manche Dienste, etwa im Bereich PaaS, stehen derzeit nur in bestimmten Konstellationen oder Regionen zur Verfügung. Auch wenn viele Arc-Funktionen ohne Zusatzkosten nutzbar sind, können durch die Nutzung von Telemetrie, Log-Ingestion oder Automatisierung dennoch Kosten für Compute, Storage oder Netzwerk anfallen, die Sie in der Planung berücksichtigen sollten.

Ein weiterer Punkt betrifft die technische Integration. Die Verbindung zu Azure Arc erfordert offene Netzwerkverbindungen zu bestimmten Azure-Endpunkten und den Einsatz von Agenten auf den jeweiligen Systemen. In hochsicheren Umgebungen oder stark abgeschotteten Netzwerken kann das zusätzliche Freigaben oder architektonische Anpassungen erfordern. Auch der Betrieb in vollständig isolierten Netzsegmenten wie etwa in Behörden oder Industrieanlagen ist nur eingeschränkt möglich.

Azure Arc bringt Ordnung in komplexe IT-Landschaften. Es vereinfacht das Management von Maschinen und Diensten, erhöht die Sicherheit und verlängert die Lebensdauer bestehender Systeme – unabhängig vom Standort. Unternehmen, die Flexibilität und Kontrolle in hybriden Umgebungen suchen, profitieren besonders. Wer zentrale Verwaltung ohne Cloudzwang wünscht, findet mit Arc eine bewährte Technologie.