你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
可以使用 Azure Policy 审核已启用 Azure Arc 的服务器的状态,确保它们符合计算机配置策略。
本教程逐步讲解如何创建和分配一个策略,用于标识已启用 Azure Arc 的服务器中哪些服务器未启用 Microsoft Defender for Servers 。
本教程介绍以下操作:
- 创建策略分配并为其分配定义
- 识别不符合新策略的资源
- 从不合规的资源中删除策略
Prerequisites
如果没有 Azure 订阅,请在开始之前创建一个免费帐户。
创建策略分配
使用以下过程创建策略分配,并分配策略定义“应启用 Azure Defender for servers”。
通过搜索“策略”并将其选中,启动 Azure 门户中的 Azure Policy 服务。
在服务菜单中的“创作”下,选择“分配”。 指派是一种在特定范围内执行的政策。
选择“分配”窗格顶部的“分配策略”。
在“分配策略”页上,通过选择省略号并选择管理组或订阅,选择“范围”。 或者,请选择一个资源组。 范围确定在哪些资源或资源分组上实施策略分配。 然后选择“范围”窗格底部的“选择”。
可根据范围排除资源。 “排除”从比“范围”级别低一级的级别开始。 “排除”是可选的,因此暂时将其留空。
选择“策略定义”旁边的省略号打开可用定义的列表。 Azure Policy 附带了许多可以使用的内置策略定义,例如:
- 强制使用标记和标记的值
- 应用标记和标记的值
- 从资源组继承标记(如果缺少此标记)
有关可用内置策略的部分列表,请参阅 Azure Policy 示例。
搜索策略定义列表以查找 应启用 Azure Defender for Servers 的定义。 选择该策略,然后选择“添加”。
“分配名称”中自动填充了所选的策略名称,但可以更改它。 对于此示例,请将策略名称保留原样,并且不会更改页面上的任何剩余选项。
对于此示例,我们不需要更改其他选项卡上的任何设置。 选择“查看 + 创建”以查看新策略分配,然后选择“创建”。
现在,你已准备好识别不符合的资源,以了解环境的符合性状态。
识别不符合要求的资源
在 Azure Policy 的服务菜单中,选择“符合性”。 然后,找到你创建的“应启用 Azure Defender for servers”策略分配。
任何不符合新分配的现有资源都将在“符合性状态”下显示“不符合”。
当对现有资源评估某个条件并且结果为 true 时,这些资源将被标记为不符合该策略。 下表显示了对于生成的符合性状态,不同的策略效果是如何与条件评估配合使用的。 尽管在 Azure 门户中看不到评估逻辑,但会显示符合性状态结果。 符合性状态结果为“符合”或“不符合”。
| 资源状态 | Effect | 策略评估 | 符合性状态 |
|---|---|---|---|
| Exists | Deny、Audit、Append*、DeployIfNotExist*、AuditIfNotExist* | True | Non-compliant |
| Exists | Deny、Audit、Append*、DeployIfNotExist*、AuditIfNotExist* | False | Compliant |
| New | Audit、AuditIfNotExist* | True | Non-compliant |
| New | Audit、AuditIfNotExist* | False | Compliant |
* Append、DeployIfNotExist 和 AuditIfNotExist 效果要求 IF 语句为 TRUE。 这些效果还要求存在条件为 FALSE 才能将资源判定为不合规。 如果为 TRUE,则 IF 条件会触发相关资源存在条件的计算。
若要了解详细信息,请参阅 Azure Policy 符合性状态。
清理资源
若要删除创建的分配,请执行以下步骤:
- 在服务菜单中,选择“合规性”(或者在“创作”下选择“分配”)。
- 找到你创建的“应启用 Azure Defender for servers”策略分配。
- 右键单击策略分配,然后选择“删除分配”。
后续步骤
在本教程中,你向某个范围分配了策略定义并评估了其合规性报告。 策略定义可验证范围内的所有资源都符合策略,并可标识不符合策略的资源。 现在,你已准备好通过启用 VM 见解来监视已启用 Azure Arc 的服务器计算机。
若要了解如何从计算机监视和查看性能、正在运行的进程和依赖项,请继续学习教程: