你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
适用于:✔️ Windows VM ✔️ Linux VM ✔️ 本地环境 ✔️ 已启用 Azure Arc 的服务器。
本教程介绍如何使用 Azure 策略大规模在 Azure VM 上启用定期评估和计划更新。 策略允许你分配标准并大规模评估合规性。 了解详细信息。
定期评估 - 计算机上的一个设置,使你能够查看计算机可用的最新更新,并消除每次检查更新状态时手动执行评估的麻烦。 启用此设置后,更新管理器每隔 24 小时一次在计算机上提取更新。
计划修补 - 是一个设置,用于以一组计算机为目标,以便通过 Azure Policy 进行更新部署。 使用策略进行分组时,无需编辑部署以更新计算机。 可以使用订阅、资源组、标记或区域来定义范围,并将此功能用于可以根据用例自定义的内置策略。
本教程中,您将学习如何:
- 启用定期评估
- 启用计划修补
先决条件
- 必须拥有 Azure 订阅,在开始之前创建 一个免费帐户 。
启用定期评估
从 Azure 门户转到 Policy ,在 “创作”下转到“ 定义”。
- 从 “类别” 下拉列表中选择 “Azure 更新管理器”。 选择 “为 Azure 虚拟机配置定期检查 Azure 虚拟机上缺少的系统更新 ”。
- 策略定义打开时,选择“ 分配”。
- 在 “基本信息”中,选择订阅作为范围。 还可以将订阅中的资源组指定为范围,然后选择“下一步”。
- 在 “参数”中,取消选中 “仅显示需要输入或查看的参数 ”,以便查看参数的值。
- 在 评估中:选择 AutomaticByPlatform ,然后选择 “作系统 ”,然后选择“ 下一步”。 你需要为 Windows 和 Linux 创建单独的策略。
- 在 “修正”中,选中 “创建修正任务”,以便在计算机上启用定期评估,然后单击“ 下一步”。
- 在 “不符合”中,提供在不符合的情况下要查看的消息。 例如: 计算机未启用定期评估。 然后选择 “查看+创建”。
- 在 “审阅+创建”中,选择“ 创建”。 此作会触发“分配”和“修正任务”创建,这可能需要一分钟左右的时间。
可以在“策略”主页的“修正”下监视符合性和修正状态下的资源符合性。
启用计划修补
登录到 Azure 门户 并选择 “策略”。
在 “分配”中,选择“ 分配策略”。
在 “基本信息”下,在 “分配策略 ”页中:
- 在 “作用域”中,选择订阅、资源组,然后选择 “选择”。
- 选择 “策略定义 ”以查看策略列表。
- 在 “可用定义”中,选择“ 内置 类型”和“搜索”,输入 - 使用 Azure 更新管理器计划定期更新 ,然后单击“ 选择”。
- 确保 策略强制 设置为 “已启用 ”,然后选择“ 下一步”。
在 “参数”中,默认情况下,只有维护配置 ARM ID 可见。
注释
如果未指定任何其他参数,将在范围内涵盖在 基本信息 中选择的订阅和资源组中的所有计算机。 但是,如果要根据资源组、位置、OS、标记等进一步确定范围,请取消选中 仅显示需要输入或查看 的参数才能查看所有参数。
维护配置 ARM ID:要提供必需的参数。 它表示要分配给计算机的计划的 ARM ID。
资源组:如果要将其范围限定为资源组,可以选择指定资源组。 默认情况下,选择订阅中的所有资源组。
作系统类型:可以选择 Windows 或 Linux。 默认情况下,两者都是预选的。
计算机位置:可以选择性地指定要选择的区域。 默认情况下,所有选项均处于选中状态。
计算机上的标记:可以使用标记进一步缩小范围。 默认情况下,所有选项均处于选中状态。
标记运算符:如果已选择多个标记,则可以指定范围是否为具有所有标记或具有这些标记的计算机。
在 修正、 托管标识、 托管标识类型中,选择系统分配的托管标识和 权限 已根据策略定义设置为 参与者 。
注释
如果选择“修正”,则策略将在范围中的所有现有计算机上生效,则会将其分配给添加到范围的任何新计算机。
在 “查看 + 创建”中,验证所选内容,然后选择“ 创建 ”以识别不合规的资源,以了解环境的符合性状态。
后续步骤
了解如何 管理多台计算机。