Rozszerzenie konfiguracji maszyny usługi Azure Policy

  • Artykuł

Możesz użyć rozszerzenia konfiguracji maszyny usługi Azure Policy, aby przeprowadzić inspekcję ustawień konfiguracji maszyny wirtualnej. Konfiguracja maszyny obsługuje natywnie maszyny wirtualne platformy Azure. Serwery fizyczne i serwery wirtualne spoza platformy Azure są obsługiwane w przypadku serwerów z obsługą usługi Azure Arc, z obsługą usługi Azure Arc vSphere lub programu System Center Virtual Machine Manager z obsługą usługi Azure Arc.

Aby znaleźć listę zasad konfiguracji maszyny, wyszukaj konfigurację maszyny na stronie witryny Azure Policy Portal lub uruchom to polecenie cmdlet w oknie programu PowerShell, aby znaleźć listę:

Get-AzPolicySetDefinition | Where-Object {$_.Properties.metadata.category -eq "Machine Configuration"}

Uwaga

Funkcje konfiguracji maszyny są regularnie aktualizowane w celu obsługi dodatkowych zestawów zasad. Okresowo sprawdzaj dostępność nowych obsługiwanych zasad i oceń, czy będą one przydatne.

Wdrożenie

Użyj następującego przykładowego skryptu programu PowerShell, aby wdrożyć następujące zasady:

  • Sprawdź, czy ustawienia zabezpieczeń haseł na komputerach z systemami Windows i Linux są poprawnie ustawione.
  • Sprawdź, czy certyfikaty nie są bliskie wygaśnięcia na maszynach wirtualnych z systemem Windows.

Przed uruchomieniem tego skryptu Connect-AzAccount użyj polecenia cmdlet , aby się zalogować. Po uruchomieniu skryptu należy podać nazwę subskrypcji, do której chcesz zastosować zasady.


    # Assign machine configuration policy.

    param (
        [Parameter(Mandatory=$true)]
        [string] $SubscriptionName
    )

    $Subscription = Get-AzSubscription -SubscriptionName $SubscriptionName
    $scope = "/subscriptions/" + $Subscription.Id

    $PasswordPolicy = Get-AzPolicySetDefinition -Name "3fa7cbf5-c0a4-4a59-85a5-cca4d996d5a6"
    $CertExpirePolicy = Get-AzPolicySetDefinition -Name "b6f5e05c-0aaa-4337-8dd4-357c399d12ae"

    New-AzPolicyAssignment -Name "PasswordPolicy" -DisplayName "[Preview]: Audit that password security settings are set correctly inside Linux and Windows machines" -Scope $scope -PolicySetDefinition $PasswordPolicy -AssignIdentity -Location eastus

    New-AzPolicyAssignment -Name "CertExpirePolicy" -DisplayName "[Preview]: Audit that certificates are not expiring on Windows VMs" -Scope $scope -PolicySetDefinition $CertExpirePolicy -AssignIdentity -Location eastus

Następne kroki

Dowiedz się, jak włączyć śledzenie zmian i alerty dotyczące krytycznych zmian plików, usług, oprogramowania i rejestru.

Włączanie śledzenia i zgłaszania alertów dla zmian krytycznych