Extensão de configuração de máquina do Azure Policy

Você pode usar a extensão de configuração de máquina do Azure Policy para auditar as definições de configuração de uma máquina virtual. A configuração do computador dá suporte nativo a VMs do Azure. Servidores físicos e servidores virtuais não Azure têm suporte com servidores habilitados para Azure Arc, VMware vSphere habilitado para Azure Arc ou System Center Virtual Machine Manager habilitado para Azure Arc.

Para encontrar a lista de políticas de configuração do computador, pesquise a configuração do computador na página do portal do Azure Policy ou execute este cmdlet em uma janela do PowerShell para encontrar a lista:

Get-AzPolicySetDefinition | Where-Object {$_.Properties.metadata.category -eq "Machine Configuration"}

Observação

A funcionalidade de configuração do computador é atualizada regularmente para dar suporte a conjuntos de políticas adicionais. Verifique periodicamente se há novas políticas com suporte e avalie se elas serão úteis.

Implantação

Use o seguinte exemplo de script do PowerShell para implantar essas políticas no seguinte:

  • Verifique se as configurações de segurança de senha em computadores Windows e Linux estão definidas corretamente.
  • Verifique se os certificados não estão próximos da expiração em VMs do Windows.

Antes de executar o script, use o cmdlet Connect-AzAccount para fazer logon. Ao executar o script, forneça o nome da assinatura que receberá a aplicação das políticas.


    # Assign machine configuration policy.

    param (
        [Parameter(Mandatory=$true)]
        [string] $SubscriptionName
    )

    $Subscription = Get-AzSubscription -SubscriptionName $SubscriptionName
    $scope = "/subscriptions/" + $Subscription.Id

    $PasswordPolicy = Get-AzPolicySetDefinition -Name "3fa7cbf5-c0a4-4a59-85a5-cca4d996d5a6"
    $CertExpirePolicy = Get-AzPolicySetDefinition -Name "b6f5e05c-0aaa-4337-8dd4-357c399d12ae"

    New-AzPolicyAssignment -Name "PasswordPolicy" -DisplayName "[Preview]: Audit that password security settings are set correctly inside Linux and Windows machines" -Scope $scope -PolicySetDefinition $PasswordPolicy -AssignIdentity -Location eastus

    New-AzPolicyAssignment -Name "CertExpirePolicy" -DisplayName "[Preview]: Audit that certificates are not expiring on Windows VMs" -Scope $scope -PolicySetDefinition $CertExpirePolicy -AssignIdentity -Location eastus

Próximas etapas

Saiba como habilitar o controle e a criação de alertas de alterações para alterações críticas de arquivo, serviço, software e registro.