Partager via

Extension de la configuration des machines Azure Policy

  • Article

Vous pouvez utiliser l’extension Azure Policy Machine Configuration pour auditer les paramètres de configuration d’une machine virtuelle. La configuration des machines prend en charge les machines virtuelles Azure de manière native. Les serveurs physiques et les serveurs virtuels non-Azure sont pris en charge par les serveurs compatibles avec Azure Arc, VMware vSphere compatible avec Azure Arc ou System Center Virtual Machine Manager compatible avec Azure Arc.

Pour trouver la liste des stratégies de configuration de machine, recherchez configuration de machines dans la page du portail Azure Policy ou exécutez cette applet de commande dans une fenêtre PowerShell :

Get-AzPolicySetDefinition | Where-Object {$_.Properties.metadata.category -eq "Machine Configuration"}

Remarque

La fonctionnalité Machine Configuration est régulièrement mise à jour pour pouvoir prendre en charge d’autres jeux de stratégies. Vérifiez régulièrement les nouvelles stratégies prises en charge et évaluez leur utilité.

Déploiement

Utilisez l’exemple de script PowerShell suivant pour déployer ces stratégies sur :

  • Vérifiez que les paramètres de sécurité du mot de passe sont correctement définis sur les ordinateurs Windows et Linux.
  • Vérifiez que les certificats ne sont pas proches de l’expiration sur les machines virtuelles Windows.

Avant d’exécuter ce script, utilisez l’applet de commande Connect-AzAccount pour vous connecter. Lorsque vous exécutez le script, vous devez fournir le nom de l’abonnement auquel vous souhaitez appliquer les stratégies.


    # Assign machine configuration policy.

    param (
        [Parameter(Mandatory=$true)]
        [string] $SubscriptionName
    )

    $Subscription = Get-AzSubscription -SubscriptionName $SubscriptionName
    $scope = "/subscriptions/" + $Subscription.Id

    $PasswordPolicy = Get-AzPolicySetDefinition -Name "3fa7cbf5-c0a4-4a59-85a5-cca4d996d5a6"
    $CertExpirePolicy = Get-AzPolicySetDefinition -Name "b6f5e05c-0aaa-4337-8dd4-357c399d12ae"

    New-AzPolicyAssignment -Name "PasswordPolicy" -DisplayName "[Preview]: Audit that password security settings are set correctly inside Linux and Windows machines" -Scope $scope -PolicySetDefinition $PasswordPolicy -AssignIdentity -Location eastus

    New-AzPolicyAssignment -Name "CertExpirePolicy" -DisplayName "[Preview]: Audit that certificates are not expiring on Windows VMs" -Scope $scope -PolicySetDefinition $CertExpirePolicy -AssignIdentity -Location eastus

Étapes suivantes

Découvrez comment activer le suivi des modifications et les alertes pour les modifications critiques des fichiers, des services, des logiciels et du Registre.

Activer le suivi et les alertes pour les changements critiques