Condividi tramite

Esercitazione: Creare un'assegnazione di criteri per identificare le risorse non conformi

  • Articolo

Il primo passaggio per comprendere la conformità in Azure consiste nell'identificare lo stato delle risorse. Criteri di Azure supporta il controllo dello stato del server con abilitazione di Azure Arc con i criteri di configurazione guest. Le definizioni di configurazione guest di Criteri di Azure possono controllare o applicare le impostazioni all'interno del computer.

Questa esercitazione illustra il processo di creazione e assegnazione di un criterio, per identificare i server con abilitazione di Azure Arc in cui non è installato l'agente di Log Analytics per Windows o Linux. Questi computer vengono considerati non conformi con l'assegnazione dei criteri.

La presente esercitazione include informazioni su come:

  • Creare un'assegnazione di criteri e assegnarle una definizione
  • Identificare le risorse non conformi ai nuovi criteri
  • Rimuovere i criteri dalle risorse non conformi

Prerequisiti

Se non si ha una sottoscrizione di Azure, creare un account gratuito prima di iniziare.

Creare un'assegnazione di criteri

Seguire questa procedura per creare un'assegnazione di criteri e assegnare la definizione dei criteri [Anteprima]: l'estensione Log Analytics deve essere installata nei computer Linux di Azure Arc:

  1. Avviare il servizio Criteri di Azure nel portale di Azure facendo clic su Tutti i servizi e quindi cercando e selezionando Criteri.

    Screenshot della finestra Tutti i servizi che mostra la ricerca del servizio criteri.

  2. Selezionare Assegnazioni sul lato sinistro della pagina Criteri di Azure. Un'assegnazione è un criterio che è stato assegnato per l'implementazione in un ambito specifico.

    Screenshot della finestra di criterio Tutti i servizi che mostra le assegnazioni dei criteri.

  3. Selezionare Assegna criterio nella parte superiore della pagina Criteri - Assegnazioni.

  4. Nella pagina Assegna criterio selezionare il valore di Ambito facendo clic sui puntini di sospensione e quindi selezionando un gruppo di gestione o una sottoscrizione. Facoltativamente, selezionare un gruppo di risorse. L'ambito determina le risorse o il raggruppamento di risorse a cui viene applicata l'assegnazione di criteri Fare quindi clic su Seleziona nella parte inferiore della pagina Ambito.

    Questo esempio usa la sottoscrizione di Parnell Aerospace, ma le opzioni disponibili sono diverse.

  5. Le risorse possono essere escluse in base all'Ambito. Le esclusioni iniziano a un livello inferiore rispetto al livello dell'Ambito. Le esclusioni sono facoltative quindi per il momento è possibile lasciare vuoto il campo.

  6. Selezionare i puntini di sospensione accanto a Definizione criteri per aprire l'elenco delle definizioni disponibili. Criteri di Azure include definizioni di criteri predefinite che è possibile usare. Sono disponibili molte definizioni, ad esempio:

    • Imporre un tag e il relativo valore
    • Applicare un tag e il relativo valore
    • Eredita un tag dal gruppo di risorse se mancante

    Per un elenco parziale di tutti i criteri predefiniti disponibili, vedere Esempi di Criteri di Azure.

  7. Cercare nell'elenco delle definizioni dei criteri per trovare la definizione [Anteprima]: l'estensione Log Analytics deve essere installata nei computer Windows Azure Arc definizione (se è stato abilitato l'agente di Azure Connected Machine in un computer basato su Windows). Per un computer basato su Linux, trovare la definizione dei criteri corrispondente [Anteprima]: l'estensione Log Analytics deve essere installata nei computer Linux Azure Arc. Fare clic su tale criterio e su Aggiungi.

  8. Il valore di Nome dell'assegnazione viene popolato automaticamente con il nome dei criteri selezionato, che è possibile modificare. Per questo esempio, lasciare invariato il nome del criterio e non modificare le opzioni rimanenti nella pagina.

  9. Per questo esempio, non è necessario modificare le impostazioni nelle altre schede. Selezionare Rivedi e crea per esaminare la nuova assegnazione di criteri e quindi selezionare Crea.

A questo punto si è pronti per identificare le risorse non conformi e comprendere così lo stato di conformità dell'ambiente.

Identificare risorse non conformi

Selezionare Assegnazioni a sinistra nella pagina. Individuare quindi l'assegnazione di criteri [Anteprima]: l'estensione Log Analytics deve essere installata nei computer Windows Azure Arc o [Anteprima]: l'estensione Log Analytics deve essere installata nei computer Linux Azure Arc creata.

Screenshot della pagina Conformità dei criteri che mostra la conformità dei criteri per l'ambito selezionato.

Le eventuali risorse esistenti non conformi a questa nuova assegnazione verranno visualizzate nella scheda Non-compliant resources (Risorse non conformi).

Quando viene valutata una condizione per le risorse esistenti e tale condizione risulta soddisfatta, le risorse vengono contrassegnate come non conformi ai criteri. La tabella seguente illustra il funzionamento dei diversi effetti dei criteri in base alla valutazione della condizione per lo stato di conformità risultante. Anche se nel portale di Azure non viene visualizzata la logica di valutazione, vengono mostrati i risultati relativi allo stato di conformità. Lo stato di conformità può risultare conforme o non conforme.

Stato della risorsa Effetto Valutazione dei criteri Stato di conformità
Exists Deny, Audit, Append*, DeployIfNotExist*, AuditIfNotExist* Vero Non conforme
Exists Deny, Audit, Append*, DeployIfNotExist*, AuditIfNotExist* Falso Conforme
Nuovo Audit, AuditIfNotExist* Vero Non conforme
Nuovo Audit, AuditIfNotExist* Falso Conforme

* Gli effetti Append, DeployIfNotExist e AuditIfNotExist richiedono che l'istruzione IF sia TRUE. Richiedono inoltre che la condizione di esistenza sia FALSE per lo stato non conforme. Se è TRUE, la condizione IF attiva la valutazione della condizione di esistenza per le risorse correlate.

Pulire le risorse

Per rimuovere l'assegnazione creata, eseguire la procedura seguente:

  1. Selezionare Conformità (o Assegnazioni) nel lato sinistro della pagina Criteri di Azure e individuare l'assegnazione di criteri [Anteprima]: l'estensione Log Analytics deve essere installata nei computer Windows Azure Arc o [Anteprima]: l'estensione Log Analytics deve essere installata nei computer Linux Azure Arc creata.

  2. Fare clic con il pulsante destro del mouse sull'assegnazione dei criteri e selezionare Elimina assegnazione.

Passaggi successivi

In questa esercitazione è stata assegnata una definizione dei criteri a un ambito ed è stato valutato il report di conformità. La definizione dei criteri garantisce che tutte le risorse nell'ambito siano conformi e identifica quelle che non lo sono. Ora è possibile monitorare il computer dei server abilitati per Azure Arc abilitando Informazioni dettagliate sulle macchine virtuali.

Per informazioni su come monitorare e visualizzare le prestazioni, eseguire il processo e le relative dipendenze dalla macchina virtuale, procedere all'esercitazione:

Abilitare Informazioni dettagliate macchina virtuale