Delen via

Configuratie-extensie voor Azure Policy-machines

  • Artikel

U kunt de configuratie-extensie van de Azure Policy-machine gebruiken om de configuratie-instellingen van een virtuele machine te controleren. Machineconfiguratie ondersteunt systeemeigen Azure-VM's. Fysieke servers en niet-Azure virtuele servers worden ondersteund met Servers met Azure Arc, VMware vSphere met Azure Arc of System Center Virtual Machine Manager met Azure Arc.

Als u de lijst met computerconfiguratiebeleid wilt vinden, zoekt u naar computerconfiguratie op de azure Policy-portalpagina of voert u deze cmdlet uit in een PowerShell-venster om de lijst te vinden:

Get-AzPolicySetDefinition | Where-Object {$_.Properties.metadata.category -eq "Machine Configuration"}

Notitie

De functionaliteit voor machineconfiguratie wordt regelmatig bijgewerkt ter ondersteuning van aanvullende beleidssets. Controleer regelmatig op nieuwe ondersteunde beleidsregels en evalueer of ze nuttig zijn.

Implementatie

Gebruik het volgende PowerShell-voorbeeldscript om dit beleid te implementeren voor:

  • Controleer of de instellingen voor wachtwoordbeveiliging op Windows- en Linux-computers correct zijn ingesteld.
  • Controleer of certificaten niet bijna verlopen op Windows-VM's.

Voordat u dit script uitvoert, gebruikt u de Connect-AzAccount cmdlet om u aan te melden. Wanneer u het script uitvoert, moet u de naam opgeven van het abonnement waarop u het beleid wilt toepassen.


    # Assign machine configuration policy.

    param (
        [Parameter(Mandatory=$true)]
        [string] $SubscriptionName
    )

    $Subscription = Get-AzSubscription -SubscriptionName $SubscriptionName
    $scope = "/subscriptions/" + $Subscription.Id

    $PasswordPolicy = Get-AzPolicySetDefinition -Name "3fa7cbf5-c0a4-4a59-85a5-cca4d996d5a6"
    $CertExpirePolicy = Get-AzPolicySetDefinition -Name "b6f5e05c-0aaa-4337-8dd4-357c399d12ae"

    New-AzPolicyAssignment -Name "PasswordPolicy" -DisplayName "[Preview]: Audit that password security settings are set correctly inside Linux and Windows machines" -Scope $scope -PolicySetDefinition $PasswordPolicy -AssignIdentity -Location eastus

    New-AzPolicyAssignment -Name "CertExpirePolicy" -DisplayName "[Preview]: Audit that certificates are not expiring on Windows VMs" -Scope $scope -PolicySetDefinition $CertExpirePolicy -AssignIdentity -Location eastus

Volgende stappen

Meer informatie over het inschakelen van wijzigingen bijhouden en waarschuwen voor kritieke bestands-, service-, software- en registerwijzigingen.

Tracering en waarschuwingen inschakelen voor kritieke wijzigingen