你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
Azure Policy 计算机配置扩展
可以使用 Azure Policy 计算机配置扩展 来审核虚拟机的配置设置。 计算机配置原生支持 Azure VM。 已启用 Azure Arc 的服务器、已启用 Azure Arc 的 VMware vSphere 或已启用 Azure Arc 的 System Center Virtual Machine Manager 支持物理服务器和非 Azure 虚拟服务器。
若要查找计算机配置策略列表,请在 Azure Policy 门户页上搜索 计算机配置 ,或在 PowerShell 窗口中运行此 cmdlet 以查找列表:
Get-AzPolicySetDefinition | Where-Object {$_.Properties.metadata.category -eq "Machine Configuration"}
注意
计算机配置功能会定期更新以支持其他策略集。 请定期检查新的受支持策略并评估它们是否有用。
部署
使用以下示例 PowerShell 脚本部署这些策略,以便:
- 验证 Windows 和 Linux 计算机中的密码安全设置是否正确设置。
- 验证 Windows VM 上的证书是否未接近到期日期。
运行此脚本之前,请使用 Connect-AzAccount cmdlet 进行登录。 运行脚本时,必须提供要将策略应用到的订阅的名称。
# Assign machine configuration policy.
param (
[Parameter(Mandatory=$true)]
[string] $SubscriptionName
)
$Subscription = Get-AzSubscription -SubscriptionName $SubscriptionName
$scope = "/subscriptions/" + $Subscription.Id
$PasswordPolicy = Get-AzPolicySetDefinition -Name "3fa7cbf5-c0a4-4a59-85a5-cca4d996d5a6"
$CertExpirePolicy = Get-AzPolicySetDefinition -Name "b6f5e05c-0aaa-4337-8dd4-357c399d12ae"
New-AzPolicyAssignment -Name "PasswordPolicy" -DisplayName "[Preview]: Audit that password security settings are set correctly inside Linux and Windows machines" -Scope $scope -PolicySetDefinition $PasswordPolicy -AssignIdentity -Location eastus
New-AzPolicyAssignment -Name "CertExpirePolicy" -DisplayName "[Preview]: Audit that certificates are not expiring on Windows VMs" -Scope $scope -PolicySetDefinition $CertExpirePolicy -AssignIdentity -Location eastus
后续步骤
了解如何针对关键文件、服务、软件和注册表更改启用更改跟踪和警报。