你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
安装 Azure 计算机配置扩展
Defender for Cloud 可根据 Microsoft 云安全基准 (MCSB) 中的 Windows 和 Linux 计算安全基线来评估操作系统配置。
评估所需的信息由 Azure 计算机配置扩展(以前称为 Azure Policy 来宾配置)收集。
本文介绍如何部署该扩展。
先决条件
要求 | 详细信息 |
---|---|
计划 | 若要接收基于 MCSB 计算安全基线的操作系统建议,必须启用 Defender for Servers 计划 2。 |
计算机支持 | 查看运行 Windows 和 Linux 的受支持的 Azure VM 和 Azure Arc VM。 |
扩展要求 | 查看适用于 Azure VM 的扩展部署要求。 |
权限 | 若要查看建议并浏览 OS 基线数据,你需要拥有相关 Azure 订阅的读取权限。 |
注意
使用计算机配置扩展进行数据收集的方法会取代早期使用 Log Analytics 代理(也称为 Microsoft Monitoring Agent (MMA))进行数据收集的方法。 从 2024 年 11 月开始,将停止支持 MMA 的使用。
在 AWS/GCP 上安装
对于 AWS/GCP 计算机,在 AWS 或 GCP 连接器中选择 Arc 预配时,系统会默认安装计算机配置。
在本地计算机上安装
对于本地计算机,当载入本地 VM 并用作 Azure Arc VM 时,系统会默认启用计算机配置。
在 Azure 计算机上安装
启用 Defender for Servers 计划 2 后,你可以使用 Defender for Cloud 建议在计算机上安装计算机配置扩展。
请搜索相应建议。
- Azure 计算机:搜索应在计算机上安装来宾配置扩展建议。
- Azure VM:必须为计算机分配托管标识(仅适用于 Azure VM)。 为此,请搜索应部署包含系统分配的托管标识的虚拟机来宾配置扩展建议
根据需要修正建议。
自动预配来宾配置扩展
对于 Azure VM,可以在整个订阅的 Azure VM 上自动预配来宾配置扩展的安装。
在计算机上启用计算机配置扩展后,就可以根据 Windows 和 Linux 操作系统基线来评估计算机。
下一步
查看 OS 配置错误建议。