分配 Azure 策略以治理已启用 Azure Arc 的服务器

  • 4 分钟

Fabrikam Residences 将其计算机加入了已启用 Azure Arc 的服务器,现在希望确保这些计算机符合 Azure 的计算安全基线要求。 本单元介绍如何将 Azure 策略分配到已启用 Azure Arc 的服务器并查看这些服务器的合规性。

Azure Policy 概述

Azure Policy 通过将 Azure 中资源的属性与业务规则进行比较,来评估这些资源。 以 JSON 格式描述的这些业务规则称为策略定义。 为了简化管理,可以组合多个业务规则来构成一个策略计划(有时称为“策略集”)。 确立业务规则后,将向 Azure 支持的任何资源范围分配策略定义或计划。 例如,管理组、订阅、资源组或单个资源。

Azure Policy 来宾配置是一种可用于已启用 Azure Arc 的服务器的 Azure Policy。 可以现成地将 50 多个内置 Azure 策略应用于已启用 Azure Arc 的服务器,以便审核设置、部署扩展和进行修正。

分配 Azure Policy

下面介绍如何分配 Azure Policy,确保已启用 Arc 的 Windows 服务器符合 Azure 的计算安全基线要求。

  1. 在浏览器中转到 Azure 门户

  2. 在门户中浏览“策略”,然后从左侧窗格中选择“分配”。

  3. 依次选择“分配策略”、“策略定义”。

  4. 从可用定义中搜索安全基线并选择策略定义:在进行到下一步之前,Windows 计算机应满足 Azure 计算安全基线的要求

    显示 Azure Policy 选择页面的屏幕截图。

  5. 将参数“包括 Arc 连接的服务器”设置为 true。

    显示 Azure Policy 参数分配页面的屏幕截图。

  6. 依次选择“查看 + 创建”和“创建”。

在“Azure Policy 分配”页上,新的 Azure Policy 分配会显示在“分配”列表中。 分配大约 30 分钟后生效并出现在此列表中。

查看合规性

Azure Policy 分配完成后,可以查看策略合规性并分配修正任务来确保资源合规性。

  1. 在“策略”所在的同一门户页中,从左侧窗格中选择“合规性”。
  2. 选择策略“Windows 计算机应符合 Azure 计算安全基线的要求”以查看其合规性状态。
  3. 可以按不同的资源类型、合规性或位置进行筛选。 若要仅查看已启用 Azure Arc 的服务器的合规性,请选择“所有资源类型”,然后将选择内容更改为仅限“microsoft.hybridcompute/machines”。

显示如何在 Azure Policy 分配页面上筛选结果的屏幕截图。

根据合规性状态,可以选择编辑分配、创建例外项、创建修正任务或删除分配。