安裝 Azure 機器組態擴充功能
適用於雲端的 Defender 會根據 評估操作系統組態Microsoft Cloud Security Benchmark (MCSB) 中的 Windows 和 Linux 計算安全性基準。
評估所需的資訊是由 Azure 機器組態擴充功能所收集(先前稱為 Azure 原則 來賓設定)。
本文說明如何部署延伸模組。
必要條件
| 需求 | 詳細資料 |
|---|---|
| 計劃 | 若要根據 MCSB 計算安全性基準接收作業系統建議, 必須啟用適用於伺服器的 Defender 方案 2 。 |
| 機器支援 | 檢閱支援的 Azure VM 和執行 Windows 和 Linux 的 Azure Arc VM。 |
| 延伸模組需求 | 檢閱 Azure VM 的擴充功能部署需求 。 |
| 權限 | 若要檢視建議並探索OS基準數據,您需要相關 Azure 訂用帳戶的讀取許可權。 |
注意
使用計算機組態延伸模組的集合會取代使用Log Analytics代理程式之數據收集的較舊方法(也稱為Microsoft監視代理程式 (MMA) )。 在 2024 年 11 月之前,將支援使用 MMA。
在 AWS/GCP 上安裝
針對 AWS/GCP 機器,當您在 AWS 或 GCP 連接器中選取 Arc 布建時,預設會安裝機器組態。
在內部部署電腦上安裝
針對內部部署機器,當您 將內部部署 VM 上線為已啟用 Azure Arc 的 VM 時,預設會啟用機器設定。
在 Azure 機器上安裝
啟用適用於伺服器的 Defender 方案 2 後,您可以使用 適用於雲端的 Defender 建議,在機器上安裝機器設定延伸模組。
搜尋適當的建議。
- Azure 機器:搜尋建議 的客體設定擴充功能應該安裝在機器上。
- Azure VM:僅限在 Azure VM 上,您必須將受控識別指派給機器。 若要這樣做,應使用系統指派的受控識別來搜尋建議 虛擬機客體設定擴充功能
視需要補救建議。
自動布建客體設定擴充功能
針對 Azure VM,您可以在整個訂用帳戶的 Azure VM 上自動布建客體設定擴充功能。
在 [適用於雲端的 Defender] 中,開啟 [環境設定>] [訂用帳戶>設定與監視]。
在 [設定] 底下,選取 [來賓設定]。
將來賓設定代理程式 (預覽) 切換為 [開啟]。
選取 [繼續]。
在機器上啟用機器組態擴充功能之後,就可以根據 Windows 和 Linux 作業系統基準來評估機器。
後續步驟
檢閱 OS設定錯誤建議。