Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
È possibile usare Criteri di Azure per controllare lo stato dei server abilitati per Azure Arc per assicurarsi che siano conformi ai criteri di configurazione del computer.
Questa esercitazione illustra il processo di creazione e assegnazione di criteri che identificano quali server abilitati per Azure Arc non dispongono di Microsoft Defender per server abilitati.
Questa esercitazione illustra come:
- Creare un'assegnazione di criteri e assegnarle una definizione
- Identificare le risorse non conformi ai nuovi criteri
- Rimuovere i criteri dalle risorse non conformi
Prerequisiti
Se non si ha una sottoscrizione di Azure, creare un account gratuito prima di iniziare.
Creare un'assegnazione di criteri
Usare la procedura seguente per creare un'assegnazione di criteri e assegnare la definizione di criteri Azure Defender per i server deve essere abilitata.
Avviare il servizio Criteri di Azure nel portale di Azure cercando e selezionando Criteri.
Nel menu del servizio, in Creazione, selezionare Assegnazioni. Un'assegnazione è un criterio assegnato per essere eseguito all'interno di un ambito specifico.
Selezionare Assegna politica nella parte superiore del riquadro Assegnazioni .
Nella pagina Assegna criteri, selezionare l'ambito cliccando sui puntini di sospensione e scegliendo un gruppo di gestione o una sottoscrizione. Facoltativamente, selezionare un gruppo di risorse. L'ambito determina le risorse o il raggruppamento delle risorse a cui viene applicata l'assegnazione dei criteri. Scegliere quindi Seleziona nella parte inferiore del riquadro Ambito .
Le risorse possono essere escluse in base all'Ambito. Le esclusioni iniziano a un livello inferiore rispetto al livello dell'Ambito. Le esclusioni sono facoltative quindi per il momento è possibile lasciare vuoto il campo.
Selezionare i puntini di sospensione accanto a Definizione criteri per aprire l'elenco delle definizioni disponibili. Azure Policy include molte definizioni di criteri predefinite che si possono utilizzare, ad esempio:
- Imporre un tag e il relativo valore
- Applicare un tag e il relativo valore
- Eredita un tag dal gruppo di risorse se mancante
Per un elenco parziale di tutti i criteri predefiniti disponibili, vedere Esempi di Criteri di Azure.
Cercare nell'elenco delle definizioni dei criteri per trovare la definizione di Azure Defender per server da abilitare. Scegliere il criterio e selezionare Aggiungi.
Il valore di Nome dell'assegnazione viene popolato automaticamente con il nome dei criteri selezionato, che è possibile modificare. Per questo esempio, lasciare invariato il nome del criterio e non modificare le opzioni rimanenti nella pagina.
Per questo esempio, non è necessario modificare le impostazioni nelle altre schede. Selezionare Rivedi e crea per esaminare la nuova assegnazione di criteri e quindi selezionare Crea.
A questo punto è possibile identificare le risorse non conformi per comprendere lo stato di conformità dell'ambiente.
Identificare le risorse non conformi
Nel menu del servizio per Criteri di Azure selezionare Conformità. Individuare quindi l'assegnazione dei criteri di Azure Defender per i server che dovrebbe essere abilitata e creata.
Tutte le risorse esistenti non conformi alla nuova assegnazione visualizzeranno lo stato Non conforme in Stato conformità.
Quando una condizione viene valutata rispetto alle risorse esistenti e risulta vera, tali risorse vengono contrassegnate come non conformi al criterio. La tabella seguente illustra il funzionamento dei diversi effetti dei criteri in base alla valutazione della condizione per lo stato di conformità risultante. Anche se nel portale di Azure non viene visualizzata la logica di valutazione, vengono mostrati i risultati relativi allo stato di conformità. Il risultato dello stato di conformità è Conforme o Non conforme.
| Stato della risorsa | Effetto | Valutazione dei criteri | Stato di conformità |
|---|---|---|---|
| Esiste | Nega, Verifica, Aggiungi*, DistribuisciSeNonEsiste*, VerificaSeNonEsiste* | Vero | Non conforme |
| Esiste | Deny, Audit, Append*, DeployIfNotExist*, AuditIfNotExist* | Falso | Conforme |
| Nuovo | Audit, AuditIfNotExist* | Vero | Non conforme |
| Nuovo | Audit, AuditIfNotExist* | Falso | Conforme |
* Gli effetti Append, DeployIfNotExist e AuditIfNotExist richiedono che l'istruzione IF sia TRUE. Gli effetti richiedono anche che la condizione di esistenza sia FALSE per essere non conforme. Se è TRUE, la condizione IF attiva la valutazione della condizione di esistenza per le risorse correlate.
Per ulteriori informazioni, consulta gli stati di conformità delle policy di Azure.
Pulire le risorse
Per rimuovere l'assegnazione creata, seguire questa procedura:
- Nel menu del servizio selezionare Conformità (o selezionare Assegnazioni in Creazione).
- Individua l'assegnazione dei criteri di Azure Defender per i server che hai creato.
- Fare clic con il pulsante destro del mouse sull'assegnazione dei criteri, quindi scegliere Elimina assegnazione.
Passaggi successivi
In questa esercitazione è stata assegnata una definizione dei criteri a un ambito ed è stato valutato il report di conformità. La definizione dei criteri garantisce che tutte le risorse nell'ambito siano conformi e identifica quelle che non lo sono. A questo momento è possibile monitorare il computer dei server abilitati per Azure Arc abilitando le informazioni dettagliate sulle macchine virtuali.
Per informazioni su come monitorare e visualizzare le prestazioni, il processo in esecuzione e le dipendenze dal computer, continuare con l'esercitazione: