Примечание
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
You can use Azure Policy to audit the state of your Azure Arc-enabled servers to ensure they comply with machine configuration policies.
В этом руководстве описан процесс создания и назначения политики, которая определяет, какие серверы с поддержкой Azure Arc не включены в Microsoft Defender для серверов .
В этом руководстве описано, как:
- Создайте назначение политики и назначьте ему определение
- Определение ресурсов, которые не соответствуют новой политике
- Удалите политику из несоответствующих ресурсов
Prerequisites
If you don't have an Azure subscription, create a free account before you begin.
Создание назначения политики
Используйте следующую процедуру, чтобы создать назначение политики и назначить определение политики Azure Defender для серверов должен быть включен.
Launch the Azure Policy service in the Azure portal by searching for and selecting Policy.
In the service menu, under Authoring, select Assignments. Назначение — это политика, назначенная для выполнения в определенной области.
Select Assign Policy from the top of the Assignments pane.
On the Assign Policy page, select the Scope by selecting the ellipsis and selecting either a management group or subscription. Либо выберите группу ресурсов. Область определяет, к каким ресурсам или группировкам ресурсов применяется назначение политики. Then, choose Select at the bottom of the Scope pane.
Resources can be excluded based on the Scope. Exclusions start at one level lower than the level of the Scope. Exclusions are optional, so leave it blank for now.
Select the Policy definition ellipsis to open the list of available definitions. Политика Azure поставляется со многими встроенными определениями политик, которые можно использовать, например:
- Принудительное применение тега и его значения
- примените тег и его значение
- Унаследуйте тег из группы ресурсов, если он отсутствует.
Для частичного списка доступных встроенных политик см. примеры политик Azure.
Выполните поиск по списку определений политик, чтобы найти определение Azure Defender для серверов должен быть включен. Choose that policy and select Add.
The Assignment name is automatically populated with the policy name you selected, but you can change it. В этом примере оставьте имя политики как есть и не изменяйте остальные параметры на странице.
В этом примере нам не нужно изменять параметры на других вкладках. Нажмите «Просмотр и создание», чтобы просмотреть назначенную политику, а затем нажмите «Создать».
Теперь вы готовы определить несоответствующие ресурсы, чтобы понять состояние соответствия вашей среды.
Определение несоответствуемых ресурсов
In the service menu for Azure Policy, select Compliance. Затем найдите назначение политики Azure Defender для серверов, которое вы создали.
Any existing resources that aren't compliant with the new assignment will show Non-compliant under Compliance state.
Если условие проверяется по имеющимся ресурсам и выявляется как истинно, эти ресурсы помечаются как несоответствующие политике. В следующей таблице показано, как действуют разные политики в сочетании с оценкой условий для определения итогового состояния соответствия. Хотя логика оценки не отображается на портале Azure, там доступны результаты, полученные при оценке состояния соответствия. The compliance state result is either Compliant or Non-compliant.
| Resource state | Effect | Policy evaluation | Compliance state |
|---|---|---|---|
| Exists | Отклонить, Аудит, Добавить*, РазвернутьЕслиНеСуществует*, АудитЕслиНеСуществует* | True | Non-compliant |
| Exists | Отклонить, Аудит, Добавить*, РазвернутьЕслиНеСуществует*, АудитЕслиНеСуществует* | False | Compliant |
| New | Audit, AuditIfNotExist* | True | Non-compliant |
| New | Audit, AuditIfNotExist* | False | Compliant |
* Эффекты Append, DeployIfNotExist и AuditIfNotExist требуют, чтобы условие IF было истиной. Эффекты также требуют, чтобы условие существования было false, чтобы быть несоответствующим. Когда установлено значение TRUE, условие IF запускает оценку условия существования для связанных ресурсов.
Дополнительные сведения см. в статье о состоянии соответствия политик Azure.
Очистите ресурсы
Чтобы удалить созданное назначение, выполните следующие действия.
- In the service menu, select Compliance (or select Assignments under Authoring).
- Найдите назначение политики, которое вы создали для Azure Defender для серверов должно быть включено.
- Right-click the policy assignment, then select Delete assignment.
Next steps
В этом учебнике вы назначили определение политики для области действия и оценили его отчет о соответствии. Определение политики проверяет, все ли ресурсы в области соответствуют требованиям, и определяет, какие из них не соответствуют. Now you're ready to monitor your Azure Arc-enabled servers machine by enabling VM insights.
Чтобы узнать, как отслеживать и просматривать производительность, выполняющийся процесс и зависимости с вашего компьютера, перейдите к учебнику: