Руководство. Создание назначения политики и определение несоответствующих ресурсов

Политику Azure можно использовать для аудита состояния серверов с поддержкой Azure Arc, чтобы обеспечить соответствие политикам конфигурации компьютера.

В этом руководстве описан процесс создания и назначения политики, которая определяет, какие серверы с поддержкой Azure Arc не включены в Microsoft Defender для серверов .

В этом руководстве описано, как:

Создайте назначение политики и назначьте ему определение
Определение ресурсов, которые не соответствуют новой политике
Удалите политику из несоответствующих ресурсов

Prerequisites

Если у вас нет подписки Azure, создайте бесплатную учетную запись, прежде чем приступить к работе.
Модуль Azure PowerShell должен быть установлен на устройстве, если вы решили использовать этот метод командной строки. Дополнительные сведения см. в статье "Установка Azure PowerShell".

Создание назначения политики

Используйте следующую процедуру, чтобы создать назначение политики и назначить определение политики Azure Defender для серверов должен быть включен.

В верхней части портала Azure найдите и выберите политику.
В меню сервиса разверните раздел "Создание", а затем выберите "Назначения". Назначение — это политика, назначенная для выполнения в определенной области.
Выберите «Назначить политику» в верхней части панели «Назначения».
На странице "Назначение политики " в разделе "Область" выберите многоточие (...) и выберите группу управления или подписку. Либо выберите группу ресурсов. Область определяет, к каким ресурсам или группировкам ресурсов применяется назначение политики. Затем выберите Выбрать в нижней части панели Scope.
Ресурсы можно исключить на основе параметра Область. Исключения начинаются на один уровень ниже уровня параметра Область. Исключения являются необязательными, поэтому пока оставьте это поле пустым.
В разделе "Основы" выберите многоточие определения политики (...), чтобы открыть список доступных определений. Политика Azure поставляется со многими встроенными определениями политик, которые можно использовать, например:
- Принудительное применение тега и его значения
- примените тег и его значение
- Унаследуйте тег из группы ресурсов, если он отсутствует.
Для частичного списка доступных встроенных политик см. примеры политик Azure.
Выполните поиск по списку определений политик, чтобы найти определение Azure Defender для серверов должен быть включен. Выберите политику и нажмите кнопку "Добавить".
Имя назначения автоматически заполняется выбранным именем политики, но его можно изменить. В этом примере оставьте имя политики как есть и не изменяйте остальные параметры на странице.
В этом примере нам не нужно изменять параметры на других вкладках. Выберите «Проверка и создание», чтобы просмотреть новое назначение политики, а затем выберите «Создать».

Настройте переменные для политики, которую вы хотите назначить. Следующая команда извлекает идентификатор определения политики и назначает нужную политику. Замените сведения фактическими значениями.

# Variables
$assignmentName = "myPolicyAssignment"
$policyDefinitionName = "Azure Defender for servers should be enabled"
$scope = "/subscriptions/<your-subscription-id>/resourceGroups/<resource-group-name>"

# Get the policy definition ID
$policy = Get-AzPolicyDefinition | Where-Object { $_.Properties.DisplayName -eq $policyDefinitionName }

# Assign the policy
New-AzPolicyAssignment -Name $assignmentName -PolicyDefinitionId $policy.PolicyDefinitionId -Scope $scope

Вы также можете выполнить следующую команду, чтобы отобразить список доступных политик по имени политики.

Get-AzPolicyDefinition | Sort-Object DisplayName

# Variables
assignmentName="myPolicyAssignment" \
policyDefinitionName="Azure Defender for servers should be enabled" \
scope="/subscriptions/<subscriptionId>/resourceGroups/<resourceGroupName>"

# Get the policy definition ID (filter by displayName)
policyDefinitionId=$(az policy definition list \
    --query "[?displayName=='$policyDefinitionName'].id | [0]" -o tsv)

# Assign the policy
az policy assignment create \
    --name $assignmentName \
    --policy $policyDefinitionId \
    --scope $scope

Вы также можете выполнить следующую команду, чтобы отобразить список доступных политик по имени политики.

az policy definition list --query "sort_by([], &displayName)[].{DisplayName:displayName, Name:name}" -o table

Теперь вы готовы определить несоответствующие ресурсы, чтобы понять состояние соответствия вашей среды.

Определение несоответствуемых ресурсов

В меню службы политики Azure выберите "Соответствие".
Найдите назначение политики, которое вы создали для Azure Defender для серверов должно быть включено.

Все существующие ресурсы, которые не соответствуют новому назначению, отображаются как несовместимые в состоянии соответствия требованиям.

Если условие проверяется по имеющимся ресурсам и выявляется как истинно, эти ресурсы помечаются как несоответствующие политике. В следующей таблице показано, как действуют разные политики в сочетании с оценкой условий для определения итогового состояния соответствия. Хотя логика оценки не отображается на портале Azure, там доступны результаты, полученные при оценке состояния соответствия. Результат состояния соответствия соответствует требованиям или не соответствует требованиям.

Состояние ресурса	Effect	Оценка политики	Состояние соответствия требованиям
Exists	Отклонить, Аудит, Добавить, РазвернутьЕслиНеСуществует, АудитЕслиНеСуществует*	True	Non-compliant
Exists	Отклонить, Аудит, Добавить, РазвернутьЕслиНеСуществует, АудитЕслиНеСуществует*	False	Compliant
New	Аудит, AuditIfNotExist*	True	Non-compliant
New	Аудит, AuditIfNotExist*	False	Compliant

* Эффекты Append, DeployIfNotExist и AuditIfNotExist требуют, чтобы инструкция IF была TRUE. Эффекты также требуют, чтобы условие существования было FALSE несоответствующим. TRUE Когда IFусловие активирует оценку условия существования для связанных ресурсов.

Дополнительные сведения см. в статье о состоянии соответствия политик Azure.

Очистите ресурсы

Чтобы удалить созданное назначение, выполните следующие действия.

В меню службы разверните узел "Авторство", а затем выберите "Назначения"

Кроме того, в меню службы выберите "Соответствие".
Найдите назначение политики, которое вы создали для Azure Defender для серверов должно быть включено.
Щелкните правой кнопкой мыши назначение политики, выберите "Удалить назначение", а затем нажмите кнопку "Да".

Если вы знаете имя назначения и область назначения, выполните следующую команду:
```
Remove-AzPolicyAssignment `
  -Name "myPolicyAssignment" `
  -Scope "/subscriptions/<subscriptionId>/resourceGroups/<resourceGroupName>"
```
Если имя назначения не известно, выполните следующую команду, чтобы сначала найти ее:
```
Get-AzPolicyAssignment | Where-Object { $_.Properties.DisplayName -eq "Azure Defender for servers should be enabled" }
```
После обнаружения имени назначения удалите его с помощью следующей команды:
```
Remove-AzPolicyAssignment -Name "<myPolicyAssignment>"
```

Если вы знаете имя назначения и область назначения, выполните следующую команду:
```
az policy assignment delete \
    --name "myPolicyAssignment" \
    --scope "/subscriptions/<subscriptionId>/resourceGroups/<resourceGroupName>"
```
Если имя назначения не известно, выполните следующую команду, чтобы сначала найти ее:
```
az policy assignment list \
    --query "[?displayName=='Azure Defender for servers should be enabled']"
```
После обнаружения имени назначения удалите его с помощью следующей команды:
```
az policy assignment delete --name "<myPolicyAssignment>"
```

Дальнейшие шаги

В этом учебнике вы назначили определение политики для области действия и оценили его отчет о соответствии. Определение политики проверяет, все ли ресурсы в области соответствуют требованиям, и определяет, какие из них не соответствуют. Теперь вы готовы отслеживать серверы с поддержкой Azure Arc, включив инструменты мониторинга виртуальных машин (VM Insights).

Чтобы узнать, как отслеживать и просматривать производительность, выполняющийся процесс и зависимости с вашего компьютера, перейдите к учебнику:

Включение аналитики виртуальных машин

Обратная связь

Были ли сведения на этой странице полезными?

Last updated on 2026-02-05