Samouczek: włączanie okresowej oceny i zaplanowanego stosowania poprawek na maszynach wirtualnych platformy Azure przy użyciu zasad

Dotyczy: ✔️ Maszyny wirtualne Windows ✔️ Maszyny wirtualne Linux ✔️ Środowisko lokalne ✔️ Serwery z obsługą Azure Arc.

W tym samouczku wyjaśniono, jak włączyć okresową ocenę i zaplanowane stosowanie poprawek na maszynach wirtualnych platformy Azure na dużą skalę przy użyciu zasad. Za pomocą zasad można przypisywać standardy i oceniać zgodność na dużą skalę. Dowiedz się więcej.

Okresowa ocena to wyświetlanie najnowszych aktualizacji dostępnych dla maszyn. Eliminuje to problemy z ręcznego przeprowadzania oceny za każdym razem, gdy trzeba sprawdzić stan aktualizacji. Po włączeniu tego ustawienia usługa Azure Update Manager pobiera aktualizacje na maszynie co 24 godziny.

Zaplanowane stosowanie poprawek to możliwość kierowania grupy maszyn do wdrożenia aktualizacji za pośrednictwem usługi Azure Policy. Grupowanie zapobiega konieczności edytowania wdrożenia w celu aktualizowania maszyn. Możesz użyć subskrypcji, grupy zasobów, tagów lub regionów, aby zdefiniować zakres i użyć tej funkcji dla wbudowanych zasad. Wbudowane zasady można dostosować zgodnie z twoim przypadkiem użycia.

W tym samouczku nauczysz się następujących rzeczy:

Wymagania wstępne

• Wymagana jest subskrypcja platformy Azure. Jeśli go nie masz, przed rozpoczęciem utwórz bezpłatne konto .

Włączanie okresowej oceny

1. Zaloguj się do witryny Azure Portal i przejdź do pozycji Zasady.

2. W obszarze Tworzenie wybierz pozycję Definicje.

3. Z listy rozwijanej Kategoria wybierz pozycję Azure Update Manager. Wybierz pozycję Konfiguruj okresowe sprawdzanie brakujących aktualizacji systemowych na maszynach wirtualnych platformy Azure dla maszyn platformy Azure .

4. Po otwarciu definicji zasad wybierz pozycję Przypisz.

5. Na karcie Podstawy wybierz swoją subskrypcję jako zakres. Możesz również określić grupę zasobów w ramach subskrypcji jako zakres. Następnie wybierz Dalej.

6. Na karcie Parametry wyczyść pole Pokaż tylko parametry, które wymagają danych wejściowych lub przeglądu, aby wyświetlić wartości parametrów.

7. Na karcie Ocena wybierz pozycję AutomaticByPlatform>Operating system. Należy utworzyć oddzielne zasady dla systemów Windows i Linux. Następnie wybierz Dalej.

8. Na karcie Korygowanie wybierz pozycję Utwórz zadanie korygowania, aby okresowa ocena została włączona na maszynach. Następnie wybierz Dalej.

9. Na karcie Niezgodność podaj komunikat, który chcesz wyświetlić, jeśli maszyna jest niezgodna. Na przykład: Maszyna nie ma włączonej funkcji okresowej oceny. Następnie wybierz pozycję Przejrzyj i utwórz.

10. Na karcie Przeglądanie + tworzenie wybierz pozycję Utwórz. Ta akcja wyzwala tworzenie zadania przypisania i korygowania, co może potrwać minutę.

Na stronie głównej Zasady można monitorować zgodność zasobów w obszarze Zgodność i monitorować stan korygowania w obszarze Korygowanie.

Włączanie zaplanowanego stosowania poprawek

1. Zaloguj się do witryny Azure Portal i przejdź do pozycji Zasady.

2. W obszarze Tworzenie wybierz pozycję Zadania. Następnie wybierz pozycję Przypisz politykę.

3. Na karcie Ustawienia podstawowe:

   • W obszarze Zakres wybierz subskrypcję i grupę zasobów, a następnie wybierz pozycję Wybierz.
   • Wybierz pozycję Definicja zasad , aby wyświetlić listę zasad.
   • W obszarze Dostępne definicje w polu Typ wybierz pozycję Wbudowane. W polu wyszukiwania wpisz Zaplanuj aktualizacje cykliczne przy użyciu usługi Azure Update Manager, a następnie wybierz pozycję Wybierz.
   • Upewnij się, że wymuszanie zasad jest ustawione na Włączone, a następnie wybierz Dalej.

4. Domyślnie na karcie Parametry widoczny jest tylko ARM ID konfiguracji konserwacji.

   Jeśli nie określisz żadnych innych parametrów, wszystkie maszyny w subskrypcji i grupie zasobów wybranej na karcie Podstawowe zostaną objęte zakresem. Jeśli jednak chcesz dalej określać zakres na podstawie grupy zasobów, lokalizacji, systemu operacyjnego, tagów itd., wyczyść pole Pokaż tylko parametry, które wymagają danych wejściowych lub przeglądowych , aby wyświetlić wszystkie parametry:

   • Identyfikator konfiguracji konserwacji ARM: ten obowiązkowy parametr określa identyfikator harmonogramu Azure Resource Manager, który ma zostać przypisany do maszyn.
   • Grupy zasobów: możesz określić grupę zasobów, jeśli chcesz ograniczyć zakres do grupy zasobów. Domyślnie wybierane są wszystkie grupy zasobów w ramach subskrypcji.
   • Typy systemów operacyjnych: możesz wybrać system Windows lub Linux. Domyślnie oba są zaznaczone.
   • Lokalizacje maszyn: opcjonalnie można określić regiony dla maszyn. Domyślnie wszystkie regiony są zaznaczone.
   • Tagi na maszynach: tagi umożliwiają dalsze określanie zakresu. Domyślnie wszystkie są zaznaczone.
   • Operator tagów: jeśli wybrałeś wiele tagów, możesz określić, czy mają być uwzględniane maszyny, które mają wszystkie tagi, czy też maszyny, które mają którykolwiek z tych tagów.

   

5. Na karcie Naprawianie przejdź do sekcji Typ zarządzanej tożsamości, a następnie wybierz opcję Tożsamość zarządzana przypisana przez system. Uprawnienia są już ustawione jako Współautor zgodnie z definicją zasad.

   Uwaga / Notatka

   Jeśli wybierzesz opcję Reamediacja, zasady będą obowiązywać na wszystkich istniejących maszynach objętych zakresem. W przeciwnym razie zostanie przypisana do każdej nowej maszyny, która zostanie dodana do zakresu.

6. Na karcie Przeglądanie + tworzenie sprawdź wybrane opcje. Wybierz pozycję Utwórz , aby zidentyfikować niezgodne zasoby, aby zrozumieć stan zgodności środowiska.

Treści powiązane

• Dowiedz się więcej o zarządzaniu wieloma maszynami.