Partilhar via

Tutorial: Ativar avaliações periódicas e patches agendados em VMs Azure usando uma política

Aplica-se a: ✔️ VMs do Windows ✔️ VMs Linux ✔️ Ambiente local ✔️ Servidores habilitados para Azure Arc.

Este tutorial explica como ativar avaliações periódicas e patches agendados nas suas máquinas virtuais Azure (VMs) em grande escala, utilizando uma política. Pode usar uma política para atribuir normas e avaliar a conformidade em larga escala. Mais informações.

A avaliação periódica é a apresentação das atualizações mais recentes disponíveis para as suas máquinas. Elimina o incómodo de fazer uma avaliação manualmente sempre que precisa de verificar o estado da atualização. Depois de ativar esta definição, o Azure Update Manager recolhe atualizações na sua máquina uma vez a cada 24 horas.

O patching programado é a capacidade de direcionar um grupo de máquinas para implementação de atualizações via Azure Policy. O agrupamento impede-te de ter de editar a tua implementação para atualizar as máquinas. Pode usar uma subscrição, um grupo de recursos, tags ou regiões para definir o âmbito e usar esta funcionalidade para as políticas incorporadas. Pode personalizar as políticas incorporadas de acordo com o seu caso de uso.

Neste tutorial, você:

  • Permitir a avaliação periódica.
  • Ativar a atualização agendada.

Pré-requisitos

  • Você deve ter uma assinatura do Azure. Se você não tiver uma, crie uma conta gratuita antes de começar.

Permitir avaliação periódica

  1. Inicia sessão no portal Azure e vai a Política.

  2. Em Autoria, selecione Definições.

  3. Na lista suspensa de categorias , selecione Azure Update Manager. Selecione Configurar verificação periódica para atualizações de sistema ausentes em máquinas virtuais do Azure para máquinas do Azure.

  4. Quando a definição da política for aberta, selecione Atribuir.

  5. Na guia Noções básicas, selecione sua assinatura como escopo. Também pode especificar um grupo de recursos dentro da subscrição como âmbito. Em seguida, selecione Seguinte.

  6. Na guia Parâmetros, desmarque Mostrar apenas os parâmetros que precisam de entrada ou revisão para que você possa ver os valores dos parâmetros.

  7. No separador Avaliação, selecione Sistema Operativo AutomaticByPlatform>. Você precisa criar políticas separadas para Windows e Linux. Em seguida, selecione Seguinte.

  8. Na guia Correção, selecione Criar uma tarefa de correção para que a avaliação periódica seja habilitada em suas máquinas. Em seguida, selecione Seguinte.

  9. No separador de Não conformidade, forneça a mensagem que deseja que apareça se uma máquina estiver fora de conformidade. Por exemplo: A sua máquina não tem a avaliação periódica ativada. Depois selecione Revisar + Criar.

  10. Na aba Rever + Criar, selecione Criar. Esta ação desencadeia a criação de uma tarefa de atribuição e remediação, que pode demorar cerca de um minuto.

Na página inicial da Política , pode monitorizar a conformidade dos recursos em Conformidade e monitorizar o estado da remediação em Remediação.

Ativar correções agendadas

  1. Inicia sessão no portal Azure e vai a Política.

  2. Em Autoria, selecione Atribuições. Depois seleciona Atribuir Política.

  3. Na guia Noções básicas:

    • No Scope, escolha a sua subscrição e grupo de recursos, e depois selecione Select.
    • Selecione Definição de política para exibir uma lista de políticas.
    • Em Definições Disponíveis, para Tipo, selecione Incorporado. Na caixa de pesquisa, introduza Agendar atualizações recorrentes usando o Azure Update Manager e depois selecione Select.
    • Verifique se a imposição de política está definida como Habilitado e selecione Avançar.

  4. Na aba Parâmetros, por defeito, apenas o ID ARM de Configuração de Manutenção está visível.

    Se não especificares outros parâmetros, todas as máquinas do grupo de subscrição e recursos que selecionaste no separador Basics estão abrangidas no âmbito. No entanto, se quiser expandir o âmbito com base no grupo de recursos, localização, sistema operativo, etiquetas, etc., desmarque Mostrar apenas os parâmetros que necessitam de entrada ou revisão para visualizar todos os parâmetros:

    • ID de Configuração de Manutenção ARM: Este parâmetro obrigatório indica o ID do Azure Resource Manager do horário que pretende atribuir às máquinas.
    • Grupos de recursos: Pode especificar um grupo de recursos se quiser reduzir o âmbito para um grupo de recursos. Por padrão, todos os grupos de recursos dentro da assinatura são selecionados.
    • Tipos de sistema operativo: Pode selecionar Windows ou Linux. Por padrão, ambos estão selecionados.
    • Localizações das máquinas: Podes opcionalmente especificar regiões para as máquinas. Por padrão, todas as regiões são selecionadas.
    • Tags em máquinas: você pode usar tags para definir o escopo ainda mais. Por padrão, todos são selecionados.
    • Operador de etiquetas: Se selecionou várias etiquetas, pode especificar se quer que o âmbito seja para máquinas que tenham todas as etiquetas ou máquinas que tenham alguma dessas etiquetas.

    Captura de ecrã que mostra a sintaxe para adicionar etiquetas.

  5. No separador Remediação, vá a Identidade Gerida>, Tipo de Identidade Gerida, e depois selecione Identidade gerida atribuída ao sistema. As permissões já estão definidas como Colaborador de acordo com a definição da política.

    Observação

    Se selecionar Remediação, a política é eficaz em todas as máquinas existentes no âmbito. Caso contrário, é atribuído a qualquer nova máquina que adiciones ao escopo.

  6. No separador Avaliar + Criar , verifique as suas escolhas. Selecione Criar para identificar os recursos não conformes, para que possa compreender o estado de conformidade do seu ambiente.

Conteúdo relacionado

  • Last updated on