你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
Azure Policy 提供了一个统一的框架,用于跨 Azure 资源定义和强制实施治理规则。
计算机配置将此功能扩展到来宾 OS 级别,允许你在 Windows 和 Linux 计算机 中 审核和强制实施配置,帮助确保工作负载保持安全且符合内部和行业标准。
本部分介绍如何发现内置的机器配置策略、了解它们的功能,并将其分配到你的环境中。 我们还将演练一个示例(使用审核 Windows 时区策略)来说明如何使用参数来根据组织的需求定制配置。
发现内置计算机配置策略
Azure Policy 定义描述如何进行评估和确定合规性的方式。 内置定义由Microsoft维护,并自动更新,以符合当前的安全性和符合性标准。
查看和浏览这些内置策略:
导航到 Azure 门户→策略→定义。
在左侧导航中,选择“创作”部分下的“定义”。
打开 类别 筛选器并选择“ 来宾配置 ”和“ 策略类型内置 ”以显示与 OS 审核和符合性相关的所有内置策略。
浏览列表以查看可用定义,例如:
审核安装了指定应用程序的 Linux 计算机
审核未设置为指定时区的 Windows 计算机
Windows 计算机应满足 Azure 计算安全基线的要求
单击任何策略名称以打开其详细信息页。 可以检查:
JSON 定义
可用参数和版本
关于类别、模式及所需提供者的元数据
分配内置计算机配置策略
策略分配确定策略定义在何处以及如何应用策略定义,无论是应用于管理组、订阅还是资源组。
分配计算机配置策略时,Azure 会评估所有范围内的计算机,并直接在 “Azure Policy →符合性 ”边栏选项卡中报告符合性。
示例:分配“审核 Windows 时区”策略
让我们使用内置计算机配置策略之一(审核未设置为指定时区的 Windows 计算机)作为示例。
从 “策略定义 ”页中,选择
审核未设置为指定时区的 Windows 计算机。单击页面顶部的“ 分配策略 ”。
在“基本信息”选项卡中:
选择 范围 (订阅或管理组)。
确认 计算机配置先决条件 已部署。 (如果不是,则会自动显示用于部署先决条件的链接。
(可选)如果不应评估某些资源,则指定排除项。
在“ 参数 ”选项卡中:
如果环境包含启用 Arc 的计算机,请将“包含 Arc 连接的服务器”设置为 true。
选择所需的 时区 (例如“太平洋时间(美国和加拿大)”。
- 在 “查看 + 创建”下查看配置,然后单击“ 创建”。
分配后,策略将自动开始评估范围内的计算机。 合规性结果会显示在 “策略→符合性 ”视图中,可在其中向下钻取到特定资源或导出结果。
注释
相同的过程适用于其他内置计算机配置策略,例如审核 Linux 基线、密码设置或所需的应用程序。 参数因定义而异,并允许在不创建新策略的情况下自定义审核范围。
编程访问和自动化
虽然本指南重点介绍基于门户的工作流,但还可以通过 CLI、PowerShell 或 REST API 以编程方式分配和管理计算机配置策略。
| 接口 | 命令/参考 | 文档 |
|---|---|---|
| Azure CLI | az policy definition list 和 az policy assignment create | 通过 Azure CLI 分配策略 |
| PowerShell | Get-AzPolicyDefinition 和 New-AzPolicyAssignment | 通过 PowerShell 分配策略 |
| REST API | Microsoft.Authorization/policyAssignments | Azure Policy REST API 参考 |
| 来宾配置 | az guestconfig assignment list | 来宾配置 REST API 参考 |
| Azure Resource Graph | 查询 guestconfigurationresources 表以获取合规性结果 | 使用 Azure Resource Graph 查询来宾配置 |
后续步骤
分配策略后,可以: