通过

你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

查看计算机配置符合性报告

部署配置后,您可以在 Azure 的三个关键界面中查看合规性结果:策略分配、来宾分配和 Azure Resource Graph(ARG)。 每个层面都有其独特用途 - 从高层级的策略合规性,到深层的计算机级证据收集和大规模报告均如此。

策略符合性页

使用此视图可以验证部署的策略、策略的范围以及策略级别的执行方式。

查看分配的策略

  1. 导航到 Azure Policy → 合规。

  2. 查看每个条目,其中显示了已部署的分配及其目标范围(订阅、管理组或资源组)。

  3. 如果需要,请使用筛选器(如 策略定义等于全部),订阅 ID 等于所有 筛选器来缩小列表范围。

Azure Policy 符合性页的屏幕截图,其中显示了包含筛选器和导出选项的策略分配。

使用 导出到 CSV 生成快速审核报告或与合规性团队共享分配清单。

查看符合性摘要

打开 Azure Policy →合规性 ,以按计划或策略定义监视合规性。
总体资源符合性图表汇总了合规资源与不合规资源。 选择任何计划或策略分配以查看资源级结果。

向下钻取至计算机级证据

从“符合性”视图:

  1. 选择策略分配。

策略分配选择的屏幕截图,其中显示了符合性状态和资源详细信息。

  1. “资源符合性 ”选项卡中,单击资源名称旁边的“详细信息”。

  2. 在详细信息窗格中,选择 “上次评估的资源”。

资源符合性详细信息窗格的屏幕截图,其中突出显示了“上次评估的资源”链接。

这会打开相应的 Guest Assignment,提供 Azure Policy 规则与机器配置证据之间的可追溯性。

此连接将策略意向(在 Azure Policy 中定义)与实际计算机状态(计算机配置代理报告)连接。

来宾任务分配

使用此视图调查每个分配的策略的计算机级符合性,并准确确定哪些规则正在传递或失败。

查看所有来宾分配

  1. 导航到 计算机配置→来宾分配

  2. 每行代表一台计算机针对已分配策略的评估结果。

  3. 观察 “状态”列,该列指示计算机是 合规不合规还是 挂起

“来宾分配”列表的屏幕截图,其中显示了带有合规状态指示器的计算机。

浏览规则级别结果

单击来宾分配名称(例如 AzureLinuxBaseline)以打开详细结果。
结果表包括:

  • 配置项目名称和 基准参考

  • 符合性状态 (✅合规 / ❌不合规

  • 不符合的原因 (例如缺少配置、审核失败或文件不匹配)

使用此视图执行根本原因分析,并为内部或外部安全审核准备证据。

详细规则级合规性结果的屏幕截图,其中显示了配置项和基准引用。

与 Azure Policy 的关系

每个 Azure 机器配置策略分配都会为该策略范围内的每台计算机创建一个来宾分配。 这可确保计算机从分配的策略中一致地继承其基线定义,从而保持治理意向和技术强制之间的一致性。

Azure Resource Graph (ARG)

对于大规模报告和自动化,可以使用 Azure Resource Graph(ARG)直接查询计算机配置结果。
这样,便可以生成仪表板、自动执行合规性摘要,并将 Machine Configuration 见解集成到现有的符合性工具中。

查看 ARG 中的所有来宾分配

  1. 在 Azure 门户中打开 Resource Graph 资源管理器

  2. 选择 范围 (管理组或订阅)。

  3. 搜索 guestconfigurationresources 表。

Azure Resource Graph Explorer 的屏幕截图,其中显示了 guestconfigurationresources 表的选择。

示例查询:识别不符合的计算机

guestconfigurationresources  
| where type =~ "microsoft.guestconfiguration/guestconfigurationassignments"  
| project properties.targetResourceId, name, properties.complianceStatus, properties.policyAssignmentId  
| where properties_complianceStatus =~ "NonCompliant"

以下是此查询的列表:

  • 目标资源 ID – 评估的虚拟机或已启用 Arc 的服务器

  • 分配名称 – 应用的基线或配置

  • 符合性状态 – 最新审核的结果

  • 策略分配 ID - 触发来宾分配的 Azure 策略

筛选与扩展

可以通过筛选以下项来扩展查询:

  • 合规状态(合规、不合规或待处理)

  • 分配名称计算机类型 (Microsoft.Compute、Microsoft.HybridCompute)

  • 订阅区域策略分配

结果可以 导出到 CSV 或集成到 Power BI 仪表板中,以便进行组织合规性跟踪。

其他程序化访问

虽然本指南重点介绍基于门户的体验,但还可以通过以下 API、SDK 和参考指南以编程方式访问所有符合性和分配数据。

表面 文档参考
Azure Policy Azure Policy 文档概述
az policy CLI 参考
Azure Policy REST API 参考
计算机配置/来宾分配 Azure 计算机配置文档
来宾配置 REST API 参考
az guestconfig 命令行界面参考
Get-AzGuestConfigurationAssignment PowerShell cmdlet
Azure Resource Graph (ARG) Azure Resource Graph 概述
查询示例和架构参考
az graph 命令行界面参考
Azure Resource Graph REST API 参考

这些 API 使你能够自动执行合规性数据收集、将结果与现有报告管道集成,以及构建组合策略级可见性、计算机级详细信息和跨环境趋势的仪表板。

后续步骤

  • Last updated on