教程：使用策略在 Azure VM 上启用定期评估和计划修补

适用于：✔️ Windows VM ✔️ Linux VM ✔️ 本地环境 ✔️ 已启用 Azure Arc 的服务器。

本教程介绍如何使用策略大规模在 Azure 虚拟机（VM）上启用定期评估和计划修补。 可以使用策略来分配标准并大规模评估合规性。 了解详细信息。

定期评估 显示可用于计算机的最新更新。 它消除了每次检查更新状态时手动执行评估的麻烦。 启用此设置后，Azure 更新管理器每隔 24 小时一次在计算机上提取更新。

计划补丁管理 指通过 Azure Policy 针对一组计算机进行更新部署。 分组可让您无需编辑部署即可更新机器。 可以使用订阅、资源组、标记或区域来定义范围，并将此功能用于内置策略。 可以根据用例自定义内置策略。

在本教程中，你将：

先决条件

• 必须拥有 Azure 订阅。 如果没有订阅，请在开始之前创建一个试用帐户。

启用定期评估

1. 登录到 Azure 门户 并转到 “策略”。

2. 在 “创作”下，选择“ 定义”。

3. 在 “类别 ”下拉列表中，选择 “Azure 更新管理器”。 为 Azure 计算机选择“在 Azure 虚拟机上配置定期检查以查找缺少的系统更新”。

4. 策略定义打开时，选择“ 分配”。

5. 在“基本信息”选项卡中，选择你的订阅作为范围。 还可以将订阅中的资源组指定为范围。 然后选择下一步。

6. 在“参数”选项卡中，清除“仅显示需要输入或查看的参数”，以便可以查看参数的值。

7. 在评估选项卡上，选择AutomaticByPlatform>操作系统。 需要为 Windows 和 Linux 创建单独的策略。 然后选择下一步。

8. 在“修正”选项卡中，选中“创建修正任务”，以便在计算机上启用定期评估。 然后选择下一步。

9. 在 “不符合性 ”选项卡上，提供在计算机不符合要求时要显示的消息。 例如： 计算机未启用定期评估。 然后选择“ 查看 + 创建”。

10. 在“查看 + 创建”选项卡中，选择“创建”。 操作将触发分配任务和补救任务的创建，这可能需要大约一分钟。

在 “策略 ”主页上，可以在 “符合性 ”下监视资源的符合性，并在 “修正”下监视修正状态。

启用计划的修补

1. 登录到 Azure 门户 并转到 “策略”。

2. 在 “撰写”下，选择 “任务”。 然后选择 “分配策略”。

3. 在“基本信息”选项卡上：

   • 在 “作用域”中，选择订阅和资源组，然后选择 “选择”。
   • 选择“策略定义”以查看策略列表。
   • 在 “可用定义”中，对于 “类型”，选择“ 内置”。 在搜索框中，输入 使用 Azure 更新管理器计划定期更新，然后选择 “选择”。
   • 确保“策略实施”设置为“已启用”，然后选择“下一步”。

4. 默认情况下，在参数选项卡上，仅显示维护配置 ARM ID。

   如果未指定任何其他参数，在“ 基本信息 ”选项卡上选择的订阅和资源组中的所有计算机都涵盖在作用域下。 但是，如果要根据资源组、位置、OS、标记等进一步确定范围， 请清除仅显示需要输入或查看 的参数以查看所有参数：

   • 维护配置 ARM ID：此必需参数表示要分配给计算机的计划的 Azure 资源管理器 ID。
   • 资源组：如果要限定为资源组，可以指定资源组。 默认会选择订阅中的所有资源组。
   • 作系统类型：可以选择 Windows 或 Linux。 默认情况下，两者均被选择。
   • 计算机位置：可以选择为计算机指定区域。 默认情况下，选择所有区域。
   • 计算机上的标记：可以使用标记来进一步缩小范围。 默认情况下，所有项都处于选中状态。
   • 标记运算符：如果选择了多个标记，您可以指定范围为拥有所有这些标记的机器还是拥有任意一个标记的机器。

   

5. 在“补救措施”选项卡上，转到托管标识>托管标识类型，然后选择“系统分配的托管标识”。 系统已根据策略定义将“权限”设置为“参与者”。

   注意

   如果选择 “修正”，则策略在作用域中的所有现有计算机上有效。 否则，会将之分配给新增到范围的任何计算机。

6. 在“ 审阅 + 创建 ”选项卡上，验证你的选择。 选择 “创建 ”以识别不符合资源，以便了解环境的符合性状态。

相关内容

• 了解如何管理多台计算机。