次の方法で共有

教程:创建策略分配以识别不合规的资源

可以使用 Azure Policy 审核已启用 Azure Arc 的服务器的状态,以确保它们符合计算机配置策略。

本教程逐步讲解如何创建和分配一个策略,用于标识已启用 Azure Arc 的服务器中哪些服务器未启用 Microsoft Defender for Servers

本教程介绍如何:

  • 创建策略分配并为其分配定义
  • 识别不符合新策略的资源
  • 从不符合的资源中删除策略

先决条件

如果没有 Azure 订阅,请在开始之前创建 一个试用订阅 帐户。

创建策略分配

使用以下过程创建策略分配并分配 应启用适用于服务器的 Azure Defender 策略定义。

  1. 通过搜索并选择 “策略”在 Azure 门户中启动 Azure Policy 服务。

  2. 在服务菜单中的 “创作”下,选择“ 分配”。 分配是在特定范围内分配的策略。

  3. “分配”窗格顶部选择“分配策略”。

    Azure 门户中“策略分配”页的屏幕截图。

  4. “分配策略 ”页上,选择省略号并选择管理组或订阅,选择 范围 。 (可选)选择资源组。 范围确定强制执行策略分配的资源或资源分组。 然后选择“范围”窗格底部的“选择”。

  5. 可以根据 范围排除资源。 排除项 从低于 范围级别的一个级别开始。 排除 项是可选的,因此暂时将其留空。

  6. 选择 策略定义 省略号以打开可用定义列表。 Azure Policy 附带了许多可以使用的内置策略定义,例如:

    • 强制实施标记及其值
    • 应用标记及其值
    • 如果缺少标记,则从资源组继承标记

    有关可用内置策略的部分列表,请参阅 Azure Policy 示例

  7. 搜索策略定义列表以查找 应启用服务器的 Azure Defender 定义。 选择该策略,然后选择“ 添加”。

  8. 分配名称会自动填充所选策略名称,但可以更改它。 对于此示例,请将策略名称保留原样,并且不会更改页面上的任何剩余选项。

  9. 对于此示例,我们不需要更改其他选项卡上的任何设置。 选择 “查看 + 创建 ”以查看新的策略分配,然后选择“ 创建”。

现在,你已准备好识别不符合的资源,以了解环境的符合性状态。

识别不符合资源

在 Azure Policy 的服务菜单中,选择 “符合性”。 然后找到 应启用创建的 Azure Defender for Server 策略分配。

“策略符合性”页的屏幕截图,其中显示了所选范围的策略符合性。

任何不符合新分配的现有资源都将在“符合性”状态下显示“不符合”。

根据现有资源评估条件并找到 true 时,这些资源将标记为不符合策略。 下表显示了不同的策略效果如何处理结果符合性状态的条件评估。 尽管 Azure 门户中没有看到评估逻辑,但会显示符合性状态结果。 符合性状态结果为 “合规 ”或 “不合规”。

资源状态 Effect 策略评估 符合性状态
Exists Deny、Audit、Append*、DeployIfNotExist*、AuditIfNotExist* True 不符合
Exists Deny、Audit、Append*、DeployIfNotExist*、AuditIfNotExist* 顺从的
New Audit、AuditIfNotExist* True 不符合
New Audit、AuditIfNotExist* 顺从的

* Append、DeployIfNotExist 和 AuditIfNotExist 效果要求 IF 语句为 TRUE。 效果还需要存在条件为 FALSE 才能不符合要求。 如果为 TRUE,IF 条件将触发对相关资源的存在条件的评估。

若要了解详细信息,请参阅 Azure Policy 符合性状态

清理资源

若要删除创建的分配,请执行以下步骤:

  1. 在服务菜单中,选择“符合性”(或在“创作”下选择“分配”)。

  2. 找到 应为服务器启用的 Azure Defender 策略分配。

  3. 右键单击策略分配,然后选择“ 删除分配”。

后续步骤

在本教程中,你向范围分配了策略定义,并评估了其符合性报告。 策略定义验证范围中的所有资源是否合规,并标识哪些资源不合规。

若要了解如何从计算机监视和查看性能、正在运行的进程和依赖项,请继续学习教程: