教程：创建策略分配并识别不合规的资源

使用以下过程创建策略分配，并分配策略定义应启用 Azure Defender for servers。

1. 在Azure门户顶部，搜索并选择Policy。

2. 在服务菜单中，展开“创作”，然后选择“分配”。 分配是在特定范围内分配的策略。

3. 从“分配”窗格顶部选择“分配策略”。

   在 Azure 门户中策略分配页的屏幕截图。

4. 在 “分配策略 ”页上的 “作用域”下，选择省略号（...），然后选择管理组或订阅。 （可选）选择资源组。 范围决定策略分配强制执行的资源或资源分组。 然后选择“范围”窗格底部的“选择”。

5. 可根据范围排除资源。 “排除”从比“范围”级别低一级的级别开始。 “排除”是可选的，因此暂时将其留空。

6. 在 “基本信息”下，选择 策略定义 省略号（...）以打开可用定义列表。 Azure Policy附带许多可以使用的内置策略定义，例如：

   • 强制执行标签及其值
   • 应用标签及其数值
   • 如果缺少标记，则从资源组继承标记

   有关可用内置策略的部分列表，请参阅 Azure Policy 示例。

7. 搜索策略定义列表以查找应启用Azure Defender for servers定义。 选择该策略，然后选择“添加”。

8. “分配名称”中自动填充了所选的策略名称，但可以更改它。 对于此示例，请将策略名称保留原样，并且不会更改页面上的任何剩余选项。

9. 对于此示例，我们不需要更改其他选项卡上的任何设置。 选择 “查看 + 创建 ”以查看新策略分配，然后选择“ 创建”。

为要分配的策略设置变量。 以下命令检索策略定义 ID 并分配所需的策略。 将信息替换为实际值。

# Variables
$assignmentName = "myPolicyAssignment"
$policyDefinitionName = "Azure Defender for servers should be enabled"
$scope = "/subscriptions/<your-subscription-id>/resourceGroups/<resource-group-name>"

# Get the policy definition ID
$policy = Get-AzPolicyDefinition | Where-Object { $_.Properties.DisplayName -eq $policyDefinitionName }

# Assign the policy
New-AzPolicyAssignment -Name $assignmentName -PolicyDefinitionId $policy.PolicyDefinitionId -Scope $scope

还可以运行以下命令，按策略名称显示可用策略的列表。

Get-AzPolicyDefinition | Sort-Object DisplayName

为要分配的策略设置变量。 以下命令检索策略定义 ID 并分配所需的策略。 将信息替换为实际值。

# Variables
assignmentName="myPolicyAssignment" \
policyDefinitionName="Azure Defender for servers should be enabled" \
scope="/subscriptions/<subscriptionId>/resourceGroups/<resourceGroupName>"

# Get the policy definition ID (filter by displayName)
policyDefinitionId=$(az policy definition list \
    --query "[?displayName=='$policyDefinitionName'].id | [0]" -o tsv)

# Assign the policy
az policy assignment create \
    --name $assignmentName \
    --policy $policyDefinitionId \
    --scope $scope

还可以运行以下命令，按策略名称显示可用策略的列表。

az policy definition list --query "sort_by([], &displayName)[].{DisplayName:displayName, Name:name}" -o table

1. 在服务菜单中，展开撰写选项，然后选择任务。

   或者，在服务菜单中，选择 “符合性”。

2. 找到你创建的应启用的Azure Defender for servers策略分配。

3. 右键单击策略分配，选择“ 删除分配”，然后选择“ 是”。

1. 如果知道分配名称和范围，请运行以下命令：

   Remove-AzPolicyAssignment `
     -Name "myPolicyAssignment" `
     -Scope "/subscriptions/<subscriptionId>/resourceGroups/<resourceGroupName>"
   

2. 如果不知道分配名称，请先运行以下命令以查找它：

   Get-AzPolicyAssignment | Where-Object { $_.Properties.DisplayName -eq "Azure Defender for servers should be enabled" }
   

   发现分配名称后，请使用以下命令将其删除：

   Remove-AzPolicyAssignment -Name "<myPolicyAssignment>"
   

1. 如果知道分配名称和范围，请运行以下命令：

   az policy assignment delete \
       --name "myPolicyAssignment" \
       --scope "/subscriptions/<subscriptionId>/resourceGroups/<resourceGroupName>"
   

2. 如果不知道分配名称，请先运行以下命令以查找它：

   az policy assignment list \
       --query "[?displayName=='Azure Defender for servers should be enabled']"
   

   发现分配名称后，请使用以下命令将其删除：

   az policy assignment delete --name "<myPolicyAssignment>"