教程：创建策略分配以识别不合规资源

若要了解 Azure 中的符合性，第一步是确定资源的状态。 Azure Policy 支持通过来宾配置策略来审核已启用 Azure Arc 的服务器的状态。 Azure Policy 来宾配置定义可以审核或应用计算机中的设置。

本教程将指导你完成创建和分配策略的过程，并确定已启用 Azure Arc 的服务器中哪些服务器未安装 Log Analytics agent for Windows or Linux。 这些计算机被视为不合规的策略分配。

本教程介绍以下操作：

如果没有 Azure 订阅，请在开始前创建一个试用版订阅帐户。

使用以下过程创建策略分配，并分配策略定义“[预览]：Log Analytics 扩展应安装在 Linux Azure Arc 计算机上”。

1. 在 Azure 门户中选择“所有服务”，然后搜索并选择“策略”，启动 Azure Policy 服务 。

   

2. 选择“Azure Policy”页左侧的“分配”。 分配是指分配的策略，它在特定的范围内执行。

   

3. 在“策略 | 分配”页的顶部选择“分配策略”。

4. 在“分配策略”页上，通过单击省略号并选择管理组或订阅，选择“范围”。 或者，请选择一个资源组。 范围用于确定对其强制执行策略分配的资源或资源组。 然后在“范围”页的底部选择“选择”。

   此示例使用“Parnell Aerospace”订阅。 你的订阅将有所不同。

5. 可基于“范围”排除资源。 “排除”从低于“范围”级别的一个级别开始。 “排除”是可选的，因此暂时将其留空。

6. 选择“策略定义”旁边的省略号打开可用定义的列表。 Azure Policy 附带可供使用的内置策略定义。 许多是可用的，例如：

   • 强制实施标记和值
   • 应用标记和值
   • 从资源组继承标记（如果缺少此标记）

   有关可用内置策略的部分列表，请参阅 Azure Policy 示例。

7. 搜索策略定义列表，找到“[预览版]：Log Analytics 扩展应安装在 Windows Azure Arc 计算机上”定义（如果已在基于 Windows 的计算机上启用 Azure Connected Machine 代理）。 对于基于 Linux 的计算机，请找到相应的“[预览]：Log Analytics 扩展应安装在 Linux Azure Arc 计算机中”策略定义。 选择该策略，然后选择“添加”。

8. “分配名称”中自动填充了所选的策略名称，但可以更改它。 对于此示例，请将策略名称保留原样，并且不会更改页面上的任何剩余选项。

9. 对于此示例，我们不需要更改其他选项卡上的任何设置。 选择“查看 + 创建”以查看新策略分配，然后选择“创建”。

你现已准备好识别不合规的资源，了解环境的符合性状态。

选择页面左侧的“符合性”。 然后找到创建的“[预览]：Log Analytics 扩展应安装在 Windows Azure Arc 计算机中”或“[预览]：Log Analytics 扩展应安装在 Linux Azure Arc 计算机中”策略分配。

如果存在与此新分配不相符的任何现有资源，这些资源会在“不符合的资源”下显示。

针对现有资源评估某条件时，如果结果为 true，则会将这些资源标记为与策略不符。 下表显示了对于生成的符合性状态，不同的策略效果是如何与条件评估配合使用的。 尽管在 Azure 门户中看不到评估逻辑，但会显示符合性状态结果。 符合性状态结果为符合或不符合。

* Append、DeployIfNotExist 和 AuditIfNotExist 效果要求 IF 语句为 TRUE。 这些效果还要求存在条件为 FALSE 才能将资源判定为不合规。 如果为 TRUE，则 IF 条件会触发相关资源存在条件的计算。

删除创建的分配，请执行以下步骤：

1. 选择 Azure Policy 页面左侧的“合规性”（或“分配”）并找到创建的“[预览]：Log Analytics 扩展应安装在 Windows Azure Arc 计算机中”或“[预览]：Log Analytics 扩展应安装在 Linux Azure Arc 计算机中”策略分配。

2. 右键单击策略分配，然后选择“删除分配”。

在本教程中，你向某个范围分配了策略定义并评估了其合规性报告。 策略定义可验证范围内的所有资源都符合策略，并可标识不符合策略的资源。

若要了解如何监视和查看计算机的性能、正在运行的进程及其依赖项，请继续学习教程：