教程:创建策略分配以识别不合规资源

若要了解 Azure 中的符合性,第一步是确定资源的状态。 Azure Policy 支持使用计算机配置策略审核已启用 Azure Arc 的服务器的状态。 Azure Policy 的计算机配置定义可以在计算机内审核或应用设置。

本教程逐步讲解如何创建和分配策略,以确定哪些已启用 Azure Arc 的服务器未启用 defender for Servers Microsoft

本教程介绍以下操作:

  • 创建策略分配并为其分配定义
  • 识别不符合新策略的资源
  • 从不合规的资源中删除策略

先决条件

如果没有 Azure 订阅,请在开始前创建一个试用版订阅帐户。

创建策略分配

使用以下过程创建策略分配,并分配策略定义“应启用 Azure Defender for servers”

  1. 通过搜索并选择 “策略”在 Azure 门户中启动 Azure Policy 服务。

  2. 在服务菜单中的“创作”下,选择“分配”。 分配是指分配的策略,它在特定的范围内执行。

  3. “分配”窗格顶部选择“分配策略”。

    Azure 门户中“策略分配”页的屏幕截图。

  4. “分配策略” 页上,选择 范围 时,点击省略号,然后选择管理组或订阅。 或者,请选择一个资源组。 范围确定在哪些资源或资源分组上实施策略分配。 然后在范围窗格底部选择“选择”

  5. 可基于“范围”排除资源。 “排除”从低于“范围”级别的一个级别开始。 “排除”是可选的,因此暂时将其留空

  6. 选择“策略定义”旁边的省略号打开可用定义的列表。 Azure Policy 附带了许多可以使用的内置策略定义,例如:

    • 强制实施标记和值
    • 应用标记和值
    • 从资源组继承标记(如果缺少此标记)

    有关可用内置策略的部分列表,请参阅 Azure Policy 示例

  7. 搜索策略定义列表以查找 应启用 Azure Defender for Servers 的定义。 选择该策略,然后选择“添加”

  8. “分配名称”中自动填充了所选的策略名称,但可以更改它。 对于此示例,请将策略名称保留原样,并且不会更改页面上的任何剩余选项。

  9. 对于此示例,我们不需要更改其他选项卡上的任何设置。 选择“查看 + 创建”以查看新策略分配,然后选择“创建”

你现已准备好识别不合规的资源,了解环境的符合性状态。

识别不合规的资源

在服务菜单中,选择 “符合性”。 然后,找到你创建的“应启用 Azure Defender for servers”策略分配

“策略合规性”页的屏幕截图,其中针对选定范围显示了策略合规性。

如果存在与此新分配不相符的任何现有资源,这些资源会在“不符合的资源”下显示

当根据现有资源评估的条件判断为真时,这些资源将被标记为不符合政策要求。 下表显示了对于生成的符合性状态,不同的策略效果是如何与条件评估配合使用的。 尽管在 Azure 门户中看不到评估逻辑,但会显示符合性状态结果。 符合性状态结果为符合或不符合。

资源状态 效果 策略评估 符合性状态
存在 Deny、Audit、Append*、DeployIfNotExist*、AuditIfNotExist* 真 实 不符合
存在 Deny、Audit、Append*、DeployIfNotExist*、AuditIfNotExist* 符合
新建 Audit、AuditIfNotExist* 真 实 不符合
新建 Audit、AuditIfNotExist* 符合

* Append、DeployIfNotExist 和 AuditIfNotExist 效果要求 IF 语句为 TRUE。 这些效果还要求存在条件为 FALSE 才能将资源判定为不合规。 如果为 TRUE,则 IF 条件会触发相关资源存在条件的计算。

清理资源

删除创建的分配,请执行以下步骤:

  1. 在服务菜单中,选择合规性(或在创作下选择任务)。

  2. 找到你创建的“应启用 Azure Defender for servers”策略分配

  3. 右键单击策略分配,然后选择“ 删除分配”。

后续步骤

在本教程中,你向某个范围分配了策略定义并评估了其合规性报告。 策略定义可验证范围内的所有资源都符合策略,并可标识不符合策略的资源。

若要了解如何从计算机监视和查看性能、正在运行的进程和依赖项,请继续学习教程: