使用 Azure Policy 大规模自动评估
本文介绍如何使用 Azure Policy 大规模地为计算机启用定期评估。 “定期评估”是计算机上的一个设置,支持你查看适用于计算机的最新更新,从而不必在每次需要检查更新状态时手动执行评估。 启用此设置后,更新管理器将每 24 小时提取一次计算机上的更新。
使用 Azure Policy 为 Azure 计算机启用定期评估
- 在 Azure 门户中转到“策略”,然后选择“创作”>“定义”。
- 从“类别”下拉列表中,选择“更新管理器”。 为 Azure 计算机选择“在 Azure 虚拟机上配置定期检查以查找缺少的系统更新”。
- 当“策略定义”打开时,选择“分配”。
- 在“基本信息”选项卡中,选择你的订阅作为范围。 还可以将订阅中的资源组指定为范围。 选择下一步。
- 在“参数”选项卡中,清除“仅显示需要输入或查看的参数”,以便可以查看参数的值。 在“评估”模式下,选择“AutomaticByPlatform”>“操作系统”>“下一步”。 需要为 Windows 和 Linux 创建单独的策略。
- 在“修正”选项卡中,选中“创建修正任务”,以便在计算机上启用定期评估。 选择下一步。
- 在“不合规性消息”选项卡上,提供你想要在其中查看是否存在不合规情况的消息。 例如,使用“你的计算机未启用定期评估”。选择“查看 + 创建”
- 在“查看 + 创建”选项卡中,选择“创建”来触发“分配和修正任务”的创建,该操作可能需要一分钟左右的时间。
可以在 Policy 主页的“合规性”下监视资源的合规性,在“修正”下监视修正状态。
注意
- 定期评估策略适用于所有受支持的映像类型。 如果在修正过程中失败,请参阅库映像的修正失败来了解详细信息。
- 在创建后运行修正任务,针对在创建过程中对专用映像、已迁移映像和已还原映像进行自动修正时出现的问题。
使用 Azure Policy 为已启用 Azure Arc 的计算机启用定期评估
- 在 Azure 门户中转到“策略”,然后选择“创作”>“定义”。
- 从“类别”下拉列表中,选择“更新管理器”。 为已启用 Azure Arc 的计算机选择“配置定期检查,以确认已启用 Azure Arc 的服务器上缺少的系统更新”。
- 当“策略定义”打开时,选择“分配”。
- 在“基本信息”选项卡中,选择你的订阅作为范围。 还可以将订阅中的资源组指定为范围。 选择下一步。
- 在“参数”选项卡中,清除“仅显示需要输入或查看的参数”,以便可以查看参数的值。 在“评估”模式下,选择“AutomaticByPlatform”>“操作系统”>“下一步”。 需要为 Windows 和 Linux 创建单独的策略。
- 在“修正”选项卡中,选中“创建修正任务”,以便在计算机上启用定期评估。 选择下一步。
- 在“不合规性消息”选项卡上,提供你想要在其中查看是否存在不合规情况的消息。 例如,使用“你的计算机未启用定期评估”。选择“查看 + 创建”
- 在“查看 + 创建”选项卡中,选择“创建”来触发“分配和修正任务”的创建,该操作可能需要一分钟左右的时间。
可以在 Azure Policy 主页的“合规性”下监视资源的合规性,在“修正”下监视修正状态。
监视是否为计算机启用了定期评估
此过程既适用于 Azure 计算机,又适用于已启用 Azure Arc 的计算机。
- 在 Azure 门户中转到“策略”,然后选择“创作”>“定义”。
- 从“类别”下拉列表中,选择“更新管理器”。 选择“计算机应配置为定期检查,以确认缺少的系统更新”。
- 当“策略定义”打开时,选择“分配”。
- 在“基本信息”选项卡中,选择你的订阅作为范围。 还可以将订阅中的资源组指定为范围。 选择下一步。
- 在“参数”和“修正”选项卡中,选择“下一步”。
- 在“不合规性消息”选项卡上,提供你想要在其中查看是否存在不合规情况的消息。 例如,使用“你的计算机未启用定期评估”。选择“查看 + 创建”
- 在“查看 + 创建”选项卡中,选择“创建”来触发“分配和修正任务”的创建,该操作可能需要一分钟左右的时间。
可以在 Azure Policy 主页的“合规性”下监视资源的合规性,在“修正”下监视修正状态。