教程:使用策略在 Azure VM 上启用定期评估和计划更新

适用于:✔️ Windows VM ✔️ Linux VM ✔️ 本地环境 ✔️ 已启用 Azure Arc 的服务器。

本教程介绍如何使用 Azure 策略大规模在 Azure VM 上启用定期评估和计划更新。 使用策略可以大规模分配标准和评估合规性。 了解详细信息

定期评估 - 是计算机上的一个设置,支持你查看适用于计算机的最新更新,从而不必在每次需要检查更新状态时以手动方式执行评估。 启用此设置后,更新管理器将每隔 24 小时提取一次计算机上的更新。

计划修补 - 是以一组计算机为目标的设置,用于通过 Azure Policy 更新部署。 如果使用策略进行分组,则无需编辑部署以更新计算机。 可以使用订阅、资源组、标记或区域来定义范围,并将此功能用于可按用例自定义的内置策略。

本教程介绍如何执行下列操作:

  • 启用定期评估
  • 启用计划修补

先决条件

  • 你必须有一个 Azure 订阅。请在开始之前创建一个试用帐户

启用定期评估

从 Azure 门户转到“策略”,然后在“创作”下转到“定义”。

  1. 从“类别”下拉列表中,选择“Azure 更新管理器”。 为 Azure 计算机选择“在 Azure 虚拟机上配置定期检查以查找缺少的系统更新”
  2. 当“策略定义”打开时,选择“分配”。
  3. 在“基本信息”中,选择你的订阅作为范围。 还可以将订阅中的资源组指定为范围,然后选择“下一步”。
  4. 在“参数”中,取消选中“仅显示需要输入或查看的参数”,以便查看参数的值。
  5. 在“评估”中,依次选择“AutomaticByPlatform”、“操作系统”和“下一步”。 需要为 Windows 和 Linux 创建单独的策略。
  6. 在“修正”中,选中“创建修正任务”,以便在计算机上启用定期评估,然后单击“下一步”。
  7. 在“非合规性”中,提供希望在不合规时看到的消息。 例如“计算机未启用定期评估。”,然后选择“查看 + 创建”
  8. 在“查看 + 创建”中,选择“创建”。 此操作触发分配和修正任务的创建,这可能需要一分钟左右的时间。

可以在 Policy 主页的“合规性”下监视资源的合规性,在“修正”下监视修正状态。

启用计划修补

  1. 登录到 Azure 门户并选择“策略”。

  2. 在“分配”中,选择“分配策略”。

  3. 在“分配策略”页中的“基本信息”下:

    • 在“范围”中选择你的订阅和资源组,然后选择“选择”。
    • 选择“策略定义”以查看策略列表。
    • 在“可用定义”中,选择“内置”作为类型,在搜索中输入“使用更新管理中心计划定期更新”,然后单击“选择”
    • 确保“策略实施”设置为“已启用”,然后选择“下一步”。
  4. 在“参数”中,默认只会显示维护配置 ARM ID。

    注意

    如果未指定任何其他参数,则在“基本信息”中选择的订阅和资源组中的所有计算机都将涵盖在范围内。 但是,如果你想要根据资源组、位置、OS、标记等进一步限定范围,请取消选择“仅显示需要输入或检查的参数”以查看所有参数。

    • 维护配置 ARM ID:必须提供的参数。 此 ID 表示要分配到计算机的计划的 ARM ID。

    • 资源组:如果你想要将范围缩小到某个资源组,可以指定该资源组(可选)。 默认会选择订阅中的所有资源组。

    • 操作系统类型:可以选择“Windows”或“Linux”。 默认已预先选择这两个选项。

    • 计算机位置:可以指定要选择的区域(可选)。 默认情况下,所有项都处于选中状态。

    • 计算机上的标记:可以使用标记来进一步缩小范围。 默认情况下,所有项都处于选中状态。

    • 标记运算符:如果已选择多个标记,可以指定是要将范围限定为具有所有标记的计算机,还是具有任何指定标记的计算机。

      屏幕截图显示了用于添加标记的语法。

  5. 在“修正”、“托管标识”、“托管标识类型”中,选择“系统分配的托管标识”,“权限”已根据策略定义设置为“参与者”。

    注意

    如果选择“修正”,则策略将在范围内的所有现有计算机上生效,否则,策略将分配给已添加到该范围的任何新计算机。

  6. 在“查看 + 创建”中验证所做的选择,然后选择“创建”来识别不合规的资源,以了解环境的合规状态。

后续步骤

了解如何管理多台计算机