教程：使用策略在 Azure VM 上启用定期评估和计划更新

适用于：✔️ Windows VM ✔️ Linux VM ✔️ 本地环境 ✔️ 已启用 Azure Arc 的服务器。

本教程介绍如何使用 Azure 策略大规模在 Azure VM 上启用定期评估和计划更新。 使用策略可以大规模分配标准和评估合规性。 了解详细信息。

定期评估 - 是计算机上的一个设置，支持你查看适用于计算机的最新更新，从而不必在每次需要检查更新状态时以手动方式执行评估。 启用此设置后，更新管理器将每隔 24 小时提取一次计算机上的更新。

计划修补 - 是以一组计算机为目标的设置，用于通过 Azure Policy 更新部署。 如果使用策略进行分组，则无需编辑部署以更新计算机。 可以使用订阅、资源组、标记或区域来定义范围，并将此功能用于可按用例自定义的内置策略。

本教程介绍如何执行下列操作：

先决条件

• 你必须有一个 Azure 订阅。请在开始之前创建一个试用帐户。

启用定期评估

从 Azure 门户转到“策略”，然后在“创作”下转到“定义”。

1. 从“类别”下拉列表中，选择“Azure 更新管理器”。 为 Azure 计算机选择“在 Azure 虚拟机上配置定期检查以查找缺少的系统更新”。
2. 当“策略定义”打开时，选择“分配”。
3. 在“基本信息”中，选择你的订阅作为范围。 还可以将订阅中的资源组指定为范围，然后选择“下一步”。
4. 在“参数”中，取消选中“仅显示需要输入或查看的参数”，以便查看参数的值。
5. 在“评估”中，依次选择“AutomaticByPlatform”、“操作系统”和“下一步”。 需要为 Windows 和 Linux 创建单独的策略。
6. 在“修正”中，选中“创建修正任务”，以便在计算机上启用定期评估，然后单击“下一步”。
7. 在“非合规性”中，提供希望在不合规时看到的消息。 例如“计算机未启用定期评估。”，然后选择“查看 + 创建”。
8. 在“查看 + 创建”中，选择“创建”。 此操作触发分配和修正任务的创建，这可能需要一分钟左右的时间。

可以在 Policy 主页的“合规性”下监视资源的合规性，在“修正”下监视修正状态。

启用计划修补

1. 登录到 Azure 门户并选择“策略”。

2. 在“分配”中，选择“分配策略”。

3. 在“分配策略”页中的“基本信息”下：

   • 在“范围”中选择你的订阅和资源组，然后选择“选择”。
   • 选择“策略定义”以查看策略列表。
   • 在“可用定义”中，选择“内置”作为类型，在搜索中输入“使用更新管理中心计划定期更新”，然后单击“选择”。
   • 确保“策略实施”设置为“已启用”，然后选择“下一步”。

4. 在“参数”中，默认只会显示维护配置 ARM ID。

   注意

   如果未指定任何其他参数，则在“基本信息”中选择的订阅和资源组中的所有计算机都将涵盖在范围内。 但是，如果你想要根据资源组、位置、OS、标记等进一步限定范围，请取消选择“仅显示需要输入或检查的参数”以查看所有参数。

   • 维护配置 ARM ID：必须提供的参数。 此 ID 表示要分配到计算机的计划的 ARM ID。

   • 资源组：如果你想要将范围缩小到某个资源组，可以指定该资源组（可选）。 默认会选择订阅中的所有资源组。

   • 操作系统类型：可以选择“Windows”或“Linux”。 默认已预先选择这两个选项。

   • 计算机位置：可以指定要选择的区域（可选）。 默认情况下，所有项都处于选中状态。

   • 计算机上的标记：可以使用标记来进一步缩小范围。 默认情况下，所有项都处于选中状态。

   • 标记运算符：如果已选择多个标记，可以指定是要将范围限定为具有所有标记的计算机，还是具有任何指定标记的计算机。

     

5. 在“修正”、“托管标识”、“托管标识类型”中，选择“系统分配的托管标识”，“权限”已根据策略定义设置为“参与者”。

   注意

   如果选择“修正”，则策略将在范围内的所有现有计算机上生效，否则，策略将分配给已添加到该范围的任何新计算机。

6. 在“查看 + 创建”中验证所做的选择，然后选择“创建”来识别不合规的资源，以了解环境的合规状态。

后续步骤

了解如何管理多台计算机。