教程:使用策略在 Azure VM 上启用定期评估和计划更新
适用于:✔️ Windows VM ✔️ Linux VM ✔️ 本地环境 ✔️ 已启用 Azure Arc 的服务器。
本教程介绍如何使用 Azure 策略大规模在 Azure VM 上启用定期评估和计划更新。 使用策略可以大规模分配标准和评估合规性。 了解详细信息。
定期评估 - 是计算机上的一个设置,支持你查看适用于计算机的最新更新,从而不必在每次需要检查更新状态时以手动方式执行评估。 启用此设置后,更新管理器将每隔 24 小时提取一次计算机上的更新。
计划修补 - 是以一组计算机为目标的设置,用于通过 Azure Policy 更新部署。 如果使用策略进行分组,则无需编辑部署以更新计算机。 可以使用订阅、资源组、标记或区域来定义范围,并将此功能用于可按用例自定义的内置策略。
本教程介绍如何执行下列操作:
- 启用定期评估
- 启用计划修补
先决条件
- 你必须有一个 Azure 订阅。请在开始之前创建一个试用帐户。
启用定期评估
从 Azure 门户转到“策略”,然后在“创作”下转到“定义”。
- 从“类别”下拉列表中,选择“Azure 更新管理器”。 为 Azure 计算机选择“在 Azure 虚拟机上配置定期检查以查找缺少的系统更新”。
- 当“策略定义”打开时,选择“分配”。
- 在“基本信息”中,选择你的订阅作为范围。 还可以将订阅中的资源组指定为范围,然后选择“下一步”。
- 在“参数”中,取消选中“仅显示需要输入或查看的参数”,以便查看参数的值。
- 在“评估”中,依次选择“AutomaticByPlatform”、“操作系统”和“下一步”。 需要为 Windows 和 Linux 创建单独的策略。
- 在“修正”中,选中“创建修正任务”,以便在计算机上启用定期评估,然后单击“下一步”。
- 在“非合规性”中,提供希望在不合规时看到的消息。 例如“计算机未启用定期评估。”,然后选择“查看 + 创建”。
- 在“查看 + 创建”中,选择“创建”。 此操作触发分配和修正任务的创建,这可能需要一分钟左右的时间。
可以在 Policy 主页的“合规性”下监视资源的合规性,在“修正”下监视修正状态。
启用计划修补
登录到 Azure 门户并选择“策略”。
在“分配”中,选择“分配策略”。
在“分配策略”页中的“基本信息”下:
- 在“范围”中选择你的订阅和资源组,然后选择“选择”。
- 选择“策略定义”以查看策略列表。
- 在“可用定义”中,选择“内置”作为类型,在搜索中输入“使用更新管理中心计划定期更新”,然后单击“选择”。
- 确保“策略实施”设置为“已启用”,然后选择“下一步”。
在“参数”中,默认只会显示维护配置 ARM ID。
注意
如果未指定任何其他参数,则在“基本信息”中选择的订阅和资源组中的所有计算机都将涵盖在范围内。 但是,如果你想要根据资源组、位置、OS、标记等进一步限定范围,请取消选择“仅显示需要输入或检查的参数”以查看所有参数。
在“修正”、“托管标识”、“托管标识类型”中,选择“系统分配的托管标识”,“权限”已根据策略定义设置为“参与者”。
注意
如果选择“修正”,则策略将在范围内的所有现有计算机上生效,否则,策略将分配给已添加到该范围的任何新计算机。
在“查看 + 创建”中验证所做的选择,然后选择“创建”来识别不合规的资源,以了解环境的合规状态。
后续步骤
了解如何管理多台计算机。