Freigeben über


Aktivieren von Insights für Azure Lokal im großen Maßstab mithilfe von Azure-Richtlinien

Gilt für: Azure Local, Versionen 23H2 und 22H2

In diesem Dokument wird beschrieben, wie Sie Insights für lokale Azure-Systeme mithilfe von Azure-Richtlinien in großem Umfang aktivieren. Informationen zum Aktivieren von Insights für ein einzelnes lokales Azure-System finden Sie unter Überwachen eines einzelnen lokalen Azure-Systems mit Insights.

Eine Übersicht über die Azure-Richtlinie finden Sie unter Was ist Azure-Richtlinie?

Informationen zur Verwendung von Azure-Richtlinien zum Aktivieren von Insights im großen Maßstab

Um mehrere lokale Azure-Systeme mit Insights zu überwachen, müssen Sie Insights für jedes System einzeln aktivieren. Um diesen Prozess zu vereinfachen, können Sie Azure-Richtlinien verwenden, um Insights automatisch auf Abonnement- oder Ressourcengruppenebene zu aktivieren. Diese Richtlinien überprüfen die Einhaltung von Ressourcen innerhalb ihres Gültigkeitsbereichs basierend auf den definierten Regeln. Wenn nach dem Zuweisen der Richtlinien nicht kompatible Ressourcen gefunden werden, können Sie sie durch Wartungsaufgaben beheben.

In diesem Abschnitt werden die Azure-Richtlinien beschrieben, die verwendet werden sollen, um Insights im großen Maßstab zu aktivieren. Für jede Richtlinie stellt sie auch eine Richtliniendefinitionsvorlage in JSON bereit, die Sie zum Erstellen von Richtliniendefinitionen verwenden können, oder als Ausgangspunkt für weitere Anpassungen.

Richtlinie zum Reparieren von AMA

Für lokale Azure-Systeme, die vor November 2023 registriert wurden, müssen Sie die Clusterregistrierung und den Azure Monitor Agent (AMA) reparieren, bevor Sie Insights erneut konfigurieren. Ausführliche Informationen finden Sie unter "Problembehandlung von clustern", die vor November 2023 registriert wurden.

Die Richtlinie zum Reparieren von AMA führt die folgende Funktion aus:

  • Entfernt den Registrierungsschlüssel, sofern vorhanden, der die Ressourcen-ID bestimmt, für die AMA Daten sammelt.

Beachten Sie vor der Anwendung dieser Richtlinie Folgendes:

  • Diese Richtlinie gilt nur für lokale Azure,Version 22H2-Systeme. Wenden Sie sie vor anderen Richtlinien an, um sicherzustellen, dass AMA die richtige Ressourcen-ID einnimmt.
  • Deinstallieren Sie AMA, bevor Sie diese Richtlinie anwenden, um die richtige Ressourcen-ID festzulegen. Wenn AMA nicht zuerst deinstalliert wird, werden möglicherweise keine Daten angezeigt. Weitere Informationen finden Sie unter "Deinstallieren von AMA".

Dies ist die Richtliniendefinition in JSON:

{
  "mode": "INDEXED",
  "policyRule": {
   "then": { 
        "effect": "deployIfNotExists", 
        "details": { 
          "type": "Microsoft.GuestConfiguration/guestConfigurationAssignments", 
          "existenceCondition": { 
            "allOf": [ 
              { 
                "field": "Microsoft.GuestConfiguration/guestConfigurationAssignments/complianceStatus", 
                "equals": "Compliant" 
              }, 
              { 
                "field": "Microsoft.GuestConfiguration/guestConfigurationAssignments/parameterHash", 
                "equals": "[base64(concat('[RepairClusterAMA]RepairClusterAMAInstanceName;Path', '=', parameters('Path'), ',', '[RepairClusterAMA]RepairClusterAMAInstanceName;Content', '=', parameters('Content')))]" 
              } 
            ] 
          }, 
          "roleDefinitionIds": [ 
            "/providers/Microsoft.Authorization/roleDefinitions/088ab73d-1256-47ae-bea9-9de8e7131f31" 
          ], 
          "deployment": { 
            "properties": { 
              "parameters": { 
                "type": { 
                  "value": "[field('type')]" 
                }, 
                "location": { 
                  "value": "[field('location')]" 
                }, 
                "vmName": { 
                  "value": "[field('name')]" 
                }, 
                "assignmentName": { 
                  "value": "[concat('RepairClusterAMA$pid', uniqueString(policy().assignmentId, policy().definitionReferenceId))]" 
                }, 
                "Content": { 
                  "value": "[parameters('Content')]" 
                }, 
                "Path": { 
                  "value": "[parameters('Path')]" 
                } 
              }, 
              "mode": "incremental", 
              "template": { 
                "parameters": { 
                  "type": { 
                    "type": "string" 
                  }, 
                  "location": { 
                    "type": "string" 
                  }, 
                  "vmName": { 
                    "type": "string" 
                  }, 
                  "assignmentName": { 
                    "type": "string" 
                  }, 
                  "Content": { 
                    "type": "string" 
                  }, 
                  "Path": { 
                    "type": "string" 
                  } 
                }, 
                "contentVersion": "1.0.0.0", 
                "resources": [ 
                  { 
                    "type": "Microsoft.Compute/virtualMachines/providers/guestConfigurationAssignments", 
                    "properties": { 
                      "guestConfiguration": { 
                        "version": "1.0.0", 
                        "name": "RepairClusterAMA", 
                        "configurationParameter": [ 
                          { 
                            "value": "[parameters('Path')]", 
                            "name": "[RepairClusterAMA]RepairClusterAMAInstanceName;Path" 
                          }, 
                          { 
                            "value": "[parameters('Content')]", 
                            "name": "[RepairClusterAMA]RepairClusterAMAInstanceName;Content" 
                          } 
                        ], 
                        "contentHash": "7EA99B10AE79EA5C1456A134441270BC48F5208F3521BFBFDCAE5EF7B6A9D9BD", 
                        "contentUri": "https://guestconfiguration4.blob.core.windows.net/guestconfiguration/RepairClusterAMA.zip", 
                        "contentType": "Custom", 
                        "assignmentType": "ApplyAndAutoCorrect" 
                      } 
                    }, 
                    "location": "[parameters('location')]", 
                    "apiVersion": "2018-11-20", 
                    "name": "[concat(parameters('vmName'), '/Microsoft.GuestConfiguration/', parameters('assignmentName'))]", 
                    "condition": "[equals(toLower(parameters('type')), toLower('Microsoft.Compute/virtualMachines'))]" 
                  }, 
                  { 
                    "type": "Microsoft.HybridCompute/machines/providers/guestConfigurationAssignments", 
                    "properties": { 
                      "guestConfiguration": { 
                        "version": "1.0.0", 
                        "name": "RepairClusterAMA", 
                        "configurationParameter": [ 
                          { 
                            "value": "[parameters('Path')]", 
                            "name": "[RepairClusterAMA]RepairClusterAMAInstanceName;Path" 
                          }, 
                          { 
                            "value": "[parameters('Content')]", 
                            "name": "[RepairClusterAMA]RepairClusterAMAInstanceName;Content" 
                          } 
                        ], 
                        "contentHash": "7EA99B10AE79EA5C1456A134441270BC48F5208F3521BFBFDCAE5EF7B6A9D9BD", 
                        "contentUri": "https://guestconfiguration4.blob.core.windows.net/guestconfiguration/RepairClusterAMA.zip", 
                        "contentType": "Custom", 
                        "assignmentType": "ApplyAndAutoCorrect" 
                      } 
                    }, 
                    "location": "[parameters('location')]", 
                    "apiVersion": "2018-11-20", 
                    "name": "[concat(parameters('vmName'), '/Microsoft.GuestConfiguration/', parameters('assignmentName'))]", 
                    "condition": "[equals(toLower(parameters('type')), toLower('Microsoft.HybridCompute/machines'))]" 
                  }, 
                  { 
                    "type": "Microsoft.Compute/virtualMachineScaleSets/providers/guestConfigurationAssignments", 
                    "properties": { 
                      "guestConfiguration": { 
                        "version": "1.0.0", 
                        "name": "RepairClusterAMA", 
                        "configurationParameter": [ 
                          { 
                            "value": "[parameters('Path')]", 
                            "name": "[RepairClusterAMA]RepairClusterAMAInstanceName;Path" 
                          }, 
                          { 
                            "value": "[parameters('Content')]", 
                            "name": "[RepairClusterAMA]RepairClusterAMAInstanceName;Content" 
                          } 
                        ], 
                        "contentHash": "7EA99B10AE79EA5C1456A134441270BC48F5208F3521BFBFDCAE5EF7B6A9D9BD", 
                        "contentUri": "https://guestconfiguration4.blob.core.windows.net/guestconfiguration/RepairClusterAMA.zip", 
                        "contentType": "Custom", 
                        "assignmentType": "ApplyAndAutoCorrect" 
                      } 
                    }, 
                    "location": "[parameters('location')]", 
                    "apiVersion": "2018-11-20", 
                    "name": "[concat(parameters('vmName'), '/Microsoft.GuestConfiguration/', parameters('assignmentName'))]", 
                    "condition": "[equals(toLower(parameters('type')), toLower('Microsoft.Compute/virtualMachineScaleSets'))]" 
                  } 
                ], 
                "$schema": "https://schema.management.azure.com/schemas/2015-01-01/deploymentTemplate.json#" 
              } 
            } 
          }, 
          "name": "[concat('RepairClusterAMA$pid', uniqueString(policy().assignmentId, policy().definitionReferenceId))]" 
        } 
      }, 
      "if": { 
        "anyOf": [ 
          { 
            "allOf": [ 
              { 
                "anyOf": [ 
                  { 
                    "field": "type", 
                    "equals": "Microsoft.Compute/virtualMachines" 
                  }, 
                  { 
                    "field": "type", 
                    "equals": "Microsoft.Compute/virtualMachineScaleSets" 
                  } 
                ] 
              }, 
              { 
                "field": "tags['aks-managed-orchestrator']", 
                "exists": "false" 
              }, 
              { 
                "field": "tags['aks-managed-poolName']", 
                "exists": "false" 
              }, 
              { 
                "anyOf": [ 
                  { 
                    "field": "Microsoft.Compute/imagePublisher", 
                    "in": [ 
                      "esri", 
                      "incredibuild", 
                      "MicrosoftDynamicsAX", 
                      "MicrosoftSharepoint", 
                      "MicrosoftVisualStudio", 
                      "MicrosoftWindowsDesktop", 
                      "MicrosoftWindowsServerHPCPack" 
                    ] 
                  }, 
                  { 
                    "allOf": [ 
                      { 
                        "field": "Microsoft.Compute/imagePublisher", 
                        "equals": "MicrosoftWindowsServer" 
                      }, 
                      { 
                        "field": "Microsoft.Compute/imageSKU", 
                        "notLike": "2008*" 
                      } 
                    ] 
                  }, 
                  { 
                    "allOf": [ 
                      { 
                        "field": "Microsoft.Compute/imagePublisher", 
                        "equals": "MicrosoftSQLServer" 
                      }, 
                      { 
                        "field": "Microsoft.Compute/imageOffer", 
                        "notLike": "SQL2008*" 
                      } 
                    ] 
                  }, 
                  { 
                    "allOf": [ 
                      { 
                        "field": "Microsoft.Compute/imagePublisher", 
                        "equals": "microsoft-dsvm" 
                      }, 
                      { 
                        "field": "Microsoft.Compute/imageOffer", 
                        "like": "dsvm-win*" 
                      } 
                    ] 
                  }, 
                  { 
                    "allOf": [ 
                      { 
                        "field": "Microsoft.Compute/imagePublisher", 
                        "equals": "microsoft-ads" 
                      }, 
                      { 
                        "field": "Microsoft.Compute/imageOffer", 
                        "in": [ 
                          "standard-data-science-vm", 
                          "windows-data-science-vm" 
                        ] 
                      } 
                    ] 
                  }, 
                  { 
                    "allOf": [ 
                      { 
                        "field": "Microsoft.Compute/imagePublisher", 
                        "equals": "batch" 
                      }, 
                      { 
                        "field": "Microsoft.Compute/imageOffer", 
                        "equals": "rendering-windows2016" 
                      } 
                    ] 
                  }, 
                  { 
                    "allOf": [ 
                      { 
                        "field": "Microsoft.Compute/imagePublisher", 
                        "equals": "center-for-internet-security-inc" 
                      }, 
                      { 
                        "field": "Microsoft.Compute/imageOffer", 
                        "like": "cis-windows-server-201*" 
                      } 
                    ] 
                  }, 
                  { 
                    "allOf": [ 
                      { 
                        "field": "Microsoft.Compute/imagePublisher", 
                        "equals": "pivotal" 
                      }, 
                      { 
                        "field": "Microsoft.Compute/imageOffer", 
                        "like": "bosh-windows-server*" 
                      } 
                    ] 
                  }, 
                  { 
                    "allOf": [ 
                      { 
                        "field": "Microsoft.Compute/imagePublisher", 
                        "equals": "cloud-infrastructure-services" 
                      }, 
                      { 
                        "field": "Microsoft.Compute/imageOffer", 
                        "like": "ad*" 
                      } 
                    ] 
                  }, 
                  { 
                    "allOf": [ 
                      { 
                        "anyOf": [ 
                          { 
                            "field": "Microsoft.Compute/virtualMachines/osProfile.windowsConfiguration", 
                            "exists": true 
                          }, 
                          { 
                            "field": "Microsoft.Compute/virtualMachines/storageProfile.osDisk.osType", 
                            "like": "Windows*" 
                          }, 
                          { 
                            "field": "Microsoft.Compute/VirtualMachineScaleSets/osProfile.windowsConfiguration", 
                            "exists": true 
                          }, 
                          { 
                            "field": "Microsoft.Compute/virtualMachineScaleSets/virtualMachineProfile.storageProfile.osDisk.osType", 
                            "like": "Windows*" 
                          } 
                        ] 
                      }, 
                      { 
                        "anyOf": [ 
                          { 
                            "field": "Microsoft.Compute/imageSKU", 
                            "exists": false 
                          }, 
                          { 
                            "allOf": [ 
                              { 
                                "field": "Microsoft.Compute/imageOffer", 
                                "notLike": "SQL2008*" 
                              }, 
                              { 
                                "field": "Microsoft.Compute/imageSKU", 
                                "notLike": "2008*" 
                              } 
                            ] 
                          } 
                        ] 
                      } 
                    ] 
                  } 
                ] 
              } 
            ] 
          }, 
          { 
            "allOf": [ 
              { 
                "equals": true, 
                "value": "[parameters('IncludeArcMachines')]" 
              }, 
              { 
                "anyOf": [ 
                  { 
                    "allOf": [ 
                      { 
                        "field": "type", 
                        "equals": "Microsoft.HybridCompute/machines" 
                      }, 
                      { 
                        "field": "Microsoft.HybridCompute/imageOffer", 
                        "like": "windows*" 
                      } 
                    ] 
                  }, 
                  { 
                    "allOf": [ 
                      { 
                        "field": "type", 
                        "equals": "Microsoft.ConnectedVMwarevSphere/virtualMachines" 
                      }, 
                      { 
                        "field": "Microsoft.ConnectedVMwarevSphere/virtualMachines/osProfile.osType", 
                        "like": "windows*" 
                      } 
                    ] 
                  } 
                ] 
              } 
            ] 
          } 
        ] 
      }
  },
  "parameters": {
 "IncludeArcMachines": { 
        "allowedValues": [ 
          "true", 
          "false" 
        ], 
        "defaultValue": "false", 
        "metadata": { 
          "description": "By selecting this option, you agree to be charged monthly per Arc connected machine.", 
          "displayName": "Include Arc connected machines", 
          "portalReview": true
        }, 
        "type": "String"
      }, 
      "Content": {  
        "defaultValue": "File content XYZ", 
        "metadata": { 
          "description": "File content", 
          "displayName": "Content" 
        }, 
        "type": "String"
      }, 
      "Path": { 
        "defaultValue": "C:\\DSC\\CreateFileXYZ.txt", 
        "metadata": { 
          "description": "Path including file name and extension", 
          "displayName": "Path" 
        }, 
        "type": "String" 
      }
  }
}

Richtlinie zum Installieren von AMA

Die Richtlinie zum Installieren von AMA führt die folgenden Funktionen aus:

  • Wertet aus, ob die Lokale Azure-Systeme die AzureMonitoringAgent Erweiterung installiert haben.

  • Installiert AMA auf Systemen, die nicht mit der Richtlinie kompatibel sind, über eine Wartungsaufgabe.

Dies ist die Richtliniendefinition in JSON:

{
  "mode": "Indexed",
  "policyRule": {
     "if": {
          "field": "type",
          "equals": "Microsoft.AzureStackHCI/clusters"
        },
        "then": {
          "effect": "[parameters('effect')]",
          "details": {
            "type": "Microsoft.AzureStackHCI/clusters/arcSettings/extensions",
            "name": "[concat(field('name'), '/default/AzureMonitorWindowsAgent')]",
            "roleDefinitionIds": [
              "/providers/Microsoft.Authorization/roleDefinitions/b24988ac-6180-42a0-ab88-20f7382dd24c"
            ],
            "existenceCondition": {
              "field": "Microsoft.AzureStackHCI/clusters/arcSettings/extensions/extensionParameters.type",
              "equals": "AzureMonitorWindowsAgent"
            },
            "deployment": {
              "properties": {
                "mode": "incremental",
                "template": {
                  "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
                  "contentVersion": "1.0.0.0",
                  "parameters": {
                    "clusterName": {
                      "type": "string",
                      "metadata": {
                        "description": "The name of Cluster."
                      }
                    }
                  },
                  "resources": [
                    {
                      "type": "Microsoft.AzureStackHCI/clusters/arcSettings/extensions",
                      "apiVersion": "2023-08-01",
                      "name": "[concat(parameters('clusterName'), '/default/AzureMonitorWindowsAgent')]",
                      "properties": {
                        "extensionParameters": {
                          "publisher": "Microsoft.Azure.Monitor",
                          "type": "AzureMonitorWindowsAgent",
                          "autoUpgradeMinorVersion": false,
                          "enableAutomaticUpgrade": false
                        }
                      }
                    }
                  ]
                },
                "parameters": {
                  "clusterName": {
                    "value": "[field('Name')]"
                  }
                }
              }
            }
          }
        }
  },
  "parameters": {
   "effect": {
          "type": "String",
          "metadata": {
            "displayName": "Effect",
            "description": "Enable or disable the execution of the policy"
          },
          "allowedValues": [
            "DeployIfNotExists",
            "Disabled"
          ],
          "defaultValue": "DeployIfNotExists"
        }
  }
}

Richtlinie zum Konfigurieren der DCR-Zuordnung

Diese Richtlinie wird auf jeden Knoten im lokalen Azure-System angewendet und führt die folgende Funktion aus:

  • Übernimmt die dataCollectionResourceId Eingabe und ordnet die Datensammlungsregel (DATA Collection Rule, DCR) jedem Knoten zu.

    Hinweis

    Diese Richtlinie erstellt keinen Datensammlungsendpunkt (Data Collection Endpoint, DCE). Wenn Sie private Links verwenden, müssen Sie DCE erstellen, um sicherzustellen, dass daten in Insights verfügbar sind. Weitere Informationen finden Sie unter Aktivieren der Netzwerkisolation für Azure Monitor Agent mithilfe von privatem Link.

Dies ist die Richtliniendefinition in JSON:

{
  "mode": "INDEXED",
  "policyRule": {
     "if": {
          "field": "type",
          "equals": "Microsoft.HybridCompute/machines"
        },
        "then": {
          "effect": "[parameters('effect')]",
          "details": {
            "type": "Microsoft.Insights/dataCollectionRuleAssociations",
            "name": "[concat(field('name'), '-dataCollectionRuleAssociations')]",
            "roleDefinitionIds": [
              "/providers/Microsoft.Authorization/roleDefinitions/b24988ac-6180-42a0-ab88-20f7382dd24c"
            ],
            "deployment": {
              "properties": {
                "mode": "incremental",
                "template": {
                  "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
                  "contentVersion": "1.0.0.0",
                  "parameters": {
                    "machineName": {
                      "type": "string",
                      "metadata": {
                        "description": "The name of the machine."
                      }
                    },
                    "dataCollectionResourceId": {
                      "type": "string",
                      "metadata": {
                        "description": "Resource Id of the DCR"
                      }
                    }
                  },
                  "resources": [
                    {
                      "type": "Microsoft.Insights/dataCollectionRuleAssociations",
                      "apiVersion": "2022-06-01",
                      "name": "[concat(parameters('machineName'), '-dataCollectionRuleAssociations')]",
                      "scope": "[format('Microsoft.HybridCompute/machines/{0}', parameters('machineName'))]",
                      "properties": {
                        "description": "Association of data collection rule. Deleting this association will break the data collection for this machine",
                        "dataCollectionRuleId": "[parameters('dataCollectionResourceId')]"
                      }
                    }
                  ]
                },
                "parameters": {
                  "machineName": {
                    "value": "[field('Name')]"
                  },
                  "dataCollectionResourceId": {
                    "value": "[parameters('dcrResourceId')]"
                  }
                }
              }
            }
          }
        }
  },
  "parameters": { "effect": {
        "type": "String",
        "metadata": {
        "displayName": "Effect",
        "description": "Enable or disable the execution of the policy"
        },
        "allowedValues": [
        "DeployIfNotExists",
        "Disabled"
        ],
        "defaultValue": "DeployIfNotExists"
    },
    "dcrResourceId": {
        "type": "String",
        "metadata": {
        "displayName": "dcrResourceId",
        "description": "Resource Id of the DCR"
        }
    }

  }
}

Aktivieren von Insights im großen Maßstab mithilfe von Azure-Richtlinien

In diesem Abschnitt wird beschrieben, wie Sie Insights für Azure Local mithilfe von Azure-Richtlinien im großen Maßstab aktivieren.

Voraussetzungen

Bevor Sie Insights für Azure Local im großen Maßstab mithilfe von Azure-Richtlinien aktivieren, führen Sie die folgenden Voraussetzungen aus:

  • Sie müssen Zugriff auf bereitgestellte und registrierte lokale Azure-Systeme haben, auf denen Sie Insights aktivieren.
  • Sie müssen die verwaltete Identität für die Azure-Ressourcen aktiviert haben. Weitere Informationen finden Sie unter "Erweiterte Verwaltung aktiviert".
  • Sie müssen über die Rolle " Mitwirkender der Gastkonfigurationsressource " in Ihrem Azure-Abonnement verfügen.
  • (Nur für Lokale Azure-Systeme, Version 22H2) Sie müssen AMA deinstallieren, bevor Sie mit der Anwendung der Azure-Richtlinien beginnen.

Reihenfolge der Richtlinienanwendung

Um Insights im großen Maßstab für lokale Azure-Systeme zu aktivieren, wenden Sie die Azure-Richtlinien in der folgenden Reihenfolge an:

  1. Reparieren Sie AMA (nur für Azure Local, Version 22H2-Systeme):

    • Wenn Sie Azure Local, Version 22H2-Systeme, verwenden, wenden Sie zunächst die Richtlinie an, um AMA zu reparieren. Dieser Schritt ist für Azure Local, Version 23H2-Systeme, nicht erforderlich.
    • Informationen zur Richtliniendefinitionsvorlage finden Sie unter "Richtlinie zum Reparieren von AMA".
  2. Installieren Sie AMA:

  3. Konfigurieren Der DCR-Zuordnung.

Workflow zum Anwenden von Richtlinien zum Aktivieren von Insights im großen Maßstab

Führen Sie die folgenden Schritte für jede Richtlinie aus, um Insights im großen Maßstab zu aktivieren:

  1. Erstellen einer Richtliniendefinition. Definieren Sie die Regeln und Bedingungen für die Einhaltung mithilfe der Richtliniendefinitionsvorlage. Siehe Erstellen einer Richtliniendefinition.
  2. Erstellen einer Richtlinienzuweisung. Definieren Sie den Gültigkeitsbereich der Richtlinie, ausschlüsse, falls vorhanden, und Parameter für die Erzwingung. Verwenden Sie die im vorherigen Schritt definierte Richtliniendefinition. Siehe Erstellen einer Richtlinienzuweisung.
  3. Anzeigen des Compliancestatus. Überwachen sie den Compliancestatus der Richtlinienzuweisung. Überprüfen Sie auf nicht kompatible Ressourcen. Siehe "Compliancestatus anzeigen".
  4. Korrigieren Sie nicht konformer Ressourcen. Erstellen Sie Wartungsaufgaben, um nicht kompatible Ressourcen zu beheben. Siehe "Korrigieren nicht konformer Ressourcen".

Erstellen einer Richtliniendefinition

Führen Sie die folgenden Schritte aus, um eine Richtliniendefinition zu erstellen:

  1. Navigieren Sie im Azure-Portal zum Azure Policy-Dienst.

  2. Wählen Sie unter dem Abschnitt Autorisierung die Option Definitionen aus.

  3. Wählen Sie +Richtliniendefinition aus, um eine neue Richtliniendefinition zu erstellen.

  4. Geben Sie auf der Seite "Richtliniendefinition " die folgenden Werte an:

    Feld Aktion
    Definitionsspeicherort Wählen Sie die Auslassungspunkte (...) aus, um anzugeben, wo sich die Richtlinienressource befindet. Wählen Sie im Bereich "Definition" das Azure-Abonnement und dann " Auswählen" aus.
    Name Geben Sie einen Anzeigenamen für die Richtliniendefinition an. Sie können optional eine Beschreibung und eine Kategorie angeben.
    RICHTLINIENREGEL Das JSON-Bearbeitungsfeld wird mit einer Richtliniendefinitionsvorlage vorab aufgefüllt. Ersetzen Sie diese Vorlage durch die Richtliniendefinitionsvorlage, die Sie anwenden möchten. Die Definitionsvorlagen für Insights-Richtlinien im JSON-Format finden Sie im Abschnitt "Informationen zur Verwendung von Azure-Richtlinien zum Aktivieren von Insights im Skalierungsbereich ".
    Rollendefinitionen Dieses Feld wird angezeigt, nachdem Sie die Richtliniendefinition kopiert und in das Feld RICHTLINIE REGEL eingefügt haben. Wählen Sie in der Liste die Rolle "Mitwirkender der Gastkonfigurationsressource" aus.

    Screenshot der Seite

  5. Wählen Sie Speichern.

    Sie erhalten eine Benachrichtigung, dass die Erstellung der Richtliniendefinition erfolgreich war und die Richtliniendefinitionsseite angezeigt wird. Sie können nun mit der Erstellung der Richtlinienzuweisung fortfahren.

Erstellen einer Richtlinienzuweisung

Als Nächstes erstellen Sie eine Richtlinienzuweisung und weisen die Richtliniendefinition auf Abonnement- oder Ressourcengruppenebene zu. Weitere Informationen zur Zuweisung von Richtlinien finden Sie unter Azure Policy-Zuweisungsstruktur.

Führen Sie die folgenden Schritte aus, um eine Richtlinienzuweisung zu erstellen:

  1. Auf der Richtlinie | Seite "Definitionen" für die Richtliniendefinition, die Sie im vorherigen Schritt erstellt haben, wählen Sie "Richtlinie zuweisen" aus.

    Screenshot der Seite

  2. Geben Sie auf der Registerkarte "Richtlinie > zuweisen" die folgenden Werte an:

    Feld Aktion
    Umfang Dieses Feld wird vorab mit dem Bereich aufgefüllt, den Sie während der Erstellung von Richtliniendefinitionen definiert haben. Wenn Sie den Bereich für die Richtlinienzuweisung ändern möchten, können Sie die Auslassungspunkte (...) verwenden und dann ein Abonnement und optional eine Ressourcengruppe auswählen. Wählen Sie dann " Auswählen" aus, um den Bereich anzuwenden.
    Ausschlüsse Optional. Verwenden Sie die Auslassungspunkte (...), um die Ressourcen auszuwählen, die von der Richtlinienzuweisung ausgeschlossen werden sollen.
    Richtliniendefinition Dieses Feld wird vorab mit dem Richtliniendefinitionsnamen aufgefüllt, der im Schritt "Erstellen einer Richtliniendefinition " erstellt wurde.
    Zuweisungsname Dieses Feld wird vorab mit dem Namen der ausgewählten Richtliniendefinition aufgefüllt. Sie können sie bei Bedarf ändern.
    Richtlinienerzwingung Standardwert ist Aktiviert. Weitere Informationen finden Sie unter Erzwingungsmodus.

    Screenshot der Seite

  3. Wählen Sie "Weiter" aus, um die Registerkarte "Parameter " anzuzeigen. Wenn die auf der Registerkarte "Grundlagen" ausgewählte Richtliniendefinition Parameter enthält, werden sie auf der Registerkarte "Parameter " angezeigt.

    Die Richtlinie zum Reparieren von AMA zeigt z. B. den Parameter "Verbundene Computer einschließen" an. Wählen Sie "True" aus, um verbundene Arc-Computer in die Richtlinienzuweisung einzuschließen.

    Screenshot der Registerkarte

  4. Wählen Sie "Weiter" aus, um die Registerkarte "Korrektur " anzuzeigen. Auf dieser Registerkarte ist keine Aktion erforderlich. Die Richtliniendefinitionsvorlagen unterstützen den deployIfNotExists-Effekt , sodass die Ressourcen, die nicht mit der Richtlinienregel kompatibel sind, automatisch korrigiert werden. Beachten Sie außerdem, dass der Parameter "Verwaltete Identität erstellen" standardmäßig ausgewählt ist, da die Richtliniendefinitionsvorlagen den "deployIfNotExists "-Effekt verwenden.

    Screenshot der Registerkarte

  5. Wählen Sie " Überprüfen" und "Erstellen " aus, um die Aufgabe zu überprüfen.

  6. Wählen Sie Erstellen aus, um die Zuweisung zu erstellen.

    Sie erhalten Benachrichtigungen, dass die Erstellung von Rollenzuweisungen und Richtlinienzuweisungen erfolgreich war. Nachdem die Zuweisung erstellt wurde, identifiziert das Azure-Richtlinienmodul alle lokalen Azure-Systeme, die sich innerhalb des Bereichs befinden, und wendet die Richtlinienkonfiguration auf jedes System an. In der Regel dauert es 5 bis 15 Minuten, bis die Richtlinienzuweisung wirksam wird.

Anzeigen des Compliancestatus

Nachdem Sie die Richtlinienzuweisung erstellt haben, können Sie die Einhaltung von Ressourcen unter " Compliance" und "Wartungsstatus" unter "Wartung " auf der Azure-Richtlinienstartseite überwachen. Es dauert einige Minuten, bis der Konformitätszustand für eine neue Richtlinienzuweisung aktiviert ist und Ergebnisse zum Status der Richtlinie liefert.

Führen Sie die folgenden Schritte aus, um den Compliancestatus der Richtlinie anzuzeigen:

  1. Navigieren Sie im Azure-Portal zum Azure Policy-Dienst.

  2. Wählen Sie Compliance aus.

  3. Filtern Sie die Ergebnisse nach dem Namen der Richtlinienzuweisung, die Sie im Schritt zum Erstellen einer Richtlinienzuweisung erstellt haben. In der Spalte "Compliancestatus " wird der Konformitätsstatus als "Konform " oder "Nicht konform" angezeigt.

    Screenshot der Seite

  4. Wählen Sie den Namen der Richtlinienzuweisung aus, um den Ressourcenkompatibilitätsstatus anzuzeigen. Der Compliancebericht für die AMA-Reparaturrichtlinie zeigt beispielsweise die Knoten an, die repariert werden müssen:

    Screenshot der Seite

  5. Sobald Sie wissen, welche Ressourcen nicht konform sind, können Sie die Wartungsaufgabe erstellen, um sie in Die Compliance zu bringen.

Korrigieren nicht konformer Ressourcen

Führen Sie die folgenden Schritte aus, um nicht kompatible Ressourcen zu beheben und den Vorgangsfortschritt nachzuverfolgen:

  1. Navigieren Sie im Azure-Portal zum Azure Policy-Dienst.

  2. Wählen Sie Wartung aus.

  3. Auf der Seite "Korrektur" wird die Liste der zugewiesenen Richtlinien mit nicht kompatiblen Ressourcen angezeigt. Filtern Sie die Ergebnisse nach dem Namen der Richtlinienzuweisung, die Sie im Schritt zum Erstellen einer Richtlinienzuweisung erstellt haben.

  4. Wählen Sie den Link "Richtliniendefinition " aus.

    Screenshot der Seite

  5. Auf der Seite "Neuer Wartungsvorgang " werden die Ressourcen angezeigt, die Eine Wartung benötigen. Aktivieren Sie das Kontrollkästchen "Ressourcenkonformität erneut auswerten", bevor Sie das Kontrollkästchen korrigieren, und wählen Sie dann "Korrigieren" aus.

    Screenshot der Seite

  6. Sie erhalten eine Benachrichtigung, dass eine Wartungsaufgabe erstellt wird, und Sie werden zur Registerkarte "Wartungsaufgaben " weitergeleitet. Auf dieser Registerkarte wird der Status verschiedener Wartungsaufgaben angezeigt. Die erstellte befindet sich möglicherweise im Status "Auswerten " oder "In Bearbeitung" .

    Screenshot der Registerkarte

    Sobald die Korrektur abgeschlossen ist, ändert sich der Zustand in "Abgeschlossen".

    Weitere Informationen zur Behebung finden Sie unter "Korrigieren nicht konformer Ressourcen mit Azure-Richtlinie".

Nächste Schritte