Asignación de directivas de Azure para controlar los servidores habilitados para Azure Arc

  • 4 minutos

Fabrikam Residences incorporó sus máquinas a servidores habilitados para Azure Arc y ahora quiere asegurarse de que estas máquinas cumplen la línea de base de seguridad de proceso de Azure. En esta unidad, va a aprender a asignar directivas de Azure a los servidores habilitados para Azure Arc y a consultar su cumplimiento.

Introducción a Azure Policy

Para evaluar los recursos de Azure, Azure Policy compara las propiedades de esos recursos con las reglas de negocio. Estas reglas de negocios, descritas en formato JSON, se conocen como definiciones de directiva. Para simplificar la administración, se pueden agrupar varias reglas de negocio para formar una iniciativa de directiva (a veces conocida como policySet). Una vez formadas las reglas de negocio, la definición o iniciativa de directiva se asignan a cualquier ámbito de recursos compatibles con Azure. Por ejemplo, grupos de administración, suscripciones, grupos de recursos o recursos individuales.

La configuración de invitado de Azure Policy es un tipo de directiva de Azure disponible para los servidores habilitados para Azure Arc. Hay más de 50 directivas de Azure integradas que se pueden aplicar fácilmente a los servidores habilitados para Azure Arc para la configuración de auditoría, la implementación de extensiones y la corrección.

Asignación de Azure Policy

Aquí le guiamos en la asignación de una directiva de Azure Policy para asegurarse de que los servidores de Windows habilitados para Arc cumplen la línea de base de seguridad de proceso de Azure.

  1. En el explorador, vaya a Azure Portal.

  2. En el portal, vaya a Directiva y seleccione Asignaciones en el panel izquierdo.

  3. Seleccione Asignar directiva y, a continuación, Definición de directiva.

  4. Busque línea de base de seguridad en Definiciones disponibles y seleccione la definición de directiva: Las máquinas Windows deben cumplir los requisitos de línea base de seguridad de Azure Compute antes de continuar al siguiente paso.

    Captura de pantalla en la que se muestra la página de selección de Azure Policy.

  5. Establezca el parámetro Incluir servidores conectados a Arc en true.

    Captura de pantalla que muestra la página de asignación de parámetros de Azure Policy.

  6. Seleccione Revisar y crear y Crear.

En la página Asignaciones de Azure Policy, la nueva asignación de Azure Policy aparece en la lista de asignaciones. La asignación tarda unos 30 minutos en surtir efecto y aparecer en esta lista.

Ver compatibilidad

Una vez completada la asignación de Azure Policy, puede revisar el cumplimiento de la directiva y asignar tareas de corrección para garantizar el cumplimiento de los recursos.

  1. En la misma página del portal de Directiva, seleccione Cumplimiento en el panel izquierdo.
  2. Seleccione la directiva Las máquinas Windows deben cumplir los requisitos de línea base de seguridad de Azure Compute para ver su estado de cumplimiento.
  3. Puede filtrar por diferentes tipos de recursos, cumplimiento o ubicaciones. Para ver solo el cumplimiento de los servidores habilitados para Azure Arc, seleccione Todos los tipos de recursos y cambie la selección solo a microsoft.hybridcompute/machines.

Captura de pantalla que muestra cómo filtrar los resultados en la página de asignación de Azure Policy.

En función del estado de cumplimiento, puede elegir editar la asignación, crear exenciones, crear una tarea de corrección o eliminar la asignación.