Esercitazione: Creare un'assegnazione di criteri per identificare le risorse non conformi

  • Articolo

Il primo passaggio per comprendere la conformità in Azure consiste nell'identificare lo stato delle risorse. Criteri di Azure supporta il controllo dello stato del server abilitato per Azure Arc con criteri di configurazione guest. Criteri di Azure definizioni di configurazione guest possono controllare o applicare le impostazioni all'interno del computer.

Questa esercitazione illustra il processo di creazione e assegnazione di criteri per identificare quali server abilitati per Azure Arc non hanno installato l'agente di Log Analytics per Windows o Linux. Questi computer sono considerati non conformi all'assegnazione dei criteri.

La presente esercitazione include informazioni su come:

  • Creare un'assegnazione di criteri e assegnarvi una definizione
  • Identificare le risorse non conformi ai nuovi criteri
  • Rimuovere i criteri dalle risorse non conformi

Prerequisiti

Se non si ha una sottoscrizione di Azure, creare un account gratuito prima di iniziare.

Creare un'assegnazione di criteri

Seguire questa procedura per creare un'assegnazione di criteri e assegnare la definizione dei criteri [anteprima]: l'estensione Log Analytics deve essere installata nei computer Linux di Azure Arc:

  1. Avviare il servizio Criteri di Azure nel portale di Azure facendo clic su Tutti i servizi e quindi cercando e selezionando Criteri.

    Screenshot of All services window showing search for policy service.

  2. Selezionare Assegnazioni sul lato sinistro della pagina Criteri di Azure. Un'assegnazione è un criterio che è stato assegnato per l'implementazione in un ambito specifico.

    Screenshot of All services Policy window showing policy assignments.

  3. Selezionare Assegna criterio nella parte superiore della pagina Criteri - Assegnazioni.

  4. Nella pagina Assegna criterio selezionare il valore di Ambito facendo clic sui puntini di sospensione e quindi selezionando un gruppo di gestione o una sottoscrizione. Facoltativamente, selezionare un gruppo di risorse. L'ambito determina le risorse o il raggruppamento di risorse a cui viene applicata l'assegnazione di criteri Fare quindi clic su Seleziona nella parte inferiore della pagina Ambito.

    Questo esempio usa la sottoscrizione di Parnell Aerospace, ma le opzioni disponibili sono diverse.

  5. Le risorse possono essere escluse in base all'Ambito. Le esclusioni iniziano a un livello inferiore rispetto al livello dell'Ambito. Le esclusioni sono facoltative quindi per il momento è possibile lasciare vuoto il campo.

  6. Selezionare i puntini di sospensione accanto a Definizione criteri per aprire l'elenco delle definizioni disponibili. Criteri di Azure include definizioni di criteri predefinite che è possibile usare. Sono disponibili molte definizioni, ad esempio:

    • Imporre un tag e il relativo valore
    • Applicare un tag e il relativo valore
    • Eredita un tag dal gruppo di risorse se mancante

    Per un elenco parziale di tutti i criteri predefiniti disponibili, vedere Esempi di Criteri di Azure.

  7. Cercare nell'elenco delle definizioni dei criteri per trovare l'estensione [Anteprima]: l'estensione Log Analytics deve essere installata nella definizione dei computer Windows Azure Arc (se è stato abilitato l'agente del computer Connessione ed di Azure in un computer basato su Windows). Per un computer basato su Linux, trovare l'estensione [Anteprima]: l'estensione Log Analytics deve essere installata nella definizione dei criteri dei computer Linux di Azure Arc. Fare clic su tale criterio e fare clic su Aggiungi.

  8. Il valore di Nome dell'assegnazione viene popolato automaticamente con il nome dei criteri selezionato, che è possibile modificare. Per questo esempio, lasciare invariato il nome del criterio e non modificare le opzioni rimanenti nella pagina.

  9. Per questo esempio, non è necessario modificare le impostazioni nelle altre schede. Selezionare Rivedi e crea per esaminare la nuova assegnazione di criteri e quindi selezionare Crea.

A questo punto si è pronti per identificare le risorse non conformi e comprendere così lo stato di conformità dell'ambiente.

Identificare risorse non conformi

Selezionare Assegnazioni a sinistra nella pagina. Individuare quindi l'estensione [Anteprima]: l'estensione Log Analytics deve essere installata nei computer Windows Azure Arc o [Anteprima]: l'estensione Log Analytics deve essere installata nell'assegnazione dei criteri dei computer Linux azure Arc creata.

Screenshot of Policy Compliance page showing policy compliance for the selected scope.

Le eventuali risorse esistenti non conformi a questa nuova assegnazione verranno visualizzate nella scheda Non-compliant resources (Risorse non conformi).

Quando una condizione viene valutata rispetto alle risorse esistenti e ha trovato true, tali risorse vengono contrassegnate come non conformi ai criteri. La tabella seguente illustra il funzionamento dei diversi effetti dei criteri in base alla valutazione della condizione per lo stato di conformità risultante. Anche se nel portale di Azure non viene visualizzata la logica di valutazione, vengono mostrati i risultati relativi allo stato di conformità. Lo stato di conformità può risultare conforme o non conforme.

Stato risorsa Effetto Valutazione dei criteri Stato di conformità
Exists Deny, Audit, Append*, DeployIfNotExist*, AuditIfNotExist* Vero Non conforme
Exists Deny, Audit, Append*, DeployIfNotExist*, AuditIfNotExist* False Conforme
Nuovo Audit, AuditIfNotExist* Vero Non conforme
Nuovo Audit, AuditIfNotExist* False Conforme

* Gli effetti Append, DeployIfNotExist e AuditIfNotExist richiedono che l'istruzione IF sia TRUE. Richiedono inoltre che la condizione di esistenza sia FALSE per lo stato non conforme. Se è TRUE, la condizione IF attiva la valutazione della condizione di esistenza per le risorse correlate.

Pulire le risorse

Per rimuovere l'assegnazione creata, eseguire la procedura seguente:

  1. Selezionare Conformità (o Assegnazioni) sul lato sinistro della pagina Criteri di Azure e individuare l'estensione [Anteprima]: l'estensione Log Analytics deve essere installata nei computer Windows Azure Arc o [Anteprima]: l'estensione Log Analytics deve essere installata nell'assegnazione dei criteri dei computer Linux Azure Arc creata.

  2. Fare clic con il pulsante destro del mouse sull'assegnazione dei criteri e selezionare Elimina assegnazione.

Passaggi successivi

In questa esercitazione è stata assegnata una definizione dei criteri a un ambito ed è stato valutato il report di conformità. La definizione dei criteri garantisce che tutte le risorse nell'ambito siano conformi e identifica quelle che non lo sono. A questo momento è possibile monitorare il computer dei server abilitati per Azure Arc abilitando le informazioni dettagliate sulle macchine virtuali.

Per informazioni su come monitorare e visualizzare le prestazioni, eseguire il processo e le relative dipendenze dalla macchina virtuale, procedere all'esercitazione:

Abilitare le informazioni dettagliate sulle macchine virtuali