Руководство: Включение периодической оценки и запланированного патчинга на виртуальных машинах Azure с помощью политики

Область применения: ✔️ виртуальные машины Windows ✔️ виртуальные машины Linux ✔️ локальная инфраструктура ✔️ серверы с поддержкой Azure Arc.

В этом руководстве объясняется, как включить регулярную оценку и запланированное обновление на виртуальных машинах Azure в крупном масштабе с использованием политики. Политику можно использовать для назначения стандартов и оценки соответствия в масштабе. Подробнее.

Периодическая оценка — это отображение последних обновлений, доступных для компьютеров. Он устраняет неудобства выполнения оценки вручную каждый раз, когда нужно проверить статус обновления. После включения этого параметра Диспетчер обновлений Azure получает обновления на компьютере каждые 24 часа.

Запланированное исправление — это возможность нацелить группу компьютеров для развертывания обновлений с помощью политики Azure. Группирование избавляет от необходимости изменять развертывание для обновления компьютеров. Вы можете использовать подписку, группу ресурсов, теги или регионы для определения области и использования этой функции для встроенных политик. Встроенные политики можно настроить в соответствии с вашим вариантом использования.

Изучив это руководство, вы:

  • Включите периодическую оценку.
  • Включите запланированное исправление.

Предпосылки

Включение периодической оценки

  1. Войдите на портал Azure и перейдите к политике.

  2. В разделе Разработка выберите Дефиниции.

  3. В раскрывающемся списке категорий выберите Azure Update Manager. Выберите "Настройка периодической проверки отсутствия обновлений системы на виртуальных машинах Azure " для машин Azure.

  4. Когда откроется определение политики, нажмите кнопку "Назначить".

  5. На вкладке "Основные сведения" выберите подписку в качестве области. Вы также можете указать группу ресурсов в подписке в качестве области. Затем выберите Далее.

  6. На вкладке "Параметры" снимите флажок "Только показать параметры, необходимые для ввода или проверки ", чтобы просмотреть значения параметров.

  7. На вкладке "Оценка" выберите "Операционная система>". Необходимо создать отдельные политики для Windows и Linux. Затем выберите Далее.

  8. На вкладке "Исправление" выберите "Создать задачу исправления", чтобы на компьютерах была включена периодическая оценка. Затем выберите Далее.

  9. На вкладке "Несоответствие" укажите сообщение, которое нужно отображать, если компьютер не соответствует требованиям. Например, на вашем компьютере не включена функция периодической оценки. Затем выберите Просмотр + Создание.

  10. На вкладке "Просмотр и создание" нажмите кнопку "Создать". Это действие инициирует создание задачи, связанной с назначением и устранением проблем, на выполнение которой может потребоваться около минуты.

На домашней странице политики можно отслеживать соответствие ресурсов в разделе "Соответствие" и отслеживать состояние исправления в разделе "Исправление".

Включение запланированного патча

  1. Войдите на портал Azure и перейдите к политике.

  2. В разделе Разработка выберите Задания. Затем выберите "Назначить политику".

  3. На вкладке Основные сведения сделайте следующее.

    • В Scope выберите подписку и группу ресурсов, а затем нажмите Выбрать.
    • Выберите определение политики , чтобы просмотреть список политик.
    • В доступных определениях для типа выберите "Встроенный". В поле поиска введите расписание повторяющихся обновлений с помощью Диспетчера обновлений Azure и нажмите кнопку "Выбрать".
    • Убедитесь, что для применения политики задано значение "Включено", а затем нажмите кнопку "Далее".

  4. На вкладке Параметры по умолчанию отображается только ARM идентификатор конфигурации обслуживания.

    Если вы не указываете другие параметры, все машины в подписке и группе ресурсов, выбранные на вкладке "Основные сведения", включены в область действия. Тем не менее, если вы хотите дополнительно ограничить область на основе группы ресурсов, расположения, ОС, тегов и т. д., снимите флажок только для отображения параметров, которые требуют входных данных или проверки для просмотра всех параметров:

    • Идентификатор конфигурации обслуживания ARM. Этот обязательный параметр обозначает идентификатор Azure Resource Manager расписания, который вы хотите назначить компьютерам.
    • Группы ресурсов: можно указать группу ресурсов, если вы хотите ограничить область до группы ресурсов. По умолчанию выбираются все группы ресурсов в подписке.
    • Типы операционной системы: вы можете выбрать Windows или Linux. По умолчанию оба выбраны.
    • Расположения компьютеров. При необходимости можно указать регионы для компьютеров. По умолчанию выбираются все регионы.
    • Теги на компьютерах: можно использовать теги для дальнейшего уменьшения области. По умолчанию все выбраны.
    • Оператор тегов: если выбрано несколько тегов, можно указать, должна ли область иметь все теги или компьютеры с любым из этих тегов.

    Снимок экрана: синтаксис для добавления тегов.

  5. На вкладке "Исправление" перейдите к Управляемое удостоверение>, и выберите Системой назначенное управляемое удостоверение. Разрешения уже заданы в качестве участника в соответствии с определением политики.

    Замечание

    Если выбрать Remediation, политика распространяется на все существующие компьютеры в рамках области действия. В противном случае он приписывается любому новому компьютеру, добавленному в конфигурацию.

  6. На вкладке "Рецензирование и создание " проверьте выбранные параметры. Выберите "Создать", чтобы выявить ресурсы, не соответствующие требованиям, и понять состояние соответствия вашей среды.

Связанный контент

  • Last updated on