你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
Azure Policy 来宾配置扩展
可以使用 Azure Policy 来宾配置扩展来审核虚拟机中的配置设置。 来宾配置通过 已启用 Azure Arc 的服务器支持 Azure VM 本机和非 Azure 物理服务器和虚拟服务器。
若要查找来宾配置策略列表,请在 Azure Policy 门户页面上搜索“来宾配置”,或在 PowerShell 窗口中运行以下 cmdlet 以查找列表:
Get-AzPolicySetDefinition | Where-Object {$_.Properties.metadata.category -eq "Guest Configuration"}
注意
来宾配置功能会定期更新以支持其他策略集。 请定期检查新的受支持策略并评估它们是否有用。
部署
使用以下示例 PowerShell 脚本部署这些策略,以便:
- 验证 Windows 和 Linux 计算机中的密码安全设置是否正确设置。
- 验证 Windows VM 上的证书是否未接近到期日期。
运行此脚本之前,请使用 Connect-AzAccount cmdlet 进行登录。 运行脚本时,必须提供要将策略应用到的订阅的名称。
# Assign guest configuration policy.
param (
[Parameter(Mandatory=$true)]
[string] $SubscriptionName
)
$Subscription = Get-AzSubscription -SubscriptionName $SubscriptionName
$scope = "/subscriptions/" + $Subscription.Id
$PasswordPolicy = Get-AzPolicySetDefinition -Name "3fa7cbf5-c0a4-4a59-85a5-cca4d996d5a6"
$CertExpirePolicy = Get-AzPolicySetDefinition -Name "b6f5e05c-0aaa-4337-8dd4-357c399d12ae"
New-AzPolicyAssignment -Name "PasswordPolicy" -DisplayName "[Preview]: Audit that password security settings are set correctly inside Linux and Windows machines" -Scope $scope -PolicySetDefinition $PasswordPolicy -AssignIdentity -Location eastus
New-AzPolicyAssignment -Name "CertExpirePolicy" -DisplayName "[Preview]: Audit that certificates are not expiring on Windows VMs" -Scope $scope -PolicySetDefinition $CertExpirePolicy -AssignIdentity -Location eastus
后续步骤
了解如何针对关键文件、服务、软件和注册表更改启用更改跟踪和警报。
反馈
即将发布:在整个 2024 年,我们将逐步淘汰作为内容反馈机制的“GitHub 问题”,并将其取代为新的反馈系统。 有关详细信息,请参阅:https://aka.ms/ContentUserFeedback。
提交和查看相关反馈