你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

Azure Policy 计算机配置扩展

可以使用 Azure Policy 计算机配置扩展 来审核虚拟机的配置设置。 计算机配置原生支持 Azure VM。 已启用 Azure Arc 的服务器、已启用 Azure Arc 的 VMware vSphere 或已启用 Azure Arc 的 System Center Virtual Machine Manager 支持物理服务器和非 Azure 虚拟服务器。

若要查找计算机配置策略列表,请在 Azure Policy 门户页上搜索 计算机配置 ,或在 PowerShell 窗口中运行此 cmdlet 以查找列表:

Get-AzPolicySetDefinition | Where-Object {$_.Properties.metadata.category -eq "Machine Configuration"}

注意

计算机配置功能会定期更新以支持其他策略集。 请定期检查新的受支持策略并评估它们是否有用。

部署

使用以下示例 PowerShell 脚本部署这些策略,以便:

  • 验证 Windows 和 Linux 计算机中的密码安全设置是否正确设置。
  • 验证 Windows VM 上的证书是否未接近到期日期。

运行此脚本之前,请使用 Connect-AzAccount cmdlet 进行登录。 运行脚本时,必须提供要将策略应用到的订阅的名称。


    # Assign machine configuration policy.

    param (
        [Parameter(Mandatory=$true)]
        [string] $SubscriptionName
    )

    $Subscription = Get-AzSubscription -SubscriptionName $SubscriptionName
    $scope = "/subscriptions/" + $Subscription.Id

    $PasswordPolicy = Get-AzPolicySetDefinition -Name "3fa7cbf5-c0a4-4a59-85a5-cca4d996d5a6"
    $CertExpirePolicy = Get-AzPolicySetDefinition -Name "b6f5e05c-0aaa-4337-8dd4-357c399d12ae"

    New-AzPolicyAssignment -Name "PasswordPolicy" -DisplayName "[Preview]: Audit that password security settings are set correctly inside Linux and Windows machines" -Scope $scope -PolicySetDefinition $PasswordPolicy -AssignIdentity -Location eastus

    New-AzPolicyAssignment -Name "CertExpirePolicy" -DisplayName "[Preview]: Audit that certificates are not expiring on Windows VMs" -Scope $scope -PolicySetDefinition $CertExpirePolicy -AssignIdentity -Location eastus

后续步骤

了解如何针对关键文件、服务、软件和注册表更改启用更改跟踪和警报