教學課程:建立原則指派以識別不符合規範的資源

  • 發行項

了解 Azure 中合規性的第一個步驟是識別您資源的狀態。 Azure 原則支援透過來賓設定原則稽核已啟用 Azure Arc 的伺服器狀態。 Azure 原則的來賓設定定義可以在機器內稽核或套用設定。

本教學課程會引導您逐步完成建立和指派原則的流程,以便識別已啟用 Azure Arc 的伺服器中哪一個已安裝適用於 Windows 或 Linux 的 Log Analytics 代理程式。 這些機器會被視為「不符合」原則指派規範。

在本教學課程中,您將了解如何:

  • 建立原則指派並將定義指派給它
  • 識別不符合新原則規範的資源
  • 從不符合規範的資源中移除原則

必要條件

如果您沒有 Azure 訂用帳戶,請在開始前建立免費帳戶

建立原則指派

請遵循下列步驟來建立原則指派,並指派原則定義「[預覽]:Log Analytics 延伸模組應該安裝在您的 Linux Azure Arc 電腦上」

  1. 藉由選取 [所有服務] 然後搜尋並選取 [原則],在 Azure 入口網站中啟動 Azure 原則服務。

    Screenshot of All services window showing search for policy service.

  2. 選取 [Azure 原則] 頁面左側的 [指派]。 指派是已獲指派在特定範圍內實施的原則。

    Screenshot of All services Policy window showing policy assignments.

  3. 從 [原則 - 指派] 頁面的頂端中選取 [指派原則]

  4. 在 [指派原則] 頁面上,按一下省略符號並選取管理群組或訂用帳戶來選取 [範圍]。 選擇性地選取資源群組。 範圍會決定在哪些資源或資源群組上強制執行原則指派。 然後,按一下 [範圍] 頁面底部的 [選取]

    這個範例會使用 Parnell Aerospace 訂用帳戶。 您的訂用帳戶會有所不同。

  5. 您可以根據範圍來排除資源。 排除項目從比範圍層級低一層開始。 排除項目是選用的,因此請暫時將其留空。

  6. 選取 [原則定義] 省略符號,以開啟可用定義的清單。 Azure 原則隨附您可以使用的內建原則定義。 有許多可供使用,例如:

    • 強制標籤和其值
    • 套用標籤和其值
    • 從資源群組繼承標籤 (若遺漏)

    如需可用內建原則的部分清單,請參閱 Azure 原則範例

  7. 搜尋原則定義清單以尋找「[預覽]:Log Analytics 延伸模組應該安裝在您的 Windows Azure Arc 電腦上」定義 (如果您已在 Windows 電腦上啟用 Azure Connected Machine 代理程式)。 針對 Linux 電腦,尋找對應的「[預覽]:Log Analytics 延伸模組應該安裝在您的 Linux Azure Arc 電腦上」原則定義。 按一下該原則,然後按一下 [新增]

  8. [指派名稱] 會自動填入您選取的原則名稱,但您可加以變更。 針對此範例,將原則名稱保留原狀,且不變更頁面上的任何其餘選項。

  9. 針對此範例,我們不需要變更其他索引標籤上的任何設定。 選取 [檢閱 + 建立] 以檢閱新的原則指派,然後選取 [建立]

您現在可以識別不相容的資源,以了解環境的相容性狀態。

識別不符合規範的資源

選取頁面左側的 [合規性]。 然後,找出您所建立的「[預覽]:Log Analytics 延伸模組應該安裝在您的 Windows Azure Arc 電腦上」或「[預覽]:Log Analytics 延伸模組應該安裝在您的 Linux Azure Arc 電腦上」原則指派。

Screenshot of Policy Compliance page showing policy compliance for the selected scope.

如果有任何現有資源不符合這個新指派的規範,它們會顯示在 [不符合規範的資源] 下。

根據現有資源評估條件,而且結果為 true 時,這些資源都會標示為不符合原則規範。 下表顯示不同的原則效果如何與結果合規性狀態的條件評估搭配使用。 雖然您在 Azure 入口網站中沒有看到評估邏輯,但是會顯示合規性狀態結果。 合規性狀態結果為符合規範或不符合規範。

資源狀態 效果 原則評估 合規性狀態
Exists Deny、Audit、Append*、DeployIfNotExist*、AuditIfNotExist* True 不符合規範
Exists Deny、Audit、Append*、DeployIfNotExist*、AuditIfNotExist* False 符合標準
新增 Audit、AuditIfNotExist* True 不符合規範
新增 Audit、AuditIfNotExist* False 符合標準

* Append、DeployIfNotExist 和 AuditIfNotExist 效果需要 IF 陳述式為 TRUE。 這些效果也需要存在條件為 FALSE,以呈現不符合規範。 若為 TRUE,IF 條件會觸發相關資源的存在條件評估。

清除資源

若要移除所建立的指派,請遵循下列步驟:

  1. 在 Azure 原則頁面左側選取 [合規性] (或 [指派]),然後找出您所建立的「[預覽]:Log Analytics 延伸模組應該安裝在您的 Windows Azure Arc 電腦上」或「[預覽]:Log Analytics 延伸模組應該安裝在您的 Linux Azure Arc 電腦上」原則指派。

  2. 以滑鼠右鍵按一下原則指派,然後選取 [刪除指派]

下一步

在本教學課程中,您會將原則定義指派至範圍,並評估其更新狀態報告。 原則定義可驗證範圍中的所有資源都符合規範,並且識別哪些資源不符合。 現在您已準備好啟用 VM 深入解析,監視已啟用 Azure Arc 的伺服器電腦。

若要了解如何從您的電腦監視和檢視效能、執行中程序及其相依性,請繼續進行教學課程:

啟用 VM 深入解析