Azure 原則 電腦設定擴充功能

您可以使用 Azure 原則 計算機組態擴充功能來稽核虛擬機的組態設定。 機器設定以原生方式支援 Azure VM。 已啟用 Azure Arc 的伺服器、已啟用 Azure Arc 的 VMware vSphere 或已啟用 Azure Arc 的 System Center Virtual Machine Manager 支援實體伺服器和非 Azure 虛擬伺服器。

若要尋找電腦設定原則清單，請在 Azure 原則 入口網站頁面上搜尋計算機設定，或在PowerShell視窗中執行此 Cmdlet 以尋找清單：

Get-AzPolicySetDefinition | Where-Object {$_.Properties.metadata.category -eq "Machine Configuration"}

注意

計算機設定功能會定期更新以支援其他原則集。 定期檢查新的支持原則，並評估它們是否有用。

部署

使用下列範例 PowerShell 腳本，將這些原則部署至：

• 確認 Windows 和 Linux 計算機的密碼安全性設定已正確設定。
• 確認 Windows VM 上的憑證未接近到期日。

執行此腳本之前，請使用 Connect-AzAccount Cmdlet 來登入。 當您執行文稿時，必須提供您想要套用原則的訂用帳戶名稱。

    # Assign machine configuration policy.

    param (
        [Parameter(Mandatory=$true)]
        [string] $SubscriptionName
    )

    $Subscription = Get-AzSubscription -SubscriptionName $SubscriptionName
    $scope = "/subscriptions/" + $Subscription.Id

    $PasswordPolicy = Get-AzPolicySetDefinition -Name "3fa7cbf5-c0a4-4a59-85a5-cca4d996d5a6"
    $CertExpirePolicy = Get-AzPolicySetDefinition -Name "b6f5e05c-0aaa-4337-8dd4-357c399d12ae"

    New-AzPolicyAssignment -Name "PasswordPolicy" -DisplayName "[Preview]: Audit that password security settings are set correctly inside Linux and Windows machines" -Scope $scope -PolicySetDefinition $PasswordPolicy -AssignIdentity -Location eastus

    New-AzPolicyAssignment -Name "CertExpirePolicy" -DisplayName "[Preview]: Audit that certificates are not expiring on Windows VMs" -Scope $scope -PolicySetDefinition $CertExpirePolicy -AssignIdentity -Location eastus

下一步

瞭解如何 啟用重大檔案、服務、軟體和登錄變更的變更追蹤和警示 。

啟用重大變更的追蹤和警示