教學課程:使用原則在 Azure VM 上啟用定期評量和排程更新
適用於: ✔️ Windows VM ✔️ Linux VM ✔️ 內部部署環境✔️已啟用 Azure Arc 的伺服器。
本教學課程說明如何使用 Azure 原則,在 Azure VM 上大規模啟用定期評量和排程更新。 原則可讓您指派標準並大規模評估合規性。 深入了解。
定期評定 - 是計算機上的設定,可讓您查看機器可用的最新更新,並移除每次檢查更新狀態時手動執行評定的麻煩。 啟用此設定之後,更新管理員會每隔 24 小時擷取一次電腦上的更新。
排程修補 - 是設定為透過 Azure 原則 更新部署的機器群組。 使用原則進行分組,讓您不必編輯部署以更新機器。 您可以使用訂用帳戶、資源群組、標籤或區域來定義範圍,並使用此功能作為內建原則,您可以根據使用案例自定義。
在本教學課程中,您會了解如何:
- 啟用定期評量
- 啟用排程修補
必要條件
- 您必須先有 Azure 訂用帳戶,才能 開始建立免費帳戶 。
啟用定期評量
從 Azure 入口網站 移至 [原則],然後在 [撰寫] 底下,移至 [定義]。
- 從 [ 類別] 下拉式清單中,選取 [Azure 更新管理員]。 針對 Azure 機器,選取 [設定 Azure 虛擬機 上遺失的系統更新定期檢查]。
- 當 [原則定義] 開啟時,選取 [ 指派]。
- 在 [ 基本] 中,選取您的訂用帳戶作為您的範圍。 您也可以將訂用帳戶內的資源群組指定為範圍,然後選取 [下一步]。
- 在 [參數] 中,取消核取 [僅顯示需要輸入或檢閱的參數],以便查看參數的值。
- 在 評定中:選取 [ AutomaticByPlatform ],然後選取 [ 操作系統] ,然後選取 [ 下一步]。 您必須為 Windows 和 Linux 建立個別的原則。
- 在 [補救] 中,核取 [建立補救工作],以便在您的計算機上啟用定期評定,然後按 [下一步]。
- 在 [不符合規範] 中,提供您想要在不符合規範時看到的訊息。 例如: 您的計算機未啟用定期評定。 然後選取 [ 檢閱+建立]。
- 在 [ 檢閱+建立] 中,選取 [ 建立]。 此動作會觸發指派和補救工作建立,這可能需要一分鐘左右的時間。
您可以從 [原則] 首頁的 [補救] 底下,監視 [合規性] 和 [補救狀態] 下的資源合規性。
啟用排程修補
登入 Azure 入口網站,然後選取 [原則]。
在 [指派] 中,選取 [ 指派原則]。
在 [基本] 底 下,於 [ 指派原則] 頁面中:
- 在 [ 範圍] 中,選擇您的訂用帳戶、資源群組,然後選擇 [ 選取]。
- 選取 [ 原則定義 ] 以檢視原則清單。
- 在 [可用的定義] 中,針對 [類型] 和 [搜尋] 選取 [內建] ,輸入 - 使用 Azure Update Manager 排程週期性更新,然後按兩下 [ 選取]。
- 確定 [原則 強制執行 ] 設定為 [已啟用] ,然後選取 [ 下一步]。
在 [參數] 中,預設只會顯示維護設定ARM標識碼。
注意
如果您未指定任何其他參數,則會涵蓋您在基本概念中選取的訂用帳戶和資源群組中的所有機器。 不過,如果您想要根據資源群組、位置、OS、標記等進一步設定範圍,請取消選取 [僅顯示需要輸入或檢閱 的參數] 以檢視所有參數。
維護設定ARM標識碼:提供的必要參數。 它表示您要指派給機器之排程的 ARM 識別碼。
資源群組:如果您想要將其範圍限制為資源群組,您可以選擇性地指定資源群組。 根據預設,會選取訂用帳戶中的所有資源群組。
操作系統類型:您可以選取 [Windows] 或 [Linux]。 根據預設,這兩者都會預先選取。
計算機位置:您可以選擇性地指定您想要選取的區域。 根據預設,會選取所有專案。
機器上的標籤:您可以使用標籤進一步縮小範圍。 根據預設,會選取所有專案。
標籤運算子:如果您已選取多個標籤,您可以指定範圍是否為具有所有標籤或具有這些標籤之機器的電腦。
在 [補救]、[受控識別類型] 中,選取 [系統指派的受控識別] 和 [許可權] 已根據原則定義設定為參與者。
注意
如果您選取 [補救],原則將會在範圍中的所有現有計算機上生效,它會指派給新增至範圍的任何新計算機。
在 [檢閱 + 建立] 中,確認您的選取專案,然後選取 [建立] 以識別不符合規範的資源,以了解環境的合規性狀態。
下一步
瞭解如何 管理多部機器。