適用於:✔️ Windows VM ✔️ Linux VM ✔️ 內部部署環境 ✔️ 已啟用 Azure Arc 的伺服器。
本教學說明如何使用原則,在您的 Azure 虛擬機器 (VM) 上啟用定期評定和排程的修補。 你可以利用政策來指派標準並大規模評估合規性。 深入瞭解。
定期評估 是顯示您機器最新可用的更新。 它省去每次需要手動檢查更新狀態的麻煩。 啟用此設定後,Azure Update Manager 會每 24 小時在你的機器上取得一次更新。
排程修補 是指透過 Azure Policy 針對一組機器進行更新部署的能力。 分組功能使您無需編輯部署設定即可更新機器。 你可以使用訂閱、資源群組、標籤或區域來定義範圍,並利用此功能來建立內建政策。 你可以根據你的使用情境自訂內建政策。
在本教學課程中,您會:
- 啟用定期評估。
- 啟用排程修補。
先決條件
- 您必須擁有 Azure 訂用帳戶。 如果您沒有帳戶,請在開始之前建立 免費帳戶 。
啟用定期評定
登入 Azure 入口網站 ,然後進入 政策。
在 編輯,選擇 定義。
在 分類 下拉選單中,選擇 Azure Update Manager。 為 Azure 機器選取 [在 Azure 虛擬機器上設定遺漏系統更新的定期檢查]。
當政策定義開啟時,選擇 指派。
在 [基本資料] 索引標籤上,選取您的訂用帳戶作為您的範圍。 你也可以在訂閱內指定資源群組作為範圍。 然後選取下一步。
在 [參數] 索引標籤上,清除 [只顯示需要輸入或檢閱的參數],以便您可以看到參數的值。
在 評估 標籤中,選擇 AutomaticByPlatform>作業系統。 您必須為 Windows 和 Linux 建立個別的原則。 然後選取下一步。
在 [補救] 索引標籤上,選取 [建立補救工作],以便在您的機器上啟用定期評定。 然後選取下一步。
在「 不合規 」標籤中,提供你希望在機器不合規時出現的訊息。 舉例來說: 你的機器沒有啟用定期評估。 然後選擇 評論 + 創建。
在 [檢閱 + 建立] 索引標籤中,選取 [建立]。 此動作會觸發建立指派和補救工作,這可能需要大約一分鐘的時間。
在 政策 首頁,您可以透過 合規 監控資源的合規狀況,並在 修復中監控修復狀態。
啟用排程更新
登入 Azure 入口網站 ,然後進入 政策。
在「撰寫」中,選擇「作業」。 然後選擇 指派政策。
在 [基本資訊] 索引標籤上:
- 在範圍中,選擇訂閱和資源群組,然後選擇選擇。
- 選取 [原則定義],檢視原則清單。
- 在可用定義中,對於類型,選擇內建。 在搜尋框中輸入 「使用 Azure Update Manager 排程定期更新」,然後選擇 「選擇」。
- 確認 [原則強制執行] 已設為 [已啟用],然後選取 [下一步]。
在 參數 標籤中,預設只有 維護配置 ARM ID 可見。
如果你沒有指定其他參數,你在 基礎 標籤中選擇的訂閱和資源群組中的所有機器都會被涵蓋在範圍內。 不過,如果你想根據資源群組、位置、作業系統、標籤等進一步擴大範圍,請清除「 只顯示需要輸入或檢視的參數 以查看所有參數:
- 維護配置 ARM ID:這個強制參數表示你想指派給機器的 Azure 資源管理器排程 ID。
- 資源群組:如果你想縮小到資源群組,可以指定一個資源群組。 預設情形下,系統會選取訂用帳戶中的所有資源群組。
- 作業系統類型:你可以選擇 Windows 或 Linux。 預設情況下,兩者皆被選中。
- 機器位置:你可以選擇性地為機器指定區域。 預設情況下,所有區域都會被選取。
- 機器上的標籤:您可以使用標籤進一步縮小範圍。 依預設,系統會選取所有選項。
- 標籤運算子:如果你選擇了多個標籤,可以指定範圍是包含所有標籤的機器,還是包含任一標籤的機器。
在 修復 標籤中,前往「 受管理身份>類型」,然後選擇 「系統指派的受管理身份」。 根據原則定義,權限已設定為參與者。
備註
如果你選擇修復 ,該政策對範圍內所有現有機器都有效。 否則,它會被指派到您新增到範圍的任何新機器。
在 「評論+建立 」標籤中,驗證你的選擇。 選擇 「建立 」以識別不合規的資源,以便你了解環境的合規狀態。
相關內容
- 了解如何管理多部機器。