指派 Azure 原則,以控管已啟用 Azure Arc 的伺服器
Fabrikam Residences 已將其機器上線至已啟用 Azure Arc 的伺服器,現在想要確保這些機器符合 Azure 的計算安全性基準。 在本單元中,您將了解如何將 Azure 原則指派給已啟用 Azure Arc 的伺服器,並檢視其合規性。
Azure 原則概觀
Azure 原則會將這些資源屬性與商務規則做比較,藉此評估 Azure 中的資源。 這些以 JSON 格式描述的商務規則稱為原則定義。 為了簡化管理,您可以將數個商務規則結合在群組中,以形成原則計畫 (有時稱為 policySet)。 當您的商務規則形成之後,原則定義或計畫就會指派到 Azure 支援的任何資源範圍。 例如管理群組、訂用帳戶、資源群組或個別資源。
Azure 原則來賓設定,是已啟用 Azure Arc 伺服器的一種 Azure 原則類型。 有 50 個以上的內建 Azure 原則可立即套用至已啟用 Azure Arc 的伺服器,以進行稽核設定、部署延伸模組和補救。
指派 Azure 原則
我們會逐步解說指派 Azure 原則的方法,以確保您已啟用 Arc 的 Windows 伺服器符合 Azure 的計算安全性基準。
在瀏覽器中,移至 Azure 入口網站。
在入口網站中,瀏覽 [原則],然後從左側窗格中選取 [指派]。
選取 [指派原則],然後選取 [原則定義]。
從 [可用定義] 搜尋「安全性基準」,然後選取 [原則定義]:在進入下一步之前,Windows 機器應符合 Azure 計算安全性基準的要求。
![顯示 [Azure 原則選取] 頁面的螢幕擷取畫面。](media/assign-policy.png)
將參數「包含連線到 Arc 的伺服器」設定為 true。
![顯示 [Azure 原則參數指派] 頁面的螢幕擷取畫面。](media/assign-policy-param.png)
選取 [檢閱 + 建立],然後選取 [建立]。
在 [Azure 原則指派] 頁面上,您的新 Azure 原則指派會出現在 [指派] 清單中。 指派大約需要 30 分鐘才會生效,並出現在此清單中。
檢視合規性
完成 Azure 原則指派之後,您可以檢閱原則的合規性,並指派補救工作以確保資源合規性。
- 在 [原則] 的相同入口網站頁面中,從左側窗格中選取 [合規性]。
- 選取原則「Windows 機器應符合 Azure 計算安全性基準的需求」,以檢視其合規性狀態。
- 您可以依不同的資源類型、合規性或位置進行篩選。 若只要檢視已啟用 Azure Arc 的伺服器合規性,請選取 [所有資源類型],並將選取範圍變更為僅限 microsoft.hybridcompute/machines。
![顯示如何在 [Azure 原則指派] 頁面上篩選結果的螢幕擷取畫面。](media/compute-baseline-compliance.png)
根據合規性狀態,您可以選擇編輯指派、建立豁免、建立補救工作或刪除指派。