Tutorial: Habilitación de la evaluación periódica y la aplicación de revisiones programadas en máquinas virtuales de Azure mediante una directiva

Se aplica a: ✔️ VM de Windows ✔️ VM de Linux ✔️ Entorno local ✔️ Servidores habilitados para Azure Arc.

En este tutorial se explica cómo habilitar la evaluación periódica y la aplicación de revisiones programadas en las máquinas virtuales (VM) de Azure a escala mediante una directiva. Puede usar una directiva para asignar estándares y evaluar el cumplimiento a escala. Más información.

La evaluación periódica es la visualización de las actualizaciones más recientes disponibles para las máquinas. Elimina la molestia de realizar una evaluación manualmente cada vez que necesite comprobar el estado de la actualización. Después de habilitar esta configuración, Azure Update Manager captura las actualizaciones de la máquina una vez cada 24 horas.

El parcheado programado es la capacidad de seleccionar un grupo de máquinas para la implementación de actualizaciones a través de Azure Policy. La agrupación le impide tener que editar la implementación para actualizar las máquinas. Puede usar una suscripción, un grupo de recursos, etiquetas o regiones para definir el ámbito y usar esta característica para las directivas integradas. Puede personalizar las directivas integradas según el caso de uso.

En este tutorial, usted hará lo siguiente:

Prerrequisitos

• Debes tener una suscripción a Azure. Si no tienes una, crea una cuenta gratuita antes de empezar.

Habilitación de la evaluación periódica

1. Inicie sesión en Azure Portal y vaya a Directiva.

2. En Creación, seleccione Definiciones.

3. En la lista desplegable Categoría , seleccione Azure Update Manager. Seleccione Configuración de la comprobación periódica de actualizaciones del sistema faltantes en máquinas virtuales de Azure para las máquinas de Azure.

4. Cuando se abra la definición de directiva, seleccione Asignar.

5. En la pestaña Aspectos básicos, seleccione la suscripción como ámbito. También puede especificar un grupo de recursos dentro de la suscripción como ámbito. Luego, selecciona Siguiente.

6. En la pestaña Parámetros, desactive Mostrar solo los parámetros que necesitan entrada o revisión para que pueda ver los valores de los parámetros.

7. En la pestaña Evaluación, seleccione AutomaticByPlatform Operating system (Sistema operativo AutomaticByPlatform>). Debe crear directivas independientes para Windows y Linux. Luego, selecciona Siguiente.

8. En la pestaña Corrección, seleccione Crear una tarea de corrección para que la evaluación periódica esté habilitada en las máquinas. Luego, selecciona Siguiente.

9. En la pestaña No cumplimiento , proporcione el mensaje que desea que aparezca si una máquina no cumple. Por ejemplo: la máquina no tiene habilitada la evaluación periódica. A continuación, seleccione Revisar y crear.

10. En la pestaña Revisar y Crear, seleccione Crear. Esta acción desencadena la creación de una tarea de asignación y corrección, que puede tardar un minuto o así.

En la página principal de Política, puede monitorear el cumplimiento de los recursos en cumplimiento y monitorear el estado de corrección en corrección.

Activar el parcheo programado

1. Inicie sesión en Azure Portal y vaya a Directiva.

2. En Creación, seleccione Asignaciones. A continuación, seleccione Asignar directiva.

3. En la pestaña Aspectos básicos:

   • En Ámbito, elija la suscripción y el grupo de recursos y, después, seleccione Seleccionar.
   • Seleccione Definición de directiva para ver una lista de directivas.
   • En Definiciones disponibles, en Tipo, seleccione Integrado. En el cuadro de búsqueda, escriba Programar actualizaciones periódicas con Azure Update Manager y, a continuación, elija Seleccionar.
   • Asegúrese de que Cumplimiento de directivas esté establecido en Habilitado y, después, seleccione Siguiente.

4. En la pestaña Parámetros , de forma predeterminada, solo está visible el identificador de ARM de configuración de mantenimiento .

   Si no especifica ningún otro parámetro, todas las máquinas de la suscripción y el grupo de recursos que ha seleccionado en Datos básicos se incluirán en el ámbito. Sin embargo, si desea limitar aún más el ámbito en función del grupo de recursos, la ubicación, el sistema operativo, las etiquetas, etc., desactive Mostrar solo los parámetros que necesitan entrada o revisión para ver todos los parámetros:

   • ID de ARM de configuración de mantenimiento: este parámetro obligatorio indica el identificador de Azure Resource Manager de la programación que desea asignar a los equipos.
   • Grupos de recursos: puede especificar un grupo de recursos si desea limitar el ámbito a un grupo de recursos. De forma predeterminada, todos los grupo de recursos dentro de la suscripción se seleccionan.
   • Tipos de sistema operativo: puede seleccionar Windows o Linux. De forma predeterminada, ambos están seleccionados.
   • Ubicaciones de máquinas: opcionalmente, puede especificar regiones para las máquinas. De forma predeterminada, se seleccionan todas las regiones.
   • Etiquetas en máquinas: puede usar etiquetas para reducir el ámbito aún más. De forma predeterminada, se seleccionan todas.
   • Operador Tags: si seleccionó varias etiquetas, puede especificar si desea que el ámbito sea máquinas que tengan todas las etiquetas o máquinas que tengan cualquiera de esas etiquetas.

   

5. En la pestaña Remediación, vaya aIdentidad administrada>Tipo de identidad administrada, y luego seleccione Identidad del sistema asignada. Permisos ya está establecido en Colaborador según la definición de directiva.

   Nota:

   Si selecciona Corrección, la directiva es efectiva en todas las máquinas existentes del ámbito. De lo contrario, se asigna a cualquier máquina nueva que agregue al ámbito de trabajo.

6. En la pestaña Revisar y crear , compruebe las selecciones. Seleccione Crear para identificar los recursos no conformes para que pueda comprender el estado de cumplimiento de su entorno.

Contenido relacionado

• Obtenga información sobre cómo administrar varias máquinas.