你当前正在访问 Microsoft Azure Global Edition 技术文档网站。如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站，请访问 https://docs.azure.cn。

使用 Azure Policy 启用 VM 见解

项目
07/26/2023

Azure Policy 可用于为你创建的所有新资源和修改的资源设置和强制执行要求。 VM 见解策略计划（为 VM 见解创建的预定义策略集）安装 VM 见解所需的代理，并启用对 Azure 环境中所有新虚拟机的监视。

本文介绍如何使用预定义的 VM 见解策略计划为 Azure 虚拟机、虚拟机规模集和与 Azure Arc 连接的混合虚拟机启用 VM 见解。

注意

有关如何将 Azure Policy 与 Azure 虚拟机规模集结合使用以及如何直接使用 Azure Policy 以启用 Azure 虚拟机的信息，请参阅使用 Azure Policy 大规模部署 Azure Monitor。

VM 见解计划

VM 见解策略计划会在 Azure 环境中的新虚拟机上安装 Azure Monitor 代理和依赖项代理。将这些计划分配给管理组、订阅或资源组，可在定义范围内的 Windows 或 Linux Azure 虚拟机上自动安装代理。

这些计划适用于创建的新计算机和修改的计算机，但不适用于现有 VM。

“属性”	说明
使用 Azure Monitor 代理启用用于 VM 的 Azure Monitor	在 Azure VM 上安装 Azure Monitor 代理和依赖项代理。
使用 Azure Monitor 代理启用用于虚拟机规模集的 Azure Monitor	在虚拟机规模集上安装 Azure Monitor 代理和依赖项代理。
使用 Azure Monitor 代理启用用于混合 VM 的 Azure Monitor	在与 Azure Arc 连接的混合 VM 上安装 Azure Monitor 代理和依赖项代理。
旧版：启用用于 VM 的 Azure Monitor	在虚拟机规模集上安装 Log Analytics 代理和依赖项代理。
旧版：启用用于虚拟机规模集的 Azure Monitor	在虚拟机规模集上安装 Log Analytics 代理和依赖项代理。

重要

旧版 Log Analytics 代理将于 2024 年 8 月弃用。在此日期之后，Microsoft 将不再为 Log Analytics 代理提供任何支持。请在 2024 年 8 月之前迁移到 Azure Monitor 代理，这样才能继续引入数据。

支持自定义映像

Azure Monitor 基于代理的 VM 见解策略和计划定义具有一个 scopeToSupportedImages 参数，该参数默认设置为 true，以便仅在受支持的映像上加入 Dependency Agent。将此参数设置为 false 以允许在自定义映像上加入 Dependency Agent。

分配 VM 见解策略计划

从 Azure 门户将 VM 见解策略计划分配给订阅或管理组：

搜索并打开“策略”。
选择“分配”>“分配计划”。

此时会显示“分配计划”屏幕。
配置计划分配：
1. 在“范围”字段中，选择要将计划分配到的管理组或订阅。
2. （可选）选择“排除项”可从计划分配中排除特定资源。例如，如果范围是一个管理组，则可以指定从分配中排除该管理组中的某个订阅。
3. 选择“计划分配”旁边的省略号 (...)，来更快地启动策略定义。选择 VM 见解计划之一。
4. （可选）更改“分配名称”并添加“说明”。
5. 在“参数”选项卡中，选择一个要供分配中的所有虚拟机向其发送数据的“Log Analytics 工作区”。对于要将数据发送到不同工作区的虚拟机，请创建多个分配，每个分配都有自己的范围。
  
  注意
  
  如果选择不在分配范围内的工作区，请将“Log Analytics 参与者”权限授予策略分配的主体 ID。否则，可能会遇到如下所示的部署失败：
  
  The client '343de0fe-e724-46b8-b1fb-97090f7054ed' with object id '343de0fe-e724-46b8-b1fb-97090f7054ed' does not have authorization to perform action 'microsoft.operationalinsights/workspaces/read' over scope ...
选择“查看 + 创建”来查看计划分配详细信息。选择“创建”来创建分配。

此时请勿创建修正任务，因为可能需要执行多个修正任务，才能启用现有的虚拟机。若要详细了解如何创建修正任务，请参阅修正合规性结果。

查看 VM 见解策略计划的合规性

分配计划后，可以在管理组和订阅中查看和管理该计划的合规性。

查看每个管理组或订阅中存在多少个虚拟机及其合规性状态：

搜索并打开“Azure Monitor”。

选择“虚拟机”>“概述”>“其他加入选项”。然后，在“使用策略启用”下，选择“启用”。

此时会打开“用于 VM 的 Azure Monitor 策略覆盖范围”页面。

下表描述了“用于 VM 的 Azure Monitor 策略覆盖范围”页上显示的合规性信息。

函数	说明
范围	应用计划的管理组或订阅。
我的角色	你在范围内的角色。角色可以是读取者、所有者、参与者；如果你有权访问订阅，但无权访问其所属的管理组，那么角色也可以为空。角色决定了可以查看哪些数据，以及是否可以分配策略或计划（所有者）、编辑它们或查看合规性。
VM 总数	范围内的 VM 总数，无论其状态如何。对于管理组，此数字是所有相关订阅或子管理组中的 VM 数之和。
分配覆盖范围	计划涵盖的 VM 百分比。分配计划时，在分配中选择的范围可以是列出的范围或其子集。例如，如果为订阅（计划范围）而不是管理组（覆盖范围）创建分配，则“分配覆盖率”的值指示计划范围内的 VM 除以覆盖范围内的 VM。另举一例。你可能会从策略范围中排除某些 VM、资源组或订阅。如果该值为空白，表示策略或计划不存在，或者你没有权限。
分配状态	成功：Azure Monitor 代理或 Log Analytics 代理和依赖项代理部署在范围内的所有计算机上。警告：订阅不在管理组下。未启动：已添加新分配。锁定：对于管理组没有足够的特权。空白：不存在 VM 或未分配策略。
合规的 VM 数	同时安装了 Azure Monitor 代理或 Log Analytics 代理和依赖项代理的 VM 数。如果没有分配、范围内没有 VM，或者你没有相关权限，则此字段为空。
遵从性	整体合规性数值是不同合规资源的总和除以所有不同资源的总和。
符合性状态	合规：范围内的所有 VM 都部署了 Azure Monitor 代理或 Log Analytics 代理和依赖项代理，或者范围内的任何新 VM 都尚未经过评估。不合规：有些 VM 未启用，可能需要修正。未启动：已添加新分配。锁定：对于管理组没有足够的特权。空白：未分配策略。

选择省略号 (...) >“查看合规性”。

此时会显示“合规性”页面。它列出了与指定筛选器匹配的分配，并指示它们是否合规。
选择某个分配可查看其详细信息。此时会显示“计划合规性”页面。它列出了计划中的策略定义，并指出每项是否合规。

如果满足以下条件，则策略定义被视为不合规：
- 未部署 Azure Monitor 代理、Log Analytics 代理或依赖项代理。创建修正任务进行缓解。
- VM 映像 (OS) 未在策略定义中识别。策略只能验证已知的 Azure VM 映像。请查看文档，了解 VM OS 是否受支持。
- 计划范围中的某些 VM 连接到的 Log Analytics 工作区并非策略分配中指定的 Log Analytics 工作区。
选择某个策略定义以打开“策略合规性”页。