问题描述
在分配一组策略中包含了很多修正任务时候,从门户上,只能选择一个修正任务执行。
如下图:
是否有好的办法,执行全部的修正任务呢?
问题解答
从Azure门户的设计来看,只能选择一个修正任务是设计使然。如果想批量执行全部的修正任务,需要使用PowerShell脚本来循环执行。
详细步骤:
第一步:设置分配ID(Assignment ID)参数
在门户上Assignment ID的全部内容格式为:/subscriptions/{subscriptions id}/providers/microsoft.authorization/policyassignments/f2c53c0fe9af0eb6e223041f,最后一部分{policyassignments/{Assignment ID}}就是脚本中所使用的Assignment ID
$InitiativeAssignmentID = "<myInitiativeAssignment>"
第二步:获取不合规策略的修正任务列表
根据Assignment ID过滤策略中使用 deployIfNotExists ,modify,append 的策略信息
$RemediatablePolicies = Get-AzPolicyState | Where-Object { $_.PolicyAssignmentName -eq $InitiativeAssignmentID -and ($_.PolicyDefinitionAction -eq "deployIfNotExists" -or $_.PolicyDefinitionAction -eq "modify" -or $_.PolicyDefinitionAction -eq "append") } | select-object PolicyDefinitionReferenceId, PolicyAssignmentId -Unique
第三步:循环创建修正任务
foreach ($policy in $RemediatablePolicies) {$remediationName = "rem." + $policy.PolicyDefinitionReferenceIdStart-AzPolicyRemediation -Name $remediationName -PolicyAssignmentId $policy.PolicyAssignmentId -PolicyDefinitionReferenceId $policy.PolicyDefinitionReferenceId -ResourceDiscoveryMode ReEvaluateCompliance }
执行后的效果如下图:
参考资料
Automating Azure Remediation for Policy Initiatives with Azure PowerShell : https://techcommunity.microsoft.com/blog/azurepaasblog/automating-azure-remediation-for-policy-initiatives-with-azure-powershell/4113485
