你当前正在访问 Microsoft Azure Global Edition 技术文档网站。如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站，请访问 https://docs.azure.cn。

使用 Azure Policy 在虚拟机创建过程中自动审核并强制实施备份

本文介绍了备份或合规性管理员如何确保所有业务关键型计算机都具有适当的备份和保留策略。

Azure 备份通过 Azure Policy 提供各种内置策略，可帮助你为 Azure 虚拟机（VM）自动配置备份。根据备份团队的结构和资源组织，可以从以下选项中选择最合适的策略，以确保有效且一致的备份管理。

Azure 虚拟机备份的 Azure 策略类型

下表列出了允许自动管理 Azure VM 实例备份的各种策略类型：

策略类型	DESCRIPTION
策略 1	将不带给定标记的 VM 上的备份配置到同一位置的现有恢复服务保管库。
策略 2	将具备给定标记的虚拟机上的备份设置到同一位置的一个现有恢复服务保管库中。
策略 3	使用默认策略将不带给定标记的 VM 上的备份配置到新的恢复服务保管库。
策略 4	在具有特定标记的 VM 上配置备份，并使用默认策略将其存储到新的恢复服务保管库中。

此策略使中央备份团队能够使用与受管理 VM 位于同一订阅和区域中的现有中央恢复服务保管库为 Azure 虚拟机配置备份。可以使用指定的标记从策略范围 中排除 特定 VM。

此策略与策略 1 相同，但有一个关键区别 - 如果策略范围中包含特定标记的虚拟机，则策略将 包含在 策略范围内。

此策略针对在专用资源组中组织的应用程序，并使用同一恢复服务库对其进行备份。它会自动管理此配置，并允许从具有特定标记的策略范围 中排除 虚拟机。

此策略的功能与策略 3 相同，但有一个关键区别 - 如果策略范围中包含特定标记的虚拟机，则策略将 包含在 策略范围内。

Azure 备份还提供仅限审核的策略 - 应为虚拟机启用 Azure 备份。此策略标识未启用备份但未应用任何备份配置的虚拟机，这有助于在不强制执行更改的情况下评估符合性。

下表列出了可用策略类型的受支持和不支持的方案：

策略类型	已支持	不支持
内置策略	目前仅 Azure VM 支持。确保分配期间指定的政策是虚拟机保留策略。了解此策略支持的 VM SKU 。
策略 1 和 2	- 一次可以分配到单个位置和订阅。若要为跨位置和订阅的 VM 启用备份，需要创建策略分配的多个实例，每个位置与订阅的组合都有一个。 - 指定用于备份的保管库和虚拟机可能位于不同的资源组中。	当前不支持管理组范围。
策略 3 和 4	可以一次分配到单个订阅（或订阅中的资源组）。

注意

还可以通过备份中心访问以下部分中描述的功能。备份中心是 Azure 中的一种统一管理体验。它使企业能够大规模管理、监视、操作和分析备份。使用此解决方案，你可以执行大多数密钥备份管理操作，而不必局限于单个保管库的范围。

本部分概述了分配策略 1 的端到端步骤。相同的说明适用于其他策略。分配后，策略会自动为在定义范围内创建的任何新 VM 配置备份。

若要为 Azure VM 备份分配策略 1，请执行以下步骤：

在 Azure 门户中，转到 “策略>创作>定义 ”，查看 Azure 资源中所有内置策略的列表。
在“策略定义”窗格中，根据“类别=备份”条件筛选列表，并选择名为“配置将不带给定标记的虚拟机备份到同一位置中的现有恢复服务保管库”的策略。
在所选策略窗格中，查看策略详细信息，然后选择“ 分配”。
在“分配策略”窗格的“基本”选项卡上，选择更多图标，该图标与“范围”对应。
在右侧上下文窗格中，选择要应用策略的订阅。

还可以选择资源组，以便策略仅适用于特定资源组中的 VM。
在参数选项卡上，为作用域中的 VM 选择要关联的位置、保管库和备份策略。

还可以指定标记名称和标记值的数组。包含给定标记的任何指定值的 VM 将从策略分配的范围中排除。

确保效果设置为 deployIfNotExists。
在“ 审阅+创建 ”选项卡上，选择“ 创建”。