إنشاء ملف تعريف مخصص في Azure Automanage للأجهزة الظاهرية
تنبيه
في 31 أغسطس 2024، سيتم إيقاف كل من Automation Update Management وعامل Log Analytics الذي تستخدمه. قم بالترحيل إلى Azure Update Manager قبل ذلك. راجع إرشادات حول الترحيل إلى Azure Update Manager هنا. ترحيل الآن.
يتضمن Azure Automanage للأجهزة الظاهرية ملفات تعريف أفضل الممارسات الافتراضية التي لا يمكن تحريرها. ومع ذلك، إذا كنت بحاجة إلى مزيد من المرونة، يمكنك اختيار مجموعة الخدمات والإعدادات واختيارها عن طريق إنشاء ملف تعريف مخصص.
يدعم Automanage تبديل الخدمات قيد التشغيل وإيقاف التشغيل. كما أنه يدعم حاليا تخصيص الإعدادات على Azure Backup وMicrosoft Antimalware. يمكنك أيضا تحديد مساحة عمل تحليلات السجل الموجودة. أيضا، بالنسبة لأجهزة Windows فقط، يمكنك تعديل أوضاع التدقيق لخطوط أساس أمان Azure في تكوين الضيف.
يسمح لك Automanage بوضع علامة على الموارد التالية في ملف التعريف المخصص:
- مجموعة الموارد
- حساب التنفيذ التلقائي
- مساحة عمل Log Analytics
- Recovery Vault
تحقق من قالب ARM لتعديل هذه الإعدادات.
إنشاء ملف تعريف مخصص في مدخل Microsoft Azure
تسجيل الدخول إلى Azure
قم بتسجيل الدخول إلى بوابة Azure.
إنشاء ملف تعريف مخصص
في شريط البحث، ابحث عن وحدد الإدارة التلقائية - أفضل ممارسات جهاز Azure.
حدد ملفات تعريف التكوين في جدول المحتويات.
حدد الزر إنشاء لإنشاء ملف التعريف المخصص
في شفرة إنشاء ملف تعريف جديد، املأ التفاصيل:
- اسم الملف الشخصي
- الاشتراك
- مجموعة الموارد
- المنطقة
اضبط ملف التعريف مع الخدمات والإعدادات المطلوبة وحدد إنشاء.
إنشاء ملف تعريف مخصص باستخدام قوالب Azure Resource Manager
ينشئ قالب ARM التالي ملف تعريف مخصص لأجهزة Automanage. توجد تفاصيل حول قالب ARM وخطوات حول كيفية النشر في قسم توزيع قالب ARM.
إشعار
إذا كنت تريد استخدام مساحة عمل معينة لتحليلات السجل، فحدد معرف مساحة العمل مثل هذا: "/subscriptions/subscriptionId/resourceGroups/resourceGroupName/providers/Microsoft.OperationalInsights/workspaceName"
{
"$schema": "http://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json",
"contentVersion": "1.0.0.0",
"parameters": {
"customProfileName": {
"type": "string"
},
"location": {
"type": "string"
},
"azureSecurityBaselineAssignmentType": {
"type": "string",
"allowedValues": [
"ApplyAndAutoCorrect",
"ApplyAndMonitor",
"Audit"
]
},
"logAnalyticsWorkspace": {
"type": "String"
},
"LogAnalyticsBehavior": {
"defaultValue": false,
"type": "Bool"
}
},
"resources": [
{
"type": "Microsoft.Automanage/configurationProfiles",
"apiVersion": "2022-05-04",
"name": "[parameters('customProfileName')]",
"location": "[parameters('location')]",
"properties": {
"configuration": {
"Antimalware/Enable": true,
"Antimalware/EnableRealTimeProtection": true,
"Antimalware/RunScheduledScan": true,
"Antimalware/ScanType": "Quick",
"Antimalware/ScanDay": "7",
"Antimalware/ScanTimeInMinutes": "120",
"AzureSecurityBaseline/Enable": true,
"AzureSecurityBaseline/AssignmentType": "[parameters('azureSecurityBaselineAssignmentType')]",
"Backup/Enable": true,
"Backup/PolicyName": "dailyBackupPolicy",
"Backup/TimeZone": "UTC",
"Backup/InstantRpRetentionRangeInDays": "2",
"Backup/SchedulePolicy/ScheduleRunFrequency": "Daily",
"Backup/SchedulePolicy/ScheduleRunTimes": [
"2017-01-26T00:00:00Z"
],
"Backup/SchedulePolicy/SchedulePolicyType": "SimpleSchedulePolicy",
"Backup/RetentionPolicy/RetentionPolicyType": "LongTermRetentionPolicy",
"Backup/RetentionPolicy/DailySchedule/RetentionTimes": [
"2017-01-26T00:00:00Z"
],
"Backup/RetentionPolicy/DailySchedule/RetentionDuration/Count": "180",
"Backup/RetentionPolicy/DailySchedule/RetentionDuration/DurationType": "Days",
"BootDiagnostics/Enable": true,
"ChangeTrackingAndInventory/Enable": true,
"DefenderForCloud/Enable": true,
"LogAnalytics/Enable": true,
"LogAnalytics/Reprovision": "[parameters('LogAnalyticsBehavior')]",
"LogAnalytics/Workspace": "[parameters('logAnalyticsWorkspace')]",
"LogAnalytics/UseAma": true,
"UpdateManagement/Enable": true,
"VMInsights/Enable": true,
"WindowsAdminCenter/Enable": true,
"Tags/ResourceGroup": {
"foo": "rg"
},
"Tags/AzureAutomation": {
"foo": "automationAccount"
},
"Tags/LogAnalyticsWorkspace": {
"foo": "workspace"
},
"Tags/RecoveryVault": {
"foo": "recoveryVault"
}
}
}
}
]
}
توزيع قالب ARM
ينشئ قالب ARM هذا ملف تعريف تكوين مخصص يمكنك تعيينه إلى الجهاز المحدد.
customProfileName القيمة هي اسم ملف تعريف التكوين المخصص الذي ترغب في إنشائه.
location القيمة هي المنطقة التي ترغب في تخزين ملف تعريف التكوين المخصص هذا فيها. ملاحظة، يمكنك تعيين ملف التعريف هذا إلى أي أجهزة مدعومة في أي منطقة.
azureSecurityBaselineAssignmentType هو وضع التدقيق الذي يمكنك اختياره لأساس أمان خادم Azure. خياراتك هي
- ApplyAndAutoCorrect : يطبق هذا الإعداد أساس أمان Azure من خلال ملحق تكوين الضيف، وإذا كان هناك أي إعداد داخل انحرافات الأساس، فسنقوم بالمعالجة التلقائية للإعداد بحيث يظل متوافقا.
- ApplyAndMonitor: يطبق هذا الإعداد أساس أمان Azure من خلال نطاق تكوين الضيف عند تعيين ملف التعريف هذا لأول مرة لكل جهاز. بعد تطبيقها، ستقوم خدمة تكوين الضيف بمراقبة أساس الخادم والإبلاغ عن أي انحراف عن الحالة المطلوبة. ومع ذلك، فإنه لن تتم المعالجة التلقائية.
- التدقيق: يقوم هذا الإعداد بتثبيت أساس أمان Azure باستخدام ملحق تكوين الضيف. يمكنك معرفة مكان عدم توافق جهازك مع الأساس، ولكن لا تتم معالجة عدم التوافق تلقائيا.
LogAnalytics/UseAma القيمة هي المكان الذي يمكنك تحديده لاستخدام عامل Azure Monitor أم لا.
يمكنك أيضا تحديد مساحة عمل تحليلات السجل الموجودة عن طريق إضافة هذا الإعداد إلى قسم التكوين للخصائص أدناه:
- "LogAnalytics/Workspace": "/subscriptions/subscriptionId/resourceGroups/resourceGroupName/providers/Microsoft.OperationalInsights/workspaces/workspaceName"
- "LogAnalytics/Reprovision": خطأ حدد مساحة العمل الموجودة في
LogAnalytics/Workspaceالسطر.LogAnalytics/Reprovisionقم بتعيين الإعداد إلى true إذا كنت ترغب في استخدام مساحة عمل تحليلات السجل هذه في جميع الحالات. ثم يستخدم أي جهاز مع ملف التعريف المخصص هذا مساحة العمل هذه، حتى أنه متصل بالفعل بمساحة واحدة. بشكل افتراضي،LogAnalytics/Reprovisionيتم تعيين إلى false. إذا كان جهازك متصلا بالفعل بمساحة عمل، فلا تزال مساحة العمل هذه مستخدمة. إذا لم تكن متصلة بمساحة عمل، استخدام مساحة العمل المحددة فيLogAnalytics\Workspace.
يمكنك أيضا إضافة علامات إلى الموارد المحددة في ملف التعريف المخصص كما يلي:
"Tags/ResourceGroup": {
"foo": "rg"
},
"Tags/ResourceGroup/Behavior": "Preserve",
"Tags/AzureAutomation": {
"foo": "automationAccount"
},
"Tags/AzureAutomation/Behavior": "Replace",
"Tags/LogAnalyticsWorkspace": {
"foo": "workspace"
},
"Tags/LogAnalyticsWorkspace/Behavior": "Replace",
"Tags/RecoveryVault": {
"foo": "recoveryVault"
},
"Tags/RecoveryVault/Behavior": "Preserve"
Tags/Behavior يمكن تعيين إما إلى الاحتفاظ أو استبدال. إذا كان المورد الذي تقوم بوضع علامات عليه يحتوي بالفعل على نفس مفتاح العلامة في زوج المفتاح/القيمة، يمكنك استبدال هذا المفتاح بالقيمة المحددة في ملف تعريف التكوين باستخدام سلوك استبدال . بشكل افتراضي، يتم تعيين السلوك إلى الاحتفاظ، مما يعني أن مفتاح العلامة المقترن بالفعل بهذا المورد يتم الاحتفاظ به ولا تتم الكتابة فوقه بواسطة زوج المفتاح/القيمة المحدد في ملف تعريف التكوين.
اتبع هذه الخطوات لنشر قالب ARM:
- احفظ قالب ARM هذا باسم
azuredeploy.json - تشغيل نشر قالب ARM هذا باستخدام
az deployment group create --resource-group myResourceGroup --template-file azuredeploy.json - توفير قيم customProfileName والموقع وazureSecurityBaselineAssignmentType عند مطالبتك
- أنت جاهز للنشر
كما هو الحال مع أي قالب ARM، من الممكن وضع المعلمات في ملف منفصل azuredeploy.parameters.json واستخدامها كوسيطة عند النشر.
الخطوات التالية
احصل على الأسئلة الأكثر شيوعا التي تم الإجابة عنها في الأسئلة المتداولة.