Creación de un perfil personalizado en Azure Automanage para máquinas virtuales

  • Artículo

Azure Automanage para Virtual Machines incluye perfiles predeterminados de procedimientos recomendados que no se pueden editar. Aun así, si necesita más flexibilidad, puede elegir el conjunto de servicios y la configuración mediante la creación de un perfil personalizado.

Automanage admite la activación y desactivación de servicios. Actualmente también admite la personalización de ajustes en Azure Backup y Microsoft Antimalware. También puede especificar un área de trabajo de Log Analytics existente. Además, solo para máquinas de Windows, puede modificar los modos de auditoría de las líneas de base de seguridad de Azure en Configuración de invitado.

Automanage le permite etiquetar los siguientes recursos en el perfil personalizado:

  • Grupo de recursos
  • Cuenta de Automation
  • Área de trabajo de Log Analytics
  • Almacén de recuperación

Consulte la plantilla de ARM para modificar esta configuración.

Creación de un perfil personalizado en Azure Portal

Inicio de sesión en Azure

Inicie sesión en Azure Portal.

Crear un perfil personalizado

  1. En la barra de búsqueda, busque y seleccione Automanage: procedimientos recomendados para máquinas de Azure.

  2. Seleccione Perfiles de configuración en la tabla de contenido.

  3. Seleccione el botón Crear para crear el perfil personalizado.

  4. En la hoja Crear perfil, rellene los detalles:

    1. Nombre del perfil
    2. Subscription
    3. Grupo de recursos
    4. Región

    Fill out custom profile details.

  5. Ajuste el perfil con los servicios y la configuración deseados y seleccione Crear.

Creación de un perfil personalizado con plantillas de Azure Resource Manager

La siguiente plantilla de ARM crea un perfil personalizado de Automanage. Los detalles sobre la plantilla de ARM y los pasos sobre cómo implementarla se encuentran en la sección de implementación de la plantilla de ARM.

Nota:

Si quiere usar un área de trabajo de Log Analytics específica, especifique el identificador del área de trabajo de la siguiente manera: "/subscriptions/IdSuscripción/resourceGroups/nombreGrupoRecursos/providers/Microsoft.OperationalInsights/workspaces/nombreÁreaTrabajo"

{
    "$schema": "http://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json",
    "contentVersion": "1.0.0.0",
    "parameters": {
      "customProfileName": {
        "type": "string"
      },
      "location": {
        "type": "string"
      },
      "azureSecurityBaselineAssignmentType": {
        "type": "string",
        "allowedValues": [
          "ApplyAndAutoCorrect",
          "ApplyAndMonitor",
          "Audit"
        ]
      },
        "logAnalyticsWorkspace": {
            "type": "String"
        },
        "LogAnalyticsBehavior": {
            "defaultValue": false,
            "type": "Bool"
        }
    },
    "resources": [
      {
        "type": "Microsoft.Automanage/configurationProfiles",
        "apiVersion": "2022-05-04",
        "name": "[parameters('customProfileName')]",
        "location": "[parameters('location')]",
        "properties": {
            "configuration": {
              "Antimalware/Enable": true,
              "Antimalware/EnableRealTimeProtection": true,
              "Antimalware/RunScheduledScan": true,
              "Antimalware/ScanType": "Quick",
              "Antimalware/ScanDay": "7",
              "Antimalware/ScanTimeInMinutes": "120",
              "AzureSecurityBaseline/Enable": true,
              "AzureSecurityBaseline/AssignmentType": "[parameters('azureSecurityBaselineAssignmentType')]",
              "Backup/Enable": true,
              "Backup/PolicyName": "dailyBackupPolicy",
              "Backup/TimeZone": "UTC",
              "Backup/InstantRpRetentionRangeInDays": "2",
              "Backup/SchedulePolicy/ScheduleRunFrequency": "Daily",
              "Backup/SchedulePolicy/ScheduleRunTimes": [
                  "2017-01-26T00:00:00Z"
              ],
              "Backup/SchedulePolicy/SchedulePolicyType": "SimpleSchedulePolicy",
              "Backup/RetentionPolicy/RetentionPolicyType": "LongTermRetentionPolicy",
              "Backup/RetentionPolicy/DailySchedule/RetentionTimes": [
                  "2017-01-26T00:00:00Z"
              ],
              "Backup/RetentionPolicy/DailySchedule/RetentionDuration/Count": "180",
              "Backup/RetentionPolicy/DailySchedule/RetentionDuration/DurationType": "Days",
              "BootDiagnostics/Enable": true,
              "ChangeTrackingAndInventory/Enable": true,
              "DefenderForCloud/Enable": true,
              "LogAnalytics/Enable": true,
              "LogAnalytics/Reprovision": "[parameters('LogAnalyticsBehavior')]",
              "LogAnalytics/Workspace": "[parameters('logAnalyticsWorkspace')]",
              "LogAnalytics/UseAma": true,
              "UpdateManagement/Enable": true,
              "VMInsights/Enable": true,
              "WindowsAdminCenter/Enable": true,
              "Tags/ResourceGroup": {
                "foo": "rg"
              },
              "Tags/AzureAutomation": {
                "foo": "automationAccount"
              },
              "Tags/LogAnalyticsWorkspace": {
                "foo": "workspace"
              },
              "Tags/RecoveryVault": {
                "foo": "recoveryVault"
              }
          }
        }
      }
    ]
  }

Implementación de la plantilla de ARM

Esta plantilla de ARM crea un perfil de configuración personalizado que puede asignar a la máquina especificada.

El valor customProfileName es el nombre del perfil de configuración personalizado que quiere crear.

El valor location es la región donde quiere almacenar este perfil de configuración personalizado. Tenga en cuenta que puede asignar este perfil a cualquier máquina compatible de cualquier región.

azureSecurityBaselineAssignmentType es el modo de auditoría que puede elegir para la línea de base de seguridad del servidor de Azure. Tendrá las siguientes opciones

  • ApplyAndAutoCorrect: esta opción aplica la línea base de seguridad de Azure a través de la extensión de configuración de invitado y, si alguna configuración dentro de la línea de base se desvía, se corregirá automáticamente para que siga siendo conforme.
  • ApplyAndMonitor: esta opción aplica la línea base de seguridad de Azure a través de la extensión de configuración de invitado cuando asigne este perfil por primera vez a cada máquina. Una vez aplicado, el servicio de configuración de invitado supervisará la línea base del servidor e informará de cualquier desviación del estado deseado, pero no se actualizará de forma automática.
  • Audit: esta opción instala la línea base de seguridad de Azure mediante la extensión de configuración de invitado. Podrá ver en qué lugar la máquina no cumple la línea base, pero el incumplimiento no se corrige automáticamente.

El valor LogAnalytics/UseAma es donde puede especificar si usar el agente de Azure Monitor o no.

También puede especificar un área de trabajo de Log Analytics existente agregando esta opción a la sección de configuración de las propiedades siguientes:

  • "LogAnalytics/Workspace": "/subscriptions/IdSuscripción/resourceGroups/nombreGrupoRecursos/providers/Microsoft.OperationalInsights/workspaces/nombreÁreaTrabajo"
  • "LogAnalytics/Reprovision": false Especifique el área de trabajo existente en la línea LogAnalytics/Workspace. Cambie el parámetro LogAnalytics/Reprovision a true si quiere que esta área de trabajo de Log Analytics se use en todos los casos. Cualquier máquina con este perfil personalizado usará esta área de trabajo, incluso si ya está conectada a una. De manera predeterminada, LogAnalytics/Reprovision está establecido en false. Si la máquina ya está conectada a un área de trabajo, se seguirá usando esa área de trabajo. Si no está conectada a un área de trabajo, se usará el área de trabajo especificada en LogAnalytics\Workspace.

Además, puede agregar etiquetas a los recursos especificados en el perfil personalizado, como se indica a continuación:

"Tags/ResourceGroup": {
    "foo": "rg"
},
"Tags/ResourceGroup/Behavior": "Preserve",
"Tags/AzureAutomation": {
  "foo": "automationAccount"
},
"Tags/AzureAutomation/Behavior": "Replace",
"Tags/LogAnalyticsWorkspace": {
  "foo": "workspace"
},
"Tags/LogAnalyticsWorkspace/Behavior": "Replace",
"Tags/RecoveryVault": {
  "foo": "recoveryVault"
},
"Tags/RecoveryVault/Behavior": "Preserve"

Tags/Behavior puede establecerse en Preserve o Replace. Si el recurso que está etiquetando ya tiene la misma clave de etiqueta en el par clave-valor, puede reemplazar esa clave por el valor especificado en el perfil de configuración con el comportamiento Replace. De forma predeterminada, el comportamiento se establece en Preserve, lo que significa que la clave de etiqueta que ya está asociada a ese recurso se mantendrá y no se sobrescribirá con el par clave-valor especificado en el perfil de configuración.

Siga estos pasos para implementar la plantilla de ARM:

  1. Guarde esta plantilla de ARM como azuredeploy.json
  2. Ejecute esta implementación de la plantilla de ARM con az deployment group create --resource-group myResourceGroup --template-file azuredeploy.json
  3. Proporcione los valores de customProfileName, location y azureSecurityBaselineAssignmentType cuando se le solicite.
  4. Está listo para la implementación

Al igual que con cualquier plantilla de ARM, se pueden simplificar los parámetros en un archivo azuredeploy.parameters.json independiente y usarlo como argumento al implementar.

Pasos siguientes

Consulte las preguntas más frecuentes respondidas en nuestra sección de preguntas más frecuentes.

Preguntas más frecuentes