Partage via


Créer un profil personnalisé dans Azure Automanage pour les machines virtuelles

Attention

Le 31 août 2024, Automation Update Management et l’agent Log Analytics qu’il utilise seront mis hors service. Migrez vers Azure Update Manager avant cette date. Pour obtenir de l’aide sur la migration vers Azure Update Manager, cliquez ici. Migrer maintenant.

Azure Automanage pour Machines Virtuelles inclut des profils de bonnes pratiques par défaut qui ne peuvent pas être modifiés. Toutefois, si vous avez besoin de davantage de flexibilité, vous pouvez sélectionner et choisir l’ensemble de services et paramètres en créant un profil personnalisé.

Automanage prend en charge l’activation et la désactivation des services. Actuellement, il prend également en charge la personnalisation des paramètres sur la Sauvegarde Azure et Microsoft Antimalware. Vous pouvez également spécifier un espace de travail Log Analytics existant. En outre, pour les machines Windows uniquement, vous pouvez modifier les modes d’audit pour les Bases de référence de sécurité Azure dans la configuration Invité.

Automanage vous permet d’étiqueter les ressources suivantes dans le profil personnalisé :

  • Groupe de ressources
  • Compte Automation
  • Espace de travail Log Analytics
  • Coffre de récupération

Consultez le modèle ARM pour la modification de ces paramètres.

Créer un profil personnalisé dans le portail Azure

Connexion à Azure

Connectez-vous au portail Azure.

Créer un profil personnalisé

  1. Dans la barre de recherche, recherchez et sélectionnez Automanage - Azure machine best practices (Automanage - Bonnes pratiques pour les machines virtuelles Azure).

  2. Dans la table des matières, sélectionnez Profils de configuration.

  3. Sélectionnez le bouton Créer pour créer votre profil personnalisé

  4. Dans le panneau Créer un profil, entrez les détails suivants :

    1. Nom de profil
    2. Abonnement
    3. Groupe de ressources
    4. Région

    Entrez les détails du profil personnalisé.

  5. Ajustez le profil avec les services et paramètres souhaités, puis sélectionnez Créer.

Créer un profil personnalisé avec des modèles Azure Resource Manager

Le modèle ARM suivant crée un profil personnalisé Automanage. Pour plus d’informations sur le modèle ARM et les étapes de déploiement, reportez-vous à la section Déploiement de modèle ARM.

Remarque

Si vous souhaitez utiliser un espace de travail Log Analytics spécifique, spécifiez l’ID de cet espace de travail comme suit : « /subscriptions/subscriptionId/resourceGroups/resourceGroupName/providers/Microsoft.OperationalInsights/workspaces/workspaceName »

{
    "$schema": "http://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json",
    "contentVersion": "1.0.0.0",
    "parameters": {
      "customProfileName": {
        "type": "string"
      },
      "location": {
        "type": "string"
      },
      "azureSecurityBaselineAssignmentType": {
        "type": "string",
        "allowedValues": [
          "ApplyAndAutoCorrect",
          "ApplyAndMonitor",
          "Audit"
        ]
      },
        "logAnalyticsWorkspace": {
            "type": "String"
        },
        "LogAnalyticsBehavior": {
            "defaultValue": false,
            "type": "Bool"
        }
    },
    "resources": [
      {
        "type": "Microsoft.Automanage/configurationProfiles",
        "apiVersion": "2022-05-04",
        "name": "[parameters('customProfileName')]",
        "location": "[parameters('location')]",
        "properties": {
            "configuration": {
              "Antimalware/Enable": true,
              "Antimalware/EnableRealTimeProtection": true,
              "Antimalware/RunScheduledScan": true,
              "Antimalware/ScanType": "Quick",
              "Antimalware/ScanDay": "7",
              "Antimalware/ScanTimeInMinutes": "120",
              "AzureSecurityBaseline/Enable": true,
              "AzureSecurityBaseline/AssignmentType": "[parameters('azureSecurityBaselineAssignmentType')]",
              "Backup/Enable": true,
              "Backup/PolicyName": "dailyBackupPolicy",
              "Backup/TimeZone": "UTC",
              "Backup/InstantRpRetentionRangeInDays": "2",
              "Backup/SchedulePolicy/ScheduleRunFrequency": "Daily",
              "Backup/SchedulePolicy/ScheduleRunTimes": [
                  "2017-01-26T00:00:00Z"
              ],
              "Backup/SchedulePolicy/SchedulePolicyType": "SimpleSchedulePolicy",
              "Backup/RetentionPolicy/RetentionPolicyType": "LongTermRetentionPolicy",
              "Backup/RetentionPolicy/DailySchedule/RetentionTimes": [
                  "2017-01-26T00:00:00Z"
              ],
              "Backup/RetentionPolicy/DailySchedule/RetentionDuration/Count": "180",
              "Backup/RetentionPolicy/DailySchedule/RetentionDuration/DurationType": "Days",
              "BootDiagnostics/Enable": true,
              "ChangeTrackingAndInventory/Enable": true,
              "DefenderForCloud/Enable": true,
              "LogAnalytics/Enable": true,
              "LogAnalytics/Reprovision": "[parameters('LogAnalyticsBehavior')]",
              "LogAnalytics/Workspace": "[parameters('logAnalyticsWorkspace')]",
              "LogAnalytics/UseAma": true,
              "UpdateManagement/Enable": true,
              "VMInsights/Enable": true,
              "WindowsAdminCenter/Enable": true,
              "Tags/ResourceGroup": {
                "foo": "rg"
              },
              "Tags/AzureAutomation": {
                "foo": "automationAccount"
              },
              "Tags/LogAnalyticsWorkspace": {
                "foo": "workspace"
              },
              "Tags/RecoveryVault": {
                "foo": "recoveryVault"
              }
          }
        }
      }
    ]
  }

Déploiement de modèle ARM

Ce modèle ARM crée un profil de configuration personnalisé que vous pouvez attribuer à votre machine spécifiée.

La valeur customProfileName est le nom du profil de configuration personnalisé que vous souhaitez créer.

La valeur location est la région dans laquelle vous souhaitez stocker ce profil de configuration personnalisé. Notez que vous pouvez affecter ce profil à n’importe quelle machine prise en charge dans n’importe quelle région.

azureSecurityBaselineAssignmentType est le mode d’audit que vous pouvez choisir pour la base de référence de sécurité du serveur Azure. Vos options sont les suivantes :

  • ApplyAndAutoCorrect : ce paramètre applique la ligne de base de sécurité Azure via l’extension de configuration invité, et si un paramètre dans la ligne de base dérive, nous corrigerons automatiquement le paramètre afin qu’il reste conforme.
  • ApplyAndMonitor : ce paramètre applique la ligne de base de sécurité Azure via l’extension de configuration invité lorsque vous attribuez ce profil pour la première fois à chaque machine. Une fois appliqué, le service de configuration d’invité surveille la base de référence du serveur et signale toute dérive de l’état souhaité. Toutefois, il n’est pas automatiquement corrigé.
  • Audit : ce paramètre installe la ligne de base de sécurité Azure à l'aide de l'extension de configuration invité. Vous pouvez voir où votre machine n'est pas conforme à la ligne de base, mais la non-conformité n'est pas automatiquement corrigée.

La valeur LogAnalytics/UseAma est l’emplacement où vous pouvez spécifier d’utiliser l’agent Azure Monitor ou non.

Vous pouvez également spécifier un espace de travail Log Analytics existant en ajoutant ce paramètre à la section de configuration des propriétés ci-dessous :

  • « LogAnalytics/Workspace » : "/subscriptions/subscriptionId/resourceGroups/resourceGroupName/providers/Microsoft.OperationalInsights/workspaces/workspaceName »
  • « LogAnalytics/Reprovision » : false Spécifiez votre espace de travail existant dans la ligne LogAnalytics/Workspace. Définissez le paramètre LogAnalytics/Reprovision sur true si vous souhaitez que cet espace de travail Log Analytics soit utilisé dans tous les cas. Toute machine dotée de ce profil personnalisé utilise ensuite cet espace de travail, même si elle y est déjà connectée. Par défaut, LogAnalytics/Reprovision est défini sur false. Si votre machine est déjà connectée à un espace de travail, cet espace de travail est toujours utilisé. Si elle n’est pas connectée à un espace de travail, l’espace de travail spécifié dans LogAnalytics\Workspace sera utilisé.

En outre, vous pouvez ajouter des étiquettes aux ressources spécifiées dans le profil personnalisé, comme ci-dessous :

"Tags/ResourceGroup": {
    "foo": "rg"
},
"Tags/ResourceGroup/Behavior": "Preserve",
"Tags/AzureAutomation": {
  "foo": "automationAccount"
},
"Tags/AzureAutomation/Behavior": "Replace",
"Tags/LogAnalyticsWorkspace": {
  "foo": "workspace"
},
"Tags/LogAnalyticsWorkspace/Behavior": "Replace",
"Tags/RecoveryVault": {
  "foo": "recoveryVault"
},
"Tags/RecoveryVault/Behavior": "Preserve"

La valeur Tags/Behavior peut être définie sur Preserve (Conserver) ou Replace (Remplacer). Si la ressource que vous marquez possède déjà la même clé de balise dans la paire clé/valeur, vous pouvez remplacer cette clé par la valeur spécifiée dans le profil de configuration à l'aide du comportement Remplacer. Par défaut, le comportement est défini sur Preserve, ce qui signifie que la clé de balise déjà associée à cette ressource est conservée et n'est pas écrasée par la paire clé/valeur spécifiée dans le profil de configuration.

Suivez ces étapes pour déployer le modèle ARM :

  1. Enregistrez ce modèle ARM sous azuredeploy.json.
  2. Exécutez ce déploiement de modèle ARM à l’aide de la commande az deployment group create --resource-group myResourceGroup --template-file azuredeploy.json.
  3. Fournissez les valeurs pour customProfileName, location et azureSecurityBaselineAssignmentType lorsque vous y êtes invité
  4. Vous êtes prêt à effectuer le déploiement.

Comme avec n’importe quel modèle ARM, il est possible de factoriser les paramètres dans un fichier azuredeploy.parameters.json distinct et d’utiliser ce dernier en tant qu’argument lors du déploiement.

Étapes suivantes

Pour obtenir les réponses aux questions les plus fréquemment posées, consultez notre FAQ.