Megosztás a következőn keresztül:

Egyéni profil létrehozása az Azure Automanage for VM-ben

  • Cikk

Figyelemfelhívás

2024. augusztus 31-én az Automation Update Management és az általa használt Log Analytics-ügynök is megszűnik. Ezt megelőzően migráljon az Azure Update Managerbe. Az Azure Update Managerbe való migrálásról itt talál útmutatást. Migrálás most.

Az Azure Automanage for Virtual Machines alapértelmezett ajánlott eljárásprofilokat tartalmaz, amelyek nem szerkeszthetők. Ha azonban nagyobb rugalmasságra van szüksége, egyéni profil létrehozásával kiválaszthatja és kiválaszthatja a szolgáltatások és beállítások készletét.

Az Automanage támogatja a szolgáltatások be- és kikapcsolását. Jelenleg az Azure Backup és a Microsoft Antimalware beállításainak testreszabását is támogatja. Megadhat egy meglévő log analytics-munkaterületet is. Emellett csak Windows rendszerű gépek esetén módosíthatja az Azure biztonsági alapkonfigurációinak naplózási módjait a vendégkonfigurációban.

Az automanage lehetővé teszi a következő erőforrások címkézését az egyéni profilban:

  • Erőforráscsoport
  • Automation-fiók
  • Log Analytics-munkaterület
  • Helyreállítási tár

A beállítások módosításához tekintse meg az ARM-sablont .

Egyéni profil létrehozása az Azure Portalon

Bejelentkezés az Azure-ba

Jelentkezzen be az Azure Portalra.

Egyéni profil létrehozása

  1. A keresősávon keresse meg és válassza ki az Automanage – Azure machine ajánlott eljárásait.

  2. Válassza ki a konfigurációs profilokat a tartalomjegyzékben.

  3. Válassza a Létrehozás gombot az egyéni profil létrehozásához

  4. Az Új profil létrehozása panelen töltse ki a részleteket:

    1. Profilnév
    2. Előfizetés
    3. Erőforráscsoport
    4. Régió

    Adja meg az egyéni profil adatait.

  5. Módosítsa a profilt a kívánt szolgáltatásokkal és beállításokkal, és válassza a Létrehozás lehetőséget.

Egyéni profil létrehozása Azure Resource Manager-sablonok használatával

Az alábbi ARM-sablon létrehoz egy automanage egyéni profilt. Az ARM-sablon részletei és az üzembe helyezés lépései az ARM-sablon üzembe helyezési szakaszában találhatók.

Feljegyzés

Ha egy adott log analytics-munkaterületet szeretne használni, adja meg a munkaterület azonosítóját a következőhöz hasonlóan: "/subscriptions/subscriptionId/resourceGroups/resourceGroupName/providers/Microsoft.OperationalInsights/workspaces/workspaceName"

{
    "$schema": "http://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json",
    "contentVersion": "1.0.0.0",
    "parameters": {
      "customProfileName": {
        "type": "string"
      },
      "location": {
        "type": "string"
      },
      "azureSecurityBaselineAssignmentType": {
        "type": "string",
        "allowedValues": [
          "ApplyAndAutoCorrect",
          "ApplyAndMonitor",
          "Audit"
        ]
      },
        "logAnalyticsWorkspace": {
            "type": "String"
        },
        "LogAnalyticsBehavior": {
            "defaultValue": false,
            "type": "Bool"
        }
    },
    "resources": [
      {
        "type": "Microsoft.Automanage/configurationProfiles",
        "apiVersion": "2022-05-04",
        "name": "[parameters('customProfileName')]",
        "location": "[parameters('location')]",
        "properties": {
            "configuration": {
              "Antimalware/Enable": true,
              "Antimalware/EnableRealTimeProtection": true,
              "Antimalware/RunScheduledScan": true,
              "Antimalware/ScanType": "Quick",
              "Antimalware/ScanDay": "7",
              "Antimalware/ScanTimeInMinutes": "120",
              "AzureSecurityBaseline/Enable": true,
              "AzureSecurityBaseline/AssignmentType": "[parameters('azureSecurityBaselineAssignmentType')]",
              "Backup/Enable": true,
              "Backup/PolicyName": "dailyBackupPolicy",
              "Backup/TimeZone": "UTC",
              "Backup/InstantRpRetentionRangeInDays": "2",
              "Backup/SchedulePolicy/ScheduleRunFrequency": "Daily",
              "Backup/SchedulePolicy/ScheduleRunTimes": [
                  "2017-01-26T00:00:00Z"
              ],
              "Backup/SchedulePolicy/SchedulePolicyType": "SimpleSchedulePolicy",
              "Backup/RetentionPolicy/RetentionPolicyType": "LongTermRetentionPolicy",
              "Backup/RetentionPolicy/DailySchedule/RetentionTimes": [
                  "2017-01-26T00:00:00Z"
              ],
              "Backup/RetentionPolicy/DailySchedule/RetentionDuration/Count": "180",
              "Backup/RetentionPolicy/DailySchedule/RetentionDuration/DurationType": "Days",
              "BootDiagnostics/Enable": true,
              "ChangeTrackingAndInventory/Enable": true,
              "DefenderForCloud/Enable": true,
              "LogAnalytics/Enable": true,
              "LogAnalytics/Reprovision": "[parameters('LogAnalyticsBehavior')]",
              "LogAnalytics/Workspace": "[parameters('logAnalyticsWorkspace')]",
              "LogAnalytics/UseAma": true,
              "UpdateManagement/Enable": true,
              "VMInsights/Enable": true,
              "WindowsAdminCenter/Enable": true,
              "Tags/ResourceGroup": {
                "foo": "rg"
              },
              "Tags/AzureAutomation": {
                "foo": "automationAccount"
              },
              "Tags/LogAnalyticsWorkspace": {
                "foo": "workspace"
              },
              "Tags/RecoveryVault": {
                "foo": "recoveryVault"
              }
          }
        }
      }
    ]
  }

ARM-sablon üzembe helyezése

Ez az ARM-sablon létrehoz egy egyéni konfigurációs profilt, amelyet hozzárendelhet a megadott géphez.

Az customProfileName érték annak az egyéni konfigurációs profilnak a neve, amelyet létre szeretne hozni.

Az location érték az a régió, ahol tárolni szeretné ezt az egyéni konfigurációs profilt. Vegye figyelembe, hogy ezt a profilt bármely régióban bármely támogatott géphez hozzárendelheti.

Az azureSecurityBaselineAssignmentType Azure Server biztonsági alapkonfigurációjának naplózási módja. A lehetőségek a következők:

  • ApplyAndAutoCorrect: Ez a beállítás a Vendégkonfiguráció bővítményen keresztül alkalmazza az Azure biztonsági alapkonfigurációját, és ha az alapkonfiguráción belüli bármely beállítás eltér, automatikusan szervizeljük a beállítást, hogy az megfeleljen a követelményeknek.
  • ApplyAndMonitor: Ez a beállítás az Azure biztonsági alapkonfigurációját alkalmazza a vendégkonfiguráció hatókörén keresztül, amikor először rendeli hozzá ezt a profilt minden géphez. Az alkalmazás után a vendégkonfigurációs szolgáltatás figyeli a kiszolgáló alapkonfigurációját, és jelentést küld a kívánt állapottól való eltérésről. Ez azonban nem fog automatikusan újradiadiétát csinálni.
  • Naplózás: Ez a beállítás telepíti az Azure biztonsági alapkonfigurációját a Vendégkonfiguráció bővítmény használatával. Láthatja, hogy a gép hol nem felel meg az alapkonfigurációnak, de a nem megfelelőség nem lesz automatikusan orvosolva.

Itt LogAnalytics/UseAma adhatja meg az Azure Monitor-ügynök használatát.

Meglévő log analytics-munkaterületet is megadhat, ha hozzáadja ezt a beállítást az alábbi tulajdonságok konfigurációs szakaszához:

  • "LogAnalytics/Workspace": "/subscriptions/subscriptionId/resourceGroups/resourceGroups/resourceGroupName/providers/Microsoft.OperationalInsights/workspaces/workspaceName"
  • "LogAnalytics/Reprovision": false Adja meg a meglévő munkaterületet a LogAnalytics/Workspace sorban. Állítsa a LogAnalytics/Reprovision beállítást true (igaz) értékre, ha azt szeretné, hogy ez a log analytics-munkaterület minden esetben használható legyen. Az egyéni profillal rendelkező összes gép ezt a munkaterületet használja, még akkor is, ha már csatlakozik egyhez. Alapértelmezés szerint hamis LogAnalytics/Reprovision értékre van állítva. Ha a gép már csatlakozik egy munkaterülethez, akkor a munkaterület továbbra is használatban van. Ha nem csatlakozik munkaterülethez, akkor a rendszer a megadott LogAnalytics\Workspace munkaterületet használja.

Emellett címkéket is hozzáadhat az egyéni profilban megadott erőforrásokhoz, például az alábbiakhoz:

"Tags/ResourceGroup": {
    "foo": "rg"
},
"Tags/ResourceGroup/Behavior": "Preserve",
"Tags/AzureAutomation": {
  "foo": "automationAccount"
},
"Tags/AzureAutomation/Behavior": "Replace",
"Tags/LogAnalyticsWorkspace": {
  "foo": "workspace"
},
"Tags/LogAnalyticsWorkspace/Behavior": "Replace",
"Tags/RecoveryVault": {
  "foo": "recoveryVault"
},
"Tags/RecoveryVault/Behavior": "Preserve"

A Tags/Behavior beállítás megőrzhető vagy lecserélhető. Ha a címkézett erőforrás már ugyanazzal a címkekulcsmal rendelkezik a kulcs/érték párban, a Csere viselkedés használatával lecserélheti a kulcsot a konfigurációs profil megadott értékére. Alapértelmezés szerint a viselkedés Megőrzése értékre van állítva, ami azt jelenti, hogy az erőforráshoz már társított címkekulcs megmarad, és nem írja felül a konfigurációs profilban megadott kulcs/érték pár.

Az ARM-sablon üzembe helyezéséhez kövesse az alábbi lépéseket:

  1. Az ARM-sablon mentése azuredeploy.json
  2. Futtassa ezt az ARM-sablon üzembe helyezését a következővel: az deployment group create --resource-group myResourceGroup --template-file azuredeploy.json
  3. Adja meg a customProfileName, a location és az azureSecurityBaselineAssignmentType értékeit, amikor a rendszer kéri
  4. Készen áll az üzembe helyezésre

Mint minden ARM-sablon esetén, a paramétereket külön azuredeploy.parameters.json fájlba is bele lehet venni, és ezt argumentumként használhatja az üzembe helyezéskor.

Következő lépések

A gyIK-ben a leggyakrabban feltett kérdésekre kaphat választ.

Gyakori kérdések