Creare un profilo personalizzato in Gestione automatica di Azure per le macchine virtuali

  • Articolo

Gestione automatica di Azure per Macchine virtuali include profili di procedura consigliata predefiniti che non possono essere modificati. Tuttavia, se è necessaria maggiore flessibilità, è possibile scegliere e scegliere il set di servizi e impostazioni creando un profilo personalizzato.

La gestione automatica supporta l'attivazione/disattivazione dei servizi on e OFF. Attualmente supporta anche la personalizzazione delle impostazioni in Backup di Azure e Microsoft Antimalware. È anche possibile specificare un'area di lavoro Log Analytics esistente. Inoltre, solo per i computer Windows, è possibile modificare le modalità di controllo per le baseline di sicurezza di Azure in Configurazione guest.

La gestione automatica consente di contrassegnare le risorse seguenti nel profilo personalizzato:

  • Gruppo di risorse
  • Account di automazione
  • Area di lavoro Log Analytics
  • Insieme di credenziali di ripristino

Per modificare queste impostazioni, vedere il modello di Resource Manager.

Creare un profilo personalizzato nel portale di Azure

Accedere ad Azure

Accedi al portale di Azure.

Creare un profilo personalizzato

  1. Nella barra di ricerca cercare e selezionare Gestione automatica - Procedure consigliate per i computer di Azure.

  2. Selezionare Profili di configurazione nel sommario.

  3. Selezionare il pulsante Crea per creare il profilo personalizzato

  4. Nel pannello Crea nuovo profilo compilare i dettagli:

    1. Nome profilo
    2. Subscription
    3. Gruppo di risorse
    4. Area

    Fill out custom profile details.

  5. Modificare il profilo con i servizi e le impostazioni desiderati e selezionare Crea.

Creare un profilo personalizzato usando i modelli di Azure Resource Manager

Il modello di Resource Manager seguente crea un profilo personalizzato di gestione automatica. I dettagli sul modello di Resource Manager e i passaggi su come eseguire la distribuzione si trovano nella sezione relativa alla distribuzione del modello di Resource Manager.

Nota

Se si vuole usare un'area di lavoro log analytics specifica, specificare l'ID dell'area di lavoro in questo modo: "/subscriptions/subscriptionId/resourceGroups/resourceGroupName/providers/Microsoft.OperationalInsights/workspaces/workspaceName"

{
    "$schema": "http://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json",
    "contentVersion": "1.0.0.0",
    "parameters": {
      "customProfileName": {
        "type": "string"
      },
      "location": {
        "type": "string"
      },
      "azureSecurityBaselineAssignmentType": {
        "type": "string",
        "allowedValues": [
          "ApplyAndAutoCorrect",
          "ApplyAndMonitor",
          "Audit"
        ]
      },
        "logAnalyticsWorkspace": {
            "type": "String"
        },
        "LogAnalyticsBehavior": {
            "defaultValue": false,
            "type": "Bool"
        }
    },
    "resources": [
      {
        "type": "Microsoft.Automanage/configurationProfiles",
        "apiVersion": "2022-05-04",
        "name": "[parameters('customProfileName')]",
        "location": "[parameters('location')]",
        "properties": {
            "configuration": {
              "Antimalware/Enable": true,
              "Antimalware/EnableRealTimeProtection": true,
              "Antimalware/RunScheduledScan": true,
              "Antimalware/ScanType": "Quick",
              "Antimalware/ScanDay": "7",
              "Antimalware/ScanTimeInMinutes": "120",
              "AzureSecurityBaseline/Enable": true,
              "AzureSecurityBaseline/AssignmentType": "[parameters('azureSecurityBaselineAssignmentType')]",
              "Backup/Enable": true,
              "Backup/PolicyName": "dailyBackupPolicy",
              "Backup/TimeZone": "UTC",
              "Backup/InstantRpRetentionRangeInDays": "2",
              "Backup/SchedulePolicy/ScheduleRunFrequency": "Daily",
              "Backup/SchedulePolicy/ScheduleRunTimes": [
                  "2017-01-26T00:00:00Z"
              ],
              "Backup/SchedulePolicy/SchedulePolicyType": "SimpleSchedulePolicy",
              "Backup/RetentionPolicy/RetentionPolicyType": "LongTermRetentionPolicy",
              "Backup/RetentionPolicy/DailySchedule/RetentionTimes": [
                  "2017-01-26T00:00:00Z"
              ],
              "Backup/RetentionPolicy/DailySchedule/RetentionDuration/Count": "180",
              "Backup/RetentionPolicy/DailySchedule/RetentionDuration/DurationType": "Days",
              "BootDiagnostics/Enable": true,
              "ChangeTrackingAndInventory/Enable": true,
              "DefenderForCloud/Enable": true,
              "LogAnalytics/Enable": true,
              "LogAnalytics/Reprovision": "[parameters('LogAnalyticsBehavior')]",
              "LogAnalytics/Workspace": "[parameters('logAnalyticsWorkspace')]",
              "UpdateManagement/Enable": true,
              "VMInsights/Enable": true,
              "WindowsAdminCenter/Enable": true,
              "Tags/ResourceGroup": {
                "foo": "rg"
              },
              "Tags/AzureAutomation": {
                "foo": "automationAccount"
              },
              "Tags/LogAnalyticsWorkspace": {
                "foo": "workspace"
              },
              "Tags/RecoveryVault": {
                "foo": "recoveryVault"
              }
          }
        }
      }
    ]
  }

Distribuzione di modelli di Resource Manager

Questo modello di Resource Manager crea un profilo di configurazione personalizzato che è possibile assegnare al computer specificato.

Il customProfileName valore è il nome del profilo di configurazione personalizzato che si vuole creare.

Il location valore è l'area in cui archiviare il profilo di configurazione personalizzato. Si noti che è possibile assegnare questo profilo a qualsiasi computer supportato in qualsiasi area.

azureSecurityBaselineAssignmentType è la modalità di controllo che è possibile scegliere per la baseline di sicurezza del server di Azure. Le opzioni disponibili sono

  • ApplyAndAutoCorrect: questa impostazione applica la baseline di sicurezza di Azure tramite l'estensione Configurazione guest e, se un'impostazione all'interno delle deviazioni di base, verrà corretta automaticamente l'impostazione in modo che rimanga conforme.
  • ApplyAndMonitor: questa impostazione applica la baseline di sicurezza di Azure tramite l'estensione Configurazione guest quando si assegna questo profilo per la prima volta a ogni computer. Dopo l'applicazione, il servizio Configurazione guest monitorerà la linea di base del server e segnala eventuali deviazioni dallo stato desiderato. Tuttavia, non verrà automaticamente rimdiate.
  • Audit : questa impostazione installa la baseline di sicurezza di Azure usando l'estensione Configurazione guest. È possibile vedere dove il computer non è conforme alla baseline, ma la mancata conformità non viene risolta automaticamente.

È anche possibile specificare un'area di lavoro Log Analytics esistente aggiungendo questa impostazione alla sezione di configurazione delle proprietà seguenti:

  • "LogAnalytics/Workspace": "/subscriptions/subscriptionId/resourceGroups/resourceGroupName/providers/Microsoft.OperationalInsights/workspaces/workspaceName"
  • "LogAnalytics/Reprovision": false Specificare l'area LogAnalytics/Workspace di lavoro esistente nella riga. Impostare l'impostazione LogAnalytics/Reprovision su true se si vuole usare questa area di lavoro Log Analytics in tutti i casi. Qualsiasi computer con questo profilo personalizzato usa quindi questa area di lavoro, anche se è già connessa a una. Per impostazione predefinita, l'oggetto LogAnalytics/Reprovision è impostato su false. Se il computer è già connesso a un'area di lavoro, tale area di lavoro viene ancora usata. Se non è connesso a un'area di lavoro, verrà usata l'area di lavoro specificata in LogAnalytics\Workspace .

È anche possibile aggiungere tag alle risorse specificate nel profilo personalizzato, come indicato di seguito:

"Tags/ResourceGroup": {
    "foo": "rg"
},
"Tags/ResourceGroup/Behavior": "Preserve",
"Tags/AzureAutomation": {
  "foo": "automationAccount"
},
"Tags/AzureAutomation/Behavior": "Replace",
"Tags/LogAnalyticsWorkspace": {
  "foo": "workspace"
},
"Tags/LogAnalyticsWorkspace/Behavior": "Replace",
"Tags/RecoveryVault": {
  "foo": "recoveryVault"
},
"Tags/RecoveryVault/Behavior": "Preserve"

Può Tags/Behavior essere impostato su Preserve o Replace. Se la risorsa che si sta contrassegnando ha già la stessa chiave del tag nella coppia chiave/valore, è possibile sostituire tale chiave con il valore specificato nel profilo di configurazione usando il comportamento Sostituisci . Per impostazione predefinita, il comportamento è impostato su Preserve, ovvero la chiave del tag già associata a tale risorsa viene mantenuta e non sovrascritta dalla coppia chiave/valore specificata nel profilo di configurazione.

Per distribuire il modello di Resource Manager, seguire questa procedura:

  1. Salvare questo modello di Resource Manager come azuredeploy.json
  2. Eseguire la distribuzione di questo modello di Resource Manager con az deployment group create --resource-group myResourceGroup --template-file azuredeploy.json
  3. Specificare i valori per customProfileName, location e azureSecurityBaselineAssignmentType quando richiesto
  4. Si è pronti per la distribuzione

Come per qualsiasi modello di Resource Manager, è possibile prendere in considerazione i parametri in un file separato azuredeploy.parameters.json e usarli come argomento durante la distribuzione.

Passaggi successivi

Ottenere le domande più frequenti risposte nelle domande frequenti.

Domande frequenti