VM용 Azure Automanage에서 사용자 지정 프로필 만들기
가상 머신용 Azure Automanage에는 편집할 수 없는 기본 모범 사례 프로필이 포함되어 있습니다. 그러나 유연성이 더 필요한 경우 사용자 지정 프로필을 만들어 서비스 및 설정 집합을 선택할 수 있습니다.
Automanage는 서비스 켜기 및 끄기 전환을 지원합니다. 또한 현재 Azure Backup Azure Backup 및 Microsoft Antimalware에서 설정 사용자 지정을 지원합니다. 기존 로그 분석 작업 영역을 지정할 수도 있습니다. 또한 Windows 머신에 한해 게스트 구성에서 Azure 보안 기준에 대한 감사 모드를 수정할 수 있습니다.
Automanage를 사용하면 사용자 지정 프로필에서 다음 리소스에 태그를 지정할 수 있습니다.
- 리소스 그룹
- Automation 계정
- Log Analytics 작업 영역
- 복구 자격 증명 모음
이러한 설정을 수정하려면 ARM 템플릿을 확인하세요.
Azure Portal 사용자 지정 프로필 만들기
Azure에 로그인
Azure Portal에 로그인합니다.
사용자 지정 프로필 만들기
검색 창에서 Automanage – Azure 가상 머신 모범 사례를 검색하고 선택합니다.
목차에서 구성 프로필을 선택합니다.
만들기 단추를 선택하여 사용자 지정 프로필을 만듭니다.
새 프로필 만들기 블레이드에서 세부 정보를 입력합니다.
- 프로필 이름
- 구독
- 리소스 그룹
- 지역
원하는 서비스 및 설정을 사용하여 프로필을 조정하고 만들기를 선택합니다.
Azure Resource Manager 템플릿을 사용하여 사용자 지정 프로필 만들기
다음 ARM 템플릿은 Automanage 사용자 지정 프로필을 만듭니다. ARM 템플릿에 대한 자세한 내용과 배포 방법에 대한 단계는 ARM 템플릿 배포 섹션에 있습니다.
참고 항목
특정 로그 분석 작업 영역을 사용하려면 "/subscriptions/subscriptionId/resourceGroups/resourceGroupName/providers/Microsoft.OperationalInsights/workspaces/workspaceName"와 같은 작업 영역의 ID를 지정합니다.
{
"$schema": "http://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json",
"contentVersion": "1.0.0.0",
"parameters": {
"customProfileName": {
"type": "string"
},
"location": {
"type": "string"
},
"azureSecurityBaselineAssignmentType": {
"type": "string",
"allowedValues": [
"ApplyAndAutoCorrect",
"ApplyAndMonitor",
"Audit"
]
},
"logAnalyticsWorkspace": {
"type": "String"
},
"LogAnalyticsBehavior": {
"defaultValue": false,
"type": "Bool"
}
},
"resources": [
{
"type": "Microsoft.Automanage/configurationProfiles",
"apiVersion": "2022-05-04",
"name": "[parameters('customProfileName')]",
"location": "[parameters('location')]",
"properties": {
"configuration": {
"Antimalware/Enable": true,
"Antimalware/EnableRealTimeProtection": true,
"Antimalware/RunScheduledScan": true,
"Antimalware/ScanType": "Quick",
"Antimalware/ScanDay": "7",
"Antimalware/ScanTimeInMinutes": "120",
"AzureSecurityBaseline/Enable": true,
"AzureSecurityBaseline/AssignmentType": "[parameters('azureSecurityBaselineAssignmentType')]",
"Backup/Enable": true,
"Backup/PolicyName": "dailyBackupPolicy",
"Backup/TimeZone": "UTC",
"Backup/InstantRpRetentionRangeInDays": "2",
"Backup/SchedulePolicy/ScheduleRunFrequency": "Daily",
"Backup/SchedulePolicy/ScheduleRunTimes": [
"2017-01-26T00:00:00Z"
],
"Backup/SchedulePolicy/SchedulePolicyType": "SimpleSchedulePolicy",
"Backup/RetentionPolicy/RetentionPolicyType": "LongTermRetentionPolicy",
"Backup/RetentionPolicy/DailySchedule/RetentionTimes": [
"2017-01-26T00:00:00Z"
],
"Backup/RetentionPolicy/DailySchedule/RetentionDuration/Count": "180",
"Backup/RetentionPolicy/DailySchedule/RetentionDuration/DurationType": "Days",
"BootDiagnostics/Enable": true,
"ChangeTrackingAndInventory/Enable": true,
"DefenderForCloud/Enable": true,
"LogAnalytics/Enable": true,
"LogAnalytics/Reprovision": "[parameters('LogAnalyticsBehavior')]",
"LogAnalytics/Workspace": "[parameters('logAnalyticsWorkspace')]",
"LogAnalytics/UseAma": true,
"UpdateManagement/Enable": true,
"VMInsights/Enable": true,
"WindowsAdminCenter/Enable": true,
"Tags/ResourceGroup": {
"foo": "rg"
},
"Tags/AzureAutomation": {
"foo": "automationAccount"
},
"Tags/LogAnalyticsWorkspace": {
"foo": "workspace"
},
"Tags/RecoveryVault": {
"foo": "recoveryVault"
}
}
}
}
]
}
ARM 템플릿 배포
이 ARM 템플릿은 지정된 컴퓨터에 할당할 수 있는 사용자 지정 구성 프로필을 만듭니다.
customProfileName 값은 만들려는 사용자 지정 구성 프로필의 이름입니다.
location 값은 이 사용자 지정 구성 프로필을 저장하려는 지역입니다. 이 프로필을 모든 지역의 지원되는 컴퓨터에 할당할 수 있습니다.
azureSecurityBaselineAssignmentType은 Azure 서버 보안 기준에 대해 선택할 수 있는 감사 모드입니다. 옵션은 다음과 같습니다.
- ApplyAndAutoCorrect: 이 설정은 게스트 구성 확장을 통해 Azure 보안 기준을 적용하며, 기준 드리프트 내에 설정이 있으면 규정을 준수하도록 설정을 자동으로 수정합니다.
- ApplyAndMonitor: 이 설정은 각 컴퓨터에 이 프로필을 처음 할당할 때 게스트 구성 범위를 통해 Azure 보안 기준을 적용합니다. 적용된 후 게스트 구성 서비스는 서버 기준을 모니터링하고 원하는 상태에서 드리프트를 보고합니다. 그러나 자동으로 수정되지는 않습니다.
- 감사: 이 설정은 게스트 구성 확장을 사용하여 Azure 보안 기준을 설치합니다. 컴퓨터가 기준을 준수하지 않는 위치를 확인할 수 있지만 비규격은 자동으로 수정되지 않습니다.
LogAnalytics/UseAma 값은 Azure Monitor 에이전트를 사용할지 여부를 지정할 수 있는 위치입니다.
아래 속성의 구성 섹션에 이 설정을 추가하여 기존 로그 분석 작업 영역을 지정할 수도 있습니다.
- "LogAnalytics/Workspace": "/subscriptions/subscriptionId/resourceGroups/resourceGroupName/providers/Microsoft.OperationalInsights/workspaces/workspaceName"
- "LogAnalytics/Reprovision": false
LogAnalytics/Workspace줄에서 기존 작업 영역을 지정합니다. 이 로그 분석 작업 영역을 모든 경우에 사용하려면LogAnalytics/Reprovision설정을 true로 설정합니다. 이 사용자 지정 프로필이 있는 모든 컴퓨터는 이미 연결되어 있더라도 이 작업 영역을 사용합니다. 기본적으로LogAnalytics/Reprovision은 false로 설정됩니다. 컴퓨터가 이미 작업 영역에 연결된 경우 해당 작업 영역이 계속 사용됩니다. 작업 영역에 연결되지 않은 경우LogAnalytics\Workspace에 지정된 작업 영역이 사용됩니다.
또한, 아래와 같이 사용자 지정 프로필에 지정된 리소스에 태그를 추가할 수 있습니다.
"Tags/ResourceGroup": {
"foo": "rg"
},
"Tags/ResourceGroup/Behavior": "Preserve",
"Tags/AzureAutomation": {
"foo": "automationAccount"
},
"Tags/AzureAutomation/Behavior": "Replace",
"Tags/LogAnalyticsWorkspace": {
"foo": "workspace"
},
"Tags/LogAnalyticsWorkspace/Behavior": "Replace",
"Tags/RecoveryVault": {
"foo": "recoveryVault"
},
"Tags/RecoveryVault/Behavior": "Preserve"
Tags/Behavior을 유지 또는 바꾸기로 설정할 수 있습니다. 태그를 지정하는 리소스의 키/값 쌍에 동일한 태그 키가 이미 있는 경우 바꾸기 동작을 사용하면 해당 키를 구성 프로필의 지정된 값으로 바꿀 수 있습니다. 기본적으로 동작은 유지로 설정됩니다. 즉, 해당 리소스와 이미 연결된 태그 키는 유지되며 구성 프로필에 지정된 키/값 쌍으로 덮어쓰지 않습니다.
다음 단계를 따라 ARM 템플릿을 배포합니다.
- 이 ARM 템플릿을
azuredeploy.json으로 저장합니다. az deployment group create --resource-group myResourceGroup --template-file azuredeploy.json으로 이 ARM 템플릿 배포 실행- 메시지가 표시되면 customProfileName, location 및 azureSecurityBaselineAssignmentType에 대한 값을 제공합니다.
- 배포할 준비가 되었습니다!
모든 ARM 템플릿과 마찬가지로 매개 변수를 별도의 azuredeploy.parameters.json 파일로 빼내어 배포할 때 인수로 사용할 수 있습니다.
다음 단계
FAQ에서 가장 자주 묻는 질문과 대답을 확인하세요.