Tworzenie profilu niestandardowego w usłudze Azure Automanage dla maszyn wirtualnych

  • Artykuł

Usługa Azure Automanage for Virtual Machines obejmuje domyślne profile najlepszych rozwiązań, których nie można edytować. Jeśli jednak potrzebujesz większej elastyczności, możesz wybrać i wybrać zestaw usług i ustawień, tworząc profil niestandardowy.

Funkcja Automanage obsługuje przełączanie usług WŁ. i WYŁ. Obecnie obsługuje również dostosowywanie ustawień w usługach Azure Backup i Microsoft Antimalware. Możesz również określić istniejący obszar roboczy usługi Log Analytics. Ponadto tylko w przypadku maszyn z systemem Windows można modyfikować tryby inspekcji dla punktów odniesienia zabezpieczeń platformy Azure w konfiguracji gościa.

Funkcja Automanage umożliwia tagowanie następujących zasobów w profilu niestandardowym:

  • Grupa zasobów
  • Konto usługi Automation
  • Obszar roboczy usługi Log Analytics
  • Magazyn odzyskiwania

Zapoznaj się z szablonem usługi ARM, aby zmodyfikować te ustawienia.

Tworzenie profilu niestandardowego w witrynie Azure Portal

Logowanie się do platformy Azure

Zaloguj się w witrynie Azure Portal.

Tworzenie profilu niestandardowego

  1. Na pasku wyszukiwania wyszukaj i wybierz pozycję Automanage — Azure machine best practices (Najlepsze rozwiązania dotyczące maszyn platformy Azure).

  2. Wybierz pozycję Profile konfiguracji w spisie treści.

  3. Wybierz przycisk Utwórz, aby utworzyć profil niestandardowy

  4. W bloku Tworzenie nowego profilu wypełnij szczegóły:

    1. Nazwa profilu
    2. Subskrypcja
    3. Grupa zasobów
    4. Region

    Fill out custom profile details.

  5. Dostosuj profil przy użyciu żądanych usług i ustawień, a następnie wybierz pozycję Utwórz.

Tworzenie profilu niestandardowego przy użyciu szablonów usługi Azure Resource Manager

Poniższy szablon usługi ARM tworzy profil niestandardowy automanage. Szczegółowe informacje na temat szablonu usługi ARM i kroków wdrażania znajdują się w sekcji wdrażanie szablonu usługi ARM.

Uwaga

Jeśli chcesz użyć określonego obszaru roboczego usługi Log Analytics, określ identyfikator obszaru roboczego w następujący sposób: "/subscriptions/subscriptionId/resourceGroups/resourceGroupName/providers/Microsoft.Operational Szczegółowe informacje/workspaces/workspaceName"

{
    "$schema": "http://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json",
    "contentVersion": "1.0.0.0",
    "parameters": {
      "customProfileName": {
        "type": "string"
      },
      "location": {
        "type": "string"
      },
      "azureSecurityBaselineAssignmentType": {
        "type": "string",
        "allowedValues": [
          "ApplyAndAutoCorrect",
          "ApplyAndMonitor",
          "Audit"
        ]
      },
        "logAnalyticsWorkspace": {
            "type": "String"
        },
        "LogAnalyticsBehavior": {
            "defaultValue": false,
            "type": "Bool"
        }
    },
    "resources": [
      {
        "type": "Microsoft.Automanage/configurationProfiles",
        "apiVersion": "2022-05-04",
        "name": "[parameters('customProfileName')]",
        "location": "[parameters('location')]",
        "properties": {
            "configuration": {
              "Antimalware/Enable": true,
              "Antimalware/EnableRealTimeProtection": true,
              "Antimalware/RunScheduledScan": true,
              "Antimalware/ScanType": "Quick",
              "Antimalware/ScanDay": "7",
              "Antimalware/ScanTimeInMinutes": "120",
              "AzureSecurityBaseline/Enable": true,
              "AzureSecurityBaseline/AssignmentType": "[parameters('azureSecurityBaselineAssignmentType')]",
              "Backup/Enable": true,
              "Backup/PolicyName": "dailyBackupPolicy",
              "Backup/TimeZone": "UTC",
              "Backup/InstantRpRetentionRangeInDays": "2",
              "Backup/SchedulePolicy/ScheduleRunFrequency": "Daily",
              "Backup/SchedulePolicy/ScheduleRunTimes": [
                  "2017-01-26T00:00:00Z"
              ],
              "Backup/SchedulePolicy/SchedulePolicyType": "SimpleSchedulePolicy",
              "Backup/RetentionPolicy/RetentionPolicyType": "LongTermRetentionPolicy",
              "Backup/RetentionPolicy/DailySchedule/RetentionTimes": [
                  "2017-01-26T00:00:00Z"
              ],
              "Backup/RetentionPolicy/DailySchedule/RetentionDuration/Count": "180",
              "Backup/RetentionPolicy/DailySchedule/RetentionDuration/DurationType": "Days",
              "BootDiagnostics/Enable": true,
              "ChangeTrackingAndInventory/Enable": true,
              "DefenderForCloud/Enable": true,
              "LogAnalytics/Enable": true,
              "LogAnalytics/Reprovision": "[parameters('LogAnalyticsBehavior')]",
              "LogAnalytics/Workspace": "[parameters('logAnalyticsWorkspace')]",
              "UpdateManagement/Enable": true,
              "VMInsights/Enable": true,
              "WindowsAdminCenter/Enable": true,
              "Tags/ResourceGroup": {
                "foo": "rg"
              },
              "Tags/AzureAutomation": {
                "foo": "automationAccount"
              },
              "Tags/LogAnalyticsWorkspace": {
                "foo": "workspace"
              },
              "Tags/RecoveryVault": {
                "foo": "recoveryVault"
              }
          }
        }
      }
    ]
  }

Wdrażanie szablonu usługi ARM

Ten szablon usługi ARM tworzy niestandardowy profil konfiguracji, który można przypisać do określonej maszyny.

Wartość customProfileName to nazwa niestandardowego profilu konfiguracji, który chcesz utworzyć.

Wartość location to region, w którym chcesz przechowywać ten niestandardowy profil konfiguracji. Należy pamiętać, że ten profil można przypisać do wszystkich obsługiwanych maszyn w dowolnym regionie.

Jest azureSecurityBaselineAssignmentType to tryb inspekcji, który można wybrać dla punktu odniesienia zabezpieczeń serwera platformy Azure. Dostępne są twoje opcje

  • ApplyAndAutoCorrect: to ustawienie stosuje punkt odniesienia zabezpieczeń platformy Azure za pośrednictwem rozszerzenia Konfiguracja gościa, a jeśli jakiekolwiek ustawienie w ramach dryfów odniesienia, automatycznie korygujemy to ustawienie, aby pozostanie zgodne.
  • ApplyAndMonitor: to ustawienie stosuje punkt odniesienia zabezpieczeń platformy Azure za pośrednictwem zakresu Konfiguracji gościa podczas pierwszego przypisywania tego profilu do każdej maszyny. Po zastosowaniu usługa konfiguracji gościa będzie monitorować punkt odniesienia serwera i zgłaszać wszelkie dryfy z żądanego stanu. Jednak nie będzie automatycznie remdiate.
  • Inspekcja: to ustawienie instaluje punkt odniesienia zabezpieczeń platformy Azure przy użyciu rozszerzenia Konfiguracja gościa. Możesz zobaczyć, gdzie maszyna jest niezgodna z punktem odniesienia, ale niezgodność nie jest automatycznie korygowana.

Możesz również określić istniejący obszar roboczy usługi Log Analytics, dodając to ustawienie do sekcji konfiguracji właściwości poniżej:

  • "LogAnalytics/Workspace": "/subscriptions/subscriptionId/resourceGroups/resourceGroupName/providers/Microsoft.Operational Szczegółowe informacje/workspaces/workspaceName"
  • "LogAnalytics/Reprovision": false Określ istniejący obszar roboczy w LogAnalytics/Workspace wierszu. Ustaw ustawienie na true, LogAnalytics/Reprovision jeśli chcesz, aby ten obszar roboczy usługi Log Analytics był używany we wszystkich przypadkach. Każda maszyna z tym profilem niestandardowym używa tego obszaru roboczego, nawet jeśli jest już połączona z nim. Domyślnie parametr LogAnalytics/Reprovision ma wartość false. Jeśli maszyna jest już połączona z obszarem roboczym, ten obszar roboczy jest nadal używany. Jeśli nie jest połączony z obszarem roboczym, zostanie użyty obszar roboczy określony w LogAnalytics\Workspace .

Ponadto możesz dodać tagi do zasobów określonych w profilu niestandardowym, jak pokazano poniżej:

"Tags/ResourceGroup": {
    "foo": "rg"
},
"Tags/ResourceGroup/Behavior": "Preserve",
"Tags/AzureAutomation": {
  "foo": "automationAccount"
},
"Tags/AzureAutomation/Behavior": "Replace",
"Tags/LogAnalyticsWorkspace": {
  "foo": "workspace"
},
"Tags/LogAnalyticsWorkspace/Behavior": "Replace",
"Tags/RecoveryVault": {
  "foo": "recoveryVault"
},
"Tags/RecoveryVault/Behavior": "Preserve"

Tags/Behavior Można ustawić opcję Zachowaj lub Zamień. Jeśli zasób, który tagujesz, ma już ten sam klucz tagu w parze klucz/wartość, możesz zastąpić ten klucz określoną wartością w profilu konfiguracji, używając zachowania Zamień . Domyślnie zachowanie jest ustawione na Zachowaj, co oznacza, że klucz tagu, który jest już skojarzony z tym zasobem, jest zachowywany i nie zastępowany przez parę klucz/wartość określona w profilu konfiguracji.

Wykonaj następujące kroki, aby wdrożyć szablon usługi ARM:

  1. Zapisz ten szablon usługi ARM jako azuredeploy.json
  2. Uruchom to wdrożenie szablonu usługi ARM za pomocą polecenia az deployment group create --resource-group myResourceGroup --template-file azuredeploy.json
  3. Podaj wartości customProfileName, location i azureSecurityBaselineAssignmentType po wyświetleniu monitu
  4. Wszystko jest gotowe do wdrożenia

Podobnie jak w przypadku dowolnego szablonu usługi ARM, można uwzględnić parametry w osobnym azuredeploy.parameters.json pliku i użyć go jako argumentu podczas wdrażania.

Następne kroki

Uzyskaj odpowiedzi na najczęściej zadawane pytania.

Często zadawane pytania