Compartilhar via

Criar um perfil personalizado no Gerenciamento Automatizado do Azure para VMs

  • Artigo

O Gerenciamento Automatizado do Azure para Virtual Machines inclui perfis de práticas recomendadas padrão que não podem ser editados. No entanto, se precisar de mais flexibilidade, você pode escolher o conjunto de serviços e configurações criando um perfil personalizado.

O Gerenciamento Automatizado dá suporte a serviços de agregação ON e OFF. Atualmente, também damos suporte a configurações de personalização no Backup do Azure e no Microsoft Antimalware. Você também pode especificar um workspace do Log Analytics existente. Além disso, somente em computadores Windows, você pode modificar os modos de auditoria das linhas de base de segurança do Azure na Configuração de Convidado.

O gerenciamento automatizado permite marcar os seguintes recursos no perfil personalizado:

  • Grupo de recursos
  • Conta de Automação
  • Workspace do Log Analytics
  • Cofre de recuperação

Verifique o modelo de ARM para modificar essas configurações.

Criar um perfil personalizado no portal do Azure

Entrar no Azure

Entre no portal do Azure.

Criar um perfil personalizado

  1. Na barra de pesquisa, procure e selecione Gerenciamento Automatizado – Melhores práticas para computadores do Azure.

  2. Selecione Perfis de Configuração no sumário.

  3. Selecione o botão Criar para criar o perfil personalizado

  4. Na folha Criar novo perfil, preencha os detalhes:

    1. Nome do Perfil
    2. Subscription
    3. Grupo de recursos
    4. Região

    Fill out custom profile details.

  5. Ajuste o perfil com os serviços e as configurações desejados e selecione Criar.

Criar um perfil personalizado usando modelos do Azure Resource Manager

O modelo do ARM a seguir criará um perfil personalizado de Gerenciamento Automatizado. Informações sobre o modelo do ARM e as etapas para implantação estão localizadas na seção de implantação do modelo do ARM.

Observação

Se você quiser usar um workspace específico do log analytics, especifique a ID do workspace da seguinte maneira: "/subscriptions/subscriptionId/resourceGroups/resourceGroupName/providers/Microsoft.OperationalInsights/workspaces/workspaceName"

{
    "$schema": "http://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json",
    "contentVersion": "1.0.0.0",
    "parameters": {
      "customProfileName": {
        "type": "string"
      },
      "location": {
        "type": "string"
      },
      "azureSecurityBaselineAssignmentType": {
        "type": "string",
        "allowedValues": [
          "ApplyAndAutoCorrect",
          "ApplyAndMonitor",
          "Audit"
        ]
      },
        "logAnalyticsWorkspace": {
            "type": "String"
        },
        "LogAnalyticsBehavior": {
            "defaultValue": false,
            "type": "Bool"
        }
    },
    "resources": [
      {
        "type": "Microsoft.Automanage/configurationProfiles",
        "apiVersion": "2022-05-04",
        "name": "[parameters('customProfileName')]",
        "location": "[parameters('location')]",
        "properties": {
            "configuration": {
              "Antimalware/Enable": true,
              "Antimalware/EnableRealTimeProtection": true,
              "Antimalware/RunScheduledScan": true,
              "Antimalware/ScanType": "Quick",
              "Antimalware/ScanDay": "7",
              "Antimalware/ScanTimeInMinutes": "120",
              "AzureSecurityBaseline/Enable": true,
              "AzureSecurityBaseline/AssignmentType": "[parameters('azureSecurityBaselineAssignmentType')]",
              "Backup/Enable": true,
              "Backup/PolicyName": "dailyBackupPolicy",
              "Backup/TimeZone": "UTC",
              "Backup/InstantRpRetentionRangeInDays": "2",
              "Backup/SchedulePolicy/ScheduleRunFrequency": "Daily",
              "Backup/SchedulePolicy/ScheduleRunTimes": [
                  "2017-01-26T00:00:00Z"
              ],
              "Backup/SchedulePolicy/SchedulePolicyType": "SimpleSchedulePolicy",
              "Backup/RetentionPolicy/RetentionPolicyType": "LongTermRetentionPolicy",
              "Backup/RetentionPolicy/DailySchedule/RetentionTimes": [
                  "2017-01-26T00:00:00Z"
              ],
              "Backup/RetentionPolicy/DailySchedule/RetentionDuration/Count": "180",
              "Backup/RetentionPolicy/DailySchedule/RetentionDuration/DurationType": "Days",
              "BootDiagnostics/Enable": true,
              "ChangeTrackingAndInventory/Enable": true,
              "DefenderForCloud/Enable": true,
              "LogAnalytics/Enable": true,
              "LogAnalytics/Reprovision": "[parameters('LogAnalyticsBehavior')]",
              "LogAnalytics/Workspace": "[parameters('logAnalyticsWorkspace')]",
              "LogAnalytics/UseAma": true,
              "UpdateManagement/Enable": true,
              "VMInsights/Enable": true,
              "WindowsAdminCenter/Enable": true,
              "Tags/ResourceGroup": {
                "foo": "rg"
              },
              "Tags/AzureAutomation": {
                "foo": "automationAccount"
              },
              "Tags/LogAnalyticsWorkspace": {
                "foo": "workspace"
              },
              "Tags/RecoveryVault": {
                "foo": "recoveryVault"
              }
          }
        }
      }
    ]
  }

Implantação do modelo do ARM

Esse modelo do ARM cria um perfil de configuração personalizado que você pode atribuir ao seu computador especificado.

O valor customProfileName é o nome do perfil de configuração personalizado que você deseja criar.

O valor location é a região na qual você deseja armazenar esse perfil de configuração personalizado. Observe que você pode atribuir esse perfil a qualquer computador com suporte em qualquer região.

O azureSecurityBaselineAssignmentType é o modo de auditoria que você pode escolher para a linha de base de segurança do servidor do Azure. Suas opções são

  • ApplyAndAutoCorrect: essa configuração aplica a linha de base de segurança do Azure pela extensão de Configuração de Convidado e, se alguma configuração da linha de base for alterada, nós a corrigiremos automaticamente para que ela permaneça em conformidade.
  • ApplyAndMonitor: essa configuração aplica a linha de base de segurança do Azure pela extensão de Configuração de Convidado quando você atribui esse perfil a cada máquina pela primeira vez. Depois de aplicado, o serviço de configuração de convidado monitorará a linha de base do servidor e relatará qualquer desvio do estado desejado. No entanto, ele não será corrigido automaticamente.
  • Auditoria: essa configuração instala a linha de base de segurança do Azure usando a extensão de Configuração de Convidado. Você pode verificar onde seu computador está fora de conformidade com a linha de base, mas a não conformidade não é corrigida automaticamente.

O valor LogAnalytics/UseAma é onde você pode especificar para usar ou não o Agente do Azure Monitor.

Você também pode especificar um workspace do Log Analytics existente adicionando essa configuração à seção de configuração das propriedades abaixo:

  • "LogAnalytics/Workspace": "/subscriptions/subscriptionId/resourceGroups/resourceGroupName/providers/Microsoft.OperationalInsights/workspaces/workspaceName"
  • "LogAnalytics/Reprovision": false Especifique seu workspace existente na linha LogAnalytics/Workspace. Defina a configuração LogAnalytics/Reprovisioncomo true se você quiser que esse workspace do Log Analytics seja usado em todos os casos. Qualquer computador com esse perfil personalizado usa esse espaço de trabalho, mesmo que já esteja conectado a um. Por padrão, LogAnalytics/Reprovision é definido como false. Se seu computador já estiver conectado a um espaço de trabalho, esse espaço de trabalho ainda será usado. Se não estiver conectado a um espaço de trabalho, o espaço de trabalho especificado em LogAnalytics\Workspace será usado.

Além disso, você pode adicionar marcas aos recursos especificados no perfil personalizado, como abaixo:

"Tags/ResourceGroup": {
    "foo": "rg"
},
"Tags/ResourceGroup/Behavior": "Preserve",
"Tags/AzureAutomation": {
  "foo": "automationAccount"
},
"Tags/AzureAutomation/Behavior": "Replace",
"Tags/LogAnalyticsWorkspace": {
  "foo": "workspace"
},
"Tags/LogAnalyticsWorkspace/Behavior": "Replace",
"Tags/RecoveryVault": {
  "foo": "recoveryVault"
},
"Tags/RecoveryVault/Behavior": "Preserve"

O Tags/Behavior pode ser definido como Preservar ou Substituir. Se o recurso que você está marcando já tiver a mesma chave de marca no par chave/valor, você poderá substituir essa chave pelo valor especificado no perfil de configuração usando o comportamento Substituir. Por padrão, o comportamento é definido como Preservar, o que significa que a chave de marca que já está associada a esse recurso será retida e não substituída pelo par chave/valor especificado no perfil de configuração.

Siga estas etapas para implantar o modelo do ARM:

  1. Salvar este modelo do ARM como azuredeploy.json
  2. Executar a implantação do modelo do ARM com az deployment group create --resource-group myResourceGroup --template-file azuredeploy.json
  3. Forneça os valores de customProfileName, location e azureSecurityBaselineAssignmentType quando solicitado
  4. Você está pronto para implantar

Assim como acontece com qualquer modelo do ARM, é possível fatorar os parâmetros em um arquivo azuredeploy.parameters.json separado e usá-lo como um argumento ao implantar.

Próximas etapas

Obtenha respostas para perguntas frequentes na nossa sessão de perguntas frequentes.

Perguntas frequentes