Hantera Azure Automation-data

Den här artikeln innehåller flera avsnitt som förklarar hur data skyddas och skyddas i en Azure 自動化 miljö.

TLS 1.2 för Azure 自動化

För att skydda data under överföring till Azure 自動化 rekommenderar vi starkt att du konfigurerar användningen av TLS 1.2 (Transport Layer Security). Följande är en lista över metoder eller klienter som kommunicerar via HTTPS till Automation-tjänsten:

  • Webhook-anrop

  • Hybrid Runbook Workers, som omfattar datorer som hanteras av Uppdateringshantering och Seguimiento de cambios e inventario.

  • DSC-noder

Äldre versioner av TLS/Secure Sockets Layer (SSL) har visat sig vara sårbara och även om de fortfarande arbetar för att tillåta bakåtkompatibilitet rekommenderas de inte. Vi rekommenderar inte att du uttryckligen anger att din agent endast ska använda TLS 1.2 om det inte är nödvändigt, eftersom det kan bryta säkerhetsfunktioner på plattformsnivå som gör att du automatiskt kan identifiera och dra nytta av nyare säkrare protokoll när de blir tillgängliga, till exempel TLS 1.3.

Information om stöd för TLS 1.2 med Log Analytics-agenten för Windows och Linux, som är ett beroende för Hybrid Runbook Worker-rollen, finns i Log Analytics-agentöversikt – TLS 1.2.

Plattformsspecifik vägledning

Plattform/språk Support Mer information
Linux Linux-distributioner brukar förlita sig på stöd för OpenSSL för TLS 1.2. Kontrollera OpenSSL-ändringsloggen för att bekräfta att din version av OpenSSL stöds.
Windows 8.0 – 10 Stöds och aktiveras som standard. Bekräfta att du fortfarande använder standardinställningarna.
Windows Server 2012 - 2016 Stöds och aktiveras som standard. Bekräfta att du fortfarande använder standardinställningarna
Windows 7 SP1 och Windows Server 2008 R2 SP1 Stöds men är inte aktiverat som standard. Mer information om hur du aktiverar finns på sidan för TLS-registerinställningar (Transport Layer Security ).

Datakvarhållning

När du tar bort en resurs i Azure 自動化 behålls den i många dagar i granskningssyfte innan den tas bort permanent. Du kan inte se eller använda resursen under den här tiden. Den här principen gäller även för resurser som tillhör ett borttaget Automation-konto. Kvarhållningsprincipen gäller för alla användare och kan för närvarande inte anpassas. Men om du behöver behålla data under en längre period kan du vidarebefordra Azure 自動化 jobbdata till Azure Monitor-loggar.

I följande tabell sammanfattas kvarhållningsprincipen för olika resurser.

Data Policy
Konton Ett konto tas bort permanent 30 dagar efter att en användare har tagit bort det.
Tillgångar En tillgång tas bort permanent 30 dagar efter att en användare har tagit bort den, eller 30 dagar efter att en användare tar bort ett konto som innehåller tillgången. Tillgångar omfattar variabler, scheman, autentiseringsuppgifter, certifikat, Python 2-paket och anslutningar.
DSC-noder En DSC-nod tas bort permanent 30 dagar efter att den har avregistrerats från ett Automation-konto med hjälp av Azure-Portal eller cmdleten Unregister-AzAutomationDscNode i Windows PowerShell. En nod tas också bort permanent 30 dagar efter att en användare har tagit bort kontot som innehåller noden.
Jobb Ett jobb tas bort och tas bort permanent 30 dagar efter ändringen, till exempel när jobbet har slutförts, har stoppats eller inaktiverats.
Moduler En modul tas bort permanent 30 dagar efter att en användare har tagit bort den, eller 30 dagar efter att en användare har tagit bort kontot som innehåller modulen.
Nodkonfigurationer/MOF-filer En gammal nodkonfiguration tas bort permanent 30 dagar efter att en ny nodkonfiguration har genererats.
Nodrapporter En nodrapport tas bort permanent 90 dagar efter att en ny rapport har genererats för den noden.
Runbooks En runbook tas bort permanent 30 dagar efter att en användare har tagit bort resursen, eller 30 dagar efter att en användare har tagit bort kontot som innehåller resursen1.

1 Runbooken kan återställas inom 30-dagarsperioden genom att skicka in en pomoc techniczna platformy Azure incident med Microsoft Azure-supporten. Gå till pomoc techniczna platformy Azure webbplats och välj Skicka en supportbegäran.

Säkerhetskopiering av data

När du tar bort ett Automation-konto i Azure tas alla objekt i kontot bort. Objekten omfattar runbooks, moduler, konfigurationer, inställningar, jobb och tillgångar. De kan inte återställas när kontot har tagits bort. Du kan använda följande information för att säkerhetskopiera innehållet i ditt Automation-konto innan du tar bort det.

Runbooks

Du kan exportera dina runbooks till skriptfiler med hjälp av antingen cmdleten Azure-Portal eller Get-AzureAutomationRunbookDefinition i Windows PowerShell. Du kan importera skriptfilerna till ett annat Automation-konto enligt beskrivningen i Hantera runbooks i Azure 自動化.

Integreringsmoduler

Du kan inte exportera integreringsmoduler från Azure 自動化. De måste göras tillgängliga utanför Automation-kontot.

Tillgångar

Du kan inte exportera Azure 自動化 tillgångar: certifikat, anslutningar, autentiseringsuppgifter, scheman och variabler. I stället kan du använda cmdletarna Azure-Portal och Azure för att anteckna informationen om dessa tillgångar. Använd sedan den här informationen för att skapa tillgångar som används av runbooks som du importerar till ett annat Automation-konto.

Du kan inte hämta värdena för krypterade variabler eller lösenordsfälten för autentiseringsuppgifter med hjälp av cmdletar. Om du inte känner till dessa värden kan du hämta dem i en runbook. Information om hur du hämtar variabelvärden finns i Variabeltillgångar i Azure 自動化. Mer information om hur du hämtar värden för autentiseringsuppgifter finns i Autentiseringstillgångar i Azure 自動化.

DSC-konfigurationer

Du kan exportera DSC-konfigurationerna till skriptfiler med hjälp av antingen cmdleten Azure-Portal eller Export-AzAutomationDscConfiguration i Windows PowerShell. Du kan importera och använda dessa konfigurationer i ett annat Automation-konto.

Geo-replikering i Azure 自動化

Geo-replikering är standard i Azure 自動化 konton. Du väljer en primär region när du konfigurerar ditt konto. Den interna automationstjänsten för geo-replikering tilldelar automatiskt kontot en sekundär region. Tjänsten säkerhetskopierar sedan kontinuerligt kontodata från den primära regionen till den sekundära regionen. Den fullständiga listan över primära och sekundära regioner finns i Replikering mellan regioner i Azure: Affärskontinuitet och haveriberedskap.

Säkerhetskopian som skapas av automations geo-replikeringstjänsten är en fullständig kopia av Automation-tillgångar, konfigurationer och liknande. Den här säkerhetskopieringen kan användas om den primära regionen slutar fungera och förlorar data. Om det är osannolikt att data för en primär region går förlorade försöker Microsoft återställa dem.

Anteckning

Azure 自動化 lagrar kunddata i den region som kunden har valt. För BCDR lagras Azure 自動化 data i en annan region (länkad Azure-region) för alla regioner utom Brasilien, södra och Sydostasien. Endast för regionen Brasilien, södra (Delstaten Sao Paulo) i Brasilien och regionen Sydostasien (Singapore) i asien och stillahavsområdet, lagrar vi Azure 自動化 data i samma region för att hantera datahemvistkrav för dessa regioner.

Automations geo-replikeringstjänst är inte tillgänglig direkt för externa kunder om det uppstår ett regionalt fel. Om du vill underhålla Automation-konfiguration och runbooks under regionala fel:

  1. Välj en sekundär region som ska kopplas till den geografiska regionen för ditt primära Automation-konto.

  2. Skapa ett Automation-konto i den sekundära regionen.

  3. Exportera runbooks som skriptfiler i det primära kontot.

  4. Importera runbooks till ditt Automation-konto i den sekundära regionen.

Nästa steg