Vytvoření vlastního profilu v Azure Automanage pro virtuální počítače
Upozornění
Dne 31. srpna 2024 bude služba Automation Update Management i agent Log Analytics, který používá, vyřazena. Před tím migrujte na Azure Update Manager. Pokyny k migraci na Azure Update Manager najdete tady. Migrovat.
Azure Automanage for Virtual Machines obsahuje výchozí profily osvědčených postupů, které není možné upravovat. Pokud ale potřebujete větší flexibilitu, můžete vybrat a zvolit sadu služeb a nastavení vytvořením vlastního profilu.
Automanage podporuje přepínání služeb ZAPNUTO a VYPNUTO. V současné době také podporuje přizpůsobení nastavení služby Azure Backup a Microsoft Antimalware. Můžete také zadat existující pracovní prostor služby Log Analytics. U počítačů s Windows můžete také upravit režimy auditu pro standardní hodnoty zabezpečení Azure v konfiguraci hosta.
Automanage umožňuje označit následující prostředky ve vlastním profilu:
- Skupina prostředků
- Účet Automation
- Pracovní prostor Log Analytics
- Trezor pro zotavení
Podívejte se na šablonu ARM pro úpravy těchto nastavení.
Vytvoření vlastního profilu na webu Azure Portal
Přihlášení k Azure
Přihlaste se k portálu Azure.
Vytvoření vlastního profilu
Na panelu hledání vyhledejte a vyberte Automanage – osvědčené postupy pro počítače Azure.
V obsahu vyberte Konfigurační profily .
Vyberte tlačítko Vytvořit a vytvořte vlastní profil.
V okně Vytvořit nový profil vyplňte podrobnosti:
- Název profilu
- Předplatné
- Skupina prostředků
- Oblast
Upravte profil s požadovanými službami a nastavením a vyberte Vytvořit.
Vytvoření vlastního profilu pomocí šablon Azure Resource Manageru
Následující šablona ARM vytvoří vlastní profil automanage. Podrobnosti o šabloně ARM a postupu nasazení najdete v části nasazení šablony ARM.
Poznámka:
Pokud chcete použít konkrétní pracovní prostor služby Log Analytics, zadejte ID pracovního prostoru takto: /subscriptions/subscriptionId/resourceGroups/resourceGroupName/providers/Microsoft.OperationalInsights/workspaces/workspaceName.
{
"$schema": "http://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json",
"contentVersion": "1.0.0.0",
"parameters": {
"customProfileName": {
"type": "string"
},
"location": {
"type": "string"
},
"azureSecurityBaselineAssignmentType": {
"type": "string",
"allowedValues": [
"ApplyAndAutoCorrect",
"ApplyAndMonitor",
"Audit"
]
},
"logAnalyticsWorkspace": {
"type": "String"
},
"LogAnalyticsBehavior": {
"defaultValue": false,
"type": "Bool"
}
},
"resources": [
{
"type": "Microsoft.Automanage/configurationProfiles",
"apiVersion": "2022-05-04",
"name": "[parameters('customProfileName')]",
"location": "[parameters('location')]",
"properties": {
"configuration": {
"Antimalware/Enable": true,
"Antimalware/EnableRealTimeProtection": true,
"Antimalware/RunScheduledScan": true,
"Antimalware/ScanType": "Quick",
"Antimalware/ScanDay": "7",
"Antimalware/ScanTimeInMinutes": "120",
"AzureSecurityBaseline/Enable": true,
"AzureSecurityBaseline/AssignmentType": "[parameters('azureSecurityBaselineAssignmentType')]",
"Backup/Enable": true,
"Backup/PolicyName": "dailyBackupPolicy",
"Backup/TimeZone": "UTC",
"Backup/InstantRpRetentionRangeInDays": "2",
"Backup/SchedulePolicy/ScheduleRunFrequency": "Daily",
"Backup/SchedulePolicy/ScheduleRunTimes": [
"2017-01-26T00:00:00Z"
],
"Backup/SchedulePolicy/SchedulePolicyType": "SimpleSchedulePolicy",
"Backup/RetentionPolicy/RetentionPolicyType": "LongTermRetentionPolicy",
"Backup/RetentionPolicy/DailySchedule/RetentionTimes": [
"2017-01-26T00:00:00Z"
],
"Backup/RetentionPolicy/DailySchedule/RetentionDuration/Count": "180",
"Backup/RetentionPolicy/DailySchedule/RetentionDuration/DurationType": "Days",
"BootDiagnostics/Enable": true,
"ChangeTrackingAndInventory/Enable": true,
"DefenderForCloud/Enable": true,
"LogAnalytics/Enable": true,
"LogAnalytics/Reprovision": "[parameters('LogAnalyticsBehavior')]",
"LogAnalytics/Workspace": "[parameters('logAnalyticsWorkspace')]",
"LogAnalytics/UseAma": true,
"UpdateManagement/Enable": true,
"VMInsights/Enable": true,
"WindowsAdminCenter/Enable": true,
"Tags/ResourceGroup": {
"foo": "rg"
},
"Tags/AzureAutomation": {
"foo": "automationAccount"
},
"Tags/LogAnalyticsWorkspace": {
"foo": "workspace"
},
"Tags/RecoveryVault": {
"foo": "recoveryVault"
}
}
}
}
]
}
Nasazení šablony ARM
Tato šablona ARM vytvoří vlastní konfigurační profil, který můžete přiřadit k zadanému počítači.
Hodnota customProfileName
je název vlastního konfiguračního profilu, který chcete vytvořit.
Hodnota location
je oblast, do které chcete uložit tento vlastní konfigurační profil. Všimněte si, že tento profil můžete přiřadit k jakýmkoli podporovaným počítačům v libovolné oblasti.
Jedná se azureSecurityBaselineAssignmentType
o režim auditu, který můžete zvolit pro standardní hodnoty zabezpečení serveru Azure. Vaše možnosti jsou
- ApplyAndAutoCorrect: Toto nastavení použije směrný plán zabezpečení Azure prostřednictvím rozšíření Konfigurace hosta a pokud jakékoli nastavení v rámci odchylek směrného plánu, automaticky toto nastavení opravíme, aby toto nastavení zůstalo v souladu.
- ApplyAndMonitor: Toto nastavení použije standardní hodnoty zabezpečení Azure prostřednictvím rozšíření Konfigurace hosta při prvním přiřazení tohoto profilu ke každému počítači. Po použití bude služba Konfigurace hosta monitorovat směrný plán serveru a hlásit všechny odchylky od požadovaného stavu. Nebude se ale automaticky opravovat.
- Audit: Toto nastavení nainstaluje standardní hodnoty zabezpečení Azure pomocí rozšíření Konfigurace hosta. Vidíte, kde váš počítač nedodržuje základní hodnoty, ale nedodržování předpisů se automaticky nenapravuje.
Hodnota LogAnalytics/UseAma
je místo, kde můžete zadat použití agenta služby Azure Monitor nebo ne.
Můžete také zadat existující pracovní prostor služby Log Analytics přidáním tohoto nastavení do oddílu konfigurace vlastností níže:
- LogAnalytics/Workspace: /subscriptions/subscriptionId/resourceGroups/resourceGroupName/providers/Microsoft.OperationalInsights/workspaces/workspaceName
- LogAnalytics/Reprovision( LogAnalytics/Reprovision): False Zadejte existující pracovní prostor na
LogAnalytics/Workspace
řádku.LogAnalytics/Reprovision
Pokud chcete, aby se tento pracovní prostor služby Log Analytics používal ve všech případech, nastavte na hodnotu True. Každý počítač s tímto vlastním profilem pak tento pracovní prostor používá, i když je už připojený k jednomu. Ve výchozím nastavení je nastavenáLogAnalytics/Reprovision
na hodnotu false. Pokud už je váš počítač připojený k pracovnímu prostoru, použije se tento pracovní prostor. Pokud není připojený k pracovnímu prostoru, použije se pracovní prostor zadaný vLogAnalytics\Workspace
něm.
Můžete také přidat značky k prostředkům zadaným ve vlastním profilu, například níže:
"Tags/ResourceGroup": {
"foo": "rg"
},
"Tags/ResourceGroup/Behavior": "Preserve",
"Tags/AzureAutomation": {
"foo": "automationAccount"
},
"Tags/AzureAutomation/Behavior": "Replace",
"Tags/LogAnalyticsWorkspace": {
"foo": "workspace"
},
"Tags/LogAnalyticsWorkspace/Behavior": "Replace",
"Tags/RecoveryVault": {
"foo": "recoveryVault"
},
"Tags/RecoveryVault/Behavior": "Preserve"
Lze Tags/Behavior
nastavit buď na Zachovat, nebo Nahradit. Pokud už prostředek, který označujete, má stejný klíč značky ve dvojici klíč/hodnota, můžete tento klíč nahradit zadanou hodnotou v konfiguračním profilu pomocí chování Nahradit . Ve výchozím nastavení je chování nastaveno na Zachovat, což znamená, že klíč značky, který je již přidružený k danému prostředku, se zachová a nepřepíše dvojice klíč/hodnota zadaná v konfiguračním profilu.
K nasazení šablony ARM postupujte takto:
- Uložit tuto šablonu ARM jako
azuredeploy.json
- Spuštění tohoto nasazení šablony ARM s využitím
az deployment group create --resource-group myResourceGroup --template-file azuredeploy.json
- Po zobrazení výzvy zadejte hodnoty pro customProfileName, location a azureSecurityBaselineAssignmentType.
- Jste připraveni k nasazení
Stejně jako u jakékoli šablony ARM je možné parametry zohlednit do samostatného azuredeploy.parameters.json
souboru a použít je jako argument při nasazování.
Další kroky
Odpovědi na nejčastější dotazy najdete v nejčastějších dotazech.