Configurer les services de gestion de serveur Azure à l’échelle

Vous devez effectuer ces deux tâches pour intégrer les services de gestion de serveur Azure dans vos serveurs :

• Déployer des agents de service sur vos serveurs.
• Activer les solutions de gestion.

Cet article aborde les trois processus suivants nécessaires pour effectuer ces tâches :

1. Déployer les agents requis sur des machines virtuelles Azure à l’aide d’Azure Policy.
2. Déployer les agents requis sur les serveurs locaux.
3. Activer et configurer les solutions.

Remarque

Créez l’espace de travail Log Analytics et le compte Azure Automation requis avant d’intégrer des machines virtuelles dans des services de gestion de serveur Azure.

Utilisez Azure Policy pour déployer des extensions sur des machines virtuelles Azure

Toutes les solutions de gestion décrites dans Outils et services d’administration d’Azure requièrent que l’agent Log Analytics soit installé sur les machines virtuelles dans Azure ainsi que sur les serveurs locaux. Vous pouvez intégrer vos machines virtuelles Azure à grande échelle à l’aide d’Azure Policy. Attribuez une stratégie pour vous assurer que l’agent est installé sur vos machines virtuelles Azure et connecté à l’espace de travail Log Analytics approprié.

Azure Policy dispose d’une initiative de stratégie intégrée qui inclut l’agent Log Analytics et Microsoft Dependency Agent, ce dernier étant requis par Azure Monitor pour machines virtuelles.

Remarque

Pour plus d’informations sur les différents agents de la supervision d’Azure, consultez Vue d’ensemble des agents de surveillance Azure.

Attribuer des stratégies

Pour attribuer les stratégies décrites dans la section précédente :

1. Dans le Portail Azure, accédez à Policy>Affectations>Affecter l’initiative.

   

2. Dans la page Assigner une stratégie, définissez l’Étendue en sélectionnant les points de suspension ( ... ), puis en sélectionnant un groupe d’administration ou un abonnement. Sélectionnez éventuellement un groupe de ressources. Choisissez Sélectionner au bas de la page Étendue. L’étendue détermine les ressources ou le groupe de ressources auquel la stratégie est attribuée.

3. Sélectionnez les points de suspension ( ... ) en regard de Définition de stratégie pour ouvrir la liste des définitions disponibles. Pour filtrer la définition de l’initiative, entrez Azure Monitor dans la zone Recherche :

   

4. Le Nom de l’attribution est automatiquement rempli avec le nom de stratégie que vous avez sélectionné, mais vous pouvez le modifier. Vous pouvez également ajouter une description facultative pour fournir plus d’informations sur cette attribution de stratégie. Le champ Affectée par est automatiquement renseigné en fonction de l’utilisateur connecté. Ce champ est facultatif et prend en charge des valeurs personnalisées.

5. Pour cette stratégie, sélectionnez Espace de travail Log Analytics comme agent Log Analytics à associer.

   

6. Cochez la case Emplacement de l’identité managée. Si cette stratégie est du type DeployIfNotExists, une identité gérée est requise pour son déploiement. Dans le portail, le compte sera créé comme indiqué par la case à cocher.

7. Sélectionnez Attribuer.

Après que vous avez terminé l’Assistant, l’attribution de stratégie est déployée dans l’environnement. L’entrée en application de la stratégie peut prendre jusqu’à 30 minutes. Pour tester cela, créez des machines virtuelles au bout de 30 minutes et vérifiez que l’agent Log Analytics est activé sur la machine virtuelle par défaut.

Installer des agents sur des serveurs locaux

Remarque

Créez l’espace de travail Log Analytics et le compte Azure Automation requis avant d’intégrer les services de gestion de serveur Azure dans les serveurs.

Pour les serveurs locaux, vous devez télécharger et installer manuellement l’agent Log Analytics et Microsoft Dependency Agent, et les configurer pour qu’ils se connectent à l’espace de travail qui convient. Vous devez spécifier l’ID de l’espace de travail et les informations de clé. Pour obtenir ces informations, accédez à votre espace de travail Log Analytics sur le portail Azure, puis sélectionnez Paramètres>Paramètres avancés.

Activer et configurer des solutions

Pour activer les solutions, vous devez configurer l’espace de travail Log Analytics. Les machines virtuelles Azure et les serveurs locaux intégrés obtiendront les solutions à partir des espaces de travail Log Analytics auxquels ils sont connectés.

Update Management

La solution Update Management et la solution Suivi des modifications et inventaire nécessitent à la fois un espace de travail Log Analytics et un compte Azure Automation. Pour vous assurer que ces ressources sont correctement configurées, nous vous recommandons d’intégrer votre compte Automation. Pour plus d’informations, consultez Intégrer la solution Update Management et la solution Suivi des modifications et inventaire.

Nous vous recommandons d’activer la solution Update Management pour tous les serveurs. Update Management est gratuit pour les machines virtuelles Azure et les serveurs locaux. Si vous activez Update Management par le biais de votre compte Automation, une configuration d’étendue est créée dans l’espace de travail. Mettez à jour manuellement l’étendue pour inclure les machines couvertes par la solution Update Management.

Pour couvrir vos serveurs existants ainsi que les futurs serveurs, vous devez supprimer la configuration détendue. Pour ce faire, accédez à votre compte Automation dans le portail Azure. Sélectionnez Update Management>Gérer les machines>Activer sur toutes les machines disponibles et futures. Ce paramètre permet à toutes les machines virtuelles Azure connectées à l’espace de travail d’utiliser Update Management.

Solutions Change Tracking et Inventory

Pour intégrer les solutions Change Tracking et Inventory, suivez les mêmes étapes que pour Update Management. Pour plus d’informations sur la façon d’intégrer ces solutions à partir de votre compte Automation, consultez Intégrer la solutions Update Management et la solution Suivi des modifications et inventaire.

La solution Suivi des modifications et inventaire est gratuite pour les machines virtuelles Azure et coûte 6 euros par nœud et par mois pour les serveurs locaux. Ce coût couvre le suivi des modifications, l’inventaire et Desired State Configuration. Si vous voulez inscrire uniquement des serveurs locaux spécifiques, vous pouvez les choisir. Nous vous recommandons d’intégrer tous vos serveurs de production.

Accepter via le Portail Azure

1. Accédez au compte Automation pour lequel Change Tracking et Inventory sont activés.
2. Sélectionnez Suivi des modifications.
3. Sélectionnez Gérer les machines dans le volet supérieur droit.
4. Sélectionnez Activer sur les machines sélectionnées. Sélectionnez ensuite Ajouter en regard du nom de l’ordinateur.
5. Sélectionnez Activer pour activer la solution pour ces ordinateurs.

S’abonner à l’aide de recherches enregistrées

Vous pouvez également configurer la configuration de l’étendue pour accepter des serveurs locaux. La configuration d’étendue utilise des recherches enregistrées.

Pour créer ou modifier la recherche enregistrée, suivez les étapes ci-dessous :

1. Accédez à l’espace de travail Log Analytics lié au compte Automation que vous avez configuré dans les étapes précédentes.

2. Sous Général, sélectionnez Recherches enregistrées.

3. Dans la zone Filtre, entrez Change Tracking pour filtrer la liste des recherches enregistrées. Dans les résultats, sélectionnez MicrosoftDefaultComputerGroup.

4. Entrez le nom de l’ordinateur ou le VMUUID pour inclure les ordinateurs choisis pour Suivi des modifications et inventaire.

Heartbeat
| where AzureEnvironment=~"Azure" or Computer in~ ("list of the on-premises server names", "server1")
| distinct Computer

Remarque

Le nom du serveur doit correspondre exactement à la valeur incluse de l’expression, et il ne doit pas contenir un suffixe de nom de domaine.

1. Sélectionnez Enregistrer. Par défaut, la configuration d’étendue est liée à la recherche enregistrée MicrosoftDefaultComputerGroup. Elle sera mise à jour automatiquement.

Journal des activités Azure

Le journal d’activité Azure fait également partie d’Azure Monitor. Il fournit un insight sur les événements de niveau abonnement qui se produisent dans Azure.

Pour mettre en œuvre cette solution :

1. Sur le portail Azure, ouvrez Tous les services, puis sélectionnez Gestion + gouvernance>Solutions.
2. Dans l’affichage Solutions, sélectionnez Ajouter.
3. Recherchez Activity Log Analytics et sélectionnez-le.
4. Sélectionnez Create (Créer).

Vous devez spécifier le nom de l’espace de travail que vous avez créé à la section précédente et où la solution est activée.

Azure Log Analytics Agent Health

La solution Azure Log Analytics Agent Health fait des rapports sur l’intégrité, les performances et la disponibilité de vos serveurs Windows et Linux.

Pour mettre en œuvre cette solution :

1. Sur le portail Azure, ouvrez Tous les services, puis sélectionnez Gestion + gouvernance>Solutions.
2. Dans l’affichage Solutions, sélectionnez Ajouter.
3. Recherchez Azure Log Analytics Agent Health et sélectionnez-le.
4. Sélectionnez Create (Créer).

Vous devez spécifier le nom de l’espace de travail que vous avez créé à la section précédente et où la solution est activée.

Une fois la création terminée, l’instance de ressource de l’espace de travail indique AgentHealthAssessment lorsque vous sélectionnez Afficher>Solutions.

Analyse anti-programme malveillant

La solution d’analyse anti-programme malveillant vous aide à identifier les serveurs infectés ou un risque accru d’infection par des logiciels malveillants.

Pour mettre en œuvre cette solution :

1. Dans le portail Azure, ouvrez Tous les services, puis sélectionnez Gestion + gouvernance>Solutions.
2. Dans l’affichage Solutions, sélectionnez Ajouter.
3. Recherchez et sélectionnez Antimalware Assessment.
4. Sélectionnez Create (Créer).

Vous devez spécifier le nom de l’espace de travail que vous avez créé à la section précédente et où la solution est activée.

Une fois la création terminée, l’instance de ressource de l’espace de travail indique AntiMalware lorsque vous sélectionnez Afficher>Solutions.

Azure Monitor pour machines virtuelles

Vous pouvez activer Azure Monitor pour machines virtuelles via la page d’affichage de l’instance de machine virtuelle, comme décrit dans Activer les services de gestion sur une seule machine virtuelle à des fins d’évaluation. Vous ne devez pas activer les solutions directement à partir de la page Solutions comme vous le faites pour les autres solutions décrites dans cet article. Pour les déploiements à grande échelle, il peut être plus aisé d’utiliser l’automatisation pour activer les solutions appropriées dans l’espace de travail.

Microsoft Defender pour le cloud

Nous vous recommandons d’intégrer tous vos serveurs au moins au niveau Gratuit de Microsoft Defender pour le cloud. Cette option fournit des évaluations de sécurité de base et des recommandations de sécurité réalisables pour votre environnement. Le niveau Standard offre des avantages supplémentaires. Pour plus d’informations, consultez Tarifs de Microsoft Defender pour le cloud.

Pour activer le niveau Gratuit de Microsoft Defender pour le cloud, effectuez les étapes suivantes :

1. Accédez à la page du portail Defender pour le cloud.
2. Sous STRATÉGIE ET CONFORMITÉ, sélectionnez Stratégie de sécurité.
3. Trouvez la ressource de l’espace de travail Log Analytics que vous avez créée dans le volet de droite.
4. Sélectionnez Modifier les paramètres pour cet espace de travail.
5. Sélectionnez Niveau tarifaire.
6. Sélectionnez l’option Gratuit.
7. Sélectionnez Enregistrer.

Étapes suivantes

Découvrez comment utiliser l’automatisation pour intégrer des serveurs et créer des alertes.

Automatiser l’intégration et la configuration des alertes