Delen via

Een aangepast profiel maken in Azure Automanage voor VM's

  • Artikel

Let op

Op 30 september 2027 wordt de service Aanbevolen procedures voor Azure Automanage buiten gebruik gesteld. Als u een nieuw configuratieprofiel probeert te maken of een nieuw abonnement op de service wilt onboarden, treedt er een fout op. Meer informatie over hoe u vóór die datum naar Azure Policy migreert.

Let op

Vanaf 1 februari 2025 begint Azure Automanage met het implementeren van wijzigingen om de ondersteuning en afdwinging voor alle services te stoppen die afhankelijk zijn van de afgeschafte Microsoft Monitoring Agent (MMA). Als u Wijzigingen bijhouden en beheer, VM Insights, Updatebeheer en Azure Automation wilt blijven gebruiken, migreert u naar de nieuwe Azure Monitor-agent (AMA).

Azure Automanage voor virtuele machines bevat standaardprofielen voor aanbevolen procedures die niet kunnen worden bewerkt. Als u echter meer flexibiliteit nodig hebt, kunt u de set services en instellingen kiezen en kiezen door een aangepast profiel te maken.

Automanage biedt ondersteuning voor het in- en uitschakelen van services. Het biedt momenteel ook ondersteuning voor het aanpassen van instellingen in Azure Backup en Microsoft Antimalware. U kunt ook een bestaande Log Analytics-werkruimte opgeven. Voor Alleen Windows-computers kunt u ook de controlemodi voor de Azure-beveiligingsbasislijnen in Gastconfiguratie wijzigen.

Met Automanage kunt u de volgende resources taggen in het aangepaste profiel:

  • Resourcegroep
  • Automation-account
  • Log Analytics-werkruimte
  • Recovery-kluis

Bekijk de ARM-sjabloon voor het wijzigen van deze instellingen.

Een aangepast profiel maken in Azure Portal

Aanmelden bij Azure

Meld u aan bij het Azure-portaal.

Een aangepast profiel maken

  1. Zoek en selecteer Automanage in de zoekbalk: aanbevolen procedures voor Azure-machines.

  2. Selecteer Configuratieprofielen in de inhoudsopgave.

  3. Selecteer de knop Maken om uw aangepaste profiel te maken

  4. Vul op de blade Nieuw profiel maken de details in:

    1. Profielnaam
    2. Abonnement
    3. Resourcegroep
    4. Regio

    Vul aangepaste profielgegevens in.

  5. Pas het profiel aan met de gewenste services en instellingen en selecteer Maken.

Een aangepast profiel maken met behulp van Azure Resource Manager-sjablonen

Met de volgende ARM-sjabloon wordt een aangepast profiel voor Automanage gemaakt. Details over de ARM-sjabloon en de stappen voor het implementeren bevinden zich in de sectie implementatie van ARM-sjablonen.

Notitie

Als u een specifieke Log Analytics-werkruimte wilt gebruiken, geeft u de id van de werkruimte als volgt op: '/subscriptions/subscriptionId/resourceGroups/resourceGroupName/providers/Microsoft.OperationalInsights/workspaces/workspaceName'

{
    "$schema": "http://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json",
    "contentVersion": "1.0.0.0",
    "parameters": {
      "customProfileName": {
        "type": "string"
      },
      "location": {
        "type": "string"
      },
      "azureSecurityBaselineAssignmentType": {
        "type": "string",
        "allowedValues": [
          "ApplyAndAutoCorrect",
          "ApplyAndMonitor",
          "Audit"
        ]
      },
        "logAnalyticsWorkspace": {
            "type": "String"
        },
        "LogAnalyticsBehavior": {
            "defaultValue": false,
            "type": "Bool"
        }
    },
    "resources": [
      {
        "type": "Microsoft.Automanage/configurationProfiles",
        "apiVersion": "2022-05-04",
        "name": "[parameters('customProfileName')]",
        "location": "[parameters('location')]",
        "properties": {
            "configuration": {
              "Antimalware/Enable": true,
              "Antimalware/EnableRealTimeProtection": true,
              "Antimalware/RunScheduledScan": true,
              "Antimalware/ScanType": "Quick",
              "Antimalware/ScanDay": "7",
              "Antimalware/ScanTimeInMinutes": "120",
              "AzureSecurityBaseline/Enable": true,
              "AzureSecurityBaseline/AssignmentType": "[parameters('azureSecurityBaselineAssignmentType')]",
              "Backup/Enable": true,
              "Backup/PolicyName": "dailyBackupPolicy",
              "Backup/TimeZone": "UTC",
              "Backup/InstantRpRetentionRangeInDays": "2",
              "Backup/SchedulePolicy/ScheduleRunFrequency": "Daily",
              "Backup/SchedulePolicy/ScheduleRunTimes": [
                  "2017-01-26T00:00:00Z"
              ],
              "Backup/SchedulePolicy/SchedulePolicyType": "SimpleSchedulePolicy",
              "Backup/RetentionPolicy/RetentionPolicyType": "LongTermRetentionPolicy",
              "Backup/RetentionPolicy/DailySchedule/RetentionTimes": [
                  "2017-01-26T00:00:00Z"
              ],
              "Backup/RetentionPolicy/DailySchedule/RetentionDuration/Count": "180",
              "Backup/RetentionPolicy/DailySchedule/RetentionDuration/DurationType": "Days",
              "BootDiagnostics/Enable": true,
              "ChangeTrackingAndInventory/Enable": true,
              "DefenderForCloud/Enable": true,
              "LogAnalytics/Enable": true,
              "LogAnalytics/Reprovision": "[parameters('LogAnalyticsBehavior')]",
              "LogAnalytics/Workspace": "[parameters('logAnalyticsWorkspace')]",
              "LogAnalytics/UseAma": true,
              "UpdateManagement/Enable": true,
              "VMInsights/Enable": true,
              "WindowsAdminCenter/Enable": true,
              "Tags/ResourceGroup": {
                "foo": "rg"
              },
              "Tags/AzureAutomation": {
                "foo": "automationAccount"
              },
              "Tags/LogAnalyticsWorkspace": {
                "foo": "workspace"
              },
              "Tags/RecoveryVault": {
                "foo": "recoveryVault"
              }
          }
        }
      }
    ]
  }

ARM-sjabloonimplementatie

Met deze ARM-sjabloon maakt u een aangepast configuratieprofiel dat u kunt toewijzen aan uw opgegeven computer.

De customProfileName waarde is de naam van het aangepaste configuratieprofiel dat u wilt maken.

De location waarde is de regio waarin u dit aangepaste configuratieprofiel wilt opslaan. Opmerking: u kunt dit profiel toewijzen aan alle ondersteunde machines in elke regio.

Dit azureSecurityBaselineAssignmentType is de controlemodus die u kunt kiezen voor de azure-serverbeveiligingsbasislijn. Uw opties zijn

  • ApplyAndAutoCorrect: Met deze instelling wordt de Azure-beveiligingsbasislijn toegepast via de extensie Voor gastconfiguratie. Als er een instelling binnen de basislijndrift is, wordt de instelling automatisch hersteld zodat deze compatibel blijft.
  • ApplyAndMonitor: met deze instelling wordt de Azure-beveiligingsbasislijn toegepast via de extensie Voor gastconfiguratie wanneer u dit profiel voor het eerst toewijst aan elke computer. Nadat deze is toegepast, controleert de gastconfiguratieservice de basislijn van de server en rapporteert de afwijking van de gewenste status. Het herstel wordt echter niet automatisch hersteld.
  • Controle: met deze instelling wordt de Azure-beveiligingsbasislijn geïnstalleerd met behulp van de extensie Voor gastconfiguratie. U kunt zien waar uw computer niet meer voldoet aan de basislijn, maar niet-naleving wordt niet automatisch hersteld.

De LogAnalytics/UseAma waarde is waar u kunt opgeven dat u De Azure Monitor-agent wilt gebruiken of niet.

U kunt ook een bestaande Log Analytics-werkruimte opgeven door deze instelling toe te voegen aan de configuratiesectie van de onderstaande eigenschappen:

  • "LogAnalytics/Workspace": "/subscriptions/subscriptionId/resourceGroups/resourceGroupName/providers/Microsoft.OperationalInsights/workspaces/workspaceName"
  • 'LogAnalytics/Reprovision': false Geef uw bestaande werkruimte op de LogAnalytics/Workspace regel op. Stel de LogAnalytics/Reprovision instelling in op True als u wilt dat deze Log Analytics-werkruimte in alle gevallen wordt gebruikt. Elke computer met dit aangepaste profiel gebruikt vervolgens deze werkruimte, zelfs als deze al is verbonden met een werkruimte. LogAnalytics/Reprovision De standaardinstelling is ingesteld op false. Als uw computer al is verbonden met een werkruimte, wordt die werkruimte nog steeds gebruikt. Als deze niet is verbonden met een werkruimte, wordt de opgegeven LogAnalytics\Workspace werkruimte gebruikt.

U kunt ook tags toevoegen aan resources die zijn opgegeven in het aangepaste profiel, zoals hieronder:

"Tags/ResourceGroup": {
    "foo": "rg"
},
"Tags/ResourceGroup/Behavior": "Preserve",
"Tags/AzureAutomation": {
  "foo": "automationAccount"
},
"Tags/AzureAutomation/Behavior": "Replace",
"Tags/LogAnalyticsWorkspace": {
  "foo": "workspace"
},
"Tags/LogAnalyticsWorkspace/Behavior": "Replace",
"Tags/RecoveryVault": {
  "foo": "recoveryVault"
},
"Tags/RecoveryVault/Behavior": "Preserve"

U Tags/Behavior kunt deze instellen op Behouden of Vervangen. Als de resource die u tagt, al dezelfde tagsleutel bevat in het sleutel-/waardepaar, kunt u die sleutel vervangen door de opgegeven waarde in het configuratieprofiel met behulp van het gedrag Vervangen . Standaard is het gedrag ingesteld op Behouden, wat betekent dat de tagsleutel die al aan die resource is gekoppeld, wordt bewaard en niet wordt overschreven door het sleutel-/waardepaar dat is opgegeven in het configuratieprofiel.

Volg deze stappen om de ARM-sjabloon te implementeren:

  1. Deze ARM-sjabloon opslaan als azuredeploy.json
  2. Deze ARM-sjabloonimplementatie uitvoeren met az deployment group create --resource-group myResourceGroup --template-file azuredeploy.json
  3. Geef de waarden op voor customProfileName, locatie en azureSecurityBaselineAssignmentType wanneer hierom wordt gevraagd
  4. U bent klaar om te implementeren

Net als bij elke ARM-sjabloon is het mogelijk om de parameters in een afzonderlijk azuredeploy.parameters.json bestand uit te sluiten en dat te gebruiken als argument bij het implementeren.

Volgende stappen

Bekijk de meest gestelde vragen in onze veelgestelde vragen.

Veelgestelde vragen