Tworzenie profilu niestandardowego w usłudze Azure Automanage dla maszyn wirtualnych
Uwaga
30 września 2027 r. usługa Azure Automanage Best Practices zostanie wycofana. W związku z tym próba utworzenia nowego profilu konfiguracji lub dołączenia nowej subskrypcji do usługi spowoduje wystąpienie błędu. Dowiedz się więcej o tym, jak przeprowadzić migrację do usługi Azure Policy przed tą datą.
Uwaga
Od 1 lutego 2025 r. usługa Azure Automanage rozpocznie wdrażanie zmian w celu zatrzymania obsługi i wymuszania dla wszystkich usług zależnych od przestarzałego programu Microsoft Monitoring Agent (MMA). Aby kontynuować korzystanie z rozwiązania Change Tracking and Management, VM Insights, Update Management i Azure Automation, przeprowadź migrację do nowego agenta usługi Azure Monitor (AMA).
Usługa Azure Automanage for Virtual Machines obejmuje domyślne profile najlepszych rozwiązań, których nie można edytować. Jeśli jednak potrzebujesz większej elastyczności, możesz wybrać i wybrać zestaw usług i ustawień, tworząc profil niestandardowy.
Funkcja Automanage obsługuje przełączanie usług WŁ. i WYŁ. Obecnie obsługuje również dostosowywanie ustawień w usługach Azure Backup i Microsoft Antimalware. Możesz również określić istniejący obszar roboczy usługi Log Analytics. Ponadto tylko w przypadku maszyn z systemem Windows można modyfikować tryby inspekcji dla punktów odniesienia zabezpieczeń platformy Azure w konfiguracji gościa.
Funkcja Automanage umożliwia tagowanie następujących zasobów w profilu niestandardowym:
- Grupa zasobów
- Konto usługi Automation
- Obszar roboczy usługi Log Analytics
- Magazyn odzyskiwania
Zapoznaj się z szablonem usługi ARM, aby zmodyfikować te ustawienia.
Tworzenie profilu niestandardowego w witrynie Azure Portal
Logowanie się do platformy Azure
Zaloguj się w witrynie Azure Portal.
Tworzenie profilu niestandardowego
Na pasku wyszukiwania wyszukaj i wybierz pozycję Automanage — Azure machine best practices (Najlepsze rozwiązania dotyczące maszyn platformy Azure).
Wybierz pozycję Profile konfiguracji w spisie treści.
Wybierz przycisk Utwórz, aby utworzyć profil niestandardowy
W bloku Tworzenie nowego profilu wypełnij szczegóły:
- Nazwa profilu
- Subskrypcja
- Grupa zasobów
- Region (Region)
Dostosuj profil przy użyciu żądanych usług i ustawień, a następnie wybierz pozycję Utwórz.
Tworzenie profilu niestandardowego przy użyciu szablonów usługi Azure Resource Manager
Poniższy szablon usługi ARM tworzy profil niestandardowy automanage. Szczegółowe informacje na temat szablonu usługi ARM i kroków wdrażania znajdują się w sekcji wdrażanie szablonu usługi ARM.
Uwaga
Jeśli chcesz użyć określonego obszaru roboczego usługi Log Analytics, określ identyfikator obszaru roboczego w następujący sposób: "/subscriptions/subscriptionId/resourceGroups/resourceGroupName/providers/Microsoft.OperationalInsights/workspaces/workspaceName"
{
"$schema": "http://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json",
"contentVersion": "1.0.0.0",
"parameters": {
"customProfileName": {
"type": "string"
},
"location": {
"type": "string"
},
"azureSecurityBaselineAssignmentType": {
"type": "string",
"allowedValues": [
"ApplyAndAutoCorrect",
"ApplyAndMonitor",
"Audit"
]
},
"logAnalyticsWorkspace": {
"type": "String"
},
"LogAnalyticsBehavior": {
"defaultValue": false,
"type": "Bool"
}
},
"resources": [
{
"type": "Microsoft.Automanage/configurationProfiles",
"apiVersion": "2022-05-04",
"name": "[parameters('customProfileName')]",
"location": "[parameters('location')]",
"properties": {
"configuration": {
"Antimalware/Enable": true,
"Antimalware/EnableRealTimeProtection": true,
"Antimalware/RunScheduledScan": true,
"Antimalware/ScanType": "Quick",
"Antimalware/ScanDay": "7",
"Antimalware/ScanTimeInMinutes": "120",
"AzureSecurityBaseline/Enable": true,
"AzureSecurityBaseline/AssignmentType": "[parameters('azureSecurityBaselineAssignmentType')]",
"Backup/Enable": true,
"Backup/PolicyName": "dailyBackupPolicy",
"Backup/TimeZone": "UTC",
"Backup/InstantRpRetentionRangeInDays": "2",
"Backup/SchedulePolicy/ScheduleRunFrequency": "Daily",
"Backup/SchedulePolicy/ScheduleRunTimes": [
"2017-01-26T00:00:00Z"
],
"Backup/SchedulePolicy/SchedulePolicyType": "SimpleSchedulePolicy",
"Backup/RetentionPolicy/RetentionPolicyType": "LongTermRetentionPolicy",
"Backup/RetentionPolicy/DailySchedule/RetentionTimes": [
"2017-01-26T00:00:00Z"
],
"Backup/RetentionPolicy/DailySchedule/RetentionDuration/Count": "180",
"Backup/RetentionPolicy/DailySchedule/RetentionDuration/DurationType": "Days",
"BootDiagnostics/Enable": true,
"ChangeTrackingAndInventory/Enable": true,
"DefenderForCloud/Enable": true,
"LogAnalytics/Enable": true,
"LogAnalytics/Reprovision": "[parameters('LogAnalyticsBehavior')]",
"LogAnalytics/Workspace": "[parameters('logAnalyticsWorkspace')]",
"LogAnalytics/UseAma": true,
"UpdateManagement/Enable": true,
"VMInsights/Enable": true,
"WindowsAdminCenter/Enable": true,
"Tags/ResourceGroup": {
"foo": "rg"
},
"Tags/AzureAutomation": {
"foo": "automationAccount"
},
"Tags/LogAnalyticsWorkspace": {
"foo": "workspace"
},
"Tags/RecoveryVault": {
"foo": "recoveryVault"
}
}
}
}
]
}
Wdrażanie szablonu usługi ARM
Ten szablon usługi ARM tworzy niestandardowy profil konfiguracji, który można przypisać do określonej maszyny.
Wartość customProfileName to nazwa niestandardowego profilu konfiguracji, który chcesz utworzyć.
Wartość location to region, w którym chcesz przechowywać ten niestandardowy profil konfiguracji. Należy pamiętać, że ten profil można przypisać do wszystkich obsługiwanych maszyn w dowolnym regionie.
Jest azureSecurityBaselineAssignmentType to tryb inspekcji, który można wybrać dla punktu odniesienia zabezpieczeń serwera platformy Azure. Dostępne są twoje opcje
- ApplyAndAutoCorrect: to ustawienie stosuje punkt odniesienia zabezpieczeń platformy Azure za pośrednictwem rozszerzenia Konfiguracja gościa, a jeśli jakiekolwiek ustawienie w ramach dryfów odniesienia, automatycznie korygujemy to ustawienie, aby pozostanie zgodne.
- ApplyAndMonitor: to ustawienie stosuje punkt odniesienia zabezpieczeń platformy Azure za pośrednictwem rozszerzenia Konfiguracji gościa podczas pierwszego przypisywania tego profilu do każdej maszyny. Po zastosowaniu usługa konfiguracji gościa będzie monitorować punkt odniesienia serwera i zgłaszać wszelkie dryfy z żądanego stanu. Nie spowoduje to jednak automatycznego skorygowania.
- Inspekcja: to ustawienie instaluje punkt odniesienia zabezpieczeń platformy Azure przy użyciu rozszerzenia Konfiguracja gościa. Możesz zobaczyć, gdzie maszyna jest niezgodna z punktem odniesienia, ale niezgodność nie jest automatycznie korygowana.
Wartość LogAnalytics/UseAma to miejsce, w którym można określić, czy używać agenta usługi Azure Monitor, czy też nie.
Możesz również określić istniejący obszar roboczy usługi Log Analytics, dodając to ustawienie do sekcji konfiguracji właściwości poniżej:
- "LogAnalytics/Workspace": "/subscriptions/subscriptionId/resourceGroups/resourceGroupName/providers/Microsoft.OperationalInsights/workspaces/workspaces/workspaceName"
- "LogAnalytics/Reprovision": false Określ istniejący obszar roboczy w
LogAnalytics/Workspacewierszu. Ustaw ustawienie na true,LogAnalytics/Reprovisionjeśli chcesz, aby ten obszar roboczy usługi Log Analytics był używany we wszystkich przypadkach. Każda maszyna z tym profilem niestandardowym używa tego obszaru roboczego, nawet jeśli jest już połączona z nim. Domyślnie parametrLogAnalytics/Reprovisionma wartość false. Jeśli maszyna jest już połączona z obszarem roboczym, ten obszar roboczy jest nadal używany. Jeśli nie jest połączony z obszarem roboczym, zostanie użyty obszar roboczy określony wLogAnalytics\Workspace.
Ponadto możesz dodać tagi do zasobów określonych w profilu niestandardowym, jak pokazano poniżej:
"Tags/ResourceGroup": {
"foo": "rg"
},
"Tags/ResourceGroup/Behavior": "Preserve",
"Tags/AzureAutomation": {
"foo": "automationAccount"
},
"Tags/AzureAutomation/Behavior": "Replace",
"Tags/LogAnalyticsWorkspace": {
"foo": "workspace"
},
"Tags/LogAnalyticsWorkspace/Behavior": "Replace",
"Tags/RecoveryVault": {
"foo": "recoveryVault"
},
"Tags/RecoveryVault/Behavior": "Preserve"
Tags/Behavior Można ustawić opcję Zachowaj lub Zamień. Jeśli zasób, który tagujesz, ma już ten sam klucz tagu w parze klucz/wartość, możesz zastąpić ten klucz określoną wartością w profilu konfiguracji, używając zachowania Zamień . Domyślnie zachowanie jest ustawione na Zachowaj, co oznacza, że klucz tagu, który jest już skojarzony z tym zasobem, jest zachowywany i nie zastępowany przez parę klucz/wartość określona w profilu konfiguracji.
Wykonaj następujące kroki, aby wdrożyć szablon usługi ARM:
- Zapisz ten szablon usługi ARM jako
azuredeploy.json - Uruchom to wdrożenie szablonu usługi ARM za pomocą polecenia
az deployment group create --resource-group myResourceGroup --template-file azuredeploy.json - Podaj wartości customProfileName, location i azureSecurityBaselineAssignmentType po wyświetleniu monitu
- Wszystko jest gotowe do wdrożenia
Podobnie jak w przypadku dowolnego szablonu usługi ARM, można uwzględnić parametry w osobnym azuredeploy.parameters.json pliku i użyć go jako argumentu podczas wdrażania.
Następne kroki
Uzyskaj odpowiedzi na najczęściej zadawane pytania.