Создание настраиваемого профиля в Службе автоматического управления Azure для виртуальных машин
Внимание
30 сентября 2027 г. служба azure Automanage Best Practices будет прекращена. В результате попытка создать новый профиль конфигурации или подключение новой подписки к службе приведет к ошибке. Узнайте больше о том, как перейти на Политика Azure до этой даты.
Внимание
Начиная с 1 февраля 2025 г. Служба автоматического управления Azure начнет развертывание изменений, чтобы остановить поддержку и принудительное применение всех служб, зависящих от устаревшего агента Microsoft Monitoring Agent (MMA). Чтобы продолжить использование Отслеживание изменений и управления, VM Insights, управления обновлениями и служба автоматизации Azure, перейдите в новый агент Azure Monitor (AMA).
Автоуправляемая служба Azure для Виртуальные машины включает профили рекомендаций по умолчанию, которые не могут быть изменены. Однако если вам нужна дополнительная гибкость, можно выбрать и выбрать набор служб и параметров, создав пользовательский профиль.
Автоуправляемая служба поддерживает переключение служб ON и OFF. В настоящее время она также поддерживает настройку параметров в Azure Backup и Антивредоносном ПО Майкрософт. Можно также указать существующую рабочую область log analytics. Кроме того, для компьютеров Windows можно изменить режимы аудита для базовых показателей безопасности Azure в гостевой конфигурации.
Автоматическое управление позволяет тегировать следующие ресурсы в пользовательском профиле:
- Группа ресурсов
- Учетная запись службы автоматизации
- Рабочая область Log Analytics
- Хранилище восстановления
Ознакомьтесь с шаблоном ARM для изменения этих параметров.
Создание пользовательского профиля в портал Azure
Вход в Azure
Войдите на портал Azure.
Создание пользовательского профиля
В строке поиска найдите и выберите Автоматическое управление — Рекомендации для компьютеров Azure.
Выберите профили конфигурации в оглавлении.
Нажмите кнопку "Создать", чтобы создать пользовательский профиль
В колонке "Создание профиля " заполните сведения:
- Имя профиля
- Подписка
- Группа ресурсов
- Область/регион
Настройте профиль с помощью требуемых служб и параметров и нажмите кнопку "Создать".
Создание пользовательского профиля с помощью шаблонов Azure Resource Manager
Следующий шаблон ARM создает настраиваемый профиль автоуправляемого объекта. Сведения о шаблоне ARM и шагах по развертыванию шаблонов ARM в разделе развертывания шаблона ARM.
Примечание.
Если вы хотите использовать определенную рабочую область log analytics, укажите идентификатор рабочей области, например "/subscriptions/subscriptionId/resourceGroups/resourceGroupName/providers/Microsoft.OperationalInsights/workspaces/workspaceName"
{
"$schema": "http://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json",
"contentVersion": "1.0.0.0",
"parameters": {
"customProfileName": {
"type": "string"
},
"location": {
"type": "string"
},
"azureSecurityBaselineAssignmentType": {
"type": "string",
"allowedValues": [
"ApplyAndAutoCorrect",
"ApplyAndMonitor",
"Audit"
]
},
"logAnalyticsWorkspace": {
"type": "String"
},
"LogAnalyticsBehavior": {
"defaultValue": false,
"type": "Bool"
}
},
"resources": [
{
"type": "Microsoft.Automanage/configurationProfiles",
"apiVersion": "2022-05-04",
"name": "[parameters('customProfileName')]",
"location": "[parameters('location')]",
"properties": {
"configuration": {
"Antimalware/Enable": true,
"Antimalware/EnableRealTimeProtection": true,
"Antimalware/RunScheduledScan": true,
"Antimalware/ScanType": "Quick",
"Antimalware/ScanDay": "7",
"Antimalware/ScanTimeInMinutes": "120",
"AzureSecurityBaseline/Enable": true,
"AzureSecurityBaseline/AssignmentType": "[parameters('azureSecurityBaselineAssignmentType')]",
"Backup/Enable": true,
"Backup/PolicyName": "dailyBackupPolicy",
"Backup/TimeZone": "UTC",
"Backup/InstantRpRetentionRangeInDays": "2",
"Backup/SchedulePolicy/ScheduleRunFrequency": "Daily",
"Backup/SchedulePolicy/ScheduleRunTimes": [
"2017-01-26T00:00:00Z"
],
"Backup/SchedulePolicy/SchedulePolicyType": "SimpleSchedulePolicy",
"Backup/RetentionPolicy/RetentionPolicyType": "LongTermRetentionPolicy",
"Backup/RetentionPolicy/DailySchedule/RetentionTimes": [
"2017-01-26T00:00:00Z"
],
"Backup/RetentionPolicy/DailySchedule/RetentionDuration/Count": "180",
"Backup/RetentionPolicy/DailySchedule/RetentionDuration/DurationType": "Days",
"BootDiagnostics/Enable": true,
"ChangeTrackingAndInventory/Enable": true,
"DefenderForCloud/Enable": true,
"LogAnalytics/Enable": true,
"LogAnalytics/Reprovision": "[parameters('LogAnalyticsBehavior')]",
"LogAnalytics/Workspace": "[parameters('logAnalyticsWorkspace')]",
"LogAnalytics/UseAma": true,
"UpdateManagement/Enable": true,
"VMInsights/Enable": true,
"WindowsAdminCenter/Enable": true,
"Tags/ResourceGroup": {
"foo": "rg"
},
"Tags/AzureAutomation": {
"foo": "automationAccount"
},
"Tags/LogAnalyticsWorkspace": {
"foo": "workspace"
},
"Tags/RecoveryVault": {
"foo": "recoveryVault"
}
}
}
}
]
}
Развертывание шаблона ARM
Этот шаблон ARM создает настраиваемый профиль конфигурации, который можно назначить указанному компьютеру.
Это customProfileName значение — имя пользовательского профиля конфигурации, который вы хотите создать.
Значением location является регион, в котором вы хотите сохранить этот настраиваемый профиль конфигурации. Обратите внимание, что этот профиль можно назначить любым поддерживаемым компьютерам в любом регионе.
Это azureSecurityBaselineAssignmentType режим аудита, который можно выбрать для базовых показателей безопасности сервера Azure. Вам доступны следующие действия:
- ApplyAndAutoCorrect: этот параметр применяет базовые показатели безопасности Azure через расширение гостевой конфигурации, и если какой-либо параметр в рамках базовых смещениях, мы автоматически исправим этот параметр, чтобы он оставался совместимым.
- ApplyAndMonitor: этот параметр применяет базовые показатели безопасности Azure через расширение гостевой конфигурации при первом назначении этого профиля каждому компьютеру. После применения служба гостевой конфигурации будет отслеживать базовые показатели сервера и сообщать о любых смещениях от требуемого состояния. Однако автоматическое исправление не будет.
- Аудит. Этот параметр устанавливает базовые показатели безопасности Azure с помощью расширения гостевой конфигурации. Вы можете узнать, где ваш компьютер не соответствует базовому плану, но несоответствие не устраняется автоматически.
Значение заключается в LogAnalytics/UseAma том, где можно указать использование агента Azure Monitor или нет.
Вы также можете указать существующую рабочую область log analytics, добавив этот параметр в раздел конфигурации свойств ниже:
- LogAnalytics/Workspace: "/subscriptions/subscriptionId/resourceGroups/resourceGroupName/providers/Microsoft.OperationalInsights/workspaces/workspaceName"
- LogAnalytics/Reprovision:false Укажите существующую рабочую область в строке
LogAnalytics/Workspace. Задайте для параметра значение true,LogAnalytics/Reprovisionесли вы хотите использовать эту рабочую область Log Analytics во всех случаях. Любой компьютер с этим пользовательским профилем затем использует эту рабочую область, даже она уже подключена к одной. По умолчаниюLogAnalytics/Reprovisionзадано значение false. Если компьютер уже подключен к рабочей области, то эта рабочая область по-прежнему используется. Если он не подключен к рабочей области, будет использоваться указанная вLogAnalytics\Workspaceней рабочая область.
Кроме того, можно добавить теги в ресурсы, указанные в пользовательском профиле, как показано ниже:
"Tags/ResourceGroup": {
"foo": "rg"
},
"Tags/ResourceGroup/Behavior": "Preserve",
"Tags/AzureAutomation": {
"foo": "automationAccount"
},
"Tags/AzureAutomation/Behavior": "Replace",
"Tags/LogAnalyticsWorkspace": {
"foo": "workspace"
},
"Tags/LogAnalyticsWorkspace/Behavior": "Replace",
"Tags/RecoveryVault": {
"foo": "recoveryVault"
},
"Tags/RecoveryVault/Behavior": "Preserve"
Можно Tags/Behavior задать значение "Сохранить" или "Заменить". Если в паре "Ключ и значение" уже имеется один и тот же ключ тега, можно заменить этот ключ указанным значением в профиле конфигурации с помощью поведения "Заменить ". По умолчанию поведение имеет значение "Сохранить", то есть ключ тега, который уже связан с этим ресурсом, сохраняется и не перезаписывается парой "ключ-значение", указанной в профиле конфигурации.
Чтобы развернуть шаблон, выполните указанные ниже действия.
- Сохраните этот шаблон ARM как
azuredeploy.json - Запуск этого развертывания шаблона ARM с помощью
az deployment group create --resource-group myResourceGroup --template-file azuredeploy.json - Укажите значения для customProfileName, location и azureSecurityBaselineAssignmentType при появлении запроса
- Вы готовы к развертыванию
Как и в любом шаблоне ARM, можно факторировать параметры в отдельный azuredeploy.parameters.json файл и использовать его в качестве аргумента при развертывании.
Следующие шаги
Найдите ответы на часто задаваемые вопросы.