Vytvoření vlastního profilu v Azure Automanage pro virtuální počítače
Azure Automanage for Virtual Machines obsahuje výchozí profily osvědčených postupů, které není možné upravovat. Pokud ale potřebujete větší flexibilitu, můžete vybrat a zvolit sadu služeb a nastavení vytvořením vlastního profilu.
Automanage podporuje přepínání služeb ZAPNUTO a VYPNUTO. V současné době také podporuje přizpůsobení nastavení služby Azure Backup a Microsoft Antimalware. Můžete také zadat existující pracovní prostor služby Log Analytics. U počítačů s Windows můžete také upravit režimy auditu pro standardní hodnoty zabezpečení Azure v konfiguraci hosta.
Automanage umožňuje označit následující prostředky ve vlastním profilu:
- Skupina prostředků
- Účet Automation
- Pracovní prostor Log Analytics
- Trezor pro zotavení
Podívejte se na šablonu ARM pro úpravy těchto nastavení.
Vytvoření vlastního profilu na webu Azure Portal
Přihlášení k Azure
Přihlaste se k portálu Azure.
Vytvoření vlastního profilu
Na panelu hledání vyhledejte a vyberte Automanage – osvědčené postupy pro počítače Azure.
V obsahu vyberte Konfigurační profily .
Vyberte tlačítko Vytvořit a vytvořte vlastní profil.
V okně Vytvořit nový profil vyplňte podrobnosti:
- Název profilu
- Předplatné
- Skupina prostředků
- Oblast
Upravte profil s požadovanými službami a nastavením a vyberte Vytvořit.
Vytvoření vlastního profilu pomocí šablon Azure Resource Manageru
Následující šablona ARM vytvoří vlastní profil automanage. Podrobnosti o šabloně ARM a postupu nasazení najdete v části nasazení šablony ARM.
Poznámka:
Pokud chcete použít konkrétní pracovní prostor služby Log Analytics, zadejte ID pracovního prostoru takto: /subscriptions/subscriptionId/resourceGroups/resourceGroupName/providers/Microsoft.Operational Přehledy/workspaces/workspaces/workspaceName.
{
"$schema": "http://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json",
"contentVersion": "1.0.0.0",
"parameters": {
"customProfileName": {
"type": "string"
},
"location": {
"type": "string"
},
"azureSecurityBaselineAssignmentType": {
"type": "string",
"allowedValues": [
"ApplyAndAutoCorrect",
"ApplyAndMonitor",
"Audit"
]
},
"logAnalyticsWorkspace": {
"type": "String"
},
"LogAnalyticsBehavior": {
"defaultValue": false,
"type": "Bool"
}
},
"resources": [
{
"type": "Microsoft.Automanage/configurationProfiles",
"apiVersion": "2022-05-04",
"name": "[parameters('customProfileName')]",
"location": "[parameters('location')]",
"properties": {
"configuration": {
"Antimalware/Enable": true,
"Antimalware/EnableRealTimeProtection": true,
"Antimalware/RunScheduledScan": true,
"Antimalware/ScanType": "Quick",
"Antimalware/ScanDay": "7",
"Antimalware/ScanTimeInMinutes": "120",
"AzureSecurityBaseline/Enable": true,
"AzureSecurityBaseline/AssignmentType": "[parameters('azureSecurityBaselineAssignmentType')]",
"Backup/Enable": true,
"Backup/PolicyName": "dailyBackupPolicy",
"Backup/TimeZone": "UTC",
"Backup/InstantRpRetentionRangeInDays": "2",
"Backup/SchedulePolicy/ScheduleRunFrequency": "Daily",
"Backup/SchedulePolicy/ScheduleRunTimes": [
"2017-01-26T00:00:00Z"
],
"Backup/SchedulePolicy/SchedulePolicyType": "SimpleSchedulePolicy",
"Backup/RetentionPolicy/RetentionPolicyType": "LongTermRetentionPolicy",
"Backup/RetentionPolicy/DailySchedule/RetentionTimes": [
"2017-01-26T00:00:00Z"
],
"Backup/RetentionPolicy/DailySchedule/RetentionDuration/Count": "180",
"Backup/RetentionPolicy/DailySchedule/RetentionDuration/DurationType": "Days",
"BootDiagnostics/Enable": true,
"ChangeTrackingAndInventory/Enable": true,
"DefenderForCloud/Enable": true,
"LogAnalytics/Enable": true,
"LogAnalytics/Reprovision": "[parameters('LogAnalyticsBehavior')]",
"LogAnalytics/Workspace": "[parameters('logAnalyticsWorkspace')]",
"UpdateManagement/Enable": true,
"VMInsights/Enable": true,
"WindowsAdminCenter/Enable": true,
"Tags/ResourceGroup": {
"foo": "rg"
},
"Tags/AzureAutomation": {
"foo": "automationAccount"
},
"Tags/LogAnalyticsWorkspace": {
"foo": "workspace"
},
"Tags/RecoveryVault": {
"foo": "recoveryVault"
}
}
}
}
]
}
Nasazení šablony ARM
Tato šablona ARM vytvoří vlastní konfigurační profil, který můžete přiřadit k zadanému počítači.
Hodnota customProfileName je název vlastního konfiguračního profilu, který chcete vytvořit.
Hodnota location je oblast, do které chcete uložit tento vlastní konfigurační profil. Všimněte si, že tento profil můžete přiřadit k jakýmkoli podporovaným počítačům v libovolné oblasti.
Jedná se azureSecurityBaselineAssignmentType o režim auditu, který můžete zvolit pro standardní hodnoty zabezpečení serveru Azure. Vaše možnosti jsou
- ApplyAndAutoCorrect: Toto nastavení použije směrný plán zabezpečení Azure prostřednictvím rozšíření Konfigurace hosta a pokud jakékoli nastavení v rámci odchylek směrného plánu, automaticky toto nastavení opravíme, aby toto nastavení zůstalo v souladu.
- ApplyAndMonitor: Toto nastavení použije standardní hodnoty zabezpečení Azure prostřednictvím rozsahu konfigurace hosta při prvním přiřazení tohoto profilu ke každému počítači. Po použití bude služba Konfigurace hosta monitorovat směrný plán serveru a hlásit všechny odchylky od požadovaného stavu. Automaticky se ale znovu nesmvědí.
- Audit: Toto nastavení nainstaluje standardní hodnoty zabezpečení Azure pomocí rozšíření Konfigurace hosta. Vidíte, kde váš počítač nedodržuje základní hodnoty, ale nedodržování předpisů se automaticky nenapravuje.
Můžete také zadat existující pracovní prostor služby Log Analytics přidáním tohoto nastavení do oddílu konfigurace vlastností níže:
- LogAnalytics/Workspace: /subscriptions/subscriptionId/resourceGroups/resourceGroupName/providers/Microsoft.Operational Přehledy/workspaces/workspaceName
- LogAnalytics/Reprovision( LogAnalytics/Reprovision): False Zadejte existující pracovní prostor na
LogAnalytics/Workspaceřádku.LogAnalytics/ReprovisionPokud chcete, aby se tento pracovní prostor služby Log Analytics používal ve všech případech, nastavte na hodnotu True. Každý počítač s tímto vlastním profilem pak tento pracovní prostor používá, i když je už připojený k jednomu. Ve výchozím nastavení je nastavenáLogAnalytics/Reprovisionna hodnotu false. Pokud už je váš počítač připojený k pracovnímu prostoru, použije se tento pracovní prostor. Pokud není připojený k pracovnímu prostoru, použije se pracovní prostor zadaný vLogAnalytics\Workspaceněm.
Můžete také přidat značky k prostředkům zadaným ve vlastním profilu, například níže:
"Tags/ResourceGroup": {
"foo": "rg"
},
"Tags/ResourceGroup/Behavior": "Preserve",
"Tags/AzureAutomation": {
"foo": "automationAccount"
},
"Tags/AzureAutomation/Behavior": "Replace",
"Tags/LogAnalyticsWorkspace": {
"foo": "workspace"
},
"Tags/LogAnalyticsWorkspace/Behavior": "Replace",
"Tags/RecoveryVault": {
"foo": "recoveryVault"
},
"Tags/RecoveryVault/Behavior": "Preserve"
Lze Tags/Behavior nastavit buď na Zachovat, nebo Nahradit. Pokud už prostředek, který označujete, má stejný klíč značky ve dvojici klíč/hodnota, můžete tento klíč nahradit zadanou hodnotou v konfiguračním profilu pomocí chování Nahradit . Ve výchozím nastavení je chování nastaveno na Zachovat, což znamená, že klíč značky, který je již přidružený k danému prostředku, se zachová a nepřepíše dvojice klíč/hodnota zadaná v konfiguračním profilu.
K nasazení šablony ARM postupujte takto:
- Uložit tuto šablonu ARM jako
azuredeploy.json - Spuštění tohoto nasazení šablony ARM s využitím
az deployment group create --resource-group myResourceGroup --template-file azuredeploy.json - Po zobrazení výzvy zadejte hodnoty pro customProfileName, location a azureSecurityBaselineAssignmentType.
- Jste připraveni k nasazení
Stejně jako u jakékoli šablony ARM je možné parametry zohlednit do samostatného azuredeploy.parameters.json souboru a použít je jako argument při nasazování.
Další kroky
Odpovědi na nejčastější dotazy najdete v nejčastějších dotazech.