Een aangepast profiel maken in Azure Automanage voor VM's

  • Artikel

Azure Automanage voor virtuele machines bevat standaardprofielen voor aanbevolen procedures die niet kunnen worden bewerkt. Als u echter meer flexibiliteit nodig hebt, kunt u de set services en instellingen kiezen en kiezen door een aangepast profiel te maken.

Automanage biedt ondersteuning voor het in- en uitschakelen van services. Het biedt momenteel ook ondersteuning voor het aanpassen van instellingen in Azure Backup en Microsoft Antimalware. U kunt ook een bestaande Log Analytics-werkruimte opgeven. Voor Alleen Windows-computers kunt u ook de controlemodi voor de Azure-beveiligingsbasislijnen in Gastconfiguratie wijzigen.

Met Automanage kunt u de volgende resources taggen in het aangepaste profiel:

  • Resourcegroep
  • Automation-account
  • Log Analytics-werkruimte
  • Recovery-kluis

Bekijk de ARM-sjabloon voor het wijzigen van deze instellingen.

Een aangepast profiel maken in Azure Portal

Aanmelden bij Azure

Meld u aan bij de Azure-portal.

Een aangepast profiel maken

  1. Zoek en selecteer Automanage in de zoekbalk: aanbevolen procedures voor Azure-machines.

  2. Selecteer Configuratieprofielen in de inhoudsopgave.

  3. Selecteer de knop Maken om uw aangepaste profiel te maken

  4. Vul op de blade Nieuw profiel maken de details in:

    1. Profielnaam
    2. Abonnement
    3. Resourcegroep
    4. Region

    Fill out custom profile details.

  5. Pas het profiel aan met de gewenste services en instellingen en selecteer Maken.

Een aangepast profiel maken met behulp van Azure Resource Manager-sjablonen

Met de volgende ARM-sjabloon wordt een aangepast profiel voor Automanage gemaakt. Details over de ARM-sjabloon en de stappen voor het implementeren bevinden zich in de sectie implementatie van ARM-sjablonen.

Notitie

Als u een specifieke Log Analytics-werkruimte wilt gebruiken, geeft u de id van de werkruimte als volgt op: '/subscriptions/subscriptionId/resourceGroups/resourceGroupName/providers/Microsoft.OperationalInsights/workspaces/workspaceName'

{
    "$schema": "http://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json",
    "contentVersion": "1.0.0.0",
    "parameters": {
      "customProfileName": {
        "type": "string"
      },
      "location": {
        "type": "string"
      },
      "azureSecurityBaselineAssignmentType": {
        "type": "string",
        "allowedValues": [
          "ApplyAndAutoCorrect",
          "ApplyAndMonitor",
          "Audit"
        ]
      },
        "logAnalyticsWorkspace": {
            "type": "String"
        },
        "LogAnalyticsBehavior": {
            "defaultValue": false,
            "type": "Bool"
        }
    },
    "resources": [
      {
        "type": "Microsoft.Automanage/configurationProfiles",
        "apiVersion": "2022-05-04",
        "name": "[parameters('customProfileName')]",
        "location": "[parameters('location')]",
        "properties": {
            "configuration": {
              "Antimalware/Enable": true,
              "Antimalware/EnableRealTimeProtection": true,
              "Antimalware/RunScheduledScan": true,
              "Antimalware/ScanType": "Quick",
              "Antimalware/ScanDay": "7",
              "Antimalware/ScanTimeInMinutes": "120",
              "AzureSecurityBaseline/Enable": true,
              "AzureSecurityBaseline/AssignmentType": "[parameters('azureSecurityBaselineAssignmentType')]",
              "Backup/Enable": true,
              "Backup/PolicyName": "dailyBackupPolicy",
              "Backup/TimeZone": "UTC",
              "Backup/InstantRpRetentionRangeInDays": "2",
              "Backup/SchedulePolicy/ScheduleRunFrequency": "Daily",
              "Backup/SchedulePolicy/ScheduleRunTimes": [
                  "2017-01-26T00:00:00Z"
              ],
              "Backup/SchedulePolicy/SchedulePolicyType": "SimpleSchedulePolicy",
              "Backup/RetentionPolicy/RetentionPolicyType": "LongTermRetentionPolicy",
              "Backup/RetentionPolicy/DailySchedule/RetentionTimes": [
                  "2017-01-26T00:00:00Z"
              ],
              "Backup/RetentionPolicy/DailySchedule/RetentionDuration/Count": "180",
              "Backup/RetentionPolicy/DailySchedule/RetentionDuration/DurationType": "Days",
              "BootDiagnostics/Enable": true,
              "ChangeTrackingAndInventory/Enable": true,
              "DefenderForCloud/Enable": true,
              "LogAnalytics/Enable": true,
              "LogAnalytics/Reprovision": "[parameters('LogAnalyticsBehavior')]",
              "LogAnalytics/Workspace": "[parameters('logAnalyticsWorkspace')]",
              "UpdateManagement/Enable": true,
              "VMInsights/Enable": true,
              "WindowsAdminCenter/Enable": true,
              "Tags/ResourceGroup": {
                "foo": "rg"
              },
              "Tags/AzureAutomation": {
                "foo": "automationAccount"
              },
              "Tags/LogAnalyticsWorkspace": {
                "foo": "workspace"
              },
              "Tags/RecoveryVault": {
                "foo": "recoveryVault"
              }
          }
        }
      }
    ]
  }

ARM-sjabloonimplementatie

Met deze ARM-sjabloon maakt u een aangepast configuratieprofiel dat u kunt toewijzen aan uw opgegeven computer.

De customProfileName waarde is de naam van het aangepaste configuratieprofiel dat u wilt maken.

De location waarde is de regio waarin u dit aangepaste configuratieprofiel wilt opslaan. Opmerking: u kunt dit profiel toewijzen aan alle ondersteunde machines in elke regio.

Dit azureSecurityBaselineAssignmentType is de controlemodus die u kunt kiezen voor de azure-serverbeveiligingsbasislijn. Uw opties zijn

  • ApplyAndAutoCorrect: Met deze instelling wordt de Azure-beveiligingsbasislijn toegepast via de extensie Voor gastconfiguratie. Als er een instelling binnen de basislijndrift is, wordt de instelling automatisch hersteld zodat deze compatibel blijft.
  • ApplyAndMonitor: met deze instelling wordt de Azure-beveiligingsbasislijn toegepast via de uitbreiding Gastconfiguratie wanneer u dit profiel voor het eerst toewijst aan elke computer. Nadat deze is toegepast, controleert de gastconfiguratieservice de basislijn van de server en rapporteert de afwijking van de gewenste status. Het zal echter niet automatisch opnieuw worden ge remdiaat.
  • Controle: met deze instelling wordt de Azure-beveiligingsbasislijn geïnstalleerd met behulp van de extensie Voor gastconfiguratie. U kunt zien waar uw computer niet meer voldoet aan de basislijn, maar niet-naleving wordt niet automatisch hersteld.

U kunt ook een bestaande Log Analytics-werkruimte opgeven door deze instelling toe te voegen aan de configuratiesectie van de onderstaande eigenschappen:

  • "LogAnalytics/Workspace": "/subscriptions/subscriptionId/resourceGroups/resourceGroupName/providers/Microsoft.OperationalInsights/workspaces/workspaceName"
  • 'LogAnalytics/Reprovision': false Geef uw bestaande werkruimte op de LogAnalytics/Workspace regel op. Stel de LogAnalytics/Reprovision instelling in op True als u wilt dat deze Log Analytics-werkruimte in alle gevallen wordt gebruikt. Elke computer met dit aangepaste profiel gebruikt vervolgens deze werkruimte, zelfs als deze al is verbonden met een werkruimte. LogAnalytics/Reprovision De standaardinstelling is ingesteld op false. Als uw computer al is verbonden met een werkruimte, wordt die werkruimte nog steeds gebruikt. Als deze niet is verbonden met een werkruimte, wordt de opgegeven LogAnalytics\Workspace werkruimte gebruikt.

U kunt ook tags toevoegen aan resources die zijn opgegeven in het aangepaste profiel, zoals hieronder:

"Tags/ResourceGroup": {
    "foo": "rg"
},
"Tags/ResourceGroup/Behavior": "Preserve",
"Tags/AzureAutomation": {
  "foo": "automationAccount"
},
"Tags/AzureAutomation/Behavior": "Replace",
"Tags/LogAnalyticsWorkspace": {
  "foo": "workspace"
},
"Tags/LogAnalyticsWorkspace/Behavior": "Replace",
"Tags/RecoveryVault": {
  "foo": "recoveryVault"
},
"Tags/RecoveryVault/Behavior": "Preserve"

U Tags/Behavior kunt deze instellen op Behouden of Vervangen. Als de resource die u tagt, al dezelfde tagsleutel bevat in het sleutel-/waardepaar, kunt u die sleutel vervangen door de opgegeven waarde in het configuratieprofiel met behulp van het gedrag Vervangen . Standaard is het gedrag ingesteld op Behouden, wat betekent dat de tagsleutel die al aan die resource is gekoppeld, wordt bewaard en niet wordt overschreven door het sleutel-/waardepaar dat is opgegeven in het configuratieprofiel.

Volg deze stappen om de ARM-sjabloon te implementeren:

  1. Deze ARM-sjabloon opslaan als azuredeploy.json
  2. Deze ARM-sjabloonimplementatie uitvoeren met az deployment group create --resource-group myResourceGroup --template-file azuredeploy.json
  3. Geef de waarden op voor customProfileName, locatie en azureSecurityBaselineAssignmentType wanneer hierom wordt gevraagd
  4. U bent klaar om te implementeren

Net als bij elke ARM-sjabloon is het mogelijk om de parameters in een afzonderlijk azuredeploy.parameters.json bestand uit te sluiten en dat te gebruiken als argument bij het implementeren.

Volgende stappen

Bekijk de meest gestelde vragen in onze veelgestelde vragen.

Veelgestelde vragen