在適用于 VM 的 Azure Automanage 中建立自訂設定檔
適用于虛擬機器的 Azure Automanage 包含無法編輯的預設最佳做法設定檔。 不過,如果您需要更多彈性,您可以藉由建立自訂設定檔來挑選並選擇一組服務和設定。
Automanage 支援切換開啟和關閉服務。 它目前也支援在 Azure 備份 和 Microsoft Antimalware 上 自訂設定。 您也可以指定現有的記錄分析工作區。 此外,僅適用于 Windows 機器,您可以在客 體設定中修改 Azure 安全性基準的 稽核模式。
Automanage 可讓您在自訂設定檔中標記下列資源:
- 資源群組
- 自動化帳戶
- Log Analytics 工作區
- Recovery 保存庫
請查看 ARM 範本 以修改這些設定。
在Azure 入口網站中建立自訂設定檔
登入 Azure
登入 Azure 入口網站。
建立自訂設定檔
在搜尋列中,搜尋並選取 [Automanage – Azure 機器最佳做法 ]。
選取 目錄中的 [組態設定檔 ]。
選取 [ 建立] 按鈕以建立自訂設定檔
在 [ 建立新的設定檔] 刀鋒視窗中,填寫詳細資料:
- 設定檔名稱
- 訂用帳戶
- 資源群組
- 區域
使用所需的服務和設定調整設定檔,然後選取 [ 建立 ]。
使用 Azure Resource Manager 範本建立自訂設定檔
下列 ARM 範本會建立 Automanage 自訂設定檔。 ARM 範本的詳細資料,以及如何部署的步驟位於 ARM 範本部署 一節 。
注意
如果您想要使用特定的記錄分析工作區,請指定工作區的識別碼,如下所示:「/subscriptions/ subscriptionId /resourceGroups /resourceGroupName /providers/Microsoft.OperationalInsights/workspaces/ workspaceName 」
{
"$schema": "http://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json",
"contentVersion": "1.0.0.0",
"parameters": {
"customProfileName": {
"type": "string"
},
"location": {
"type": "string"
},
"azureSecurityBaselineAssignmentType": {
"type": "string",
"allowedValues": [
"ApplyAndAutoCorrect",
"ApplyAndMonitor",
"Audit"
]
},
"logAnalyticsWorkspace": {
"type": "String"
},
"LogAnalyticsBehavior": {
"defaultValue": false,
"type": "Bool"
}
},
"resources": [
{
"type": "Microsoft.Automanage/configurationProfiles",
"apiVersion": "2022-05-04",
"name": "[parameters('customProfileName')]",
"location": "[parameters('location')]",
"properties": {
"configuration": {
"Antimalware/Enable": true,
"Antimalware/EnableRealTimeProtection": true,
"Antimalware/RunScheduledScan": true,
"Antimalware/ScanType": "Quick",
"Antimalware/ScanDay": "7",
"Antimalware/ScanTimeInMinutes": "120",
"AzureSecurityBaseline/Enable": true,
"AzureSecurityBaseline/AssignmentType": "[parameters('azureSecurityBaselineAssignmentType')]",
"Backup/Enable": true,
"Backup/PolicyName": "dailyBackupPolicy",
"Backup/TimeZone": "UTC",
"Backup/InstantRpRetentionRangeInDays": "2",
"Backup/SchedulePolicy/ScheduleRunFrequency": "Daily",
"Backup/SchedulePolicy/ScheduleRunTimes": [
"2017-01-26T00:00:00Z"
],
"Backup/SchedulePolicy/SchedulePolicyType": "SimpleSchedulePolicy",
"Backup/RetentionPolicy/RetentionPolicyType": "LongTermRetentionPolicy",
"Backup/RetentionPolicy/DailySchedule/RetentionTimes": [
"2017-01-26T00:00:00Z"
],
"Backup/RetentionPolicy/DailySchedule/RetentionDuration/Count": "180",
"Backup/RetentionPolicy/DailySchedule/RetentionDuration/DurationType": "Days",
"BootDiagnostics/Enable": true,
"ChangeTrackingAndInventory/Enable": true,
"DefenderForCloud/Enable": true,
"LogAnalytics/Enable": true,
"LogAnalytics/Reprovision": "[parameters('LogAnalyticsBehavior')]",
"LogAnalytics/Workspace": "[parameters('logAnalyticsWorkspace')]",
"UpdateManagement/Enable": true,
"VMInsights/Enable": true,
"WindowsAdminCenter/Enable": true,
"Tags/ResourceGroup": {
"foo": "rg"
},
"Tags/AzureAutomation": {
"foo": "automationAccount"
},
"Tags/LogAnalyticsWorkspace": {
"foo": "workspace"
},
"Tags/RecoveryVault": {
"foo": "recoveryVault"
}
}
}
}
]
}
ARM 範本部署
此 ARM 範本會建立自訂群組態設定檔,您可以指派給指定的電腦。
此值 customProfileName 是您想要建立的自訂群組態設定檔名稱。
此值 location 是您想要儲存此自訂群組態設定檔的區域。 請注意,您可以將此設定檔指派給任何區域中任何支援的機器。
azureSecurityBaselineAssignmentType是您可以為 Azure 伺服器安全性基準選擇的稽核模式。 您的選項為
- ApplyAndAutoCorrect :此設定會透過客體設定延伸模組套用 Azure 安全性基準,如果基準漂移內有任何設定,我們會自動補救設定,使其保持符合規範。
- ApplyAndMonitor :當您第一次將此設定檔指派給每部電腦時,此設定會透過客體設定範圍套用 Azure 安全性基準。 套用之後,客體設定服務會監視伺服器基準,並報告任何偏離所需狀態的漂移。 不過,它不會自動重新分割。
- 稽核:此設定會使用客體設定擴充功能來安裝 Azure 安全性基準。 您可以看到您的電腦不符合基準規範的位置,但不會自動補救不符合規範。
您也可以將這項設定新增至下列屬性的組態區段,以指定現有的 Log Analytics 工作區:
- 「LogAnalytics/Workspace」: 「/subscriptions/ subscriptionId /resourceGroups/ resourceGroupName /providers/Microsoft.OperationalInsights/workspaces/ workspaceName 」
- 「LogAnalytics/Reprovision」:false 在行中
LogAnalytics/Workspace指定現有的工作區。LogAnalytics/Reprovision如果您想要在所有情況下使用此 Log Analytics 工作區,請將 設定設為 true。 任何具有此自訂設定檔的電腦都會使用此工作區,即使是已連線到工作區也一樣。 根據預設,會LogAnalytics/Reprovision設定為 false。 如果您的電腦已連線到工作區,則仍會使用該工作區。 如果它未連線到工作區,則會使用 中指定的LogAnalytics\Workspace工作區。
此外,您可以將標籤新增至自訂設定檔中指定的資源,如下所示:
"Tags/ResourceGroup": {
"foo": "rg"
},
"Tags/ResourceGroup/Behavior": "Preserve",
"Tags/AzureAutomation": {
"foo": "automationAccount"
},
"Tags/AzureAutomation/Behavior": "Replace",
"Tags/LogAnalyticsWorkspace": {
"foo": "workspace"
},
"Tags/LogAnalyticsWorkspace/Behavior": "Replace",
"Tags/RecoveryVault": {
"foo": "recoveryVault"
},
"Tags/RecoveryVault/Behavior": "Preserve"
Tags/Behavior可以設定為 [保留] 或 [取代]。 如果您要標記的資源在索引鍵/值組中已經有相同的標記索引鍵,您可以使用 Replace 行為,以組態設定檔 中的指定值取代該索引鍵。 根據預設,行為會設定為 [保留 ],這表示已經與該資源相關聯的標記索引鍵會保留,且不會由組態設定檔中指定的索引鍵/值組覆寫。
請遵循下列步驟來部署 ARM 範本:
- 將此 ARM 範本儲存為
azuredeploy.json - 使用 執行此 ARM 範本部署
az deployment group create --resource-group myResourceGroup --template-file azuredeploy.json - 在出現提示時,提供 customProfileName、location 和 azureSecurityBaselineAssignmentType 的值
- 您已準備好部署
如同任何 ARM 範本,可以將參數分解成個別 azuredeploy.parameters.json 的檔案,並在部署時使用該參數作為引數。
下一步
取得常見問題中最常回答的問題。