Azure Automanage for VM でカスタム プロファイルを作成する

注意事項

2024 年 8 月 31 日に、Automation Update Management と、それが使用する Log Analytics エージェントの両方が廃止されます。 その前に Azure Update Manager へ移行してください。 Azure Update Manager への移行に関するガイダンスは、こちらを参照してください。 今すぐ移行する

Azure Automanage for Virtual Machines には、編集できない既定のベスト プラクティス プロファイルが含まれています。 ただし、柔軟性を高める必要がある場合は、カスタム プロファイルを作成して、一連のサービスと設定を選択することができます。

Automanage では、サービスのオンとオフの切り替えがサポートされています。 現在、Azure BackupMicrosoft Antimalware の設定のカスタマイズもサポートされます。 既存の Log Analytics ワークスペースを指定することもできます。 また、Windows マシンについてのみ、ゲスト構成での Azure セキュリティ基準の監査モードを変更することもできます。

Automanage では、カスタム プロファイルで次のリソースにタグを付けできます。

  • リソース グループ
  • Automation アカウント
  • Log Analytics ワークスペース
  • 回復コンテナー

これらの設定を変更するための ARM テンプレートを確認します。

Azure portal でカスタム プロファイルを作成する

Azure へのサインイン

Azure portal にサインインします。

カスタム プロファイルを作成する

  1. 検索バーで、 [Automanage – Azure machine best practices]\(Automanage - Azure マシンのベスト プラクティスの有効化) を検索して選択します。

  2. 目次で [構成プロファイル] を選択します。

  3. [作成] ボタンを選択して、カスタム プロファイルを作成する

  4. [新しいプロファイルの作成] ブレードで、詳細を入力します。

    1. プロファイル名
    2. サブスクリプション
    3. リソース グループ
    4. "リージョン"

    カスタム プロファイルの詳細を入力します。

  5. 必要なサービスと設定でプロファイルを調整し、[作成] を選択します。

Azure Resource Manager テンプレートを使用したカスタム プロファイルの作成

次の ARM テンプレートを使用すると、Automanage カスタム プロファイルが作成されます。 ARM テンプレートの詳細とデプロイ方法の手順については、ARM テンプレートのデプロイに関するセクションを参照してください。

Note

特定の Log Analytics ワークスペースを試用する場合、"/subscriptions/subscriptionId/resourceGroups/resourceGroupName/providers/Microsoft.OperationalInsights/workspaces/workspaceName" のようにワークスペースの ID を指定します。

{
    "$schema": "http://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json",
    "contentVersion": "1.0.0.0",
    "parameters": {
      "customProfileName": {
        "type": "string"
      },
      "location": {
        "type": "string"
      },
      "azureSecurityBaselineAssignmentType": {
        "type": "string",
        "allowedValues": [
          "ApplyAndAutoCorrect",
          "ApplyAndMonitor",
          "Audit"
        ]
      },
        "logAnalyticsWorkspace": {
            "type": "String"
        },
        "LogAnalyticsBehavior": {
            "defaultValue": false,
            "type": "Bool"
        }
    },
    "resources": [
      {
        "type": "Microsoft.Automanage/configurationProfiles",
        "apiVersion": "2022-05-04",
        "name": "[parameters('customProfileName')]",
        "location": "[parameters('location')]",
        "properties": {
            "configuration": {
              "Antimalware/Enable": true,
              "Antimalware/EnableRealTimeProtection": true,
              "Antimalware/RunScheduledScan": true,
              "Antimalware/ScanType": "Quick",
              "Antimalware/ScanDay": "7",
              "Antimalware/ScanTimeInMinutes": "120",
              "AzureSecurityBaseline/Enable": true,
              "AzureSecurityBaseline/AssignmentType": "[parameters('azureSecurityBaselineAssignmentType')]",
              "Backup/Enable": true,
              "Backup/PolicyName": "dailyBackupPolicy",
              "Backup/TimeZone": "UTC",
              "Backup/InstantRpRetentionRangeInDays": "2",
              "Backup/SchedulePolicy/ScheduleRunFrequency": "Daily",
              "Backup/SchedulePolicy/ScheduleRunTimes": [
                  "2017-01-26T00:00:00Z"
              ],
              "Backup/SchedulePolicy/SchedulePolicyType": "SimpleSchedulePolicy",
              "Backup/RetentionPolicy/RetentionPolicyType": "LongTermRetentionPolicy",
              "Backup/RetentionPolicy/DailySchedule/RetentionTimes": [
                  "2017-01-26T00:00:00Z"
              ],
              "Backup/RetentionPolicy/DailySchedule/RetentionDuration/Count": "180",
              "Backup/RetentionPolicy/DailySchedule/RetentionDuration/DurationType": "Days",
              "BootDiagnostics/Enable": true,
              "ChangeTrackingAndInventory/Enable": true,
              "DefenderForCloud/Enable": true,
              "LogAnalytics/Enable": true,
              "LogAnalytics/Reprovision": "[parameters('LogAnalyticsBehavior')]",
              "LogAnalytics/Workspace": "[parameters('logAnalyticsWorkspace')]",
              "LogAnalytics/UseAma": true,
              "UpdateManagement/Enable": true,
              "VMInsights/Enable": true,
              "WindowsAdminCenter/Enable": true,
              "Tags/ResourceGroup": {
                "foo": "rg"
              },
              "Tags/AzureAutomation": {
                "foo": "automationAccount"
              },
              "Tags/LogAnalyticsWorkspace": {
                "foo": "workspace"
              },
              "Tags/RecoveryVault": {
                "foo": "recoveryVault"
              }
          }
        }
      }
    ]
  }

ARM テンプレートのデプロイ

この ARM テンプレートによって、カスタム構成プロファイルが作成されます。このプロファイルは、指定したマシンに割り当てることができます。

customProfileName の値は、作成するカスタム構成プロファイルの名前です。

location の値は、このカスタム構成プロファイルを保存するリージョンです。 このプロファイルは、リージョン内にあるサポートされている任意のマシンに割り当てることができます。

azureSecurityBaselineAssignmentType は、Azure サーバーのセキュリティ ベースラインに対して選択できる監査モードです。 選択肢は次のとおりです

  • ApplyAndAutoCorrect: この設定では、ゲスト構成拡張機能を通して Azure セキュリティ ベースラインが適用され、ベースライン内のいずれかの設定がドリフトした場合は、準拠したままになるように設定が自動的に修復されます。
  • ApplyAndMonitor: この設定では、ユーザーがこのプロファイルを各マシンに最初に割り当てるときに、ゲスト構成拡張機能を通して Azure セキュリティ ベースラインが適用されます。 それが適用された後、ゲスト構成サービスはサーバーのベースラインを監視し、望ましい状態からのドリフトを報告します。 ただし、自動修復は行われません。
  • 監査: この設定では、ゲスト構成拡張機能を使用して、Azure セキュリティ ベースラインがインストールされます。 ユーザーは、マシンのどこがベースラインに準拠していないかを確認できますが、非準拠が自動的に修復されることはありません。

LogAnalytics/UseAma の値は、Azure Monitor エージェントを使用するかどうかを指定できる場所です。

次のプロパティの構成セクションにこの設定を追加することで、既存の Log Analytics ワークスペースを指定することもできます。

  • "LogAnalytics/Workspace": "/subscriptions/subscriptionId/resourceGroups/resourceGroupName/providers/Microsoft.OperationalInsights/workspaces/workspaceName"
  • "LogAnalytics/Reprovision": false 既存のワークスペースを LogAnalytics/Workspace 行に指定します。 この Log Analytics ワークスペースをあらゆるケースで使用する場合、LogAnalytics/Reprovision 設定を true に設定します。 その後、このカスタム プロファイルを持つマシンは、既に接続されている場合でも、このワークスペースを使用します。 既定では、LogAnalytics/Reprovision は false に設定されています。 コンピューターが既にワークスペースに接続されている場合、そのワークスペースは引き続き使用されます。 ワークスペースに接続されていない場合は、LogAnalytics\Workspace で指定されているワークスペースが使われます。

また、次のようにカスタム プロファイルで指定されたリソースにタグを追加することもできます。

"Tags/ResourceGroup": {
    "foo": "rg"
},
"Tags/ResourceGroup/Behavior": "Preserve",
"Tags/AzureAutomation": {
  "foo": "automationAccount"
},
"Tags/AzureAutomation/Behavior": "Replace",
"Tags/LogAnalyticsWorkspace": {
  "foo": "workspace"
},
"Tags/LogAnalyticsWorkspace/Behavior": "Replace",
"Tags/RecoveryVault": {
  "foo": "recoveryVault"
},
"Tags/RecoveryVault/Behavior": "Preserve"

Tags/Behavior は Preserve または Replace に設定できます。 タグを付けているリソースに、キーと値のペアが同じタグ キーが既にある場合は、Replace 動作を使って、そのキーを構成プロファイルで指定されている値に置き換えることができます。 既定では、動作は Preserve に設定されます。つまり、そのリソースに既に関連付けられているタグ キーは保持され、構成プロファイルで指定されているキーと値のペアによって上書きされることはありません。

ARM テンプレートをデプロイするには、次の手順に従います。

  1. この ARM テンプレートを azuredeploy.json として保存します。
  2. az deployment group create --resource-group myResourceGroup --template-file azuredeploy.json を使用してこの ARM テンプレートのデプロイを実行します
  3. メッセージが表示されたら、customProfileName、location、および azureSecurityBaselineAssignmentType の値を指定します
  4. これで、デプロイする準備が整いました。

どの ARM テンプレートでも、パラメーターを別の azuredeploy.parameters.json ファイルに取り出し、それをデプロイ時に引数として使用できます。

次のステップ

よく寄せられる質問とその回答については、FAQ を参照してください。