Создание настраиваемого профиля в Службе автоматического управления Azure для виртуальных машин
Внимание
31 августа 2024 г. управление обновлениями службы автоматизации и агент Log Analytics, которые он использует, будет прекращен. Перед этим выполните миграцию в Диспетчер обновлений Azure. Дополнительные сведения о миграции в Диспетчер обновлений Azure см. здесь. Миграция сейчас.
Автоуправляемая служба Azure для Виртуальные машины включает профили рекомендаций по умолчанию, которые не могут быть изменены. Однако если вам нужна дополнительная гибкость, можно выбрать и выбрать набор служб и параметров, создав пользовательский профиль.
Автоуправляемая служба поддерживает переключение служб ON и OFF. В настоящее время она также поддерживает настройку параметров в Azure Backup и Антивредоносном ПО Майкрософт. Можно также указать существующую рабочую область log analytics. Кроме того, для компьютеров Windows можно изменить режимы аудита для базовых показателей безопасности Azure в гостевой конфигурации.
Автоматическое управление позволяет тегировать следующие ресурсы в пользовательском профиле:
- Группа ресурсов
- Учетная запись службы автоматизации
- Рабочая область Log Analytics
- Хранилище восстановления
Ознакомьтесь с шаблоном ARM для изменения этих параметров.
Создание пользовательского профиля в портал Azure
Вход в Azure
Войдите на портал Azure.
Создание пользовательского профиля
В строке поиска найдите и выберите Автоматическое управление — Рекомендации для компьютеров Azure.
Выберите профили конфигурации в оглавлении.
Нажмите кнопку "Создать", чтобы создать пользовательский профиль
В колонке "Создание профиля " заполните сведения:
- Имя профиля
- Подписка
- Группа ресурсов
- Область/регион
Настройте профиль с помощью требуемых служб и параметров и нажмите кнопку "Создать".
Создание пользовательского профиля с помощью шаблонов Azure Resource Manager
Следующий шаблон ARM создает настраиваемый профиль автоуправляемого объекта. Сведения о шаблоне ARM и шагах по развертыванию шаблонов ARM в разделе развертывания шаблона ARM.
Примечание.
Если вы хотите использовать определенную рабочую область log analytics, укажите идентификатор рабочей области, например "/subscriptions/subscriptionId/resourceGroups/resourceGroupName/providers/Microsoft.OperationalInsights/workspaces/workspaceName"
{
"$schema": "http://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json",
"contentVersion": "1.0.0.0",
"parameters": {
"customProfileName": {
"type": "string"
},
"location": {
"type": "string"
},
"azureSecurityBaselineAssignmentType": {
"type": "string",
"allowedValues": [
"ApplyAndAutoCorrect",
"ApplyAndMonitor",
"Audit"
]
},
"logAnalyticsWorkspace": {
"type": "String"
},
"LogAnalyticsBehavior": {
"defaultValue": false,
"type": "Bool"
}
},
"resources": [
{
"type": "Microsoft.Automanage/configurationProfiles",
"apiVersion": "2022-05-04",
"name": "[parameters('customProfileName')]",
"location": "[parameters('location')]",
"properties": {
"configuration": {
"Antimalware/Enable": true,
"Antimalware/EnableRealTimeProtection": true,
"Antimalware/RunScheduledScan": true,
"Antimalware/ScanType": "Quick",
"Antimalware/ScanDay": "7",
"Antimalware/ScanTimeInMinutes": "120",
"AzureSecurityBaseline/Enable": true,
"AzureSecurityBaseline/AssignmentType": "[parameters('azureSecurityBaselineAssignmentType')]",
"Backup/Enable": true,
"Backup/PolicyName": "dailyBackupPolicy",
"Backup/TimeZone": "UTC",
"Backup/InstantRpRetentionRangeInDays": "2",
"Backup/SchedulePolicy/ScheduleRunFrequency": "Daily",
"Backup/SchedulePolicy/ScheduleRunTimes": [
"2017-01-26T00:00:00Z"
],
"Backup/SchedulePolicy/SchedulePolicyType": "SimpleSchedulePolicy",
"Backup/RetentionPolicy/RetentionPolicyType": "LongTermRetentionPolicy",
"Backup/RetentionPolicy/DailySchedule/RetentionTimes": [
"2017-01-26T00:00:00Z"
],
"Backup/RetentionPolicy/DailySchedule/RetentionDuration/Count": "180",
"Backup/RetentionPolicy/DailySchedule/RetentionDuration/DurationType": "Days",
"BootDiagnostics/Enable": true,
"ChangeTrackingAndInventory/Enable": true,
"DefenderForCloud/Enable": true,
"LogAnalytics/Enable": true,
"LogAnalytics/Reprovision": "[parameters('LogAnalyticsBehavior')]",
"LogAnalytics/Workspace": "[parameters('logAnalyticsWorkspace')]",
"LogAnalytics/UseAma": true,
"UpdateManagement/Enable": true,
"VMInsights/Enable": true,
"WindowsAdminCenter/Enable": true,
"Tags/ResourceGroup": {
"foo": "rg"
},
"Tags/AzureAutomation": {
"foo": "automationAccount"
},
"Tags/LogAnalyticsWorkspace": {
"foo": "workspace"
},
"Tags/RecoveryVault": {
"foo": "recoveryVault"
}
}
}
}
]
}
Развертывание шаблона ARM
Этот шаблон ARM создает настраиваемый профиль конфигурации, который можно назначить указанному компьютеру.
Это customProfileName значение — имя пользовательского профиля конфигурации, который вы хотите создать.
Значением location является регион, в котором вы хотите сохранить этот настраиваемый профиль конфигурации. Обратите внимание, что этот профиль можно назначить любым поддерживаемым компьютерам в любом регионе.
Это azureSecurityBaselineAssignmentType режим аудита, который можно выбрать для базовых показателей безопасности сервера Azure. Вам доступны следующие действия:
- ApplyAndAutoCorrect: этот параметр применяет базовые показатели безопасности Azure через расширение гостевой конфигурации, и если какой-либо параметр в рамках базовых смещениях, мы автоматически исправим этот параметр, чтобы он оставался совместимым.
- ApplyAndMonitor. Этот параметр применяет базовые показатели безопасности Azure с помощью экстентирования гостевой конфигурации при первом назначении этого профиля каждому компьютеру. После применения служба гостевой конфигурации будет отслеживать базовые показатели сервера и сообщать о любых смещениях от требуемого состояния. Однако он не будет автоматически remdiate.
- Аудит. Этот параметр устанавливает базовые показатели безопасности Azure с помощью расширения гостевой конфигурации. Вы можете узнать, где ваш компьютер не соответствует базовому плану, но несоответствие не устраняется автоматически.
Значение заключается в LogAnalytics/UseAma том, где можно указать использование агента Azure Monitor или нет.
Вы также можете указать существующую рабочую область log analytics, добавив этот параметр в раздел конфигурации свойств ниже:
- LogAnalytics/Workspace: "/subscriptions/subscriptionId/resourceGroups/resourceGroupName/providers/Microsoft.OperationalInsights/workspaces/workspaceName"
- LogAnalytics/Reprovision:false Укажите существующую рабочую область в строке
LogAnalytics/Workspace. Задайте для параметра значение true,LogAnalytics/Reprovisionесли вы хотите использовать эту рабочую область Log Analytics во всех случаях. Любой компьютер с этим пользовательским профилем затем использует эту рабочую область, даже она уже подключена к одной. По умолчаниюLogAnalytics/Reprovisionзадано значение false. Если компьютер уже подключен к рабочей области, то эта рабочая область по-прежнему используется. Если он не подключен к рабочей области, будет использоваться указанная вLogAnalytics\Workspaceней рабочая область.
Кроме того, можно добавить теги в ресурсы, указанные в пользовательском профиле, как показано ниже:
"Tags/ResourceGroup": {
"foo": "rg"
},
"Tags/ResourceGroup/Behavior": "Preserve",
"Tags/AzureAutomation": {
"foo": "automationAccount"
},
"Tags/AzureAutomation/Behavior": "Replace",
"Tags/LogAnalyticsWorkspace": {
"foo": "workspace"
},
"Tags/LogAnalyticsWorkspace/Behavior": "Replace",
"Tags/RecoveryVault": {
"foo": "recoveryVault"
},
"Tags/RecoveryVault/Behavior": "Preserve"
Можно Tags/Behavior задать значение "Сохранить" или "Заменить". Если в паре "Ключ и значение" уже имеется один и тот же ключ тега, можно заменить этот ключ указанным значением в профиле конфигурации с помощью поведения "Заменить ". По умолчанию поведение имеет значение "Сохранить", то есть ключ тега, который уже связан с этим ресурсом, сохраняется и не перезаписывается парой "ключ-значение", указанной в профиле конфигурации.
Чтобы развернуть шаблон, выполните указанные ниже действия.
- Сохраните этот шаблон ARM как
azuredeploy.json - Запуск этого развертывания шаблона ARM с помощью
az deployment group create --resource-group myResourceGroup --template-file azuredeploy.json - Укажите значения для customProfileName, location и azureSecurityBaselineAssignmentType при появлении запроса
- Вы готовы к развертыванию
Как и в любом шаблоне ARM, можно факторировать параметры в отдельный azuredeploy.parameters.json файл и использовать его в качестве аргумента при развертывании.
Следующие шаги
Найдите ответы на часто задаваемые вопросы.