Поделиться через

Создание настраиваемого профиля в Службе автоматического управления Azure для виртуальных машин

  • Статья

Внимание

30 сентября 2027 г. служба azure Automanage Best Practices будет прекращена. В результате попытка создать новый профиль конфигурации или подключение новой подписки к службе приведет к ошибке. Узнайте больше здесь о том, как перейти на Azure Policy до этой даты.

Внимание

Начиная с 1 февраля 2025 г. Служба автоматического управления Azure начнет развертывание изменений, чтобы остановить поддержку и принудительное применение всех служб, зависящих от устаревшего агента Microsoft Monitoring Agent (MMA). Чтобы продолжить использование Отслеживания изменений и управления, VM Insights, управления обновлениями и Azure Automation, перейдите на новый агент Azure Monitor (AMA).

Azure Automanage для виртуальных машин включает профили лучших практик по умолчанию, которые не могут быть изменены. Однако если вам нужна бóльшая гибкость, создайте пользовательский профиль, чтобы выбрать набор услуг и настроек.

Автоматическое управление поддерживает переключение служб ВКЛ и ВЫКЛ. В настоящее время она также поддерживает настройку параметров в Azure Backup и Антивредоносном ПО Майкрософт. Можно также указать существующую рабочую область log analytics. Кроме того, для компьютеров Windows можно изменить режимы аудита для базовых показателей безопасности Azure в гостевой конфигурации.

Автоматическое управление позволяет тегировать следующие ресурсы в пользовательском профиле:

  • Группа ресурсов
  • Учетная запись службы автоматизации
  • Рабочая область Log Analytics
  • Хранилище восстановления

Ознакомьтесь с шаблоном ARM для изменения этих параметров.

Создание пользовательского профиля в портал Azure

Вход в Azure

Войдите на портал Azure.

Создание пользовательского профиля

  1. В строке поиска найдите и выберите Автоматическое управление — Рекомендации для компьютеров Azure.

  2. Выберите профили конфигурации в оглавлении.

  3. Нажмите кнопку "Создать", чтобы создать пользовательский профиль

  4. В колонке "Создание профиля " заполните сведения:

    1. Имя профиля
    2. Подписка
    3. Группа ресурсов
    4. Область/регион

    Заполните сведения о пользовательском профиле.

  5. Настройте профиль с помощью требуемых служб и параметров и нажмите кнопку "Создать".

Создание пользовательского профиля с помощью шаблонов Azure Resource Manager

Следующий шаблон ARM создает настраиваемый профиль Automanage. Сведения о шаблоне ARM и шагах по развертыванию шаблонов ARM в разделе развертывания шаблона ARM.

Примечание.

Если вы хотите использовать определенную рабочую область аналитики журналов, укажите идентификатор рабочей области, например "/subscriptions/subscriptionId/resourceGroups/resourceGroupName/providers/Microsoft.OperationalInsights/workspaces/workspaceName"

{
    "$schema": "http://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json",
    "contentVersion": "1.0.0.0",
    "parameters": {
      "customProfileName": {
        "type": "string"
      },
      "location": {
        "type": "string"
      },
      "azureSecurityBaselineAssignmentType": {
        "type": "string",
        "allowedValues": [
          "ApplyAndAutoCorrect",
          "ApplyAndMonitor",
          "Audit"
        ]
      },
        "logAnalyticsWorkspace": {
            "type": "String"
        },
        "LogAnalyticsBehavior": {
            "defaultValue": false,
            "type": "Bool"
        }
    },
    "resources": [
      {
        "type": "Microsoft.Automanage/configurationProfiles",
        "apiVersion": "2022-05-04",
        "name": "[parameters('customProfileName')]",
        "location": "[parameters('location')]",
        "properties": {
            "configuration": {
              "Antimalware/Enable": true,
              "Antimalware/EnableRealTimeProtection": true,
              "Antimalware/RunScheduledScan": true,
              "Antimalware/ScanType": "Quick",
              "Antimalware/ScanDay": "7",
              "Antimalware/ScanTimeInMinutes": "120",
              "AzureSecurityBaseline/Enable": true,
              "AzureSecurityBaseline/AssignmentType": "[parameters('azureSecurityBaselineAssignmentType')]",
              "Backup/Enable": true,
              "Backup/PolicyName": "dailyBackupPolicy",
              "Backup/TimeZone": "UTC",
              "Backup/InstantRpRetentionRangeInDays": "2",
              "Backup/SchedulePolicy/ScheduleRunFrequency": "Daily",
              "Backup/SchedulePolicy/ScheduleRunTimes": [
                  "2017-01-26T00:00:00Z"
              ],
              "Backup/SchedulePolicy/SchedulePolicyType": "SimpleSchedulePolicy",
              "Backup/RetentionPolicy/RetentionPolicyType": "LongTermRetentionPolicy",
              "Backup/RetentionPolicy/DailySchedule/RetentionTimes": [
                  "2017-01-26T00:00:00Z"
              ],
              "Backup/RetentionPolicy/DailySchedule/RetentionDuration/Count": "180",
              "Backup/RetentionPolicy/DailySchedule/RetentionDuration/DurationType": "Days",
              "BootDiagnostics/Enable": true,
              "ChangeTrackingAndInventory/Enable": true,
              "DefenderForCloud/Enable": true,
              "LogAnalytics/Enable": true,
              "LogAnalytics/Reprovision": "[parameters('LogAnalyticsBehavior')]",
              "LogAnalytics/Workspace": "[parameters('logAnalyticsWorkspace')]",
              "LogAnalytics/UseAma": true,
              "UpdateManagement/Enable": true,
              "VMInsights/Enable": true,
              "WindowsAdminCenter/Enable": true,
              "Tags/ResourceGroup": {
                "foo": "rg"
              },
              "Tags/AzureAutomation": {
                "foo": "automationAccount"
              },
              "Tags/LogAnalyticsWorkspace": {
                "foo": "workspace"
              },
              "Tags/RecoveryVault": {
                "foo": "recoveryVault"
              }
          }
        }
      }
    ]
  }

Развертывание шаблона ARM

Этот шаблон ARM создает настраиваемый профиль конфигурации, который можно назначить указанному компьютеру.

Это customProfileName значение — имя конфигурационного пользовательского профиля, который вы хотите создать.

Значением location является регион, в котором вы хотите сохранить этот настраиваемый профиль конфигурации. Обратите внимание, что этот профиль можно назначить любым поддерживаемым компьютерам в любом регионе.

Это azureSecurityBaselineAssignmentType режим аудита, который можно выбрать для базовых показателей безопасности сервера Azure. Вам доступны следующие действия:

  • ApplyAndAutoCorrect: этот параметр применяет базовый уровень безопасности Azure через расширение гостевой конфигурации, и если какой-либо параметр в рамках базового уровня отклоняется, мы автоматически исправим этот параметр, чтобы он оставался соответствовать требованиям.
  • ApplyAndMonitor: этот параметр применяет базовые показатели безопасности Azure через расширение гостевой конфигурации при первом назначении этого профиля каждому компьютеру. После применения служба гостевой конфигурации будет отслеживать базовые показатели сервера и сообщать о любых смещениях от требуемого состояния. Тем не менее, оно не будет исправляться автоматически.
  • Аудит. Этот параметр устанавливает базовые показатели безопасности Azure с помощью расширения гостевой конфигурации. Вы можете узнать, где ваш компьютер не соответствует базовому плану, но несоответствие не устраняется автоматически.

Значение LogAnalytics/UseAma— здесь вы можете указать, будете ли использовать агент Azure Monitor или нет.

Вы также можете указать существующую рабочую область log analytics, добавив этот параметр в раздел конфигурации свойств ниже:

  • LogAnalytics/Workspace: «/subscriptions/subscriptionId/resourceGroups/resourceGroupName/providers/Microsoft.OperationalInsights/workspaces/workspaceName»
  • LogAnalytics/Reprovision: false Укажите существующую рабочую область в строке LogAnalytics/Workspace. Установите параметр LogAnalytics/Reprovision в значение true, если вы хотите использовать эту рабочую область для анализа журналов во всех случаях. Любая машина с этим пользовательским профилем затем использует эту рабочую область, даже если она уже подключена к другой. По умолчанию LogAnalytics/Reprovision задано значение false. Если компьютер уже подключен к рабочей области, то эта рабочая область по-прежнему используется. Если он не подключен к рабочей области, будет использоваться указанная в LogAnalytics\Workspace ней рабочая область.

Кроме того, можно добавить теги в ресурсы, указанные в пользовательском профиле, как показано ниже:

"Tags/ResourceGroup": {
    "foo": "rg"
},
"Tags/ResourceGroup/Behavior": "Preserve",
"Tags/AzureAutomation": {
  "foo": "automationAccount"
},
"Tags/AzureAutomation/Behavior": "Replace",
"Tags/LogAnalyticsWorkspace": {
  "foo": "workspace"
},
"Tags/LogAnalyticsWorkspace/Behavior": "Replace",
"Tags/RecoveryVault": {
  "foo": "recoveryVault"
},
"Tags/RecoveryVault/Behavior": "Preserve"

Можно задать для Tags/Behavior значение "Сохранить" или "Заменить". Если у ресурса, который вы помечаете, уже имеется такой же ключ тега в паре ключ/значение, можно заменить этот ключ на указанное значение в профиле конфигурации, используя поведение Заменить. По умолчанию поведение имеет значение "Сохранить", то есть ключ тега, который уже связан с этим ресурсом, сохраняется и не перезаписывается парой "ключ-значение", указанной в профиле конфигурации.

Чтобы развернуть шаблон ARM, выполните указанные ниже действия.

  1. Сохраните этот шаблон ARM как azuredeploy.json
  2. Выполните развертывание этого шаблона ARM с помощью az deployment group create --resource-group myResourceGroup --template-file azuredeploy.json
  3. Укажите значения для customProfileName, location и azureSecurityBaselineAssignmentType при появлении запроса
  4. Вы готовы к развертыванию

Как и в любом шаблоне ARM, можно факторировать параметры в отдельный azuredeploy.parameters.json файл и использовать его в качестве аргумента при развертывании.

Следующие шаги

Найдите ответы на часто задаваемые вопросы.

Вопросы и ответы