Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Essential machine management упрощает подключение и настройку управления для Azure виртуальных машин и серверов с поддержкой arc. При включении подписки для управления основными компьютерами все виртуальные машины и серверы с поддержкой arc в этой подписке автоматически регистрируются и настраиваются с помощью курированного набора функций управления. Это гарантирует, что компьютеры постоянно настроены для мониторинга, безопасности и управления.
Предпосылки
- рабочая область Log Analytics для сбора логов, собранных с виртуальных машин.
- Рабочая область Azure Monitor для сбора данных метрик, полученных с виртуальных машин.
- Назначаемое пользователем управляемое удостоверение, как описано ниже в разделе Управляемое удостоверение.
Необходимые разрешения
User
Пользователь, выполняющий регистрацию, должен иметь следующие роли в включаемой подписке:
- Администратор управления основными компьютерами
- Роли оператора управляемых идентификаций
- Участник политики ресурсов
Если вы используете рабочую область Log Analytics или рабочую область Azure Monitor в подписке, отличной от используемой для управления основными компьютерами:
- Учетная запись пользователя также должна иметь роль Essential Machine Management Administrator в группе ресурсов рабочей области Log Analytics или рабочей области Azure Monitor.
-
Майкрософт. ManagedOps поставщик ресурсов должен быть зарегистрирован в подписке рабочей области Log Analytics или рабочей области Azure Monitor. Используйте команду Azure PowerShell:
Register-AzResourceProvider -ProviderNamespace "Майкрософт.ManagedOps".
Манажируемая идентичность
Для регистрации требуется назначаемое пользователем управляемое удостоверение с разрешением участника для подписки.
Если вы используете рабочую область Log Analytics или рабочую область Azure Monitor в подписке, отличной от той, что используется для управления ключевыми машинами, тогда управляемая идентичность должна также иметь разрешения Contributor в группе ресурсов этой рабочей области Log Analytics или Azure Monitor.
Функции, включенные
Управление основными компьютерами включает стандартный набор функций и позволяет дополнительно включить дополнительные функции безопасности.
Уровень Основной
Следующие возможности являются частью базового уровня.
| Функция | Description |
|---|---|
| Azure Monitor | Отслеживает и предоставляет аналитические сведения о производительности и работоспособности виртуальных машин. Настраивает рекомендуемые оповещения на основе метрик. |
| Диспетчер обновлений Azure | Автоматизирует развертывание обновлений операционной системы на виртуальных машинах. |
| Azure Конфигурация компьютера | Аудит политики базовых показателей безопасности Azure |
| Отслеживание изменений и инвентаризация в Azure | Отслеживает изменения конфигураций виртуальных машин и поддерживает инвентаризацию ресурсов. |
Цены уровня Essentials
Замечание
На начальном этапе общедоступной предварительной версии функции essential Machine Management предоставляются без дополнительной платы. Журналы, созданные с использованием Отслеживание изменений и инвентаризация, несут отдельную плату как для Виртуальные машины Azure, так и для серверов с поддержкой Arc.
- Только для Виртуальные машины Azure возможности, включенные в Essential Machine Management, предоставляются без дополнительной платы.
- Для серверов с поддержкой Azure Arc с Windows Server Software Assurance, Windows Server PayGo и Windows Server Extended Security Updates, возможности, включенные в Essential Machine Management, предоставляются без дополнительной платы.
- Для всех остальных серверов с поддержкой Arc стоимость услуги Essential Machine Management составит 9 долларов США в месяц после того как функция выставления счетов будет активирована в будущем. После начала выставления счетов будет размещено объявление и обновление документации.
Уровень безопасности
Следующие функции безопасности доступны в рамках основного управления компьютерами. Вы можете включить любую комбинацию этих функций для зарегистрированных виртуальных машин. Использование функций в этом разделе может повлечь за собой дополнительную плату.
| Функция | Description | Себестоимость |
|---|---|---|
| Базовый CSPM | Предоставляет базовые возможности управления безопасностью облака (CSPM) для оценки и повышения безопасности облачных ресурсов. | нет |
| Defender CSPM | Расширенные возможности управления безопасностью облака (CSPM) для повышения безопасности облачных ресурсов. | Да |
| Defender для облака | Расширенная защита от угроз и управление безопасностью для виртуальных машин. | Да |
Включение подписки
Чтобы включить управление компьютерами для подписки, в меню "Конфигурация" выберите "Основные компьютеры" и нажмите кнопку "Включить".
Замечание
Во время общедоступной предварительной версии портал Azure является единственным поддерживаемым методом для включения управления компьютерами.
Вкладка "Область"
Вкладка "Область" включает подписку, которую вы хотите активировать, и управляемое удостоверение.
| Настройки | Описание |
|---|---|
| Выбор подписки | Щелкните, чтобы выбрать подписку для активации. Предоставляется список, со всеми подписками, к которым у вас есть доступ, и с количеством виртуальных машин Azure и виртуальных машин с поддержкой Arc в каждой из них. |
| Обязательные назначения ролей пользователя | Выводит список обязательных ролей, которым должна быть назначена учетная запись пользователя. |
| Текущие назначения ролей пользователя | Выводит список ролей, в настоящее время назначенных вашей учетной записи пользователя. |
| Назначенная пользователем управляемая идентичность | Выберите управляемое удостоверение, используемое для подключения виртуальных машин в подписке. |
| Обязательное назначение роли идентификации | Перечисляет роли, которые необходимо назначить управляемому удостоверению. |
| Текущее назначение ролей идентичности | Выводит список ролей, назначенных управляемому удостоверению. |
Вкладка "Настройка"
Вкладка Configure включает рабочую область Log Analytics и рабочую область Azure Monitor, которая собирает данные с управляемых виртуальных машин.
| Настройки | Описание |
|---|---|
| рабочая область Log Analytics | Выберите рабочую область Log Analytics для использования при сборе данных журнала с виртуальных машин. |
| рабочая область Azure Monitor | Выберите рабочую область Azure Monitor для сбора данных метрик на виртуальных машинах. |
Вкладка "Безопасность"
Вкладка "Безопасность" позволяет выбрать дополнительные службы безопасности для управляемых виртуальных машин.
| Настройки | Описание |
|---|---|
| Базовый CSPM | Непрерывная оценка облачной среды с помощью аналитических сведений без агента с приоритетами рисков. Рекомендуется для всех рабочих нагрузок. Надстройка не требует дополнительной платы. |
| Defender CSPM | Непрерывная оценка облачной среды с помощью аналитических сведений без агента с приоритетами рисков. Рекомендуется для всех рабочих нагрузок. Это дополнение требует дополнительную плату. |
| Defender для облака | Комплексная защита сервера с помощью интегрированного обнаружения конечных точек и реагирования (EDR), управления уязвимостями, мониторинга целостности файлов и расширенного обнаружения угроз. Рекомендуется для критически важных для бизнеса рабочих нагрузок. Это дополнение требует дополнительную плату. |
Существующие виртуальные машины
Основное управление машинами включается для каждой подписки, чтобы автоматически подключать все виртуальные машины Azure и сервера с поддержкой Arc в этой подписке. После включения все виртуальные машины, добавленные в подписку, регистрируются и настраиваются с выбранными функциями. Следующее поведение применяется к существующим виртуальным машинам в подписке при включении основного управления компьютерами.
- Существующие службы будут сохранять свою конфигурацию. Например, если виртуальная машина уже использует управление обновлениями с расписанием обслуживания, она по-прежнему будет соответствовать этому расписанию обслуживания.
- После включения подписки задачи исправления создаются для включения выбранной службы для всех существующих виртуальных машин в подписке.
Предупреждение
Используйте осторожность с общедоступной предварительной версией, если у вас есть виртуальные машины с включенной функцией отслеживания изменений. В этом случае будет создан дополнительный DCR для отслеживания изменений и он будет связан с виртуальной машиной. Поскольку отслеживание изменений поддерживает только один DCR, можно назначить один из двух DCR. Если вы хотите использовать DCR ManagedOps, удалите существующий DCR.
Исключение виртуальных машин
В настоящее время нет возможности исключить виртуальные машины в включенной подписке. Все виртуальные машины в подписке подключены и настроены с выбранными функциями.
Отключение подписки
Отключите подписку, выбрав ее и нажав кнопку "Отсоединить". При отключении подписки все виртуальные машины, добавленные в эту подписку, больше не настроены с выбранными функциями управления. Конфигурация не изменяется для существующих виртуальных машин. Они будут продолжать управляться с существующими функциями, пока не удалите их вручную.
Предупреждение
При отключении подписки компьютеры в этой подписке больше не используют консолидированные цены. Цены на эти компьютеры будут возвращаться к стандартным ценам для каждой отдельной службы, что, скорее всего, увеличит затраты. Убедитесь, что вы отключите любые ненужные службы на существующих виртуальных машинах, чтобы избежать дополнительных расходов.
Устранение неполадок
Сведения об устранении распространенных проблем с управлением основными компьютерами см. в статье "Устранение основных проблем управления компьютерами( предварительная версия ). В этой статье также определяются объекты, созданные во время регистрации, и как проверить их создание.
Подробная конфигурация
В следующей таблице описывается конкретная конфигурация, применяемая к каждой виртуальной машине при включении основного управления компьютерами.
| Функция | Детали конфигурации |
|---|---|
| Azure Monitor | — устанавливает агент Azure Monitor — Собирает стандартный набор счетчиков производительности. — настраивает рекомендуемые оповещения на основе метрик |
| Диспетчер обновлений Azure | — устанавливает расширение (Майкрософт.CPlat.Core.LinuxPatchExtension или Майкрософт.CPlat.Core.WindowsPatchExtension)- Включена периодическая оценка . |
| Конфигурация компьютера Azure | — устанавливает расширение (Майкрософт.GuestConfiguration.ConfigurationforLinux или Майкрософт.GuestConfiguration.ConfigurationforWindows)— применяет базовые показатели безопасности Linux и базовые показатели безопасности Windows в режиме Только аудит. |
| Отслеживание изменений и инвентарь Azure | — устанавливает расширение (Майкрософт.Azure.ChangeTrackingAndInventory.<br>ChangeTracking-Windows или Майкрософт.Azure.ChangeTrackingAndInventory.ChangeTracking-Linux)— использует рабочую область Log Analytics, указанную при вводе в эксплуатацию. — собирает основные файлы и ключи реестра. |
| Defender CSPM | — Все параметры по умолчанию. |