Megosztás a következőn keresztül:

Egyéni profil létrehozása az Azure Automanage for VM-ben

  • Cikk

Figyelemfelhívás

2027. szeptember 30-án megszűnik az Azure Automanage ajánlott eljárások szolgáltatása. Ennek eredményeképpen egy új konfigurációs profil létrehozása vagy új előfizetés létrehozása a szolgáltatásban hibaüzenetet fog eredményezni. További információ az Azure Policyba való migrálásról ezen dátum előtt.

Figyelemfelhívás

2025. február 1-től az Azure Automanage megkezdi a módosításokat az elavult Microsoft Monitoring Agenttől (MMA) függő összes szolgáltatás támogatásának és kényszerítésének leállításához. A Változáskövetés és -kezelés, a VM Insights, az Update Management és az Azure Automation használatának folytatásához migráljon az új Azure Monitor-ügynökbe (AMA).

Az Azure Automanage for Virtual Machines alapértelmezett ajánlott eljárásprofilokat tartalmaz, amelyek nem szerkeszthetők. Ha azonban nagyobb rugalmasságra van szüksége, egyéni profil létrehozásával kiválaszthatja és kiválaszthatja a szolgáltatások és beállítások készletét.

Az Automanage támogatja a szolgáltatások be- és kikapcsolását. Jelenleg az Azure Backup és a Microsoft Antimalware beállításainak testreszabását is támogatja. Megadhat egy meglévő log analytics-munkaterületet is. Emellett csak Windows rendszerű gépek esetén módosíthatja az Azure biztonsági alapkonfigurációinak naplózási módjait a vendégkonfigurációban.

Az automanage lehetővé teszi a következő erőforrások címkézését az egyéni profilban:

  • Erőforráscsoport
  • Automation-fiók
  • Naplóelemzési munkaterület
  • Helyreállítási tár

A beállítások módosításához tekintse meg az ARM-sablont .

Egyéni profil létrehozása az Azure Portalon

Bejelentkezés az Azure-ba

Jelentkezzen be az Azure Portalra.

Egyéni profil létrehozása

  1. A keresősávon keresse meg és válassza ki az Automanage – Azure machine ajánlott eljárásait.

  2. Válassza ki a konfigurációs profilokat a tartalomjegyzékben.

  3. Válassza a Létrehozás gombot az egyéni profil létrehozásához

  4. Az Új profil létrehozása panelen töltse ki a részleteket:

    1. Profilnév
    2. Előfizetés
    3. Erőforráscsoport
    4. Régió

    Adja meg az egyéni profil adatait.

  5. Módosítsa a profilt a kívánt szolgáltatásokkal és beállításokkal, és válassza a Létrehozás lehetőséget.

Egyéni profil létrehozása Azure Resource Manager-sablonok használatával

Az alábbi ARM-sablon létrehoz egy automanage egyéni profilt. Az ARM-sablon részletei és az üzembe helyezés lépései az ARM-sablon üzembe helyezési szakaszában találhatók.

Feljegyzés

Ha egy adott log analytics-munkaterületet szeretne használni, adja meg a munkaterület azonosítóját a következőhöz hasonlóan: "/subscriptions/subscriptionId/resourceGroups/resourceGroupName/providers/Microsoft.OperationalInsights/workspaces/workspaceName"

{
    "$schema": "http://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json",
    "contentVersion": "1.0.0.0",
    "parameters": {
      "customProfileName": {
        "type": "string"
      },
      "location": {
        "type": "string"
      },
      "azureSecurityBaselineAssignmentType": {
        "type": "string",
        "allowedValues": [
          "ApplyAndAutoCorrect",
          "ApplyAndMonitor",
          "Audit"
        ]
      },
        "logAnalyticsWorkspace": {
            "type": "String"
        },
        "LogAnalyticsBehavior": {
            "defaultValue": false,
            "type": "Bool"
        }
    },
    "resources": [
      {
        "type": "Microsoft.Automanage/configurationProfiles",
        "apiVersion": "2022-05-04",
        "name": "[parameters('customProfileName')]",
        "location": "[parameters('location')]",
        "properties": {
            "configuration": {
              "Antimalware/Enable": true,
              "Antimalware/EnableRealTimeProtection": true,
              "Antimalware/RunScheduledScan": true,
              "Antimalware/ScanType": "Quick",
              "Antimalware/ScanDay": "7",
              "Antimalware/ScanTimeInMinutes": "120",
              "AzureSecurityBaseline/Enable": true,
              "AzureSecurityBaseline/AssignmentType": "[parameters('azureSecurityBaselineAssignmentType')]",
              "Backup/Enable": true,
              "Backup/PolicyName": "dailyBackupPolicy",
              "Backup/TimeZone": "UTC",
              "Backup/InstantRpRetentionRangeInDays": "2",
              "Backup/SchedulePolicy/ScheduleRunFrequency": "Daily",
              "Backup/SchedulePolicy/ScheduleRunTimes": [
                  "2017-01-26T00:00:00Z"
              ],
              "Backup/SchedulePolicy/SchedulePolicyType": "SimpleSchedulePolicy",
              "Backup/RetentionPolicy/RetentionPolicyType": "LongTermRetentionPolicy",
              "Backup/RetentionPolicy/DailySchedule/RetentionTimes": [
                  "2017-01-26T00:00:00Z"
              ],
              "Backup/RetentionPolicy/DailySchedule/RetentionDuration/Count": "180",
              "Backup/RetentionPolicy/DailySchedule/RetentionDuration/DurationType": "Days",
              "BootDiagnostics/Enable": true,
              "ChangeTrackingAndInventory/Enable": true,
              "DefenderForCloud/Enable": true,
              "LogAnalytics/Enable": true,
              "LogAnalytics/Reprovision": "[parameters('LogAnalyticsBehavior')]",
              "LogAnalytics/Workspace": "[parameters('logAnalyticsWorkspace')]",
              "LogAnalytics/UseAma": true,
              "UpdateManagement/Enable": true,
              "VMInsights/Enable": true,
              "WindowsAdminCenter/Enable": true,
              "Tags/ResourceGroup": {
                "foo": "rg"
              },
              "Tags/AzureAutomation": {
                "foo": "automationAccount"
              },
              "Tags/LogAnalyticsWorkspace": {
                "foo": "workspace"
              },
              "Tags/RecoveryVault": {
                "foo": "recoveryVault"
              }
          }
        }
      }
    ]
  }

ARM-sablon üzembe helyezése

Ez az ARM-sablon létrehoz egy egyéni konfigurációs profilt, amelyet hozzárendelhet a megadott géphez.

Az customProfileName érték annak az egyéni konfigurációs profilnak a neve, amelyet létre szeretne hozni.

Az location érték az a régió, ahol tárolni szeretné ezt az egyéni konfigurációs profilt. Vegye figyelembe, hogy ezt a profilt bármely régióban bármely támogatott géphez hozzárendelheti.

Az azureSecurityBaselineAssignmentType Azure Server biztonsági alapkonfigurációjának naplózási módja. A lehetőségek a következők:

  • ApplyAndAutoCorrect: Ez a beállítás a Vendégkonfiguráció bővítményen keresztül alkalmazza az Azure biztonsági alapkonfigurációját, és ha az alapkonfiguráción belüli bármely beállítás eltér, automatikusan szervizeljük a beállítást, hogy az megfeleljen a követelményeknek.
  • ApplyAndMonitor: Ez a beállítás az Azure biztonsági alapkonfigurációját alkalmazza a Vendégkonfiguráció bővítményen keresztül, amikor először rendeli hozzá ezt a profilt minden géphez. Az alkalmazás után a vendégkonfigurációs szolgáltatás figyeli a kiszolgáló alapkonfigurációját, és jelentést küld a kívánt állapottól való eltérésről. Ez azonban nem fog automatikusan szervizelni.
  • Naplózás: Ez a beállítás telepíti az Azure biztonsági alapkonfigurációját a Vendégkonfiguráció bővítmény használatával. Láthatja, hogy a gép hol nem felel meg az alapkonfigurációnak, de a nem megfelelőség nem lesz automatikusan orvosolva.

Itt LogAnalytics/UseAma adhatja meg az Azure Monitor-ügynök használatát.

Meglévő log analytics-munkaterületet is megadhat, ha hozzáadja ezt a beállítást az alábbi tulajdonságok konfigurációs szakaszához:

  • "LogAnalytics/Workspace": "/subscriptions/subscriptionId/resourceGroups/resourceGroups/resourceGroupName/providers/Microsoft.OperationalInsights/workspaces/workspaceName"
  • "LogAnalytics/Reprovision": false Adja meg a meglévő munkaterületet a LogAnalytics/Workspace sorban. Állítsa a LogAnalytics/Reprovision beállítást true (igaz) értékre, ha azt szeretné, hogy ez a log analytics-munkaterület minden esetben használható legyen. Az egyéni profillal rendelkező összes gép ezt a munkaterületet használja, még akkor is, ha már csatlakozik egyhez. Alapértelmezés szerint hamis LogAnalytics/Reprovision értékre van állítva. Ha a gép már csatlakozik egy munkaterülethez, akkor a munkaterület továbbra is használatban van. Ha nem csatlakozik munkaterülethez, akkor a rendszer a megadott LogAnalytics\Workspace munkaterületet használja.

Emellett címkéket is hozzáadhat az egyéni profilban megadott erőforrásokhoz, például az alábbiakhoz:

"Tags/ResourceGroup": {
    "foo": "rg"
},
"Tags/ResourceGroup/Behavior": "Preserve",
"Tags/AzureAutomation": {
  "foo": "automationAccount"
},
"Tags/AzureAutomation/Behavior": "Replace",
"Tags/LogAnalyticsWorkspace": {
  "foo": "workspace"
},
"Tags/LogAnalyticsWorkspace/Behavior": "Replace",
"Tags/RecoveryVault": {
  "foo": "recoveryVault"
},
"Tags/RecoveryVault/Behavior": "Preserve"

A Tags/Behavior beállítás megőrzhető vagy lecserélhető. Ha a címkézett erőforrás már ugyanazzal a címkekulcsmal rendelkezik a kulcs/érték párban, a Csere viselkedés használatával lecserélheti a kulcsot a konfigurációs profil megadott értékére. Alapértelmezés szerint a viselkedés Megőrzése értékre van állítva, ami azt jelenti, hogy az erőforráshoz már társított címkekulcs megmarad, és nem írja felül a konfigurációs profilban megadott kulcs/érték pár.

Az ARM-sablon üzembe helyezéséhez kövesse az alábbi lépéseket:

  1. Az ARM-sablon mentése azuredeploy.json
  2. Futtassa ezt az ARM-sablon üzembe helyezését a következővel: az deployment group create --resource-group myResourceGroup --template-file azuredeploy.json
  3. Adja meg a customProfileName, a location és az azureSecurityBaselineAssignmentType értékeit, amikor a rendszer kéri
  4. Készen áll az üzembe helyezésre

Mint minden ARM-sablon esetén, a paramétereket külön azuredeploy.parameters.json fájlba is bele lehet venni, és ezt argumentumként használhatja az üzembe helyezéskor.

Következő lépések

A gyIK-ben a leggyakrabban feltett kérdésekre kaphat választ.

Gyakori kérdések