Aracılığıyla paylaş

VM'ler için Azure Otomatik Yönetme'de özel profil oluşturma

  • Makale

Dikkat

30 Eylül 2027'de Azure Otomatik Yönetim En İyi Yöntemler hizmeti kullanımdan kaldırılacaktır. Sonuç olarak, yeni bir yapılandırma profili oluşturmaya veya hizmete yeni bir abonelik eklemeye çalışmak hataya neden olur. Bu tarihten önce Azure İlkesi geçiş hakkında daha fazla bilgi edinin.

Dikkat

1 Şubat 2025'den itibaren Azure Otomatik Yönetim, kullanım dışı bırakılan Microsoft Monitoring Agent'a (MMA) bağımlı tüm hizmetler için desteği ve zorlamayı durdurmak için değişiklikler dağıtmaya başlayacaktır. Değişiklik İzleme ve Yönetim, VM İçgörüleri, Güncelleştirme Yönetimi ve Azure Otomasyonu kullanmaya devam etmek için yeni Azure İzleyici Aracısı'na (AMA) geçin.

Sanal Makineler için Azure Otomatik Yönetme, düzenlenebilen varsayılan en iyi yöntem profillerini içerir. Ancak, daha fazla esnekliğe ihtiyacınız varsa, özel bir profil oluşturarak hizmet ve ayarlar kümesini seçebilirsiniz.

Otomatik yönetim, hizmetleri AÇMA VE KAPALI olarak değiştirme desteği sunar. Ayrıca şu anda Azure Backup ve Microsoft Kötü Amaçlı Yazılımdan Koruma'da ayarları özelleştirmeyi de desteklemektedir. Ayrıca mevcut log analytics çalışma alanını da belirtebilirsiniz. Ayrıca, yalnızca Windows makineleri için Konuk Yapılandırması'nda Azure güvenlik temelleri için denetim modlarını değiştirebilirsiniz.

Otomatik yönetim, özel profilde aşağıdaki kaynakları etiketlemenizi sağlar:

  • Kaynak Grubu
  • Otomasyon Hesabı
  • Log Analytics Çalışma Alanı
  • Recovery Vault

Bu ayarları değiştirmek için ARM şablonuna göz atın.

Azure portalında özel profil oluşturma

Azure'da oturum açma

Azure Portal’ında oturum açın.

Özel profil oluşturma

  1. Arama çubuğunda Otomatik Yönet – Azure makine en iyi yöntemleri'ni arayın ve seçin.

  2. İçindekiler tablosunda Yapılandırma Profilleri'ni seçin.

  3. Özel profilinizi oluşturmak için Oluştur düğmesini seçin

  4. Yeni profil oluştur dikey penceresinde ayrıntıları doldurun:

    1. Profil Adı
    2. Abonelik
    3. Kaynak Grubu
    4. Bölge

    Özel profil ayrıntılarını doldurun.

  5. profili istediğiniz hizmetler ve ayarlarla ayarlayın ve Oluştur'u seçin.

Azure Resource Manager Şablonlarını kullanarak özel profil oluşturma

Aşağıdaki ARM şablonu bir Otomatik Yönet özel profili oluşturur. ARM şablonuyla ilgili ayrıntılar ve dağıtma adımları ARM şablonu dağıtımı bölümünde bulunur.

Not

Belirli bir Log Analytics çalışma alanını kullanmak istiyorsanız, çalışma alanının kimliğini şu şekilde belirtin: "/subscriptions/subscriptionId/resourceGroups/resourceGroupName/providers/Microsoft.OperationalInsights/workspaces/workspaceName"

{
    "$schema": "http://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json",
    "contentVersion": "1.0.0.0",
    "parameters": {
      "customProfileName": {
        "type": "string"
      },
      "location": {
        "type": "string"
      },
      "azureSecurityBaselineAssignmentType": {
        "type": "string",
        "allowedValues": [
          "ApplyAndAutoCorrect",
          "ApplyAndMonitor",
          "Audit"
        ]
      },
        "logAnalyticsWorkspace": {
            "type": "String"
        },
        "LogAnalyticsBehavior": {
            "defaultValue": false,
            "type": "Bool"
        }
    },
    "resources": [
      {
        "type": "Microsoft.Automanage/configurationProfiles",
        "apiVersion": "2022-05-04",
        "name": "[parameters('customProfileName')]",
        "location": "[parameters('location')]",
        "properties": {
            "configuration": {
              "Antimalware/Enable": true,
              "Antimalware/EnableRealTimeProtection": true,
              "Antimalware/RunScheduledScan": true,
              "Antimalware/ScanType": "Quick",
              "Antimalware/ScanDay": "7",
              "Antimalware/ScanTimeInMinutes": "120",
              "AzureSecurityBaseline/Enable": true,
              "AzureSecurityBaseline/AssignmentType": "[parameters('azureSecurityBaselineAssignmentType')]",
              "Backup/Enable": true,
              "Backup/PolicyName": "dailyBackupPolicy",
              "Backup/TimeZone": "UTC",
              "Backup/InstantRpRetentionRangeInDays": "2",
              "Backup/SchedulePolicy/ScheduleRunFrequency": "Daily",
              "Backup/SchedulePolicy/ScheduleRunTimes": [
                  "2017-01-26T00:00:00Z"
              ],
              "Backup/SchedulePolicy/SchedulePolicyType": "SimpleSchedulePolicy",
              "Backup/RetentionPolicy/RetentionPolicyType": "LongTermRetentionPolicy",
              "Backup/RetentionPolicy/DailySchedule/RetentionTimes": [
                  "2017-01-26T00:00:00Z"
              ],
              "Backup/RetentionPolicy/DailySchedule/RetentionDuration/Count": "180",
              "Backup/RetentionPolicy/DailySchedule/RetentionDuration/DurationType": "Days",
              "BootDiagnostics/Enable": true,
              "ChangeTrackingAndInventory/Enable": true,
              "DefenderForCloud/Enable": true,
              "LogAnalytics/Enable": true,
              "LogAnalytics/Reprovision": "[parameters('LogAnalyticsBehavior')]",
              "LogAnalytics/Workspace": "[parameters('logAnalyticsWorkspace')]",
              "LogAnalytics/UseAma": true,
              "UpdateManagement/Enable": true,
              "VMInsights/Enable": true,
              "WindowsAdminCenter/Enable": true,
              "Tags/ResourceGroup": {
                "foo": "rg"
              },
              "Tags/AzureAutomation": {
                "foo": "automationAccount"
              },
              "Tags/LogAnalyticsWorkspace": {
                "foo": "workspace"
              },
              "Tags/RecoveryVault": {
                "foo": "recoveryVault"
              }
          }
        }
      }
    ]
  }

ARM şablonu dağıtımı

Bu ARM şablonu, belirtilen makinenize atayabileceğiniz özel bir yapılandırma profili oluşturur.

customProfileName Değer, oluşturmak istediğiniz özel yapılandırma profilinin adıdır.

location Değer, bu özel yapılandırma profilini depolamak istediğiniz bölgedir. Bu profili herhangi bir bölgedeki desteklenen makinelere atayabileceğinizi unutmayın.

azureSecurityBaselineAssignmentType, Azure sunucusu güvenlik temeli için seçebileceğiniz denetim modudur. Seçenekleriniz şunlardır:

  • ApplyAndAutoCorrect: Bu ayar Konuk Yapılandırması uzantısı aracılığıyla Azure güvenlik temelini uygular ve taban çizgisi içinde herhangi bir ayar kayıyorsa, uyumlu kalması için ayarı otomatik olarak düzeltiriz.
  • ApplyAndMonitor: Bu ayar, bu profili her makineye ilk kez atadığınızda Konuk Yapılandırması uzantısı aracılığıyla Azure güvenlik temelini uygular. Konuk Yapılandırma hizmeti uygulandıktan sonra sunucu temelini izler ve istenen durumdan herhangi bir kaymayı bildirir. Ancak otomatik olarak düzeltilmeyecektir.
  • Denetim: Bu ayar, Konuk Yapılandırması uzantısını kullanarak Azure güvenlik temelini yükler. Makinenizin taban çizgisiyle uyumsuz olduğu yeri görebilirsiniz, ancak uyumsuzluk otomatik olarak düzeltilmez.

LogAnalytics/UseAma Değer, Azure İzleyici Aracısı'nı kullanmayı belirtebileceğiniz veya kullanmayabileceğiniz yerdir.

Aşağıdaki özelliklerin yapılandırma bölümüne bu ayarı ekleyerek mevcut bir Log Analytics çalışma alanını da belirtebilirsiniz:

  • "LogAnalytics/Workspace": "/subscriptions/subscriptionId/resourceGroups/resourceGroupName/providers/Microsoft.OperationalInsights/workspaces/workspaceName"
  • "LogAnalytics/Reprovision": false Satırda LogAnalytics/Workspace var olan çalışma alanınızı belirtin. LogAnalytics/Reprovision Bu log analytics çalışma alanının her durumda kullanılmasını istiyorsanız ayarı true olarak ayarlayın. Bu özel profile sahip tüm makineler bu çalışma alanını kullanır, hatta zaten bir tanesine bağlı bile olabilir. varsayılan olarak false LogAnalytics/Reprovision olarak ayarlanır. Makineniz zaten bir çalışma alanına bağlıysa bu çalışma alanı hala kullanılır. Çalışma alanına bağlı değilse, içinde LogAnalytics\Workspace belirtilen çalışma alanı kullanılır.

Ayrıca, özel profilde belirtilen kaynaklara aşağıdaki gibi etiketler ekleyebilirsiniz:

"Tags/ResourceGroup": {
    "foo": "rg"
},
"Tags/ResourceGroup/Behavior": "Preserve",
"Tags/AzureAutomation": {
  "foo": "automationAccount"
},
"Tags/AzureAutomation/Behavior": "Replace",
"Tags/LogAnalyticsWorkspace": {
  "foo": "workspace"
},
"Tags/LogAnalyticsWorkspace/Behavior": "Replace",
"Tags/RecoveryVault": {
  "foo": "recoveryVault"
},
"Tags/RecoveryVault/Behavior": "Preserve"

Tags/Behavior, Koru veya Değiştir olarak ayarlanabilir. Etiketlemekte olduğunuz kaynağın anahtar/değer çiftinde zaten aynı etiket anahtarı varsa, Değiştirme davranışını kullanarak bu anahtarı yapılandırma profilinde belirtilen değerle değiştirebilirsiniz. Varsayılan olarak, davranış Koru olarak ayarlanır; başka bir deyişle, bu kaynakla zaten ilişkili olan etiket anahtarı korunur ve yapılandırma profilinde belirtilen anahtar/değer çifti tarafından üzerine yazılmaz.

ARM şablonunu dağıtmak için şu adımları izleyin:

  1. Bu ARM şablonunu farklı kaydet azuredeploy.json
  2. Bu ARM şablonu dağıtımlarını ile çalıştırın az deployment group create --resource-group myResourceGroup --template-file azuredeploy.json
  3. İstendiğinde customProfileName, location ve azureSecurityBaselineAssignmentType değerlerini sağlayın
  4. Dağıtıma hazırsınız

Tüm ARM şablonlarında olduğu gibi, parametreleri ayrı azuredeploy.parameters.json bir dosyada hesaba katmak ve dağıtırken bunu bağımsız değişken olarak kullanmak mümkündür.

Sonraki adımlar

SSS sayfamızda en sık sorulan soruların yanıtlarını alın.

Sık Sorulan Sorular