Creare un profilo personalizzato per le macchine virtuali in Gestione automatica di Azure

Gestione automatica di Azure per le macchine virtuali include profili di procedure consigliate predefinite che non possono essere modificati. Tuttavia, se è necessaria maggiore flessibilità, è possibile scegliere il set di servizi e impostazioni a proprio piacimento creando un profilo personalizzato.

Gestione automatica supporta l'attivazione/disattivazione dei servizi. Supporta attualmente anche la personalizzazione delle impostazioni in Backup di Azure e Microsoft Antimalware. È anche possibile specificare un’area di lavoro Log Analytics esistente. Inoltre, solo per i computer Windows, è possibile modificare le modalità di controllo per le baseline di sicurezza di Azure in Configurazione guest.

Gestione automatica consente di contrassegnare le risorse seguenti nel profilo personalizzato:

• Gruppo di risorse
• Account di automazione
• Area di lavoro Log Analytics
• Insieme di credenziali di ripristino

Per modificare queste impostazioni, estrarre il modello di Azure Resource Manager.

Creare un profilo personalizzato nel portale di Azure

Accedere ad Azure

Accedere al portale di Azure.

Creare un profilo personalizzato

1. Nella barra di ricerca cercare e selezionare Gestione automatica - Procedure consigliate per i computer di Azure.

2. Selezionare Profili di configurazione nel sommario.

3. Selezionare il pulsante Crea per creare il profilo personalizzato

4. Nel pannello Crea nuovo profilo compilare i dettagli:

   1. Nome profilo
   2. Subscription
   3. Gruppo di risorse
   4. Paese

   

5. Modificare il profilo con i servizi e le impostazioni desiderati e selezionare Crea.

Creare un profilo personalizzato con il modello di Azure Resource Manager

Il modello di Azure Resource Manager seguente crea un profilo personalizzato di gestione automatica. Per informazioni sui dettagli sul modello di Azure Resource Manager e la procedura per la distribuzione, vedere la sezione Distribuzione del modello di Azure Resource Manager.

{
    "$schema": "http://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json",
    "contentVersion": "1.0.0.0",
    "parameters": {
      "customProfileName": {
        "type": "string"
      },
      "location": {
        "type": "string"
      },
      "azureSecurityBaselineAssignmentType": {
        "type": "string",
        "allowedValues": [
          "ApplyAndAutoCorrect",
          "ApplyAndMonitor",
          "Audit"
        ]
      },
        "logAnalyticsWorkspace": {
            "type": "String"
        },
        "LogAnalyticsBehavior": {
            "defaultValue": false,
            "type": "Bool"
        }
    },
    "resources": [
      {
        "type": "Microsoft.Automanage/configurationProfiles",
        "apiVersion": "2022-05-04",
        "name": "[parameters('customProfileName')]",
        "location": "[parameters('location')]",
        "properties": {
            "configuration": {
              "Antimalware/Enable": true,
              "Antimalware/EnableRealTimeProtection": true,
              "Antimalware/RunScheduledScan": true,
              "Antimalware/ScanType": "Quick",
              "Antimalware/ScanDay": "7",
              "Antimalware/ScanTimeInMinutes": "120",
              "AzureSecurityBaseline/Enable": true,
              "AzureSecurityBaseline/AssignmentType": "[parameters('azureSecurityBaselineAssignmentType')]",
              "Backup/Enable": true,
              "Backup/PolicyName": "dailyBackupPolicy",
              "Backup/TimeZone": "UTC",
              "Backup/InstantRpRetentionRangeInDays": "2",
              "Backup/SchedulePolicy/ScheduleRunFrequency": "Daily",
              "Backup/SchedulePolicy/ScheduleRunTimes": [
                  "2017-01-26T00:00:00Z"
              ],
              "Backup/SchedulePolicy/SchedulePolicyType": "SimpleSchedulePolicy",
              "Backup/RetentionPolicy/RetentionPolicyType": "LongTermRetentionPolicy",
              "Backup/RetentionPolicy/DailySchedule/RetentionTimes": [
                  "2017-01-26T00:00:00Z"
              ],
              "Backup/RetentionPolicy/DailySchedule/RetentionDuration/Count": "180",
              "Backup/RetentionPolicy/DailySchedule/RetentionDuration/DurationType": "Days",
              "BootDiagnostics/Enable": true,
              "ChangeTrackingAndInventory/Enable": true,
              "DefenderForCloud/Enable": true,
              "LogAnalytics/Enable": true,
              "LogAnalytics/Reprovision": "[parameters('LogAnalyticsBehavior')]",
              "LogAnalytics/Workspace": "[parameters('logAnalyticsWorkspace')]",
              "LogAnalytics/UseAma": true,
              "UpdateManagement/Enable": true,
              "VMInsights/Enable": true,
              "WindowsAdminCenter/Enable": true,
              "Tags/ResourceGroup": {
                "foo": "rg"
              },
              "Tags/AzureAutomation": {
                "foo": "automationAccount"
              },
              "Tags/LogAnalyticsWorkspace": {
                "foo": "workspace"
              },
              "Tags/RecoveryVault": {
                "foo": "recoveryVault"
              }
          }
        }
      }
    ]
  }

Distribuzione di modelli di Resource Manager

Questo modello di Azure Resource Manager crea un profilo di configurazione personalizzato che è possibile assegnare al computer specificato.

Il valore customProfileName è il nome del profilo di configurazione personalizzato da creare.

Il valore location è l'area in cui si vuole archiviare il profilo di configurazione personalizzato. Si noti che è possibile assegnare questo profilo a qualsiasi computer supportato in qualsiasi area.

azureSecurityBaselineAssignmentType è la modalità di controllo che è possibile scegliere per la baseline di sicurezza del server di Azure. Le opzioni possibili sono

• ApplyAndAutoCorrect: questa impostazione applica la baseline di sicurezza di Azure tramite l'estensione Configurazione guest. L’impostazione verrà automaticamente corretta in modo che rimanga conforme in caso di scostamento di una qualsiasi delle impostazioni all’interno della baseline.
• ApplyAndMonitor: questa impostazione applica la baseline di sicurezza di Azure tramite l'estensione Configurazione guest quando si assegna questo profilo per la prima volta a ogni computer. Dopo l'applicazione, il servizio Configurazione guest monitorerà la baseline del server segnalando eventuali deviazioni dallo stato desiderato. Tuttavia, non eseguirà la correzione automatica.
• Audit: questa impostazione installa la baseline di sicurezza di Azure usando l'estensione Configurazione guest. Sarà possibile vedere dove la macchina virtuale non è conforme alla baseline, ma non è prevista alcuna correzione automatica della mancata conformità.

Il valore LogAnalytics/UseAma è la posizione in cui è possibile specificare se usare o meno l'agente di Monitoraggio di Azure.

È anche possibile specificare un'area di lavoro Log Analytics esistente aggiungendo questa impostazione alla sezione di configurazione delle proprietà seguenti:

• "LogAnalytics/Workspace": "/subscriptions/subscriptionId/resourceGroups/resourceGroupName/providers/Microsoft.OperationalInsights/workspaces/workspaceName"
• "LogAnalytics/Reprovision": false Specificare l’area di lavoro esistente nella riga LogAnalytics/Workspace. Impostare l'impostazione LogAnalytics/Reprovision su true per usare questa area di lavoro Log Analytics in tutti i casi. Tutti i computer con questo profilo personalizzato usano quindi questa area di lavoro, anche se sono già connessi a un’altra area di lavoro. Per impostazione predefinita, il valore LogAnalytics/Reprovision è impostato su false. Se il computer è già connesso a un'area di lavoro, tale area di lavoro viene comunque usata. Se non è connesso a un'area di lavoro, verrà usata l'area di lavoro specificata in LogAnalytics\Workspace.

È anche possibile aggiungere tag alle risorse specificate nel profilo personalizzato, come indicato di seguito:

"Tags/ResourceGroup": {
    "foo": "rg"
},
"Tags/ResourceGroup/Behavior": "Preserve",
"Tags/AzureAutomation": {
  "foo": "automationAccount"
},
"Tags/AzureAutomation/Behavior": "Replace",
"Tags/LogAnalyticsWorkspace": {
  "foo": "workspace"
},
"Tags/LogAnalyticsWorkspace/Behavior": "Replace",
"Tags/RecoveryVault": {
  "foo": "recoveryVault"
},
"Tags/RecoveryVault/Behavior": "Preserve"

Il valore Tags/Behavior può essere impostato su Mantieni o Sostituisci. Se la risorsa che si sta contrassegnando ha già la stessa chiave di tag nella coppia chiave/valore, è possibile sostituire tale chiave con il valore specificato nel profilo di configurazione usando il comportamento Sostituisci. Per impostazione predefinita, il comportamento è impostato su Mantieni, ovvero la chiave del tag già associata a tale risorsa viene mantenuta e non sovrascritta dalla coppia chiave/valore specificata nel profilo di configurazione.

Per distribuire il modello di Azure Resource Manager, seguire questa procedura:

1. Salvare questo modello di Azure Resource Manager come azuredeploy.json
2. Eseguire la distribuzione di questo modello di Azure Resource Manager con az deployment group create --resource-group myResourceGroup --template-file azuredeploy.json
3. Specificare i valori per customProfileName, location e azureSecurityBaselineAssignmentType quando richiesto
4. È ora possibile distribuire l'app

Come per qualsiasi modello di Azure Resource Manager, è possibile fattorizzare i parametri in un file azuredeploy.parameters.json separato e usarlo come argomento durante la distribuzione.

Passaggi successivi

Per ottenere le risposte alle domande più frequenti, vedere Domande frequenti.