Criar um perfil personalizado no Gerenciamento Automatizado do Azure para VMs
Cuidado
Em 31 de agosto de 2024, o Gerenciamento de Atualizações de Automação e o agente do Log Analytics que ele usa serão desativados. Migre para o Gerenciador de Atualizações do Azure antes disso. Consulte as diretrizes sobre a migração para o Gerenciador de Atualizações do Azure aqui. Migrar Agora.
O Gerenciamento Automatizado do Azure para Virtual Machines inclui perfis de práticas recomendadas padrão que não podem ser editados. No entanto, se precisar de mais flexibilidade, você pode escolher o conjunto de serviços e configurações criando um perfil personalizado.
O Gerenciamento Automatizado dá suporte a serviços de agregação ON e OFF. Atualmente, também damos suporte a configurações de personalização no Backup do Azure e no Microsoft Antimalware. Você também pode especificar um workspace do Log Analytics existente. Além disso, somente em computadores Windows, você pode modificar os modos de auditoria das linhas de base de segurança do Azure na Configuração de Convidado.
O gerenciamento automatizado permite marcar os seguintes recursos no perfil personalizado:
- Grupo de recursos
- Conta de Automação
- Workspace do Log Analytics
- Cofre de recuperação
Verifique o modelo de ARM para modificar essas configurações.
Criar um perfil personalizado no portal do Azure
Entrar no Azure
Entre no portal do Azure.
Criar um perfil personalizado
Na barra de pesquisa, procure e selecione Gerenciamento Automatizado – Melhores práticas para computadores do Azure.
Selecione Perfis de Configuração no sumário.
Selecione o botão Criar para criar o perfil personalizado
Na folha Criar novo perfil, preencha os detalhes:
- Nome do Perfil
- Subscription
- Grupo de recursos
- Região
Ajuste o perfil com os serviços e as configurações desejados e selecione Criar.
Criar um perfil personalizado usando modelos do Azure Resource Manager
O modelo do ARM a seguir criará um perfil personalizado de Gerenciamento Automatizado. Informações sobre o modelo do ARM e as etapas para implantação estão localizadas na seção de implantação do modelo do ARM.
Observação
Se você quiser usar um workspace específico do log analytics, especifique a ID do workspace da seguinte maneira: "/subscriptions/subscriptionId/resourceGroups/resourceGroupName/providers/Microsoft.OperationalInsights/workspaces/workspaceName"
{
"$schema": "http://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json",
"contentVersion": "1.0.0.0",
"parameters": {
"customProfileName": {
"type": "string"
},
"location": {
"type": "string"
},
"azureSecurityBaselineAssignmentType": {
"type": "string",
"allowedValues": [
"ApplyAndAutoCorrect",
"ApplyAndMonitor",
"Audit"
]
},
"logAnalyticsWorkspace": {
"type": "String"
},
"LogAnalyticsBehavior": {
"defaultValue": false,
"type": "Bool"
}
},
"resources": [
{
"type": "Microsoft.Automanage/configurationProfiles",
"apiVersion": "2022-05-04",
"name": "[parameters('customProfileName')]",
"location": "[parameters('location')]",
"properties": {
"configuration": {
"Antimalware/Enable": true,
"Antimalware/EnableRealTimeProtection": true,
"Antimalware/RunScheduledScan": true,
"Antimalware/ScanType": "Quick",
"Antimalware/ScanDay": "7",
"Antimalware/ScanTimeInMinutes": "120",
"AzureSecurityBaseline/Enable": true,
"AzureSecurityBaseline/AssignmentType": "[parameters('azureSecurityBaselineAssignmentType')]",
"Backup/Enable": true,
"Backup/PolicyName": "dailyBackupPolicy",
"Backup/TimeZone": "UTC",
"Backup/InstantRpRetentionRangeInDays": "2",
"Backup/SchedulePolicy/ScheduleRunFrequency": "Daily",
"Backup/SchedulePolicy/ScheduleRunTimes": [
"2017-01-26T00:00:00Z"
],
"Backup/SchedulePolicy/SchedulePolicyType": "SimpleSchedulePolicy",
"Backup/RetentionPolicy/RetentionPolicyType": "LongTermRetentionPolicy",
"Backup/RetentionPolicy/DailySchedule/RetentionTimes": [
"2017-01-26T00:00:00Z"
],
"Backup/RetentionPolicy/DailySchedule/RetentionDuration/Count": "180",
"Backup/RetentionPolicy/DailySchedule/RetentionDuration/DurationType": "Days",
"BootDiagnostics/Enable": true,
"ChangeTrackingAndInventory/Enable": true,
"DefenderForCloud/Enable": true,
"LogAnalytics/Enable": true,
"LogAnalytics/Reprovision": "[parameters('LogAnalyticsBehavior')]",
"LogAnalytics/Workspace": "[parameters('logAnalyticsWorkspace')]",
"LogAnalytics/UseAma": true,
"UpdateManagement/Enable": true,
"VMInsights/Enable": true,
"WindowsAdminCenter/Enable": true,
"Tags/ResourceGroup": {
"foo": "rg"
},
"Tags/AzureAutomation": {
"foo": "automationAccount"
},
"Tags/LogAnalyticsWorkspace": {
"foo": "workspace"
},
"Tags/RecoveryVault": {
"foo": "recoveryVault"
}
}
}
}
]
}
Implantação do modelo do ARM
Esse modelo do ARM cria um perfil de configuração personalizado que você pode atribuir ao seu computador especificado.
O valor customProfileName
é o nome do perfil de configuração personalizado que você deseja criar.
O valor location
é a região na qual você deseja armazenar esse perfil de configuração personalizado. Observe que você pode atribuir esse perfil a qualquer computador com suporte em qualquer região.
O azureSecurityBaselineAssignmentType
é o modo de auditoria que você pode escolher para a linha de base de segurança do servidor do Azure. Suas opções são
- ApplyAndAutoCorrect: essa configuração aplica a linha de base de segurança do Azure pela extensão de Configuração de Convidado e, se alguma configuração da linha de base for alterada, nós a corrigiremos automaticamente para que ela permaneça em conformidade.
- ApplyAndMonitor: essa configuração aplica a linha de base de segurança do Azure pela extensão de Configuração de Convidado quando você atribui esse perfil pela primeira vez a cada computador. Depois de aplicado, o serviço de configuração de convidado monitorará a linha de base do servidor e relatará qualquer desvio do estado desejado. Contudo, ele não corrigirá automaticamente.
- Auditoria: essa configuração instala a linha de base de segurança do Azure usando a extensão de Configuração de Convidado. Você pode verificar onde seu computador está fora de conformidade com a linha de base, mas a não conformidade não é corrigida automaticamente.
O valor LogAnalytics/UseAma
é onde você pode especificar para usar ou não o Agente do Azure Monitor.
Você também pode especificar um workspace do Log Analytics existente adicionando essa configuração à seção de configuração das propriedades abaixo:
- "LogAnalytics/Workspace": "/subscriptions/subscriptionId/resourceGroups/resourceGroupName/providers/Microsoft.OperationalInsights/workspaces/workspaceName"
- "LogAnalytics/Reprovision": false Especifique seu workspace existente na linha
LogAnalytics/Workspace
. Defina a configuraçãoLogAnalytics/Reprovision
como true se você quiser que esse workspace do Log Analytics seja usado em todos os casos. Qualquer computador com esse perfil personalizado usa esse espaço de trabalho, mesmo que já esteja conectado a um. Por padrão,LogAnalytics/Reprovision
é definido como false. Se seu computador já estiver conectado a um espaço de trabalho, esse espaço de trabalho ainda será usado. Se não estiver conectado a um espaço de trabalho, o espaço de trabalho especificado emLogAnalytics\Workspace
será usado.
Além disso, você pode adicionar marcas aos recursos especificados no perfil personalizado, como abaixo:
"Tags/ResourceGroup": {
"foo": "rg"
},
"Tags/ResourceGroup/Behavior": "Preserve",
"Tags/AzureAutomation": {
"foo": "automationAccount"
},
"Tags/AzureAutomation/Behavior": "Replace",
"Tags/LogAnalyticsWorkspace": {
"foo": "workspace"
},
"Tags/LogAnalyticsWorkspace/Behavior": "Replace",
"Tags/RecoveryVault": {
"foo": "recoveryVault"
},
"Tags/RecoveryVault/Behavior": "Preserve"
O Tags/Behavior
pode ser definido como Preservar ou Substituir. Se o recurso que você está marcando já tiver a mesma chave de marca no par chave/valor, você poderá substituir essa chave pelo valor especificado no perfil de configuração usando o comportamento Substituir. Por padrão, o comportamento é definido como Preservar, o que significa que a chave de marca que já está associada a esse recurso será retida e não substituída pelo par chave/valor especificado no perfil de configuração.
Siga estas etapas para implantar o modelo do ARM:
- Salvar este modelo do ARM como
azuredeploy.json
- Executar a implantação do modelo do ARM com
az deployment group create --resource-group myResourceGroup --template-file azuredeploy.json
- Forneça os valores de customProfileName, location e azureSecurityBaselineAssignmentType quando solicitado
- Você está pronto para implantar
Assim como acontece com qualquer modelo do ARM, é possível fatorar os parâmetros em um arquivo azuredeploy.parameters.json
separado e usá-lo como um argumento ao implantar.
Próximas etapas
Obtenha respostas para perguntas frequentes na nossa sessão de perguntas frequentes.