MMA 検出および削除ユーティリティ

マシンを Azure Monitor エージェント (AMA) に移行した後は、ログの重複を避けるために Log Analytics エージェント (Microsoft 管理エージェントまたは MMA とも呼ばれます) を削除する必要があります。 Azure テナント セキュリティ ソリューション (AzTS) の MMA 検出および削除ユーティリティは、テナントの Azure 仮想マシン (VM)、Azure 仮想マシン スケール セット、および Azure Arc サーバーから MMA 拡張機能を一元的に削除できます。

このユーティリティは、次の 2 つの手順で動作します。

1. 検出: このユーティリティは、MMA がインストールされているすべてのマシンのインベントリを作成します。 ユーティリティの実行中は、MMA 拡張機能を持つ新しい VM、仮想マシン スケール セット、または Azure Arc サーバーを作成しないことをお勧めします。

2. 削除: このユーティリティは、MMA と AMA の両方を持つマシンを選択し、MMA 拡張機能を削除します。 この手順を無効にして、マシンの一覧を検証した後で実行することができます。 MMA のみを持つマシンから拡張機能を削除するオプションがありますが、最初にすべての依存関係を AMA に移行してから MMA を削除することをお勧めします。

前提条件

すべてのセットアップ手順は、PowerShell 拡張機能のある Visual Studio Code 上で実行します。 必要なもの:

• Windows 10 以降、または Windows Server 2019 以降。
• PowerShell 5.0 以降。 $PSVersionTable を実行してバージョンを確認します。
• PowerShell。 言語は FullLanguage モードに設定する必要があります。 PowerShell で $ExecutionContext.SessionState.LanguageMode を実行してモードを確認します。 詳細については、PowerShell リファレンスを参照してください。
• Bicep。 セットアップ スクリプトでは、Bicep を使用してインストールを自動化します。 bicep --version を実行してインストールを確認します。 詳細については、「Bicep ツールのインストール」を参照してください。
• ターゲット スコープに対する閲覧者、仮想マシン共同作成者、およびAzure Arc ScVmm VM 共同作成者のアクセス権を持つユーザー割り当てマネージド ID。
• セットアップ自動化によって自動的に作成されるAzure リソースをすべて格納するための新しいリソース グループ。
• 構成されたスコープに対する適切なアクセス許可。 ターゲット スコープに対して前述のロールを持つ修復ユーザー割り当てマネージド ID を付与するには、ユーザー アクセス管理者または所有者のアクセス許可が必要です。 たとえば、特定のサブスクリプションのセットアップを構成する場合は、修復ユーザー割り当てマネージド ID のアクセス許可をスクリプトが提供できるように、そのサブスクリプションに対するユーザー アクセス管理者ロールの割り当てが必要です。

展開パッケージをダウンロードする

展開パッケージには次のものが含まれます。

• Bicep テンプレート。セットアップの一部として作成するリソース構成の詳細が含まれています。
• インストールを実行するコマンドレットを提供する展開セットアップ スクリプト。

パッケージをインストールするには:

1. AzTS-docs GitHub リポジトリに 移動します。 展開パッケージ ファイル (AzTSMMARemovalUtilityDeploymentFiles.zip) をローカル コンピューターにダウンロードします。

2. この .zip ファイルをローカル フォルダーの場所に抽出します。

3. 次のスクリプトを使用してファイルのブロックを解除します。

   Get-ChildItem -Path "<Extracted folder path>" -Recurse | Unblock-File 
   

ユーティリティをセットアップする

シングルテナント

1. 展開フォルダーに移動し、統合セットアップ スクリプトを読み込みます。 サブスクリプションに対する所有者アクセス権が必要です。

   CD "<LocalExtractedFolderPath>\AzTSMMARemovalUtilityDeploymentFiles"
   . ".\MMARemovalUtilityConsolidatedSetup.ps1"
   

2. 次の PowerShell コマンドを使用して、Azure アカウントにサインインします。

   $TenantId = "<TenantId>"
   Connect-AzAccount -Tenant $TenantId
   

3. セットアップ スクリプトを実行して、次の操作を実行します。

   • 必要な Az モジュールをインストールします。
   • 修復ユーザー割り当てマネージド ID を設定します。
   • ユーザー設定に基づく使用状況テレメトリ収集のためオンボードの詳細を確認して収集します。
   • リソース グループを作成または更新します。
   • 割り当てられたマネージド ID を使用してリソースを作成または更新します。
   • 監視ダッシュボードを作成または更新します。
   • ターゲット スコープを構成します。

   $SetupInstallation = Install-AzTSMMARemovalUtilitySolutionConsolidated `
            -RemediationIdentityHostSubId <MIHostingSubId> `
            -RemediationIdentityHostRGName <MIHostingRGName> `
            -RemediationIdentityName <MIName> `
            -TargetSubscriptionIds @("<SubId1>","<SubId2>","<SubId3>") `
            -TargetManagementGroupNames @("<MGName1>","<MGName2>","<MGName3>") `
            -TenantScope `
            -SubscriptionId <HostingSubId> `
            -HostRGName <HostingRGName> `
            -Location <Location> `
            -AzureEnvironmentName <AzureEnvironmentName>
   

   スクリプトには、次のパラメーターが含まれています。

   パラメーター名	説明	必須
   RemediationIdentityHostSubId	修復リソースを作成するためのサブスクリプション ID。	はい
   RemediationIdentityHostRGName	修復を作成するための新しいリソース グループ名。 既定値は AzTS-MMARemovalUtility-RG です。	いいえ
   RemediationIdentityName	修復マネージド ID の名前。	はい
   TargetSubscriptionIds	実行対象のターゲット サブスクリプション ID の一覧。	いいえ
   TargetManagementGroupNames	実行対象のターゲット管理グループ名の一覧。	いいえ
   TenantScope	テナント ID を使用してロールを割り当てるためのテナント スコープ。	いいえ
   SubscriptionId	セットアップがインストールされているサブスクリプションの ID。	はい
   HostRGName	修復マネージド ID が作成される新しいリソース グループの名前。 既定値は AzTS-MMARemovalUtility-Host-RG です。	いいえ
   Location	セットアップが作成される場所ドメイン コントローラー。 既定値は EastUS2 です。	いいえ
   AzureEnvironmentName	ソリューションがインストールされている Azure 環境 (AzureCloud または AzureGovernmentCloud)。 既定値は AzureCloud です。	いいえ

マルチテナント

このセクションでは、マルチテナント AzTS MMA 検出および削除ユーティリティを設定する手順について説明します。 このセットアップには、最大で 30 分かかる場合があります。

セットアップ スクリプトを読み込む

現在のパスが抽出された展開パッケージを含むフォルダーを指すようにし、セットアップ スクリプトを実行します。

CD "<LocalExtractedFolderPath>\AzTSMMARemovalUtilityDeploymentFiles"
. ".\MMARemovalUtilitySetup.ps1"

必要な Az モジュールをインストールする

Az PowerShell モジュールには、Azure リソースを展開するためのコマンドレットが含まれています。 次のコマンドを使用して、必要な Az モジュールをインストールします。 Az モジュールの詳細については、「Azure PowerShell をインストールする方法」を参照してください。 現在のパスが抽出したフォルダーの場所を指すようにする必要があります。

Set-Prerequisites

マルチテナント ID を設定する

この手順では、サービス プリンシパルを使用して Microsoft Entra アプリケーション ID を設定します。 PowerShell コマンドを使用して、MMA 検出および削除ユーティリティのセットアップをインストールしたい Microsoft Entra アカウントにサインインする必要があります。

次の操作を実行します。

• 既存の Microsoft Entra アプリケーション オブジェクト ID が提供されていない場合は、マルチテナント Microsoft Entra アプリケーションを作成します。
• Microsoft Entra アプリケーションのパスワード資格情報を作成します。

Disconnect-AzAccount
Disconnect-AzureAD
$TenantId = "<TenantId>"
Connect-AzAccount -Tenant $TenantId
Connect-AzureAD -TenantId $TenantId

$Identity = Set-AzTSMMARemovalUtilitySolutionMultiTenantRemediationIdentity `
         -DisplayName <AADAppDisplayName> `
         -ObjectId <PreExistingAADAppId> `
         -AdditionalOwnerUPNs @("<OwnerUPN1>","<OwnerUPN2>")
$Identity.ApplicationId
$Identity.ObjectId
$Identity.Secret

スクリプトには、次のパラメーターが含まれています。

パラメーター名	説明	必須
DisplayName	修復 ID の表示名。	はい
ObjectId	修復 ID のオブジェクト ID。	いいえ
AdditionalOwnerUPNs	作成するアプリの所有者のユーザー プリンシパル名 (UPN)。	いいえ

ストレージの設定

この手順では、シークレット用のストレージを設定します。 リソース グループを作成するには、サブスクリプションに対する所有者アクセス権が必要です。

次の操作を実行します。

• キー コンテナーのリソース グループを作成または更新します。
• キー コンテナーを作成または更新します。
• シークレットを保存します。

$KeyVault = Set-AzTSMMARemovalUtilitySolutionSecretStorage ` 
         -SubscriptionId <KVHostingSubId> `
         -ResourceGroupName <KVHostingRGName> `
         -Location <Location> `
         -KeyVaultName <KeyVaultName> `
         -AADAppPasswordCredential $Identity.Secret
$KeyVault.Outputs.keyVaultResourceId.Value
$KeyVault.Outputs.secretURI.Value
$KeyVault.Outputs.logAnalyticsResourceId.Value

スクリプトには、次のパラメーターが含まれています。

パラメーター名	説明	必須
SubscriptionId	キー コンテナーが作成されるサブスクリプション ID。	はい
ResourceGroupName	キー コンテナーが作成されるリソース グループの名前。 セットアップのリソース グループとは別のリソース グループである必要があります。	はい
Location	キー コンテナーが作成される場所ドメイン コントローラー。 パフォーマンスを向上させるために、セットアップに関連するすべてのリソースを 1 か所に作成することをお勧めします。 既定値は EastUS2 です。	いいえ
KeyVaultName	作成されたキー コンテナーの名前。	はい
AADAppPasswordCredential	MMA 検出および削除ユーティリティのための Microsoft Entra アプリケーションのパスワード資格情報。	はい

セットアップをインストールする

この手順では、MMA 検出および削除ユーティリティをインストールします。 セットアップが作成されるサブスクリプションへの所有者アクセス権が必要です。 ユーティリティには新しいリソース グループを使用することをお勧めします。

次の操作を実行します。

• ユーザー設定に基づく使用状況テレメトリ収集のためオンボードの詳細を確認して収集します。
• リソース グループが存在しない場合は作成します。
• マネージド ID を使用してリソースを作成または更新します。
• 監視ダッシュボードを作成または更新します。

$Solution = Install-AzTSMMARemovalUtilitySolution ` 
         -SubscriptionId <HostingSubId> `
         -HostRGName <HostingRGName> `
         -Location <Location> `
         -SupportMultipleTenant `
         -IdentityApplicationId $Identity.ApplicationId `
         -IdentitySecretUri ('@Microsoft.KeyVault(SecretUri={0})' -f $KeyVault.Outputs.secretURI.Value)
$Solution.Outputs.internalMIObjectId.Value

スクリプトには、次のパラメーターが含まれています。

パラメーター名	説明	必須
SubscriptionId	セットアップが作成されるサブスクリプションの ID。	はい
HostRGName	セットアップが作成されるリソース グループの名前。 既定値は AzTS-MMARemovalUtility-Host-RG です。	いいえ
Location	セットアップが作成される場所ドメイン コントローラー。 パフォーマンスを向上させるには、マネージド ID と MMA 検出および削除ユーティリティを同じ場所にホストすることをお勧めします。 既定値は EastUS2 です。	いいえ
SupportMultiTenant	マルチテナント セットアップをサポートするように切り替えます。	いいえ
IdentityApplicationId	Microsoft Entra アプリケーション ID。	はい
IdentitySecretUri	Microsoft Entra アプリケーションのシークレット URI。	いいえ

キー コンテナーへのアクセス権を持つ内部修復 ID を付与する

この手順では、ユーザー割り当てマネージド ID を作成して、関数アプリが認証用のキー コンテナーを読み取れるようにします。 このリソース グループへの所有者アクセス権が必要です。

Grant-AzTSMMARemediationIdentityAccessOnKeyVault ` 
    -SubscriptionId <HostingSubId> `
    -ResourceId $KeyVault.Outputs.keyVaultResourceId.Value `
    -UserAssignedIdentityObjectId $Solution.Outputs.internalMIObjectId.Value `
    -SendAlertsToEmailIds @("<EmailId1>","<EmailId2>") `
    -IdentitySecretUri $KeyVault.Outputs.secretURI.Value `
    -LAWorkspaceResourceId $KeyVault.Outputs.logAnalyticsResourceId.Value `
    -DeployMonitoringAlert

スクリプトには、次のパラメーターが含まれています。

パラメーター名	説明	必須
SubscriptionId	セットアップが作成されるサブスクリプションの ID。	はい
ResourceId	既存のキー コンテナーのリソース ID。	はい
UserAssignedIdentityObjectId	マネージド ID のオブジェクト ID。	はい
SendAlertsToEmailIds	アラート送信先のユーザー電子メール ID。	いいえ/はい (DeployMonitoringAlert スイッチが有効な場合)
SecretUri	MMA 検出および削除ユーティリティ アプリの資格情報のキー コンテナーのシークレット URI。	いいえ/はい (DeployMonitoringAlert スイッチが有効な場合)
LAWorkspaceResourceId	キー コンテナーに関連付けられている Log Analytics ワークスペースのリソース ID。	いいえ/はい (DeployMonitoringAlert スイッチが有効な場合)。
DeployMonitoringAlert	キー コンテナーの監査ログの上にアラートを作成します。	いいえ/はい (DeployMonitoringAlert スイッチが有効な場合)

キー コンテナーの IP 範囲を管理するための Runbook を設定する

この手順では、パブリック ネットワークへのアクセスが無効な、セキュリティで保護されたキー コンテナーを作成します。 関数アプリの IP 範囲は、キー コンテナーへのアクセスを許可されている必要があります。 このリソース グループへの所有者アクセス権が必要です。

次の操作を実行します。

• Automation アカウントを作成または更新します。
• キー コンテナーでシステム割り当てマネージド ID を使用して、Automation アカウントへのアクセス権を付与します。
• Azure が毎週公開する IP 範囲をフェッチするスクリプトを使用して Runbook を設定します。
• セットアップ時に Runbook を 1 回実行し、さらに毎週実行するようにタスクをスケジュールします。

Set-AzTSMMARemovalUtilityRunbook ` 
    -SubscriptionId <HostingSubId> `
    -ResourceGroupName <HostingRGName> `
    -Location <Location> `
    -FunctionAppUsageRegion <FunctionAppUsageRegion> `
    -KeyVaultResourceId $KeyVault.Outputs.keyVaultResourceId.Value

スクリプトには、次のパラメーターが含まれています。

パラメーター名	説明	必須
SubscriptionId	Automation アカウントとキー コンテナーを含むサブスクリプションの ID。	はい
ResourceGroupName	Automation アカウントとキー コンテナーを含むリソース グループの名前。	はい
Location	Automation アカウントが作成される場所。 パフォーマンスを向上させるために、セットアップに関連するすべてのリソースを同じ場所に作成することをお勧めします。 既定値は EastUS2 です。	いいえ
FunctionAppUsageRegion	キー コンテナーで許可されている動的 IP アドレスの場所。 既定の場所は EastUS2 です。	はい
KeyVaultResourceId	許可された IP アドレスに対するキー コンテナーのリソース ID。	はい

SPN を設定し、各テナントに必要なロールを付与する

この手順では、テナントごとにサービス プリンシパル名 (SPN) を作成し、各テナントにアクセス許可を付与します。 セットアップには、スコープに対する閲覧者、仮想マシン共同作成者、および Azure Arc ScVmm VM 共同作成者 のアクセス権が必要です。 構成されたスコープは、テナント、管理グループ、またはサブスクリプションにすることも、管理グループとサブスクリプションの両方にすることもできます。

テナントごとに手順を実行し、他のテナントに対して SPN を作成するために十分なアクセス許可があることを確認します。 構成されたスコープに対するユーザー アクセス管理者または所有者のアクセス許可が必要です。 たとえば、特定のサブスクリプションでセットアップを実行するには、必要なアクセス許可を SPN に付与するために、そのサブスクリプションに対するユーザー アクセス管理者ロールの割り当てが必要です。

$TenantId = "<TenantId>"
Disconnect-AzureAD
Connect-AzureAD -TenantId $TenantId
$SPN = Set-AzSKTenantSecuritySolutionMultiTenantIdentitySPN -AppId $Identity.ApplicationId
Grant-AzSKAzureRoleToMultiTenantIdentitySPN -AADIdentityObjectId $SPN.ObjectId `
    -TargetSubscriptionIds @("<SubId1>","<SubId2>","<SubId3>") `
    -TargetManagementGroupNames @("<MGName1>","<MGName2>","<MGName3>")

スクリプトには、Set-AzSKTenantSecuritySolutionMultiTenantIdentitySPN に対し次のパラメーターが含まれています。

パラメーター名	説明	必須
AppId	作成したアプリケーション ID。	はい

スクリプトには、Grant-AzSKAzureRoleToMultiTenantIdentitySPN に対し次のパラメーターが含まれています。

パラメーター名	説明	必須
AADIdentityObjectId	ID オブジェクト。	はい
TargetSubscriptionIds	セットアップを実行するターゲット サブスクリプション ID の一覧。	いいえ
TargetManagementGroupNames	セットアップを実行するターゲット管理グループ名の一覧。	いいえ

ターゲット スコープを構成する

ターゲット スコープは、Set-AzTSMMARemovalUtilitySolutionScopes を使用して構成できます。

$ConfiguredTargetScopes = Set-AzTSMMARemovalUtilitySolutionScopes ` 
         -SubscriptionId <HostingSubId> `
         -ResourceGroupName <HostingRGName> `
         -ScopesFilePath <ScopesFilePath>

スクリプトには、次のパラメーターが含まれています。

パラメーター名	説明	必須
SubscriptionId	セットアップがインストールされているサブスクリプションの ID。	はい
ResourceGroupName	セットアップがインストールされているリソース グループの名前。	はい
ScopesFilePath	ターゲット スコープの構成を含むファイル パス。	はい

スコープ構成ファイルは、ヘッダー行と 3 つの列を含む CSV ファイルです。

ScopeType	ScopeId	TenantId
サブスクリプション	/subscriptions/abb5301a-22a4-41f9-9e5f-99badff261f8	72f988bf-86f1-41af-91ab-2d7cd011db47
サブスクリプション	/subscriptions/71bdd12b-ae1d-499a-a4ea-e32d4c1d9c35	e60f12c0-e1dc-4be1-8d86-e979a5527830

ユーティリティを実行する

検出

Update-AzTSMMARemovalUtilityDiscoveryTrigger ` 
    -SubscriptionId <HostingSubId> `
    -ResourceGroupName <HostingRGName> `
    -StartScopeResolverAfterMinutes 60 `
    -StartExtensionDiscoveryAfterMinutes 30 

スクリプトには、次のパラメーターが含まれています。

パラメーター名	説明	必須
SubscriptionId	ユーティリティをインストールしたサブスクリプションの ID。	はい
ResourceGroupName	ユーティリティをインストールしたリソース グループの名前。	はい
StartScopeResolverAfterMinutes	リゾルバーを実行する前に待機する時間 (分)。	はい (-StartScopeResolverImmediately と同時には指定できません)
StartScopeResolverImmediately	リゾルバーを直ちに実行するインジケーター。	はい (-StartScopeResolverAfterMinutes と同時には指定できません)
StartExtensionDiscoveryAfterMinutes	検出の実行を待機する時間 (分)。リーゾルバーの完了後の時間を指定する必要があります。	はい (-StartExtensionDiscoveryImmediatley と同時には指定できません)
StartExtensionDiscoveryImmediatley	拡張機能の検出をすぐに実行するインジケーター。	はい (-StartExtensionDiscoveryAfterMinutes と同時には指定できません)

削除

既定では、削除フェーズは無効になっています。 検出手順からマシンのインベントリを検証した後に実行することをお勧めします。

Update-AzTSMMARemovalUtilityRemovalTrigger ` 
    -SubscriptionId <HostingSubId> `
    -ResourceGroupName <HostingRGName> `
    -StartAfterMinutes 60 `
    -EnableRemovalPhase `
    -RemovalCondition 'CheckForAMAPresence'

スクリプトには、次のパラメーターが含まれています。

パラメーター名	説明	必須
SubscriptionId	ユーティリティをインストールしたサブスクリプションの ID。	はい
ResourceGroupName	ユーティリティをインストールしたリソース グループの名前。	はい
StartAfterMinutes	削除を開始する前に待機する時間 (分)。	はい (-StartImmediately と同時には指定できません)
StartImmediately	削除フェーズを直ちに実行するインジケーター。	はい (-StartAfterMinutes と同時には指定できません)
EnableRemovalPhase	削除フェーズを有効にするインジケーター。	はい (-DisableRemovalPhase と同時には指定できません)
RemovalCondition	CheckForAMAPresence AMA 拡張機能が存在する場合は、MMA 拡張機能を削除する必要があることを示すインジケーター。 AMA 拡張機能が存在するかどうかに関わらず、すべての場合で SkipAMAPresenceCheck となっています。	いいえ
DisableRemovalPhase	削除フェーズを無効にするインジケーター。	はい (-EnableRemovalPhase と同時には指定できません)

削除に関する既知の問題を次に示します。

• オーケストレーション モードが Uniform での仮想マシン スケール セット内の MMA の削除は、アップグレード ポリシーによって異なります。 ポリシーが Manual に設定されている場合は、インスタンスを手動でアップグレードすることをお勧めします。

• 次のエラー メッセージが表示された場合は、同じパラメーター値を使用してインストール コマンドを再実行します。

  The deployment MMARemovalenvironmentsetup-20233029T103026 failed with error(s). Showing 1 out of 1 error(s). Status Message: (Code:BadRequest) - We observed intermittent issue with App service deployment.

  コマンドは、次の試行ではエラーなしで続行するはずです。

• 拡張機能の削除の進行状況タイルに監視ダッシュボードのエラーが表示される場合は、次の情報を使用して解決します。

  エラー コード	説明/理由	次のステップ
  AuthorizationFailed	修復 ID には、VM、仮想マシン スケール セット、または Azure Arc サーバー上で拡張機能の削除操作を実行するアクセス許可がありません。	VM 上の修復 ID に VM 共同作成者ロールを付与します。 仮想マシン スケール セットの修復 ID に Azure Arc ScVmm VM 共同作成者 ロールを付与します。 次に、削除フェーズを再実行します。
  OperationNotAllowed	リソースが割り当て解除状態であるか、リソースにロックが適用されています。	失敗したリソースを有効にする、または、ロックを削除してから、削除フェーズを再実行します。

このユーティリティは、セットアップ時に使用した Log Analytics ワークスペースでのエラーの詳細を収集します。 Log Analytics ワークスペースに移動し、[ログ] を選択して、次のクエリを実行します。

let timeago = timespan(7d);
InventoryProcessingStatus_CL
| where TimeGenerated > ago(timeago) and Source_s == "AzTS_07_ExtensionRemovalProcessor"
| where ProcessingStatus_s !~ "Initiated"
| summarize arg_max(TimeGenerated,*) by tolower(ResourceId)
| project ResourceId, ProcessingStatus_s, ProcessErrorDetails_s

クリーンアップ

MMA 検出および削除ユーティリティが作成するリソースは、インフラストラクチャから MMA を削除した後にクリーンアップする必要があります。 クリーンアップを行うには、次の手順を実行します。

1. 展開パッケージが含まれているフォルダーに移動し、クリーンアップ スクリプトを読み込みます。

   CD "<LocalExtractedFolderPath>\AzTSMMARemovalUtilityDeploymentFiles"
   . ".\MMARemovalUtilityCleanUpScript.ps1"
   

2. クリーンアップ スクリプトを実行します。

   Remove-AzTSMMARemovalUtilitySolutionResources ` 
       -SubscriptionId <HostingSubId> `
       -ResourceGroupName <HostingRGName> `
       [-DeleteResourceGroup `]
       -KeepInventoryAndProcessLogs
   

スクリプトには、次のパラメーターが含まれています。

パラメーター名	説明	必須
SubscriptionId	削除するサブスクリプションの ID。	はい
ResourceGroupName	削除するリソース グループの名前。	はい
DeleteResourceGroup	リソース グループ全体を削除するためのブール値フラグ。	はい
KeepInventoryAndProcessLogs	Log Analytics ワークスペースと Application Insights を除外するためのブール値フラグ。 DeleteResourceGroup と一緒に使用することはできません。	いいえ