Azure Monitor で Active Directory 正常性チェック ソリューションを使用して Active Directory 環境を最適化するOptimize your Active Directory environment with the Active Directory Health Check solution in Azure Monitor

AD 正常性チェックのシンボル

注意

この記事は最近、Log Analytics ではなく Azure Monitor ログという用語を使うように更新されました。This article was recently updated to use the term Azure Monitor logs instead of Log Analytics. ログ データは引き続き Log Analytics ワークスペースに格納され、同じ Log Analytics サービスによって収集されて分析されます。Log data is still stored in a Log Analytics workspace and is still collected and analyzed by the same Log Analytics service. Azure Monitor のログの役割をより適切に反映させるために、用語を更新しています。We are updating the terminology to better reflect the role of logs in Azure Monitor. 詳しくは、Azure Monitor の用語の変更に関するページをご覧ください。See Azure Monitor terminology changes for details.

Active Directory 正常性チェック ソリューションを使用して、サーバー環境のリスクと正常性を定期的に評価します。You can use the Active Directory Health Check solution to assess the risk and health of your server environments on a regular interval. この記事では、潜在的な問題の修正措置を実行できるように、ソリューションをインストールして使用します。This article helps you install and use the solution so that you can take corrective actions for potential problems.

このソリューションでは、デプロイされているサーバー インフラストラクチャに固有の優先順位付けされた推奨事項の一覧を提供します。This solution provides a prioritized list of recommendations specific to your deployed server infrastructure. 推奨事項は 4 つの対象領域に分類されているので、すばやくリスクを把握し、アクションを実行できます。The recommendations are categorized across four focus areas, which help you quickly understand the risk and take action.

推奨事項は、マイクロソフトのエンジニアによる数多くの顧客訪問によって得られた知識と経験に基づいています。The recommendations are based on the knowledge and experience gained by Microsoft engineers from thousands of customer visits. 各推奨事項では、問題が重要である理由と推奨される変更を実装する方法に関するガイダンスが提供されます。Each recommendation provides guidance about why an issue might matter to you and how to implement the suggested changes.

組織にとって最も重要な対象領域を選択し、リスクのない正常な環境の実行に向けた進行状況を追跡できます。You can choose focus areas that are most important to your organization and track your progress toward running a risk free and healthy environment.

ソリューションを追加し、チェックが完了すると、環境のインフラストラクチャの [Active Directory 正常性チェック] ダッシュボードに対象領域の概要情報が表示されます。After you've added the solution and a check is completed, summary information for focus areas is shown on the AD Health Check dashboard for the infrastructure in your environment. 次のセクションでは、 [Active Directory 正常性チェック] ダッシュボードの情報を使用する方法について説明します。ここでは、Active Directory サーバー インフラストラクチャを確認し、推奨された解決方法を実行できます。The following sections describe how to use the information on the AD Health Check dashboard, where you can view and then take recommended actions for your Active Directory server infrastructure.

[Active Directory 正常性チェック] タイルの画像

[Active Directory 正常性チェック] ダッシュボードの画像

前提条件Prerequisites

  • Active Directory 正常性チェック ソリューションを使用するには、各コンピューターに (Microsoft Monitoring Agent (MMA) とも呼ばれる) Windows 用の Log Analytics エージェントがインストールされ、4.6.2 以降のサポートされているバージョンの .NET Framework がインストールされている必要があります。The Active Directory Health Check solution requires a supported version of .NET Framework 4.6.2 or above installed on each computer that has the Log Analytics agent for Windows (also referred to as the Microsoft Monitoring Agent (MMA)) installed. このエージェントは、System Center 2016 (Operations Manager および Operations Manager 2012 R2) と Azure Monitor に使用されます。The agent is used by System Center 2016 - Operations Manager, Operations Manager 2012 R2, and Azure Monitor.

  • このソリューションは、Windows Server 2008 および 2008 R2、Windows Server 2012 および 2012 R2、Windows Server 2016、および Windows Server 2019 を実行するドメイン コントローラーをサポートしています。The solution supports domain controllers running Windows Server 2008 and 2008 R2, Windows Server 2012 and 2012 R2, Windows Server 2016, and Windows Server 2019.

  • Azure Portal で Azure Marketplace から Active Directory 正常性チェック ソリューションを追加する Log Analytics ワークスペース。A Log Analytics workspace to add the Active Directory Health Check solution from the Azure Marketplace in the Azure portal. 追加の構成は必要ありません。There is no additional configuration required.

    注意

    ソリューションを追加した後、AdvisorAssessment.exe ファイルがエージェントを含むサーバーに追加されます。After you've added the solution, the AdvisorAssessment.exe file is added to servers with agents. 構成データが読み取られ、処理のためにクラウドの Azure Monitor に送信されます。Configuration data is read and then sent to Azure Monitor in the cloud for processing. 受信したデータにロジックが適用され、クラウド サービスによってそのデータが記録されます。Logic is applied to the received data and the cloud service records the data.

評価対象のドメインのメンバーであるお使いのドメイン コントローラーに対して正常性チェックを実行するには、ドメイン内の各ドメイン コントローラーにエージェントがあり、次のサポートされるいずれかの方法で Azure Monitor に接続できる必要があります。To perform the health check against your domain controllers that are members of the domain to be evaluated, each domain controller in that domain requires an agent and connectivity to Azure Monitor using one of the following supported methods:

  1. ドメイン コントローラーが System Center 2016 (Operations Manager または Operations Manager 2012 R2) でまだ監視されていない場合は、Windows 用の Log Analytics エージェントをインストールします。Install the Log Analytics agent for Windows if the domain controller is not already monitored by System Center 2016 - Operations Manager or Operations Manager 2012 R2.
  2. System Center 2016 (Operations Manager または Operations Manager 2012 R2) で監視され、監視グループが Azure Monitor と統合されていない場合は、ドメイン コントローラーを Azure Monitor とマルチホームしてデータを収集し、サービスに転送して、Operations Manager で引き続き監視することができます。If it is monitored with System Center 2016 - Operations Manager or Operations Manager 2012 R2 and the management group is not integrated with Azure Monitor, the domain controller can be multi-homed with Azure Monitor to collect data and forward to the service and still be monitored by Operations Manager.
  3. それ以外の場合、Operations Manager 管理グループがサービスと統合されている場合は、ワークスペースでソリューションを有効にした後に、エージェントが管理するコンピューターの追加に関するセクションの手順に従って、サービスによるデータ収集用にドメイン コントローラーを追加する必要があります。Otherwise, if your Operations Manager management group is integrated with the service, you need to add the domain controllers for data collection by the service following the steps under add agent-managed computers after you enable the solution in your workspace.

Operations Manager 管理グループに報告するドメイン コントローラー上のエージェントではデータが収集されて、割り当てられている管理サーバーに転送されます。このデータは、管理サーバーから Azure Monitor に直接送信されます。The agent on your domain controller which reports to an Operations Manager management group, collects data, forwards to its assigned management server, and then is sent directly from a management server to Azure Monitor. データは Operations Manager データベースに書き込まれません。The data is not written to the Operations Manager databases.

Active Directory 正常性チェックのデータ収集の詳細Active Directory Health Check data collection details

Active Directory 正常性チェックでは、有効にしたエージェントを使用して、次のソースからデータを収集します。Active Directory Health Check collects data from the following sources using the agent that you have enabled:

  • レジストリRegistry
  • LDAPLDAP
  • .NET Framework.NET Framework
  • イベント ログEvent log
  • Active Directory サービス インターフェイス (ADSI)Active Directory Service interfaces (ADSI)
  • Windows PowerShellWindows PowerShell
  • ファイル データFile data
  • Windows Management Instrumentation (WMI)Windows Management Instrumentation (WMI)
  • DCDIAG ツール APIDCDIAG tool API
  • ファイル レプリケーション サービス (NTFRS) APIFile Replication Service (NTFRS) API
  • カスタム C# コードCustom C# code

データはドメイン コントローラーで収集され、7 日ごとに Azure Monitor に転送されます。Data is collected on the domain controller and forwarded to Azure Monitor every seven days.

推奨事項の優先順位設定方法についてUnderstanding how recommendations are prioritized

提供されるすべての推奨事項には、推奨事項の相対的な重要度を示す重み付け値が与えられます。Every recommendation made is given a weighting value that identifies the relative importance of the recommendation. 最も重要な 10 個の推奨事項のみが表示されます。Only the 10 most important recommendations are shown.

重み付けの計算方法How weights are calculated

重み付けは、次の 3 つの重要な要因に基づく集計値です。Weightings are aggregate values based on three key factors:

  • 識別された注意点によって問題が発生する "確率"。The probability that an issue identified causes problems. 確率が高いほど、推奨事項に割り当てられる総合スコアが大きくなります。A higher probability equates to a larger overall score for the recommendation.
  • 問題が発生する原因となった場合の注意点の組織への 影響度The impact of the issue on your organization if it does cause a problem. 影響度が高いほど、推奨事項に割り当てられる総合スコアが大きくなります。A higher impact equates to a larger overall score for the recommendation.
  • 推奨実行を実装するために必要な 作業量The effort required to implement the recommendation. 作業量が多いほど、推奨事項に割り当てられる総合スコアが小さくなります。A higher effort equates to a smaller overall score for the recommendation.

各推奨事項に対する重み付けは、各対象領域で使用可能な合計スコアの割合として表されます。The weighting for each recommendation is expressed as a percentage of the total score available for each focus area. たとえば、セキュリティとコンプライアンス対象領域の推奨事項のスコアが 5% である場合、その推奨事項を実装するとセキュリティとコンプライアンスの総合スコアが 5% 上昇します。For example, if a recommendation in the Security and Compliance focus area has a score of 5%, implementing that recommendation increases your overall Security and Compliance score by 5%.

対象領域Focus areas

セキュリティとコンプライアンス - この対象領域は、潜在的なセキュリティの脅威と侵害、企業のポリシー、および技術、法律、規制のコンプライアンス要件に関する推奨事項を示しています。Security and Compliance - This focus area shows recommendations for potential security threats and breaches, corporate policies, and technical, legal and regulatory compliance requirements.

可用性とビジネス継続性 - この対象領域は、サービスの可用性、インフラストラクチャの回復性、およびビジネス保護に関する推奨事項を示しています。Availability and Business Continuity - This focus area shows recommendations for service availability, resiliency of your infrastructure, and business protection.

パフォーマンスとスケーラビリティ - この対象領域は、組織の IT インフラストラクチャを拡張し、IT 環境が現在のパフォーマンス要件を満たして、インフラストラクチャのニーズの変化に対応できるようにするために役立つ推奨事項を示しています。Performance and Scalability - This focus area shows recommendations to help your organization's IT infrastructure grow, ensure that your IT environment meets current performance requirements, and is able to respond to changing infrastructure needs.

アップグレード、移行、デプロイ - この対象領域は、既存のインフラストラクチャへの Active Directory のアップグレード、移行、およびデプロイに役立つ推奨事項を示しています。Upgrade, Migration and Deployment - This focus area shows recommendations to help you upgrade, migrate, and deploy Active Directory to your existing infrastructure.

すべての対象領域で 100% のスコアを目指す必要がありますか?Should you aim to score 100% in every focus area?

必ずしもその必要はありません。Not necessarily. 推奨事項は、マイクロソフトのエンジニアによる数多くの顧客訪問によって得られた知識と経験に基づいています。The recommendations are based on the knowledge and experiences gained by Microsoft engineers across thousands of customer visits. ただし、まったく同じサーバー インフラストラクチャは存在せず、関連性の高い、または低い推奨事項が存在する可能性があります。However, no two server infrastructures are the same, and specific recommendations may be more or less relevant to you. たとえば、仮想マシンがインターネットに対して公開されていない場合、セキュリティに関する一部の推奨事項は関連性が低い場合があります。For example, some security recommendations might be less relevant if your virtual machines are not exposed to the Internet. 優先度の低いアドホックなデータ収集とレポート作成を提供するサービスの場合、可用性に関する一部の推奨事項は関連性が低い可能性があります。Some availability recommendations may be less relevant for services that provide low priority ad hoc data collection and reporting. 成熟したビジネスにとって重要な問題は、起業したばかりの会社には重要性が低い場合があります。Issues that are important to a mature business may be less important to a start-up. ユーザーが優先度の高い対象領域を識別して、スコアの経時変化を監視できます。You may want to identify which focus areas are your priorities and then look at how your scores change over time.

すべての推奨事項には、重要である理由についてのガイダンスが含まれます。Every recommendation includes guidance about why it is important. ユーザーはこのガイダンスを使用し、IT サービスの性質と組織のビジネス ニーズに基づいて、推奨事項を実装することが会社にとって適切かどうかを評価する必要があります。You should use this guidance to evaluate whether implementing the recommendation is appropriate for you, given the nature of your IT services and the business needs of your organization.

正常性チェックの関心領域に関する推奨事項の使用Use health check focus area recommendations

インストール後は、Azure Portal のソリューション ページの [正常性チェック] タイルを使用して、推奨事項の概要を表示できます。After it is installed, you can view the summary of recommendations by using the Health Check tile on the solution page in the Azure portal.

インフラストラクチャの準拠に関する評価の概要を表示してから、推奨事項を確認します。View the summarized compliance assessments for your infrastructure and then drill-into recommendations.

対象領域の推奨事項を表示して修正措置を行うにはTo view recommendations for a focus area and take corrective action

この監視ソリューションによって収集されたデータは Azure portal で、Azure Monitor の [概要] ページから使用できます。Data collected by this monitoring solution is available in the Azure Monitor Overview page in the Azure portal. このページは、Azure Monitor メニューの [Insights] セクションの [More](詳細) をクリックして開きます。Open this page from the Azure Monitor menu by clicking More under the Insights section. 各ソリューションは、タイルで表現されます。Each solution is represented by a tile. そのソリューションによって収集された詳細データについては、タイルをクリックします。Click on a tile for more detailed data collected by that solution.

  1. [概要] ページで、 [Active Directory 正常性チェック] タイルをクリックします。On the Overview page, click the Active Directory Health Check tile.

  2. [正常性チェック] ページの対象領域のいずれかのブレードで概要情報を確認し、いずれかの情報をクリックして、その対象領域の推奨事項を表示します。On the Health Check page, review the summary information in one of the focus area blades and then click one to view recommendations for that focus area.

  3. いずれの対象領域ページでも、ユーザーの環境を対象とした、優先順位が付けられた推奨事項を表示できます。On any of the focus area pages, you can view the prioritized recommendations made for your environment. 推奨事項の理由の詳細を確認するには、 [影響を受けるオブジェクト] でその推奨事項をクリックします。Click a recommendation under Affected Objects to view details about why the recommendation is made.

    正常性チェックの推奨事項の画像

  4. [推奨する解決方法] で推奨された修正措置を実行することができます。You can take corrective actions suggested in Suggested Actions. 項目に対応すると、それ以降の評価では、推奨されたアクションが行われたと記録され、コンプライアンスのスコアが上がります。When the item has been addressed, later assessments records that recommended actions were taken and your compliance score will increase. 修正された項目は [合格したオブジェクト] として表示されます。Corrected items appear as Passed Objects.

推奨事項を無視するIgnore recommendations

無視する推奨事項がある場合は、Azure Monitor が使用するテキスト ファイルを作成して、推奨事項が評価結果に表示されないようにすることができます。If you have recommendations that you want to ignore, you can create a text file that Azure Monitor will use to prevent recommendations from appearing in your assessment results.

無視する推奨事項を識別するにはTo identify recommendations that you will ignore

Azure portal の Azure Monitor メニューの [ログ] をクリックして、Azure Monitor でログ分析を使用してログ データのクエリと分析を行います。Use log analytics to create queries and analyze log data in Azure Monitor by clicking Logs in the Azure Monitor menu in the Azure portal.

次のクエリを使用して、環境内のコンピューターで失敗した推奨事項の一覧を表示します。Use the following query to list recommendations that have failed for computers in your environment.

ADAssessmentRecommendation | where RecommendationResult == "Failed" | sort by Computer asc | project Computer, RecommendationId, Recommendation

ログ クエリのスクリーンショットを次に示します。Here's a screenshot showing the log query:<

失敗した推奨事項

無視する推奨事項を選択します。Choose recommendations that you want to ignore. 次の手順で RecommendationId の値を使用します。You’ll use the values for RecommendationId in the next procedure.

IgnoreRecommendations.txt テキスト ファイルを作成および使用するにはTo create and use an IgnoreRecommendations.txt text file

  1. IgnoreRecommendations.txt という名前のファイルを作成します。Create a file named IgnoreRecommendations.txt.

  2. Azure Monitor に無視させる各推奨事項の RecommendationId を 1 行に 1 つずつ貼り付けるか入力した後、ファイルを保存して閉じます。Paste or type each RecommendationId for each recommendation that you want Azure Monitor to ignore on a separate line and then save and close the file.

  3. Azure Monitor に推奨事項を無視させる各コンピューターの次のフォルダーにファイルを配置します。Put the file in the following folder on each computer where you want Azure Monitor to ignore recommendations.

    • Microsoft Monitoring Agent がインストールされたコンピューター (直接または Operations Manager 経由で接続されている) - SystemDrive:\Program Files\Microsoft Monitoring Agent\AgentOn computers with the Microsoft Monitoring Agent (connected directly or through Operations Manager) - SystemDrive:\Program Files\Microsoft Monitoring Agent\Agent
    • Operations Manager 2012 R2 管理サーバー - SystemDrive:\Program Files\Microsoft System Center 2012 R2\Operations Manager\ServerOn the Operations Manager 2012 R2 management server - SystemDrive:\Program Files\Microsoft System Center 2012 R2\Operations Manager\Server
    • Operations Manager 2016 管理サーバー - SystemDrive:\Program Files\Microsoft System Center 2016\Operations Manager\ServerOn the Operations Manager 2016 management server - SystemDrive:\Program Files\Microsoft System Center 2016\Operations Manager\Server

推奨事項が無視されていることを確認するにはTo verify that recommendations are ignored

次回スケジュールされている正常性チェックが実行した後は、既定では 7 日おきで、推奨事項が Ignored とマークされ、ダッシュボードには表示されません。After the next scheduled health check runs, by default every seven days, the specified recommendations are marked Ignored and will not appear on the dashboard.

  1. 次のログ クエリを使用して、無視されるすべての推奨事項の一覧を表示できます。You can use the following log queries to list all the ignored recommendations.

    ADAssessmentRecommendation | where RecommendationResult == "Ignored" | sort by Computer asc | project Computer, RecommendationId, Recommendation
    
  2. 無視された推奨事項を表示することを後で決定する場合は、IgnoreRecommendations.txt ファイルを削除します。また、そのファイルから RecommendationID を削除することもできます。If you decide later that you want to see ignored recommendations, remove any IgnoreRecommendations.txt files, or you can remove RecommendationIDs from them.

Active Directory 正常性チェック ソリューションについてよく寄せられる質問 (FAQ)AD Health Check solutions FAQ

AD Assessment ソリューションでは、どのようなチェックが行われますかWhat checks are performed by the AD Assessment solution?

  • 次のクエリは、現在実行されているすべてのチェックの説明を示します。The following query shows a description of all checks currently performed:
ADAssessmentRecommendation
| distinct RecommendationId, FocusArea, ActionArea, Recommendation, Description
| sort by FocusArea,ActionArea, Recommendation

結果を Excel にエクスポートしてレビューすることができます。The results can then be exported to Excel for further review.

正常性チェックはどのような頻度で実行されますか?How often does a health check run?

  • チェックは 7 日ごとに実行されます。The check runs every seven days.

正常性チェックの実行頻度を構成する方法はありますか?Is there a way to configure how often the health check runs?

  • 現時点ではありません。Not at this time.

正常性チェック ソリューションを追加後、別のサーバーが検出された場合、それはチェックされますか?If another server for is discovered after I’ve added a health check solution, will it be checked

  • はい。検出されると、それ以降 7 日おきにチェックされます。Yes, once it is discovered it is checked from then on, every seven days.

サーバーを使用停止にした場合、正常性チェックの対象からはいつ除外されますか?If a server is decommissioned, when will it be removed from the health check?

  • サーバーは、3 週間にわたりデータを送信しない場合、除外されます。If a server does not submit data for 3 weeks, it is removed.

データ収集を行うプロセスの名前は何ですか?What is the name of the process that does the data collection?

  • AdvisorAssessment.exe です。AdvisorAssessment.exe

データの収集にはどれくらいの時間がかかりますか?How long does it take for data to be collected?

  • サーバー上での実際のデータ収集には約 1 時間かかります。The actual data collection on the server takes about 1 hour. Active Directory サーバーの数が多いサーバーでは、もっと長くなる可能性があります。It may take longer on servers that have a large number of Active Directory servers.

データが収集されるタイミングを構成する方法はありますか?Is there a way to configure when data is collected?

  • 現時点ではありません。Not at this time.

上位 10 個の推奨事項しか表示されないのはなぜですか?Why display only the top 10 recommendations?

  • タスクの一覧を余すことなく完全に提供するのでなく、まず優先的な推奨事項への対処に重点を置くことをお勧めしています。Instead of giving you an exhaustive overwhelming list of tasks, we recommend that you focus on addressing the prioritized recommendations first. 優先的な推奨事項に対処すると、追加の推奨事項が表示されます。After you address them, additional recommendations will become available. 詳細な一覧を確認する場合は、ログ クエリを使用してすべての推奨事項を表示することができます。If you prefer to see the detailed list, you can view all recommendations using a log query.

推奨事項を無視する方法はありますか?Is there a way to ignore a recommendation?

次のステップNext steps

Azure Monitor のログ クエリを使用して、詳細な AD の正常性チェック データと推奨事項を分析する方法を学びます。Use Azure Monitor log queries to learn how to analyze detailed AD Health Check data and recommendations.