大規模な Azure サーバー管理サービスを構成する

  • [アーティクル]

Azure サーバー管理サービスをサーバーにオンボードするには、次の 2 つのタスクを完了する必要があります。

  • サーバーにサービス エージェントをデプロイする。
  • 管理ソリューションを有効にする。

この記事では、これらのタスクを完了するために必要な 3 つのプロセスについて説明します。

  1. Azure Policy を使用して必須のエージェントを Azure VM にデプロイします。
  2. 必須のエージェントをオンプレミスのサーバーにデプロイします。
  3. ソリューションを有効にして構成します。

Note

仮想マシンを Azure サーバー管理サービスにオンボードする前に、必須の Log Analytics ワークスペースと Azure Automation アカウントを作成します。

Azure Policy を使用して拡張機能を Azure VM にデプロイする

Azure 管理ツールとサービスに関する記事で説明するすべての管理ソリューションでは、Azure の仮想マシンとオンプレミスのサーバーに Log Analytics エージェントをインストールする必要があります。 Azure Policy を使用すると Azure VM を大規模にオンボードできます。 エージェントがお使いの Azure VM にインストールされ、適切な Log Analytics ワークスペースに接続されるようにポリシーを割り当てます。

Azure Policy には、Log Analytics エージェントと Microsoft Dependency Agent を含む組み込みのポリシー イニシアチブがあります。これは Azure Monitor for VMs に必要です。

Note

Azure を監視するためのさまざまなエージェントの詳細については、Azure 監視エージェントの概要に関する記事をご覧ください。

ポリシーの割り当て

前のセクションで説明したポリシーを割り当てるには:

  1. Azure portal で、 [ポリシー][割り当て][イニシアチブの割り当て] の順に移動します。

    Screenshot of the portal's policy interface with the Assignments option and Assign initiative option called out.

  2. [ポリシーの割り当て] ページで、省略記号 ( [...] ) を選択し、管理グループまたはサブスクリプションを選択して、 [スコープ] を設定します。 任意でリソース グループを選択します。 次に、 [スコープ] ページの下部にある [選択] を選択します。 スコープによって、ポリシーの割り当て先のリソースまたはリソース グループが決まります。

  3. [ポリシー定義] の横にある省略記号 [...] を選択して、使用可能な定義の一覧を開きます。 イニシアティブ定義をフィルター処理するには、 [検索] ボックスに「Azure Monitor」と入力します。

    Screenshot of the Enable Azure Monitor for V M initiative definition.

  4. [割り当て名] には選択したポリシー名が自動的に設定されますが、これを変更することはできません。 また、省略可能な説明を追加して、このポリシーの割り当ての詳細情報を提供することもできます。 [割り当て担当者] フィールドは、サインイン ユーザーに基づいて自動的に入力されます。 このフィールドは省略可能であり、カスタム値がサポートされています。

  5. このポリシーについて、関連付ける Log Analytics エージェントの [Log Analytics ワークスペース] を選択します。

    Screenshot of the Log Analytics workspace option.

  6. [マネージド ID の場所] チェックボックスをオンにします。 このポリシーの種類が DeployIfNotExists である場合、このポリシーをデプロイするにはマネージド ID が必要になります。 ポータルで、チェックボックスの選択で指示されたとおりにアカウントが作成されます。

  7. [割り当て] を選択します。

ウィザードを完了すると、ポリシー割り当てが環境にデプロイされます。 ポリシーが有効になるまで、最大で 30 分かかる可能性があります。 テストするには、30 分後に新しい VM を作成し、その VM 上で Log Analytics エージェントが既定で有効になっているかどうかを確認します。

エージェントをオンプレミスのサーバーにインストールする

Note

Azure サーバー管理サービスをサーバーにオンボードする前に、必須の Log Analytics ワークスペースと Azure Automation アカウントを作成します。

オンプレミスのサーバーの場合、Log Analytics エージェントと Microsoft Dependency Agent を手動でダウンロードしてインストールし、適切なワークスペースに接続するようにそれらを構成する必要があります。 ワークスペース ID とキー情報を指定する必要があります。 この情報を取得するには、Azure portal で Log Analytics ワークスペースに移動し、 [設定]>[詳細設定] を選択します。

Screenshot of Log Analytics workspace advanced settings in the Azure portal

ソリューションを有効にして構成する

ソリューションを有効にするには、Log Analytics ワークスペースを構成する必要があります。 オンボードされた Azure VM とオンプレミスのサーバーは、接続先の Log Analytics ワークスペースからソリューションを取得します。

更新管理

Update Management ソリューションおよび変更履歴とインベントリ ソリューションには、Log Analytics ワークスペースと Azure Automation アカウントの両方が必要です。 これらのリソースが正しく構成されるように、Automation アカウントを使用してオンボードすることをお勧めします。 詳細については、Update Management ソリューションおよび変更履歴とインベントリ ソリューションのオンボードに関する記事をご覧ください。

すべてのサーバーに対して Update Management ソリューションを有効にすることをお勧めします。 Azure VM とオンプレミスのサーバーでは Update Management が無料です。 Automation アカウントから Update Management を有効にした場合、ワークスペース内にスコープ構成が作成されます。 Update Management ソリューションの対象となるマシンを含むように、スコープを手動で更新します。

既存のサーバーと今後のサーバーを対象にするには、スコープ構成を削除する必要があります。 これを行うには、Azure portal で Automation アカウントを表示します。 [Update Management]>[コンピューターの管理]>[使用可能なマシンと今後のマシンすべてで有効にします] を選択します。 この設定によって、ワークスペースに接続されているすべての Azure VM で Update Management を使用できます。

Screenshot of Update Management in the Azure portal

Change Tracking と Inventory のソリューション

Change Tracking と Inventory のソリューションをオンボードするには、Update Management の場合と同じ手順に従います。 Automation アカウントからこれらのソリューションをオンボードする方法の詳細については、Update Management ソリューションおよび変更履歴とインベントリ ソリューションのオンボードに関する記事をご覧ください。

変更履歴とインベントリ ソリューションは、Azure VM では無料ですが、オンプレミスのサーバーでは 1 か月あたりノードごとに 6 ドルかかります。 このコストには、変更履歴、インベントリ、Desired State Configuration が含まれます。 特定のオンプレミス サーバーのみを登録する場合は、それらのサーバーをオプトインできます。 すべての運用サーバーをオンボードすることをお勧めします。

Azure portal を介したオプトイン

  1. Change Tracking と Inventory が有効になっている Automation アカウントに移動します。
  2. [Change Tracking] を選択します。
  3. 右上のウィンドウで [マシンの管理] を選択します。
  4. [選択したマシンで有効にします] を選択します。 次に、マシン名の横にある [追加] を選択します。
  5. [有効化] を選択して、それらのマシンに対してソリューションを有効にします。

Screenshot of Change Tracking in the Azure portal

保存された検索を使用したオプトイン

また、スコープ構成を構成してオンプレミスのサーバーをオプトインできます。 スコープ構成では、保存された検索を使用します。

保存された検索を作成または変更するには、次の手順に従います。

  1. 前の手順で構成した Automation アカウントにリンクされている Log Analytics ワークスペースに移動します。

  2. [全般] の下の [保存された検索] を選択します。

  3. [フィルター] ボックスに、「Change Tracking」と入力して、保存された検索の一覧をフィルター処理します。 結果内の [MicrosoftDefaultComputerGroup] を選択します。

  4. コンピューター名または VMUUID を入力して、変更履歴とインベントリにオプトインするコンピューターを含めます。

Heartbeat
| where AzureEnvironment=~"Azure" or Computer in~ ("list of the on-premises server names", "server1")
| distinct Computer

Note

このサーバー名は、式に含まれる値と厳密に一致する必要があります。ドメイン名サフィックスは含めないでください。

  1. [保存] を選択します。 既定では、スコープ構成は保存された検索 MicrosoftDefaultComputerGroup にリンクされます。 それは自動的に更新されます。

Azure activity log

Azure アクティビティ ログも Azure Monitor の一部です。 ここから、Azure で発生するサブスクリプション レベルのイベントに関する分析情報を得ることができます。

このソリューションを実行するには:

  1. Azure portal で [すべてのサービス] を開き、次に [管理 + ガバナンス]>[ソリューション] を選択します。
  2. [ソリューション] ビューで、 [追加] を選択します。
  3. [Activity Log Analytics] を検索して選択します。
  4. [作成] を選択します

前のセクションで作成した、ソリューションが有効になっているワークスペースのワークスペース名を指定する必要があります。

Azure Log Analytics の Agent Health

Azure Log Analytics の Agent Health ソリューションでは、Windows および Linux サーバーの正常性、パフォーマンス、可用性に関する報告が行われます。

このソリューションを実行するには:

  1. Azure portal で [すべてのサービス] を開き、次に [管理 + ガバナンス]>[ソリューション] を選択します。
  2. [ソリューション] ビューで、 [追加] を選択します。
  3. [Azure Log Analytics の Agent Health] を検索して選択します。
  4. [作成] を選択します

前のセクションで作成した、ソリューションが有効になっているワークスペースのワークスペース名を指定する必要があります。

作成が完了した後、 [表示]>[ソリューション] を選択すると、ワークスペース リソース インスタンスに "AgentHealthAssessment" が表示されます。

マルウェア対策評価

Antimalware Assessment ソリューションは、マルウェアに感染しているか感染のリスクが高まっているサーバーの特定に役立ちます。

このソリューションを実行するには:

  1. Azure portal で [すべてのサービス] を開き、 [管理 + ガバナンス]>[ソリューション] を選択します。
  2. [ソリューション] ビューで、 [追加] を選択します。
  3. [Antimalware Assessment] を検索して選択します。
  4. [作成] を選択します

前のセクションで作成した、ソリューションが有効になっているワークスペースのワークスペース名を指定する必要があります。

作成が完了した後、 [表示]>[ソリューション] を選択すると、ワークスペース リソース インスタンスに "AntiMalware" が表示されます。

VM に対する Azure Monitor

評価のために単一の VM 上の管理サービスを有効にする」で説明されているように、VM インスタンスのビュー ページを通して Azure Monitor for VMs を有効にすることができます。 この記事で説明されている他のソリューションに対して行ったように [ソリューション] ページからソリューションを直接有効にすることはしないでください。 大規模なデプロイの場合、自動化を使用してワークスペース内で適切なソリューションを有効にする方が簡単な場合があります。

Microsoft Defender for Cloud

すべてのサーバーを少なくとも Microsoft Defender for Cloud の Free レベルにオンボードすることをお勧めします。 このオプションでは、基本的なセキュリティ評価と、環境に関する実行可能なセキュリティの推奨事項が提供されます。 Standard レベルにはさらに多くの利点があります。 詳細については、Microsoft Defender for Cloud pricing を参照してください。

Microsoft Defender for Cloud の Free レベルを有効にするには、次の手順を実行します。

  1. Defender for Cloud ポータル ページに移動します。
  2. [ポリシーとコンプライアンス] の下の [セキュリティ ポリシー] を選択します。
  3. 右端のウィンドウで、作成した Log Analytics ワークスペース リソースを見つけます。
  4. そのワークスペースに対する [設定の編集] を選択します。
  5. [価格レベル] を選択します。
  6. [Free] オプションを選択します。
  7. [保存] を選択します。

次のステップ

サーバーのオンボードとアラートの作成にオートメーションを使用する方法を確認します。

オンボードとアラート構成の自動化