Azure で Windows Admin Center を使用して Azure Arc 対応サーバーを管理する (プレビュー)

重要

Azure portal の Windows Admin Center は現在プレビュー段階です。 ベータ版、プレビュー版、または一般提供としてまだリリースされていない Azure の機能に適用される法律条項については、「Microsoft Azure プレビューの追加使用条件」を参照してください。

Azure portal で Windows Admin Center を使用すると、ハイブリッド マシンと呼ばれる Arc 対応サーバーの Windows Server オペレーティング システムを管理できます。 VPN、パブリック IP アドレス、またはマシンへのその他の受信接続を必要とせずに、どこからでもハイブリッド マシンを安全に管理できます。

Azure の Windows Admin Center 拡張機能を使用すると、Azure portal で Arc 対応サーバーを管理するための管理、構成、トラブルシューティング、メンテナンス機能を利用できます。 Windows Server インフラストラクチャとワークロード管理では、見通しやリモート デスクトップ プロトコル (RDP) を確立する必要がなくなりました。すべて Azure portal からネイティブに実行できます。 Windows Admin Center には、通常、サーバー マネージャー、デバイス マネージャー、タスク マネージャー、Hyper-V マネージャー、およびその他のほとんどの Microsoft 管理コンソール (MMC) ツールで使用できるツールが用意されています。

この記事では、Azure portal での Windows Admin Center の使用の概要、要件、および Azure portal に Windows Admin Center をインストールし、それを使用してハイブリッド マシンを管理する方法について説明します。 また、よく寄せられる質問に回答し、既知の問題と、問題が発生した場合のトラブルシューティングのヒントの一覧を示します。

Screenshot showing Windows Admin Center in the Azure portal for Arc-enabled server, displaying the Windows admin Center Overview page.

Azure の Windows Admin Center の概要

Azure portal の Windows Admin Center には、単一のハイブリッド コンピューターで実行されている Windows Server を管理するための重要なツールが用意されています。 ファイアウォールで受信ポートを開く必要なく、ハイブリッド マシンを管理できます。

Azure portal で Windows Admin Center を使用すると、次の管理を行うことができます。

  • 証明書
  • デバイス
  • イベント
  • ファイルとファイル共有
  • ファイアウォール
  • インストール済みのアプリ
  • ローカル ユーザーとグループ
  • パフォーマンス モニター
  • PowerShell
  • プロセス
  • レジストリ
  • リモート デスクトップ
  • 役割と機能
  • スケジュールされたタスク
  • サービス
  • Storage
  • 更新プログラム
  • 仮想マシン
  • 仮想スイッチ

現時点では、Azure portal で Windows Admin Center の他の拡張機能はサポートされていません。

警告

複数のシステムを管理するためにハイブリッド コンピューターに Windows Admin Center を手動でインストールした場合、Azure で Windows Admin Center を有効にすると、Windows Admin Center の既存のインスタンスが置き換えられ、他のマシンを管理する機能が削除されます。 以前に展開した Windows Admin Center のインスタンスにアクセスできなくなります。

要件

このセクションでは、Azure portal で Windows Admin Center を使用してハイブリッド マシンを管理するための要件について説明します。

アクティブなサブスクリプションが含まれる Azure アカウント

Windows Admin Center をデプロイするには、アクティブなサブスクリプションを持つ Azure アカウントが必要です。 まだアカウントがない場合は、無料でアカウントを作成することができます。

Windows Admin Center のデプロイ中に、サブスクリプションの Microsoft.HybridConnectivity リソース プロバイダーの登録が試みられます。

重要

リソース プロバイダーを登録するには、*/register/action 操作を実行するためのアクセス許可が必要です。 これは、サブスクリプションに共同作成者または所有者ロールが割り当てられている場合に含まれます。

注意

リソース プロバイダーの登録は、サブスクリプションごとに 1 回限り実行されるタスクです。

リソース プロバイダーの状態を確認し、必要に応じて登録するには、次のようにします。

  1. Azure portal にサインインします。
  2. [サブスクリプション] を選択します。
  3. サブスクリプションの名前を選択します。
  4. [リソース プロバイダー] を選択します。
  5. Microsoft.HybridConnectivity を検索します。
  6. Microsoft.HybridConnectivity の状態が 登録されていることを確認します
    1. 状態が NotRegistered の場合は、 Microsoft.HybridConnectivity を選択し、[ 登録] を選択します。

Azure のアクセス許可

Arc 対応サーバー リソースの Windows Admin Center 拡張機能をインストールするには、Azure でアカウントに 所有者共同作成者、または Windows Admin Center 管理者ログイン ロールが付与されている必要があります。

Windows Admin Center に接続するには、Arc 対応サーバー リソースで 閲覧者Windows Admin Center 管理者ログイン のアクセス許可が必要です。

Azure portal を使用した Azure ロールの割り当ての詳細

Azure リージョンの利用可能性

Windows Admin Center は、次の Azure リージョンでサポートされています。

  • 米国中西部
  • 米国西部 2
  • 西ヨーロッパ
  • 東南アジア
  • 米国東部
  • オーストラリア東部
  • 米国中南部
  • 米国東部 2
  • 北ヨーロッパ
  • フランス中部
  • 東日本
  • 英国南部
  • 東アジア
  • カナダ中部
  • 韓国中部
  • 米国中北部
  • 米国西部
  • 米国西部 3
  • 米国中部
  • 英国西部

注意

Windows Admin Center は、Azure China 21Vianet、Azure Government、またはその他の非パブリック クラウドではサポートされていません

ハイブリッド マシンの要件

Azure portal で Windows Admin Center を使用するには、Azure VM 拡張機能を使用して管理する各ハイブリッド コンピューターに Windows Admin Center エージェントをインストールする必要があります。 ハイブリッド マシンは、次の要件を満たしている必要があります。

  • Windows Server 2016 以降
  • 3 GB 以上の RAM
  • Azure Arc エージェント バージョン 1.13.21320.014 以降

ネットワーク要件

ハイブリッド マシンは、次のネットワーク要件を満たしている必要があります。

  • 次のエンドポイントへの HTTPS トラフィックを許可する送信インターネット アクセスまたは送信ポート規則:

注意

Windows Admin Center を使用するために受信ポートは必要ありません。

管理マシンまたはシステムから Azure portal にアクセスする前に、 サポートされているデバイスと推奨されるブラウザー を確認してください。

Azure portal に Windows Admin Center をインストールする

Azure portal で Windows Admin Center を使用するには、次の手順を使用して Windows Admin Center VM 拡張機能をデプロイする必要があります。

  1. Azure portal を開き、Arc 対応サーバーに移動します。
  2. [ 設定] グループで、[ Windows Admin Center] を選択します。
  3. Windows Admin Center をインストールするポートを指定し、[ インストール] を選択します。

Screenshot showing the install button for Windows Admin Center on an Arc-enabled server.

Azure portal で Windows Admin Center に接続する

ハイブリッド コンピューターに Windows Admin Center をインストールしたら、次の手順を実行して接続し、それを使用して Windows Server を管理します。

  1. Azure portal を開き、Arc 対応サーバーに移動し、[ 設定] グループで Windows Admin Center (プレビュー) を選択します。
  2. [接続] を選択します。
  3. ハイブリッド マシンのオペレーティング システムに対するローカル管理者アクセス許可を持つアカウントの資格情報を入力し、[ サインイン] を選択します。

ポータルで Windows Admin Center が開き、オンプレミス デプロイで Windows Admin Center を使用する場合と同じ (使い慣れているかもしれない) ツールにアクセスできます。

Screenshot showing the Connect button for Windows Admin Center on an Arc-enabled server.

しくみ

Azure で Windows Admin Center を使用すると、ファイアウォールで受信ポートを有効にしなくても、ハイブリッド マシンに接続できます。 Windows Admin Center では、Arc エージェントを使用して、Azure Arc サービスとのリバース プロキシ セッション接続を送信方法で安全に確立できます。

Azure portal で Windows Admin Center で管理するハイブリッド マシンごとに、各マシンにエージェントをデプロイする必要があります。

エージェントは、ハイブリッド マシンに簡単に接続できるように、証明書を管理する外部サービスと通信します。

[ インストール ] をクリックすると、次の操作が実行されます。

  1. サブスクリプションに Microsoft.HybridConnectivity リソース プロバイダーを登録します。 リソース プロバイダーは、Arc 対応サーバーへの通信に使用されるプロキシをホストします。
  2. 指定したポートでリバース プロキシ接続を有効にする、Arc 対応リソースの上に Azure エンドポイント リソースをデプロイします。 これは単なる Azure の論理リソースであり、サーバー自体に何もデプロイしません。
  3. 有効な TLS 証明書を使用して、ハイブリッド コンピューターに Windows Admin Center エージェントをインストールします。

注意

Windows Admin Center をアンインストールしても、論理 Azure エンドポイント リソースは削除されません。 これは、SSH など、このリソースを利用する可能性のある他のエクスペリエンスのために保持されます。

[ 接続 ] をクリックすると、次の操作が実行されます。

  1. Azure portal は、Arc 対応サーバーへのアクセスを Microsoft.HybridConnectivity リソース プロバイダーに要求します。
  2. リソース プロバイダーは、レイヤー 4 SNI プロキシと通信して、Windows Admin Center ポートで Arc 対応サーバーへのセッション固有の短時間のアクセスを確立します。
  3. 一意の有効期間の短い URL が生成され、Azure portal から Windows Admin Center への接続が確立されます。

Windows Admin Center への接続は、ハイブリッド コンピューターで SSL 終了が発生してエンド ツー エンドで暗号化されます。

PowerShell を使用して Windows Admin Center のデプロイを自動化する

この PowerShell スクリプトの例を使用して、Azure portal での Windows Admin Center のデプロイを自動化できます。

$location = "<location_of_hybrid_machine>"
$machineName = "<name_of_hybrid_machine>"
$resourceGroup = "<resource_group>"
$subscription = "<subscription_id>"
$port = "6516"
        
#Deploy Windows Admin Center
$Setting = @{ "port" = $port }
New-AzConnectedMachineExtension -Name "AdminCenter" -ResourceGroupName $resourceGroup -MachineName $machineName -Location $location -Publisher "Microsoft.AdminCenter" -Settings $Setting -ExtensionType "AdminCenter" -SubscriptionId $subscription
        
#Allow connectivity
$putPayload = "{'properties': {'type': 'default'}}"
Invoke-AzRestMethod -Method PUT -Uri "https://management.azure.com/subscriptions/${subscription}/resourceGroups/${resourceGroup}/providers/Microsoft.HybridCompute/machines/${machineName}/providers/Microsoft.HybridConnectivity/endpoints/default?api-version=2021-10-06-preview" -Payload $putPayload

トラブルシューティング

ここでは、問題が発生した場合に試すヒントをいくつか示します。 一般的な Windows Admin Center のトラブルシューティング (特に Azure ではない) については、「 Windows Admin Center のトラブルシューティング」を参照してください。

接続できませんでしたエラー

  1. 拡張機能のバージョンが 0.0.0.169 以降であることを確認する

    1. Azure Portal に移動する
    2. [拡張機能] に移動します。
    3. "AdminCenter" 拡張機能のバージョンが 0.0.0.169 以降であることを確認します
    4. インストールされていない場合は、拡張機能をアンインストールして再インストールします
  2. Windows Admin Center サービスがコンピューターで実行されていることを確認します。

    1. サーバーに RDP 接続します。
    2. タスク マネージャー (Ctrl + Shift + Esc) を開き、[サービス] に移動します。
    3. ServerManagementGateway/Windows Admin Center が実行されていることを確認します。
    4. 実行されていない場合は、サービスを開始します。
  3. ポートがリバース プロキシ セッションに対して有効になっていることを確認します。

    1. サーバーに RDP 接続します。

    2. 管理者として PowerShell を開き、次を実行します。

      azcmagent config list
      
    3. これにより、Azure からの接続が有効になっている incomingconnections.ports (プレビュー) 構成の下にあるポートの一覧が返されます。 Windows Admin Center をインストールしたポートがこの一覧にあることを確認します。 たとえば、Windows Admin Center がポート 443 にインストールされている場合、結果は次のようになります。

      Local configuration setting
      incomingconnections.ports (preview): 443
      
    4. この一覧にない場合は、次のコマンドを実行します。

      azcmagent config set incomingconnections.ports <port>
      

      このソリューションを使用して別のエクスペリエンス (SSH など) を使用している場合は、コンマで区切って複数のポートを指定できます。

  4. 必要なポートへの送信接続があることを確認する

    1. ハイブリッド マシンは、次のエンドポイントへの送信接続を持っている必要があります。
      • *.wac.azure.com または WindowsAdminCenter ServiceTag
      • pas.windows.net
      • *.servicebus.windows.net

Windows Admin Center ツールのいずれかが読み込まれていないか、エラーが発生している

  1. Windows Admin Center 内の他のツールに移動し、読み込まれていないものに戻ります。

  2. 他のツールが読み込まれていない場合は、ネットワーク接続に問題がある可能性があります。 ブレードを閉じてから、もう一度接続してみます。 それでもうまくいかない場合は、サポート チケットを開きます。

Windows Admin Center の拡張機能をインストールできない

  1. ハイブリッド マシンが 要件を満たしていることを再確認します。

  2. ハイブリッド コンピューターで Windows Admin Center への送信トラフィックが許可されていることを確認する

    1. 仮想マシン内で PowerShell を使用して次のコマンドを実行することで、接続をテストします。

      Invoke-RestMethod -Method GET -Uri https://wac.azure.com
      
      You've found the Windows Admin Center in Azure APIs' home page. Please use the Azure portal to manage your virtual machines with Windows Admin Center.
      
  3. すべての送信トラフィックを許可していて、上記のコマンドからエラーが発生している場合は、接続をブロックするファイアウォール規則がないことを確認します。

何も問題がなくても Windows Admin Center がインストールされない場合は、次の情報を含むサポート リクエストを開きます。

  • Azure portal からのログ。 Windows Admin Center のログは、[SettingsExtensions AdminCenter View Detailed Status]\(設定>拡張機能>の管理センター>ビューの詳細な状態\) の下にあります。

  • ハイブリッド コンピューターのログ。 次の PowerShell コマンドを実行し、結果の.zip ファイルを共有します。

    azcmagent logs
    
  • ネットワーク トレース (該当する場合)。 ネットワーク トレースには、顧客データや、パスワードなどの機密性の高いセキュリティの詳細情報が含まれる場合があります。そのため、共有する前に、トレースを確認し、機密性の高い詳細情報を削除することをお勧めします。

既知の問題

  • Chrome シークレット モードはサポートされていません。
  • Azure portal デスクトップ アプリはサポートされていません。
  • 失敗した接続の詳細なエラー メッセージはまだ使用できません。

よく寄せられる質問

Azure での Windows Admin Center の使用に関してよく寄せられる質問への回答を紹介します。

Windows Admin Center を使用するにはいくらかかりますか。

Azure portal で Windows Admin Center を使用しても、関連するコストは発生しません。

Windows Admin Center を使用して、サーバー上で実行されている仮想マシンを管理できますか?

役割と機能の拡張機能を使用して、Hyper-V の役割をインストールすることができます。 インストールされたら、ブラウザーを更新します。すると、Windows Admin Center に仮想マシンとスイッチの拡張機能が表示されます。

この拡張機能を使用して管理できるのはどのサーバーですか?

この機能を使用して、Arc 対応 Windows Server 2016 以降を管理できます。 Azure の Windows Admin Center を使用して、Azure Stack HCI を管理することもできます。

Windows Admin Center では、セキュリティをどのように処理していますか。

Azure portal から Windows Admin Center へのトラフィックは、エンド ツー エンドで暗号化されます。 Arc 対応サーバーは、PowerShell と WMI over WinRM を使用して管理されます。

Windows Admin Center を使用するには受信ポートが必要ですか?

Windows Admin Center を使用するために受信接続は必要ありません。

送信ポートの規則を作成する必要があるのはなぜですか?

サーバーと通信するために構築したサービスには、送信ポート規則が必要です。 Microsoft のサービスでは、Windows Admin Center のインスタンスに対して無料の証明書が発行されます。 このサービスにより、WAC 証明書を最新の状態に保つことで、Azure portal から Windows Admin Center のインスタンスにいつでも接続できます。

さらに、Azure から Windows Admin Center にアクセスするには、受信ポートは必要なく、リバース プロキシ ソリューション経由の送信接続のみが必要です。 接続を確立するには、これらの送信規則が必要です。

Windows Admin Center のインストールに使用されるポートを見つけるにはどうすればよいですか?

SmePort レジストリ設定の値を確認するには:

  1. サーバーに RDP 接続する
  2. レジストリ エディターを開く
  3. キーに移動する \HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ServerManagementGateway
  4. 使用されているポートを見つけるためにの SmePort 値を読み取ります

PowerShell または Azure CLI を使用して、VM に拡張機能をインストールできますか?

はい。Azure CLI を使用して拡張機能をインストールするには、コマンド プロンプトから次のコマンドを実行します。

az connectedmachine extension create

PowerShell を使用して拡張機能をインストールすることもできます。 PowerShell を使用して Windows Admin Center の展開を自動化する方法について説明します。

Arc サーバーに Windows Admin Center が既にインストールされています。 ポータルからそこにアクセスできますか?

はい。 このドキュメントで説明されているのと同じ手順に従うことができます。

警告

この機能を有効にすると、Windows Admin Center の既存のインスタンスが置き換えられ、他のマシンを管理する機能が削除されます。 以前にデプロイした Windows Admin Center のインスタンスは使用できなくなります。 Admin Center のインスタンスを使用して複数のサーバーを管理する場合は、この操作を行わないでください。

次の手順