Utilitário de descoberta e remoção de MMA

Depois de migrar suas máquinas para o Azure Monitor Agent (AMA), você precisa remover o Log Analytics Agent (também chamado de Microsoft Management Agent ou MMA) para evitar a duplicação de logs. O Utilitário de Descoberta e Remoção de MMA da Solução de Segurança do Locatário do Azure (AzTS) pode remover centralmente a extensão MMA das máquinas virtuais (VMs) do Azure, dos conjuntos de dimensionamento de máquinas virtuais do Azure e dos servidores Azure Arc de um locatário.

Nota

Este utilitário é usado para descobrir e remover extensões MMA. Isso não removerá as extensões do OMS, o OMS precisará ser removido manualmente executando o script de limpeza aqui: Limpar o agente Linux

O utilitário funciona em duas etapas:

1. Descoberta: O utilitário cria um inventário de todas as máquinas que têm o MMA instalado. Recomendamos que você não crie novas VMs, conjuntos de dimensionamento de máquina virtual ou servidores Azure Arc com a extensão MMA enquanto o utilitário estiver em execução.

2. Remoção: O utilitário seleciona máquinas que têm o MMA e o AMA e remove a extensão MMA. Você pode desativar essa etapa e executá-la depois de validar a lista de máquinas. Há uma opção para remover a extensão de máquinas que têm apenas o MMA, mas recomendamos que você primeiro migre todas as dependências para o AMA e, em seguida, remova o MMA.

Pré-requisitos

Execute todas as etapas de instalação no Visual Studio Code com a extensão do PowerShell. Necessita de:

• Windows 10 ou posterior, ou Windows Server 2019 ou posterior.
• PowerShell 5.0 ou posterior. Verifique a versão ao executar $PSVersionTable.
• PowerShell. O idioma deve ser definido como FullLanguage modo. Verifique o modo executando $ExecutionContext.SessionState.LanguageMode no PowerShell. Para obter mais informações, consulte a referência do PowerShell.
• Bicep. Os scripts de configuração usam o Bicep para automatizar a instalação. Verifique a instalação executando bicep --version. Para obter mais informações, consulte Instalar ferramentas do Bicep.
• Uma identidade gerenciada atribuída pelo usuário que tem acesso ao Leitor, ao Colaborador de Máquina Virtual e ao Colaborador de VM do Azure Arc ScVmm nos escopos de destino.
• Um novo grupo de recursos para conter todos os recursos do Azure que a automação da instalação cria automaticamente.
• Permissão apropriada nos escopos configurados. Para conceder a remediação identidade gerenciada atribuída pelo usuário com as funções mencionadas anteriormente nos escopos de destino, você deve ter permissão de Administrador de Acesso de Usuário ou Proprietário. Por exemplo, se você estiver configurando a configuração para uma assinatura específica, deverá ter a atribuição da função Administrador de Acesso de Usuário nessa assinatura para que o script possa fornecer as permissões para a identidade gerenciada atribuída pelo usuário de correção.

Baixe o pacote de implantação

O pacote de implantação contém:

• Modelos de bíceps, que contêm detalhes de configuração de recursos que você cria como parte da instalação.
• Scripts de configuração de implantação, que fornecem o cmdlet para executar a instalação.

Para instalar o pacote:

1. Vá para o repositório AzTS-docs GitHub. Baixe o arquivo do pacote de implantação, AzTSMMARemovalUtilityDeploymentFiles.zip, para sua máquina local.

2. Extraia o arquivo .zip para o local da pasta local.

3. Desbloqueie os arquivos usando este script:

   Get-ChildItem -Path "<Extracted folder path>" -Recurse | Unblock-File 
   

Configurar o utilitário

Inquilino único

1. Vá para a pasta de implantação e carregue o script de instalação consolidado. Você deve ter acesso de proprietário na assinatura.

   CD "<LocalExtractedFolderPath>\AzTSMMARemovalUtilityDeploymentFiles"
   . ".\MMARemovalUtilityConsolidatedSetup.ps1"
   

2. Entre na conta do Azure usando o seguinte comando do PowerShell:

   $TenantId = "<TenantId>"
   Connect-AzAccount -Tenant $TenantId
   

3. Execute o script de instalação para executar as seguintes operações:

   • Instale os módulos Az necessários.
   • Configure a identidade gerenciada atribuída pelo usuário de correção.
   • Solicite e colete detalhes de integração para coleta de telemetria de uso com base na preferência do usuário.
   • Crie ou atualize o grupo de recursos.
   • Crie ou atualize os recursos com identidades gerenciadas atribuídas.
   • Crie ou atualize o painel de monitoramento.
   • Configure escopos de destino.

   $SetupInstallation = Install-AzTSMMARemovalUtilitySolutionConsolidated `
            -RemediationIdentityHostSubId <MIHostingSubId> `
            -RemediationIdentityHostRGName <MIHostingRGName> `
            -RemediationIdentityName <MIName> `
            -TargetSubscriptionIds @("<SubId1>","<SubId2>","<SubId3>") `
            -TargetManagementGroupNames @("<MGName1>","<MGName2>","<MGName3>") `
            -TenantScope `
            -SubscriptionId <HostingSubId> `
            -HostRGName <HostingRGName> `
            -Location <Location> `
            -AzureEnvironmentName <AzureEnvironmentName>
   

   O script contém estes parâmetros:

   Nome do parâmetro	Description	Obrigatório
   RemediationIdentityHostSubId	ID de assinatura para criar recursos de correção.	Sim
   RemediationIdentityHostRGName	Novo nome de grupo de recursos para criar correção. O padrão é AzTS-MMARemovalUtility-RG.	Não
   RemediationIdentityName	Nome da identidade gerenciada pela correção.	Sim
   TargetSubscriptionIds	Lista de IDs de assinatura de destino para execução.	Não
   TargetManagementGroupNames	Lista de nomes de grupos de gerenciamento de destino para execução.	Não
   TenantScope	Âmbito do inquilino para atribuir funções através do seu ID de inquilino.	Não
   SubscriptionId	ID da subscrição onde a configuração está instalada.	Sim
   HostRGName	Nome do novo grupo de recursos onde a identidade gerenciada de correção é criada. O valor predefinido é AzTS-MMARemovalUtility-Host-RG.	Não
   Location	Controlador de domínio de local onde a configuração é criada. O valor predefinido é EastUS2.	Não
   AzureEnvironmentName	Ambiente do Azure onde a solução está instalada: AzureCloud ou AzureGovernmentCloud. O valor predefinido é AzureCloud.	Não

Multilocatário

Esta seção orienta você pelas etapas para configurar o Utilitário de Descoberta e Remoção de MMA AzTS multilocatário. Esta configuração pode demorar até 30 minutos.

Carregue o script de configuração

Aponte o caminho atual para a pasta que contém o pacote de implantação extraído e execute o script de instalação:

CD "<LocalExtractedFolderPath>\AzTSMMARemovalUtilityDeploymentFiles"
. ".\MMARemovalUtilitySetup.ps1"

Instalar módulos Az necessários

Os módulos do Az PowerShell contêm cmdlets para implantar recursos do Azure. Instale os módulos Az necessários usando o seguinte comando. Para obter mais informações sobre módulos Az, consulte Como instalar o Azure PowerShell. Você deve apontar o caminho atual para o local da pasta extraída.

Set-Prerequisites

Configurar identidade multilocatária

Nesta etapa, você configura uma identidade de aplicativo Microsoft Entra usando uma entidade de serviço. Você deve entrar na conta do Microsoft Entra onde deseja instalar a instalação do MMA Discovery and Removal Utility usando o comando PowerShell.

Execute as seguintes operações:

• Crie um aplicativo Microsoft Entra multilocatário se não for fornecido um ID de objeto de aplicativo Microsoft Entra preexistente.
• Crie credenciais de senha para o aplicativo Microsoft Entra.

Disconnect-AzAccount
Disconnect-AzureAD
$TenantId = "<TenantId>"
Connect-AzAccount -Tenant $TenantId
Connect-AzureAD -TenantId $TenantId

$Identity = Set-AzTSMMARemovalUtilitySolutionMultiTenantRemediationIdentity `
         -DisplayName <AADAppDisplayName> `
         -ObjectId <PreExistingAADAppId> `
         -AdditionalOwnerUPNs @("<OwnerUPN1>","<OwnerUPN2>")
$Identity.ApplicationId
$Identity.ObjectId
$Identity.Secret

O script contém estes parâmetros:

Nome do parâmetro	Description	Obrigatório
DisplayName	Nome de exibição da identidade de correção.	Sim
ObjectId	ID do objeto da identidade de correção.	Não
AdditionalOwnerUPNs	Nomes principais de usuário (UPNs) dos proprietários do aplicativo a ser criado.	Não

Configurar o armazenamento

Nesta etapa, você configura o armazenamento para segredos. Você deve ter acesso de proprietário na assinatura para criar um grupo de recursos.

Execute as seguintes operações:

• Crie ou atualize o grupo de recursos para um cofre de chaves.
• Crie ou atualize o cofre de chaves.
• Guarde o segredo.

$KeyVault = Set-AzTSMMARemovalUtilitySolutionSecretStorage ` 
         -SubscriptionId <KVHostingSubId> `
         -ResourceGroupName <KVHostingRGName> `
         -Location <Location> `
         -KeyVaultName <KeyVaultName> `
         -AADAppPasswordCredential $Identity.Secret
$KeyVault.Outputs.keyVaultResourceId.Value
$KeyVault.Outputs.secretURI.Value
$KeyVault.Outputs.logAnalyticsResourceId.Value

O script contém estes parâmetros:

Nome do parâmetro	Description	Obrigatório
SubscriptionId	ID de subscrição onde o cofre de chaves é criado.	Sim
ResourceGroupName	Nome do grupo de recursos onde o cofre de chaves é criado. Deve ser um grupo de recursos diferente do grupo de recursos de configuração.	Sim
Location	Controlador de domínio de local onde o cofre de chaves é criado. Para um melhor desempenho, recomendamos a criação de todos os recursos relacionados à configuração em um único local. O valor predefinido é EastUS2.	Não
KeyVaultName	Nome do cofre de chaves criado.	Sim
AADAppPasswordCredential	Credenciais de senha do aplicativo Microsoft Entra para o MMA Discovery and Removal Utility.	Sim

Configurar a instalação

Nesta etapa, você instala o MMA Discovery and Removal Utility. Você deve ter acesso de proprietário à assinatura onde a configuração é criada. Recomendamos que você use um novo grupo de recursos para o utilitário.

Execute as seguintes operações:

• Solicite e colete detalhes de integração para coleta de telemetria de uso com base na preferência do usuário.
• Crie o grupo de recursos se ele não existir.
• Crie ou atualize os recursos com identidades gerenciadas.
• Crie ou atualize o painel de monitoramento.

$Solution = Install-AzTSMMARemovalUtilitySolution ` 
         -SubscriptionId <HostingSubId> `
         -HostRGName <HostingRGName> `
         -Location <Location> `
         -SupportMultipleTenant `
         -IdentityApplicationId $Identity.ApplicationId `
         -IdentitySecretUri ('@Microsoft.KeyVault(SecretUri={0})' -f $KeyVault.Outputs.secretURI.Value)
$Solution.Outputs.internalMIObjectId.Value

O script contém estes parâmetros:

Nome do parâmetro	Description	Obrigatório
SubscriptionId	ID da subscrição onde a configuração é criada.	Sim
HostRGName	Nome do grupo de recursos onde a instalação é criada. O valor predefinido é AzTS-MMARemovalUtility-Host-RG.	Não
Location	Controlador de domínio de local onde a configuração é criada. Para um melhor desempenho, recomendamos hospedar a identidade gerenciada e o MMA Discovery and Removal Utility no mesmo local. O valor predefinido é EastUS2.	Não
SupportMultiTenant	Mude para suportar a configuração multilocatário.	Não
IdentityApplicationId	ID do aplicativo Microsoft Entra.	Sim
IdentitySecretUri	URI secreto do aplicativo Microsoft Entra.	Não

Conceda uma identidade de correção interna com acesso ao cofre de chaves

Nesta etapa, você cria uma identidade gerenciada atribuída pelo usuário para permitir que os aplicativos de função leiam o cofre de chaves para autenticação. Você deve ter acesso de Proprietário ao grupo de recursos.

Grant-AzTSMMARemediationIdentityAccessOnKeyVault ` 
    -SubscriptionId <HostingSubId> `
    -ResourceId $KeyVault.Outputs.keyVaultResourceId.Value `
    -UserAssignedIdentityObjectId $Solution.Outputs.internalMIObjectId.Value `
    -SendAlertsToEmailIds @("<EmailId1>","<EmailId2>") `
    -IdentitySecretUri $KeyVault.Outputs.secretURI.Value `
    -LAWorkspaceResourceId $KeyVault.Outputs.logAnalyticsResourceId.Value `
    -DeployMonitoringAlert

O script contém estes parâmetros:

Nome do parâmetro	Description	Obrigatório
SubscriptionId	ID da subscrição onde a configuração é criada.	Sim
ResourceId	ID do recurso do cofre de chaves existente.	Sim
UserAssignedIdentityObjectId	ID do objeto da sua identidade gerenciada.	Sim
SendAlertsToEmailIds	IDs de e-mail do usuário para quem os alertas devem ser enviados.	Não; Sim, se o comutador estiver ativado DeployMonitoringAlert
SecretUri	URI secreto do cofre de chaves das credenciais do aplicativo MMA Discovery and Removal Utility.	Não; Sim, se o comutador estiver ativado DeployMonitoringAlert
LAWorkspaceResourceId	ID do recurso do espaço de trabalho do Log Analytics associado ao cofre de chaves.	Não; Sim, se o comutador DeployMonitoringAlert estiver ativado.
DeployMonitoringAlert	Criação de alertas sobre os logs de auditoria do cofre de chaves.	Não; Sim, se o comutador estiver ativado DeployMonitoringAlert

Configurar um runbook para gerenciar intervalos de IP do cofre de chaves

Nesta etapa, você cria um cofre de chaves seguro com o acesso à rede pública desabilitado. Os intervalos de IP para aplicativos de função devem ter acesso ao cofre de chaves. Você deve ter acesso de Proprietário ao grupo de recursos.

Execute as seguintes operações:

• Crie ou atualize a conta de automação.
• Conceda acesso à conta de automação usando uma identidade gerenciada atribuída pelo sistema no cofre de chaves.
• Configure o runbook com um script para buscar os intervalos de IP que o Azure publica todas as semanas.
• Execute o runbook uma vez no momento da configuração e agende uma tarefa para ser executada toda semana.

Set-AzTSMMARemovalUtilityRunbook ` 
    -SubscriptionId <HostingSubId> `
    -ResourceGroupName <HostingRGName> `
    -Location <Location> `
    -FunctionAppUsageRegion <FunctionAppUsageRegion> `
    -KeyVaultResourceId $KeyVault.Outputs.keyVaultResourceId.Value

O script contém estes parâmetros:

Nome do parâmetro	Description	Obrigatório
SubscriptionId	ID da assinatura que inclui a conta de automação e o cofre de chaves.	Sim
ResourceGroupName	Nome do grupo de recursos que contém a conta de automação e o cofre de chaves.	Sim
Location	Local onde sua conta de automação é criada. Para um melhor desempenho, recomendamos a criação de todos os recursos relacionados à configuração no mesmo local. O valor predefinido é EastUS2.	Não
FunctionAppUsageRegion	Localização dos endereços IP dinâmicos permitidos no cofre de chaves. O local padrão é EastUS2.	Sim
KeyVaultResourceId	ID do recurso do cofre de chaves para endereços IP permitidos.	Sim

Configurar SPNs e conceder funções necessárias para cada locatário

Nesta etapa, você cria nomes de entidade de serviço (SPNs) para cada locatário e concede permissão a cada locatário. A instalação requer acesso ao Leitor, ao Colaborador de Máquina Virtual e ao Colaborador de VM do Azure Arc ScVmm em seus escopos. Os escopos configurados podem ser locatário, grupo de gerenciamento ou assinatura, ou podem ser grupo de gerenciamento e assinatura.

Para cada locatário, execute as etapas e verifique se você tem permissões suficientes no outro locatário para criar SPNs. Você deve ter permissão de Administrador de Acesso de Usuário ou Proprietário nos escopos configurados. Por exemplo, para executar a configuração em uma assinatura específica, você deve ter uma atribuição de função de Administrador de Acesso de Usuário nessa assinatura para conceder ao SPN as permissões necessárias.

$TenantId = "<TenantId>"
Disconnect-AzureAD
Connect-AzureAD -TenantId $TenantId
$SPN = Set-AzSKTenantSecuritySolutionMultiTenantIdentitySPN -AppId $Identity.ApplicationId
Grant-AzSKAzureRoleToMultiTenantIdentitySPN -AADIdentityObjectId $SPN.ObjectId `
    -TargetSubscriptionIds @("<SubId1>","<SubId2>","<SubId3>") `
    -TargetManagementGroupNames @("<MGName1>","<MGName2>","<MGName3>")

O script contém estes parâmetros para Set-AzSKTenantSecuritySolutionMultiTenantIdentitySPN:

Nome do parâmetro	Description	Obrigatório
AppId	O ID do aplicativo criado.	Sim

O script contém estes parâmetros para Grant-AzSKAzureRoleToMultiTenantIdentitySPN:

Nome do parâmetro	Description	Obrigatório
AADIdentityObjectId	Seu objeto de identidade.	Sim
TargetSubscriptionIds	Sua lista de IDs de assinatura de destino para executar a configuração.	Não
TargetManagementGroupNames	Sua lista de nomes de grupos de gerenciamento de destino para executar a instalação.	Não

Configurar escopos de destino

Você pode configurar escopos de destino usando Set-AzTSMMARemovalUtilitySolutionScopes:

$ConfiguredTargetScopes = Set-AzTSMMARemovalUtilitySolutionScopes ` 
         -SubscriptionId <HostingSubId> `
         -ResourceGroupName <HostingRGName> `
         -ScopesFilePath <ScopesFilePath>

O script contém estes parâmetros:

Nome do parâmetro	Description	Obrigatório
SubscriptionId	ID da sua subscrição onde a configuração está instalada.	Sim
ResourceGroupName	Nome do grupo de recursos onde a instalação está instalada.	Sim
ScopesFilePath	Caminho do arquivo com configurações de escopo de destino.	Sim

O arquivo de configuração de escopo é um arquivo CSV com uma linha de cabeçalho e três colunas:

Tipo de escopo	ScopeId	TenantId
Subscrição	/subscriptions/abb5301a-22a4-41f9-9e5f-99badff261f8	72f988bf-86f1-41af-91ab-2d7cd011db47
Subscrição	/subscriptions/71bdd12b-ae1d-499a-a4ea-e32d4c1d9c35	e60f12c0-e1dc-4be1-8d86-e979a5527830

Execute o utilitário

Descoberta

Update-AzTSMMARemovalUtilityDiscoveryTrigger ` 
    -SubscriptionId <HostingSubId> `
    -ResourceGroupName <HostingRGName> `
    -StartScopeResolverAfterMinutes 60 `
    -StartExtensionDiscoveryAfterMinutes 30 

O script contém estes parâmetros:

Nome do parâmetro	Description	Obrigatório
SubscriptionId	ID da subscrição onde instalou o utilitário.	Sim
ResourceGroupName	Nome do grupo de recursos onde você instalou o utilitário.	Sim
StartScopeResolverAfterMinutes	Tempo, em minutos, para esperar antes de executar o resolvedor.	Sim (mutuamente exclusivo com -StartScopeResolverImmediately)
StartScopeResolverImmediately	Indicador para executar o resolvedor imediatamente.	Sim (mutuamente exclusivo com -StartScopeResolverAfterMinutes)
StartExtensionDiscoveryAfterMinutes	Tempo, em minutos, para esperar para executar a descoberta (deve ser depois que o resolvedor é feito).	Sim (mutuamente exclusivo com -StartExtensionDiscoveryImmediatley)
StartExtensionDiscoveryImmediatley	Indicador para executar a descoberta de extensão imediatamente.	Sim (mutuamente exclusivo com -StartExtensionDiscoveryAfterMinutes)

Remoção

Por padrão, a fase de remoção está desativada. Recomendamos que você o execute depois de validar o inventário de máquinas da etapa de descoberta.

Update-AzTSMMARemovalUtilityRemovalTrigger ` 
    -SubscriptionId <HostingSubId> `
    -ResourceGroupName <HostingRGName> `
    -StartAfterMinutes 60 `
    -EnableRemovalPhase `
    -RemovalCondition 'CheckForAMAPresence'

O script contém estes parâmetros:

Nome do parâmetro	Description	Obrigatório
SubscriptionId	ID da subscrição onde instalou o utilitário.	Sim
ResourceGroupName	Nome do grupo de recursos onde você instalou o utilitário.	Sim
StartAfterMinutes	Tempo, em minutos, para esperar antes de iniciar a remoção.	Sim (mutuamente exclusivo com -StartImmediately)
StartImmediately	Indicador para executar a fase de remoção imediatamente.	Sim (mutuamente exclusivo com -StartAfterMinutes)
EnableRemovalPhase	Indicador para ativar a fase de remoção.	Sim (mutuamente exclusivo com -DisableRemovalPhase)
RemovalCondition	Indicador de que a extensão MMA deve ser removida quando a extensão AMA CheckForAMAPresence está presente. É SkipAMAPresenceCheck em todos os casos, se uma extensão AMA está presente ou não.	Não
DisableRemovalPhase	Indicador de desativação da fase de remoção.	Sim (mutuamente exclusivo com -EnableRemovalPhase)

Aqui estão problemas conhecidos com a remoção:

• A remoção do MMA em um conjunto de escala de máquina virtual onde o modo de orquestração está Uniform depende de sua política de atualização. Recomendamos que você atualize manualmente a instância se a política estiver definida como Manual.

• Se você receber a seguinte mensagem de erro, execute novamente o comando de instalação com os mesmos valores de parâmetro:

  The deployment MMARemovalenvironmentsetup-20233029T103026 failed with error(s). Showing 1 out of 1 error(s). Status Message: (Code:BadRequest) - We observed intermittent issue with App service deployment.

  O comando deve prosseguir sem qualquer erro na próxima tentativa.

• Se o bloco de progresso para remoção de extensão mostrar falhas nos painéis de monitoramento, use as seguintes informações para resolvê-las:

  Código de erro	Descrição/razão	Próximos passos
  AuthorizationFailed	A identidade de correção não tem permissão para executar uma operação de exclusão de extensão em VMs, conjuntos de dimensionamento de máquinas virtuais ou servidores Azure Arc.	Conceda a função de Colaborador de VM à identidade de correção em VMs. Conceda a função de Colaborador de VM do Azure Arc ScVmm à identidade de correção em conjuntos de escala de máquina virtual. Em seguida, execute novamente a fase de remoção.
  OperationNotAllowed	Os recursos estão em um estado desalocado ou um bloqueio é aplicado aos recursos.	Ative os recursos com falha e/ou remova o bloqueio e, em seguida, execute novamente a fase de remoção.

O utilitário coleta detalhes de erro no espaço de trabalho do Log Analytics que você usou durante a instalação. Vá para o espaço de trabalho do Log Analytics, selecione Logs e execute a seguinte consulta:

let timeago = timespan(7d);
InventoryProcessingStatus_CL
| where TimeGenerated > ago(timeago) and Source_s == "AzTS_07_ExtensionRemovalProcessor"
| where ProcessingStatus_s !~ "Initiated"
| summarize arg_max(TimeGenerated,*) by tolower(ResourceId)
| project ResourceId, ProcessingStatus_s, ProcessErrorDetails_s

Limpeza

O MMA Discovery and Removal Utility cria recursos que você deve limpar depois de remover o MMA da sua infraestrutura. Conclua as seguintes etapas para limpar:

1. Vá para a pasta que contém o pacote de implantação e carregue o script de limpeza:

   CD "<LocalExtractedFolderPath>\AzTSMMARemovalUtilityDeploymentFiles"
   . ".\MMARemovalUtilityCleanUpScript.ps1"
   

2. Execute o script de limpeza:

   Remove-AzTSMMARemovalUtilitySolutionResources ` 
       -SubscriptionId <HostingSubId> `
       -ResourceGroupName <HostingRGName> `
       [-DeleteResourceGroup `]
       -KeepInventoryAndProcessLogs
   

O script contém estes parâmetros:

Nome do parâmetro	Description	Obrigatório
SubscriptionId	ID da subscrição que está a eliminar.	Sim
ResourceGroupName	Nome do grupo de recursos que você está excluindo.	Sim
DeleteResourceGroup	Sinalizador booleano para excluir um grupo de recursos inteiro.	Sim
KeepInventoryAndProcessLogs	Sinalizador booleano para excluir o espaço de trabalho do Log Analytics e o Application Insights. Você não pode usá-lo com DeleteResourceGroupo .	Não