MMA Discovery and Removal Utility

Nachdem Sie Ihre Computer zum Azure Monitor Agent (AMA) migriert haben, entfernen Sie Log Analytics oder Microsoft Management Agent (MMA), um Duplizierungen von Protokollen zu vermeiden. Die MMA Discovery and Removal Utility (Azure Tenant Security Solution, AzTS) kann die MMA-Erweiterung von virtuellen Azure-Computern (VMs), Azure Virtual Machine Scale Sets (VMSSs) und Azure Arc-Servern aus einem Mandanten entfernen.

Hinweis

Dieses Hilfsprogramm wird verwendet, um MMA-Erweiterungen zu ermitteln und zu entfernen. OMS-Erweiterungen werden nicht entfernt. OMS muss manuell entfernt werden, indem das Bereinigungsskript ausgeführt wird. Weitere Informationen finden Sie unter Löschen des Linux-Agents

Das Hilfsprogramm funktioniert in zwei Schritten:

1. Ermittlung: Das Hilfsprogramm erstellt einen Bestand aller Computer, auf denen das MMA installiert ist. Es wird empfohlen, keine neuen virtuellen Computer, Skalierungssätze für virtuelle Computer oder Azure Arc-Server mit der MMA-Erweiterung zu erstellen, während das Hilfsprogramm ausgeführt wird.

2. Entfernen: Das Hilfsprogramm wählt Computer mit MMA und AMA aus und entfernt die MMA-Erweiterung. Sie können diesen Schritt deaktivieren und ausführen, nachdem Sie die Liste der Computer überprüft haben. Es gibt eine Option, die Erweiterung von Computern zu entfernen, die nur über das MMA verfügen. Es wird jedoch empfohlen, zuerst alle Abhängigkeiten zum AMA zu migrieren und dann das MMA zu entfernen.

Voraussetzungen

Führen Sie alle Setupschritte in Visual Studio Code mit der PowerShell-Erweiterung aus. Voraussetzungen:

• Windows 10 oder höher oder Windows Server 2019 oder höher.
• PowerShell 5.0 oder höher. Überprüfen Sie die Version, indem Sie $PSVersionTable ausführen.
• PowerShell: Die Sprache muss auf den FullLanguage-Modus festgelegt werden. Überprüfen Sie den Modus, indem Sie $ExecutionContext.SessionState.LanguageMode in PowerShell ausführen. Weitere Informationen finden Sie in der PowerShell-Referenz.
• Bicep. Die Setupskripts verwenden Bicep, um die Installation zu automatisieren. Überprüfen Sie die Installation durch Ausführen von bicep --version. Weitere Informationen finden Sie unter Installieren von Bicep-Tools.
• Eine vom Benutzer zugewiesene verwaltete Identität mit den Zugriffen Reader, Mitwirkender an VMs und Azure Arc ScVmm VM-Mitwirkender auf Zielbereiche.
• Eine neue Ressourcengruppe, die alle Azure-Ressourcen enthält, die von der Setupautomatisierung automatisch erstellt werden.
• Entsprechende Berechtigung für die konfigurierten Bereiche. Um die vom Benutzer zugewiesene verwaltete Identität mit den zuvor erwähnten Rollen für die Zielbereiche zu gewähren, müssen Sie über die Berechtigung Benutzerzugriffsadministrator oder Besitzer verfügen. Wenn Sie beispielsweise das Setup für ein bestimmtes Abonnement konfigurieren, müssen Sie über die Rollenzuweisung des Benutzerzugriffsadministrators für dieses Abonnement verfügen, damit das Skript die Berechtigungen für die vom Benutzer zugewiesene verwaltete Identität für die Korrektur bereitstellen kann.

Ressourcen erstellt

Das Tool zum Entfernen erstellt eine Ressourcengruppe und Ressourcen zum Verwalten der Entfernung von Agents. Einige dieser Ressourcen haben möglicherweise Azure-Kosten.

Herunterladen des Bereitstellungspakets

Das Bereitstellungspaket enthält:

• Bicep-Vorlagen, die Ressourcenkonfigurationsdetails enthalten, die Sie als Teil des Setups erstellen.
• Bereitstellungssetupskripts, die das Cmdlet zum Ausführen der Installation bereitstellen.

So installieren Sie das Paket

1. Wechseln Sie zum GitHub-Repository von AzTS-docs. Laden Sie die Bereitstellungspaketdatei AzTSMMARemovalUtilityDeploymentFiles.zip auf Ihren lokalen Computer herunter.

2. Extrahieren Sie die .zip-Datei an Ihren lokalen Ordnerspeicherort.

3. Heben Sie die Blockierung der Dateien mithilfe dieses Skripts auf:

   Get-ChildItem -Path "<Extracted folder path>" -Recurse | Unblock-File 
   

Einrichten des Hilfsprogramms

Einzelmandant

1. Wechseln Sie zum Bereitstellungsordner, und laden Sie das konsolidierte Setupskript. Sie müssen über Besitzerzugriff für das Abonnement verfügen.

   CD "<LocalExtractedFolderPath>\AzTSMMARemovalUtilityDeploymentFiles"
   . ".\MMARemovalUtilityConsolidatedSetup.ps1"
   

2. Melden Sie sich mit dem folgenden PowerShell-Befehl beim Azure-Konto an:

   $TenantId = "<TenantId>"
   Connect-AzAccount -Tenant $TenantId
   

3. Führen Sie das Setupskript aus, um die folgenden Vorgänge auszuführen:

   • Installieren Sie erforderliche Az PowerShell-Module.
   • Richten Sie die vom Benutzer zugewiesene verwaltete Identität für die Wartung ein.
   • Eingabeaufforderung und Sammeln von Onboardingdetails für die Sammlung der Nutzungs-Telemetrie basierend auf der Benutzereinstellung.
   • Erstellen oder aktualisieren Sie die Ressourcengruppe.
   • Erstellen oder aktualisieren Sie die Ressourcen mit zugewiesenen verwalteten Identitäten.
   • Erstellen oder aktualisieren Sie das Überwachungsdashboard.
   • Konfigurieren Sie Zielbereiche.

   $SetupInstallation = Install-AzTSMMARemovalUtilitySolutionConsolidated `
            -RemediationIdentityHostSubId <MIHostingSubId> `
            -RemediationIdentityHostRGName <MIHostingRGName> `
            -RemediationIdentityName <MIName> `
            -TargetSubscriptionIds @("<SubId1>","<SubId2>","<SubId3>") `
            -TargetManagementGroupNames @("<MGName1>","<MGName2>","<MGName3>") `
            -TenantScope `
            -SubscriptionId <HostingSubId> `
            -HostRGName <HostingRGName> `
            -Location <Location> `
            -AzureEnvironmentName <AzureEnvironmentName>
   

   Das Skript enthält die folgenden Parameter:

   Parametername	Beschreibung	Erforderlich
   RemediationIdentityHostSubId	Abonnement-ID zum Erstellen von Wartungsressourcen.	Ja
   RemediationIdentityHostRGName	Neuer Ressourcengruppenname zum Erstellen von Korrekturen. Wird standardmäßig auf AzTS-MMARemovalUtility-RG festgelegt.	Nein
   RemediationIdentityName	Name der verwalteten Identität der Wartung.	Ja
   TargetSubscriptionIds	Liste der Zielabonnement-IDs, die ausgeführt werden sollen.	Nein
   TargetManagementGroupNames	Liste der Zielverwaltungsgruppennamen, die ausgeführt werden sollen.	Nein
   TenantScope	Mandantenbereich zum Zuweisen von Rollen über Ihre Mandanten-ID.	Nein
   SubscriptionId	ID des Abonnements, in dem das Setup installiert ist.	Ja
   HostRGName	Name der neuen Ressourcengruppe, in der die verwaltete Wartungsidentität erstellt wird. Wird standardmäßig auf AzTS-MMARemovalUtility-Host-RG festgelegt.	No
   Location	Speicherort-Domänencontroller, auf dem das Setup erstellt wird. Wird standardmäßig auf EastUS2 festgelegt.	No
   AzureEnvironmentName	Azure-Umgebung, in der die Lösung installiert ist: AzureCloud oder AzureGovernmentCloud. Wird standardmäßig auf AzureCloud festgelegt.	No

Mehrere Mandanten

Dieser Abschnitt führt Sie durch die Schritte zum Einrichten der mehrinstanzenübergreifenden AzTS MMA Discovery and Removal Utility. Diese Einrichtung kann bis zu 30 Minuten dauern.

Ausführen des Setupskripts

Zeigen Sie den aktuellen Pfad auf den Ordner, der das extrahierte Bereitstellungspaket enthält, und führen Sie das Setupskript aus:

CD "<LocalExtractedFolderPath>\AzTSMMARemovalUtilityDeploymentFiles"
. ".\MMARemovalUtilitySetup.ps1"

Installieren erforderlicher Az PowerShell-Module

Az PowerShell-Module enthalten Cmdlets zum Bereitstellen von Azure-Ressourcen. Installieren Sie die erforderlichen Az PowerShell-Module mithilfe des folgenden Befehls. Weitere Informationen zu Az PowerShell-Modulen finden Sie unter Installieren von Azure PowerShell. Sie müssen den aktuellen Pfad auf den extrahierten Ordnerspeicherort verweisen.

Set-Prerequisites

Einrichten einer mehrinstanzenübergreifenden Identität

In diesem Schritt richten Sie eine Microsoft Entra-Anwendungsidentität mithilfe eines Dienstprinzipals ein. Sie müssen sich beim Microsoft Entra-Konto anmelden, bei dem Sie das Setup des MMA Discovery and Removal Utility mithilfe des PowerShell-Befehls installieren möchten.

Sie führen die folgenden Vorgänge aus:

• Erstellen Sie eine mehrinstanzenfähige Microsoft Entra-Anwendung, wenn sie nicht mit einer bereits vorhandenen Microsoft Entra-Anwendungsobjekt-ID bereitgestellt wird.
• Erstellen Sie Kennwortanmeldeinformationen für die Microsoft Entra-Anwendung.

Disconnect-AzAccount
Disconnect-AzureAD
$TenantId = "<TenantId>"
Connect-AzAccount -Tenant $TenantId
Connect-AzureAD -TenantId $TenantId

$Identity = Set-AzTSMMARemovalUtilitySolutionMultiTenantRemediationIdentity `
         -DisplayName <AADAppDisplayName> `
         -ObjectId <PreExistingAADAppId> `
         -AdditionalOwnerUPNs @("<OwnerUPN1>","<OwnerUPN2>")
$Identity.ApplicationId
$Identity.ObjectId
$Identity.Secret

Das Skript enthält die folgenden Parameter:

Parametername	Beschreibung	Erforderlich
DisplayName	Anzeigename der Wartungsidentität.	Ja
ObjectId	Objekt-ID der Wartungsidentität.	Nein
AdditionalOwnerUPNs	Benutzerprinzipalnamen (UPNs) der Besitzer der zu erstellenden App.	Nein

Einrichten des Speichers

In diesem Schritt richten Sie Speicher für geheime Schlüssel ein. Sie müssen über Besitzerzugriff für das Abonnement verfügen, um eine Ressourcengruppe zu erstellen.

Sie führen die folgenden Vorgänge aus:

• Erstellen oder aktualisieren Sie die Ressourcengruppe für einen Schlüsseltresor.
• Erstellen oder aktualisieren Sie den Schlüsseltresor.
• Speichern Sie den geheimen Schlüssel.

$KeyVault = Set-AzTSMMARemovalUtilitySolutionSecretStorage ` 
         -SubscriptionId <KVHostingSubId> `
         -ResourceGroupName <KVHostingRGName> `
         -Location <Location> `
         -KeyVaultName <KeyVaultName> `
         -AADAppPasswordCredential $Identity.Secret
$KeyVault.Outputs.keyVaultResourceId.Value
$KeyVault.Outputs.secretURI.Value
$KeyVault.Outputs.logAnalyticsResourceId.Value

Das Skript enthält die folgenden Parameter:

Parametername	Beschreibung	Erforderlich
SubscriptionId	Abonnement-ID, in welcher der Schlüsseltresor erstellt wird.	Ja
ResourceGroupName	Name der Ressourcengruppe, in welcher der Schlüsseltresor erstellt wird. Es sollte sich um eine andere Ressourcengruppe als die Setupressourcengruppe handeln.	Ja
Location	Speicherort-Domänencontroller, auf dem der Schlüsseltresor erstellt wird. Um eine bessere Leistung zu erzielen, empfehlen wir, alle Ressourcen im Zusammenhang mit der Einrichtung an einem Ort zu erstellen. Wird standardmäßig auf EastUS2 festgelegt.	No
KeyVaultName	Name des erstellten Schlüsseltresors.	Ja
AADAppPasswordCredential	Microsoft Entra-Anwendungskennwortanmeldeinformationen für das MMA Discovery and Removal Utility.	Ja

Installation einrichten

In diesem Schritt installieren Sie die MMA Discovery and Removal Utility. Sie müssen Besitzerzugriff auf das Abonnement haben, in dem das Setup erstellt wird. Es wird empfohlen, eine neue Ressourcengruppe für das Hilfsprogramm zu verwenden.

Sie führen die folgenden Vorgänge aus:

• Eingabeaufforderung und Sammeln von Onboardingdetails für die Sammlung der Nutzungs-Telemetrie basierend auf der Benutzereinstellung.
• Erstellen Sie die Ressourcengruppe, wenn sie nicht vorhanden ist.
• Erstellen oder aktualisieren Sie die Ressourcen mit verwalteten Identitäten.
• Erstellen oder aktualisieren Sie das Überwachungsdashboard.

$Solution = Install-AzTSMMARemovalUtilitySolution ` 
         -SubscriptionId <HostingSubId> `
         -HostRGName <HostingRGName> `
         -Location <Location> `
         -SupportMultipleTenant `
         -IdentityApplicationId $Identity.ApplicationId `
         -IdentitySecretUri ('@Microsoft.KeyVault(SecretUri={0})' -f $KeyVault.Outputs.secretURI.Value)
$Solution.Outputs.internalMIObjectId.Value

Das Skript enthält die folgenden Parameter:

Parametername	Beschreibung	Erforderlich
SubscriptionId	ID des Abonnements, in dem das Setup erstellt wird.	Ja
HostRGName	Name der Ressourcengruppe, in der das Setup erstellt wird. Der Standardwert ist AzTS-MMARemovalUtility-Host-RG.	Nein
Location	Speicherort-Domänencontroller, auf dem das Setup erstellt wird. Um eine bessere Leistung zu erzielen, empfehlen wir, die verwaltete Identität und das MMA Discovery and Removal Utility an demselben Speicherort zu hosten. Wird standardmäßig auf EastUS2 festgelegt.	No
SupportMultiTenant	Wechseln Sie zur Unterstützung der Mehrinstanzeneinrichtung.	Nein
IdentityApplicationId	Microsoft Entra-Anwendungs-ID.	Ja
IdentitySecretUri	Geheimer URI der Microsoft Entra-Anwendung.	Nein

Gewähren einer internen Wartungsidentität mit Zugriff auf den Schlüsseltresor

In diesem Schritt erstellen Sie eine vom Benutzer zugewiesene verwaltete Identität, damit Funktions-Apps den Schlüsseltresor für die Authentifizierung lesen können. Sie müssen über Besitzerzugriff auf die Ressourcengruppe verfügen.

Grant-AzTSMMARemediationIdentityAccessOnKeyVault ` 
    -SubscriptionId <HostingSubId> `
    -ResourceId $KeyVault.Outputs.keyVaultResourceId.Value `
    -UserAssignedIdentityObjectId $Solution.Outputs.internalMIObjectId.Value `
    -SendAlertsToEmailIds @("<EmailId1>","<EmailId2>") `
    -IdentitySecretUri $KeyVault.Outputs.secretURI.Value `
    -LAWorkspaceResourceId $KeyVault.Outputs.logAnalyticsResourceId.Value `
    -DeployMonitoringAlert

Das Skript enthält die folgenden Parameter:

Parametername	Beschreibung	Erforderlich
SubscriptionId	ID des Abonnements, in dem das Setup erstellt wird.	Ja
ResourceId	Ressourcen-ID des vorhandenen Schlüsseltresors.	Ja
UserAssignedIdentityObjectId	Objekt-ID Ihrer verwalteten Identität.	Ja
SendAlertsToEmailIds	Benutzer-E-Mail-IDs, an die Benachrichtigungen gesendet werden sollen.	Nein; ja, wenn der DeployMonitoringAlert-Schalter aktiviert ist
SecretUri	Schlüsseltresorschlüssel-URI der Anmeldeinformationen der MMA Discovery and Removal Utility-App.	Nein; ja, wenn der DeployMonitoringAlert-Schalter aktiviert ist
LAWorkspaceResourceId	Ressourcen-ID des Log Analytics-Arbeitsbereichs, der dem Schlüsseltresor zugeordnet ist.	Nein; ja, wenn der DeployMonitoringAlert-Schalter aktiviert ist.
DeployMonitoringAlert	Erstellen von Warnungen zusätzlich zu den Überwachungsprotokollen des Schlüsseltresors.	Nein; ja, wenn der DeployMonitoringAlert-Schalter aktiviert ist

Einrichten eines Runbook zum Verwalten von Schlüsseltresor-IP-Bereichen

In diesem Schritt erstellen Sie einen sicheren Schlüsseltresor mit deaktiviertem öffentlichem Netzwerkzugriff. IP-Bereiche für Funktions-Apps müssen Zugriff auf den Schlüsseltresor haben. Sie müssen über Besitzerzugriff auf die Ressourcengruppe verfügen.

Sie führen die folgenden Vorgänge aus:

• Erstellen oder aktualisieren Sie das Automatisierungskonto.
• Gewähren Sie Zugriff auf das Automatisierungskonto mithilfe einer vom System zugewiesenen verwalteten Identität im Schlüsseltresor.
• Richten Sie das Runbook mit einem Skript ein, um die IP-Bereiche abzurufen, die Azure jede Woche veröffentlicht.
• Führen Sie das Runbook zum Zeitpunkt des Setups einmal aus, und planen Sie eine Aufgabe, die jede Woche ausgeführt werden soll.

Set-AzTSMMARemovalUtilityRunbook ` 
    -SubscriptionId <HostingSubId> `
    -ResourceGroupName <HostingRGName> `
    -Location <Location> `
    -FunctionAppUsageRegion <FunctionAppUsageRegion> `
    -KeyVaultResourceId $KeyVault.Outputs.keyVaultResourceId.Value

Das Skript enthält die folgenden Parameter:

Parametername	Beschreibung	Erforderlich
SubscriptionId	ID des Abonnements, welches das Automatisierungskonto und den Schlüsseltresor enthält.	Ja
ResourceGroupName	Name der Ressourcengruppe, die das Automatisierungskonto und den Schlüsseltresor enthält.	Ja
Location	Speicherort, an dem Ihr Automatisierungskonto erstellt wird. Um eine bessere Leistung zu erzielen, empfehlen wir, alle Ressourcen im Zusammenhang mit der Einrichtung an demselben Speicherort zu erstellen. Wird standardmäßig auf EastUS2 festgelegt.	No
FunctionAppUsageRegion	Speicherort dynamischer IP-Adressen, die im Schlüsseltresor zulässig sind. Wird standardmäßig auf EastUS2 festgelegt.	Ja
KeyVaultResourceId	Ressourcen-ID des Schlüsseltresors für zulässige IP-Adressen.	Ja

Einrichten von SPNs und Erteilen erforderlicher Rollen für jeden Mandanten

In diesem Schritt erstellen Sie Dienstprinzipalnamen (SPNs) für jeden Mandanten und erteilen die Berechtigung für jeden Mandanten. Setup erfordert die Zugriffsarten Reader, Mitwirkender an VMs und Azure Arc ScVmm VM-Mitwirkender auf Ihre Bereiche. Konfigurierte Bereiche können Mandant, Verwaltungsgruppe oder Abonnement sein, oder sie können sowohl Verwaltungsgruppe als auch Abonnement sein.

Führen Sie für jeden Mandanten die Schritte aus, und stellen Sie sicher, dass Sie über ausreichende Berechtigungen für den anderen Mandanten zum Erstellen von SPNs verfügen. Sie benötigen die Berechtigung Benutzerzugriffsadministrator oder Besitzer für die konfigurierten Bereiche. Um beispielsweise das Setup für ein bestimmtes Abonnement auszuführen, müssen Sie über eine Rollenzuweisung des Benutzerzugriffsadministrators für dieses Abonnement verfügen, um dem SPN die erforderlichen Berechtigungen zu erteilen.

$TenantId = "<TenantId>"
Disconnect-AzureAD
Connect-AzureAD -TenantId $TenantId
$SPN = Set-AzSKTenantSecuritySolutionMultiTenantIdentitySPN -AppId $Identity.ApplicationId
Grant-AzSKAzureRoleToMultiTenantIdentitySPN -AADIdentityObjectId $SPN.ObjectId `
    -TargetSubscriptionIds @("<SubId1>","<SubId2>","<SubId3>") `
    -TargetManagementGroupNames @("<MGName1>","<MGName2>","<MGName3>")

Das Skript enthält diese Parameter für Set-AzSKTenantSecuritySolutionMultiTenantIdentitySPN:

Parametername	Beschreibung	Erforderlich
AppId	Ihre erstellte Anwendungs-ID.	Ja

Das Skript enthält diese Parameter für Grant-AzSKAzureRoleToMultiTenantIdentitySPN:

Parametername	Beschreibung	Erforderlich
AADIdentityObjectId	Ihr Identitätsobjekt.	Ja
TargetSubscriptionIds	Ihre Liste der Zielabonnement-IDs zum Ausführen des Setups.	Nein
TargetManagementGroupNames	Ihre Liste der Namen der Zielverwaltungsgruppe zum Ausführen des Setups.	Nein

Konfigurieren von Zielbereichen

Sie können Zielbereiche mithilfe von Set-AzTSMMARemovalUtilitySolutionScopes konfigurieren:

$ConfiguredTargetScopes = Set-AzTSMMARemovalUtilitySolutionScopes ` 
         -SubscriptionId <HostingSubId> `
         -ResourceGroupName <HostingRGName> `
         -ScopesFilePath <ScopesFilePath>

Das Skript enthält die folgenden Parameter:

Parametername	Beschreibung	Erforderlich
SubscriptionId	ID Ihres Abonnements, in dem das Setup installiert ist.	Ja
ResourceGroupName	Name der Ressourcengruppe, in der das Setup installiert ist.	Ja
ScopesFilePath	Dateipfad mit Zielbereichskonfigurationen.	Ja

Die Bereichskonfigurationsdatei ist eine CSV-Datei mit einer Kopfzeile und drei Spalten:

ScopeType	ScopeId	TenantId
Abonnement	/subscriptions/abb5301a-22a4-41f9-9e5f-99badff261f8	72f988bf-86f1-41af-91ab-2d7cd011db47
Abonnement	/subscriptions/71bdd12b-ae1d-499a-a4ea-e32d4c1d9c35	e60f12c0-e1dc-4be1-8d86-e979a5527830

Ausführen des Hilfsprogramms

Ermittlung

Update-AzTSMMARemovalUtilityDiscoveryTrigger ` 
    -SubscriptionId <HostingSubId> `
    -ResourceGroupName <HostingRGName> `
    -StartScopeResolverAfterMinutes 60 `
    -StartExtensionDiscoveryAfterMinutes 30 

Das Skript enthält die folgenden Parameter:

Parametername	Beschreibung	Erforderlich
SubscriptionId	ID des Abonnements, in dem Sie das Hilfsprogramm installiert haben.	Ja
ResourceGroupName	Name der Ressourcengruppe, in der Sie das Hilfsprogramm installiert haben.	Ja
StartScopeResolverAfterMinutes	Zeit in Minuten, die Sie warten müssen, bevor der Resolver ausgeführt wird.	Ja (gegenseitiger Ausschluss mit -StartScopeResolverImmediately)
StartScopeResolverImmediately	Indikator, um den Resolver sofort auszuführen.	Ja (gegenseitiger Ausschluss mit -StartScopeResolverAfterMinutes)
StartExtensionDiscoveryAfterMinutes	Zeit in Minuten, um die Ermittlung auszuführen (sollte erfolgen, nachdem der Resolver abgeschlossen wurde).	Ja (gegenseitiger Ausschluss mit -StartExtensionDiscoveryImmediatley)
StartExtensionDiscoveryImmediatley	Indikator zum sofortigen Ausführen der Erweiterungsermittlung.	Ja (gegenseitiger Ausschluss mit -StartExtensionDiscoveryAfterMinutes)

Entfernen

Standardmäßig ist die Entfernungsphase deaktiviert. Es wird empfohlen, sie erst nach der Überprüfung des Inventars an Computern aus dem Ermittlungsschritt auszuführen.

Update-AzTSMMARemovalUtilityRemovalTrigger ` 
    -SubscriptionId <HostingSubId> `
    -ResourceGroupName <HostingRGName> `
    -StartAfterMinutes 60 `
    -EnableRemovalPhase `
    -RemovalCondition 'CheckForAMAPresence'

Das Skript enthält die folgenden Parameter:

Parametername	Beschreibung	Erforderlich
SubscriptionId	ID des Abonnements, in dem Sie das Hilfsprogramm installiert haben.	Ja
ResourceGroupName	Name der Ressourcengruppe, in der Sie das Hilfsprogramm installiert haben.	Ja
StartAfterMinutes	Zeit in Minuten, bis sie mit dem Entfernen beginnen.	Ja (gegenseitiger Ausschluss mit -StartImmediately)
StartImmediately	Indikator, um die Entfernungsphase sofort auszuführen.	Ja (gegenseitiger Ausschluss mit -StartAfterMinutes)
EnableRemovalPhase	Indikator zum Aktivieren der Entfernungsphase.	Ja (gegenseitiger Ausschluss mit -DisableRemovalPhase)
RemovalCondition	Indikator, dass die MMA-Erweiterung entfernt werden soll, wenn die CheckForAMAPresence-AMA-Erweiterung vorhanden ist. Es ist in allen Fällen SkipAMAPresenceCheck, ob eine AMA-Erweiterung vorhanden ist oder nicht.	Nein
DisableRemovalPhase	Indikator zum Deaktivieren der Entfernungsphase.	Ja (gegenseitiger Ausschluss mit -EnableRemovalPhase)

Bekannte Probleme

Die folgenden Probleme können während der Entfernungsphase auftreten:

• Entfernen des MMA in einem Skalierungssatz für virtuelle Computer, bei dem der Orchestrierungsmodus Uniform von der Upgraderichtlinie abhängt. Es wird empfohlen, die Instanz manuell zu aktualisieren, wenn die Richtlinie auf Manual festgelegt ist.

• Wenn die folgende Fehlermeldung angezeigt wird, führen Sie den Installationsbefehl mit denselben Parameterwerten erneut aus:

  The deployment MMARemovalenvironmentsetup-20233029T103026 failed with error(s). Showing 1 out of 1 error(s). Status Message: (Code:BadRequest) - We observed intermittent issue with App service deployment.

  Der Befehl sollte im nächsten Versuch ohne Fehler fortgesetzt werden.

• Wenn die Statuskachel zum Entfernen von Erweiterungen Fehler in Überwachungsdashboards anzeigt, verwenden Sie die folgenden Informationen, um sie zu beheben:

  Fehlercode	Beschreibung/Grund	Nächste Schritte
  AuthorizationFailed	Die Wartungsidentität verfügt nicht über die Berechtigung zum Ausführen eines Erweiterungslöschvorgangs auf virtuellen Computern, VM-Skalierungssätzen oder Azure Arc-Servern.	Gewähren Sie der Rolle VM-Mitwirkender die Wartungsidentität auf VMs. Gewähren Sie der Azure Arc ScVmm VM-Mitwirkendenrolle die Wartungsidentität auf VM-Skalierungssätzen. Führen Sie dann die Entfernungsphase erneut aus.
  OperationNotAllowed	Die Ressourcen befinden sich in einem freigegebenen Zustand, oder eine Sperre wird auf die Ressourcen angewendet.	Aktivieren Sie fehlgeschlagene Ressourcen, und/oder entfernen Sie die Sperre und führen Sie dann die Entfernungsphase erneut aus.

Das Hilfsprogramm sammelt Fehlerdetails im Log Analytics-Arbeitsbereich, den Sie während des Setups verwendet haben. Wechseln Sie zum Log Analytics-Arbeitsbereich, wählen Sie Protokolle aus und führen Sie dann die folgende Abfrage aus:

let timeago = timespan(7d);
InventoryProcessingStatus_CL
| where TimeGenerated > ago(timeago) and Source_s == "AzTS_07_ExtensionRemovalProcessor"
| where ProcessingStatus_s !~ "Initiated"
| summarize arg_max(TimeGenerated,*) by tolower(ResourceId)
| project ResourceId, ProcessingStatus_s, ProcessErrorDetails_s

Bereinigung

Das MMA Discovery and Removal Utility erstellt Ressourcen, die Sie bereinigen sollten, nachdem Sie das MMA aus Ihrer Infrastruktur entfernt haben. Führen Sie die folgenden Schritte zur Bereinigung aus:

1. Wechseln Sie zu dem Ordner, der das Bereitstellungspaket enthält und laden Sie das Bereinigungsskript:

   CD "<LocalExtractedFolderPath>\AzTSMMARemovalUtilityDeploymentFiles"
   . ".\MMARemovalUtilityCleanUpScript.ps1"
   

2. Ausführen des Bereinigungsskripts:

   Remove-AzTSMMARemovalUtilitySolutionResources ` 
       -SubscriptionId <HostingSubId> `
       -ResourceGroupName <HostingRGName> `
       [-DeleteResourceGroup `]
       -KeepInventoryAndProcessLogs
   

Das Skript enthält die folgenden Parameter:

Parametername	Beschreibung	Erforderlich
SubscriptionId	ID des Abonnements, das Sie löschen.	Ja
ResourceGroupName	Name der Ressourcengruppe, die Sie löschen.	Ja
DeleteResourceGroup	Boolesches Flag zum Löschen einer gesamten Ressourcengruppe.	Ja
KeepInventoryAndProcessLogs	Boolesches Flag, um den Log Analytics-Arbeitsbereich und Application Insights auszuschließen. Sie können es nicht mit DeleteResourceGroup verwenden.	Nein