ゲスト構成エージェント (プレビュー) をオンにするとエラーが発生する

Question

defender for cloud の環境設定→Defender プラン→設定と監視→ゲスト構成エージェント (プレビュー)　をオンにするとエラーが発生し、オンにできない

Answer 1

こんにちは Tamamoto, Koji、サブスクリプションレベルで Microsoft Defender for Cloud → 環境設定 → Defender プラン → 設定と監視 → ゲスト構成エージェント (プレビュー) を有効にしようとしています. トグルはオンに設定されていますが、すぐにエラー状態が表示され、有効のままにならず、正常に機能しません.

Microsoft Defender for Cloud は、Azure Machine Configuration 拡張機能を使用して OS レベルのセキュリティベースライン (MCSB) を評価します. これは、Guest Configuration 機能の基盤となる仕組みとして文書化されています. このトグルが失敗する場合があります. これは、Defender for Cloud が UI 操作を許可する前にすべての前提条件を検証しないためですが、バックエンドサービスはそれらを強制します. 一般的に文書化されている原因には次のようなものがあります:

• Defender for Servers プラン 2 が有効になっていません（OS ベースライン評価には必須です）
• Microsoft.GuestConfiguration リソース プロバイダーがサブスクリプションに登録されていません
• Azure VM にシステム割り当てのマネージド ID がありません。Machine Configuration 拡張機能が認証するためには必須です
• アウトバウンドの HTTPS（TCP 443）がブロックされており、拡張機能がコンテンツをダウンロードしたり、状態を報告したりすることができません

Reference - Azure Policy guest configuration baseline for Windows Server 2025 - Azure Policy | Microsoft Learn

Azure Machine Configuration (guest configuration) - Azure Virtual Machines | Microsoft Learn

これらの条件のいずれかが存在する場合、トグルがオンになっているように見えても、Defender for Cloud は状態を「エラー付きで有効」と表示します.

これを解決するには次のことを行います:

• サブスクリプションで Defender for Servers プラン 2 が有効になっていることを確認してください. これは、ゲスト構成に基づく OS セキュリティベースラインの推奨事項に関する文書化された前提条件です.
• サブスクリプションに Microsoft.GuestConfiguration が登録されていることを確認してください。Azure ポリシーのゲスト構成はこのプロバイダーに依存します.
• Azure 仮想マシンでは、システム割り当てマネージド アイデンティティが有効になっていることを確認してください. Machine Configuration 拡張機能は、これが有効でないと機能しません.
• VM からのアウトバウンド TCP 443（HTTPS）アクセスが許可されていることを確認してください. 拡張機能は Microsoft のエンドポイントにアクセスして、構成パッケージを取得し、準拠状況を報告する必要があります.
• それでもトグルがエラーになる場合は、Azure ポリシー → ゲスト構成の準拠状況を確認してください. Microsoft は、拡張機能やマネージド アイデンティティの欠如など、この失敗モードを直接説明する特定の非準拠コード documented しています.

役に立てば嬉しいです！さらにサポートが必要な場合はお知らせください. 提供した回答が役に立った場合は、「回答を承認」をクリックし、役に立った場合は上の「参考になった」をクリックしてください. ありがとうございます.