azcmagent connect
Azure でサーバーのメタデータ表現を作成し、それに Azure Connected Machine エージェントを関連付けることで、サーバーを Azure Arc に接続します。 このコマンドには、Azure 内のサーバーを表すテナント、サブスクリプション、リソース グループに関する情報と、その場所に Azure Arc 対応サーバー リソースを作成するためのアクセス許可を持つ有効な資格情報が必要です。
使用方法
azcmagent connect [authentication] --subscription-id [subscription] --resource-group [resourcegroup] --location [region] [flags]
例
既定のログイン方法 (対話型ブラウザーまたはデバイス コード) を使用してサーバーを接続します。
azcmagent connect --subscription-id "Production" --resource-group "HybridServers" --location "eastus"
azcmagent connect --subscription-id "Production" --resource-group "HybridServers" --location "eastus" --use-device-code
サービス プリンシパルを使用してサーバーを接続します。
azcmagent connect --subscription-id "aaaaaaaa-bbbb-cccc-dddd-eeeeeeeeeeee" --resource-group "HybridServers" --location "australiaeast" --service-principal-id "ID" --service-principal-secret "SECRET" --tenant-id "TENANT"
プライベート エンドポイントとデバイス コード ログイン方法を使用してサーバーを接続します。
azcmagent connect --subscription-id "Production" --resource-group "HybridServers" --location "koreacentral" --use-device-code --private-link-scope "/subscriptions/.../Microsoft.HybridCompute/privateLinkScopes/ScopeName"
認証オプション
Azure Connected Machine Agent に認証資格情報を提供するには、4 つの方法があります。 認証オプションを 1 つ選び、使用法構文の [authentication] セクションを推奨フラグに置き換えます。
対話型ブラウザー ログイン (Windows のみ)
このオプションは、デスクトップ エクスペリエンスを備えた Windows オペレーティング システムの既定値です。 既定の Web ブラウザーでログイン ページが開きます。 このオプションは、信頼できるマシンからのログインを求める条件付きアクセス ポリシーが組織で構成されている場合に必要になることがあります。
対話型ブラウザー ログインを使用するためにフラグは必要ありません。
デバイス コード ログイン
このオプションでは、別のデバイス上の Web ブラウザーにログインするために使用できるコードが生成されます。 これは、Windows Server コア エディションとすべての Linux ディストリビューションの既定のオプションです。 接続コマンドを実行すると、インターネットに接続されたデバイスで指定されたログイン URL を開き、ログイン フローを完了するまでに 5 分かかります。
デバイス コードで認証するには、--use-device-code フラグを使用します。 ログインしているアカウントと、サーバーを登録しているサブスクリプションが同じテナントにない場合は、--tenant-id [tenant] でサブスクリプションのテナント ID も指定する必要があります。
サービス プリンシパル
サービス プリンシパルを使うと、非対話形式で認証することができ、多くの場合、同じスクリプトが複数のサーバーで実行される大規模なデプロイに使用されます。 コンソール ログにシークレットが公開されないように、構成ファイル (--config を参照) を介してサービス プリンシパル情報を提供することをお勧めします。 また、サービス プリンシパルは Arc オンボード専用にし、アクセス許可をできるだけ少なくして、盗まれた資格情報の影響を制限する必要があります。
サービス プリンシパルで認証するには、サービス プリンシパルのアプリケーション ID、シークレット、およびテナント ID (--service-principal-id [appid] --service-principal-secret [secret] --tenant-id [tenantid]) を指定します。
トークンへのアクセス
アクセス トークンは非対話型認証にも使用できますが、有効期間が短く、通常は、短時間にわたって複数のサーバーをオンボードするオートメーション ソリューションによって使用されます。 Get-AzAccessToken またはその他の Microsoft Entra クライアントを使用して、アクセス トークンを取得できます。
アクセス トークンで認証するには、--access-token [token] フラグを使用します。 ログインしているアカウントと、サーバーを登録しているサブスクリプションが同じテナントにない場合は、--tenant-id [tenant] でサブスクリプションのテナント ID も指定する必要があります。
フラグ
--access-token
Azure で Azure Arc 対応サーバー リソースを作成するために使用される Microsoft Entra アクセス トークンを指定します。 詳細については、認証オプションに関する記事を参照してください。
--automanage-profile
Azure に接続された後にサーバーに適用される Azure Automanage ベスト プラクティス プロファイルのリソース ID。
サンプル値: /providers/Microsoft.Automanage/bestPractices/AzureBestPracticesProduction
--cloud
Azure クラウド インスタンスを指定します。 --location フラグと共に使用する必要があります。 マシンが既に Azure Arc に接続されている場合、既定値はエージェントが既に接続されているクラウドです。 それ以外の場合、既定値は "AzureCloud" です。
サポートされる値:
- AzureCloud (パブリック リージョン)
- AzureUSGovernment (Azure US Government リージョン)
- AzureChinaCloud (21Vianet によって運営される Microsoft Azure のリージョン)
--correlation-id
サーバーを Azure Arc に接続するために使用されるメカニズムを識別します。たとえば、Azure portal で生成されたスクリプトには、Microsoft がそのエクスペリエンスの使用状況を追跡するのに役立つ GUID が含まれています。 このフラグは省略可能であり、エクスペリエンスを向上させるためにテレメトリの目的でのみ使用されます。
--ignore-network-check
必要なエンドポイントのネットワーク チェックが失敗した場合でも、オンボードを続行するようにエージェントに指示します。 このオプションは、ネットワーク チェックの結果が正しくないと確信している場合にのみ使用してください。 ほとんどの場合、ネットワーク チェックの失敗は、Azure Connected Machine エージェントがサーバーで正しく機能しないことを示します。
-l、 --location
接続を確認する Azure リージョン。 マシンが既に Azure Arc に接続されている場合は、現在のリージョンが既定として選択されます。
サンプル値: westeurope
--private-link-scope
サーバーに関連付ける Azure Arc プライベート リンク スコープのリソース ID を指定します。 このフラグは、プライベート エンドポイントを使用してサーバーを Azure に接続する場合に必要です。
-g、 --resource-group
Azure Arc 対応サーバー リソースを作成する Azure リソース グループの名前。
サンプル値: HybridServers
-n、 --resource-name
Azure Arc 対応サーバー リソースの名前。 既定では、リソース名は次のとおりです。
- AWS インスタンス ID (サーバーが AWS 上にある場合)
- ホスト名 (他のすべてのマシンの場合)
名前の競合を回避するために、既定の名前を独自に選択した名前でオーバーライドできます。 選択すると、エージェントを切断して再接続しないと、Azure リソースの名前を変更できません。
AWS サーバーでインスタンス ID ではなくホスト名を使用するように強制する場合は、シェルで現在のホスト名を評価し、新しいリソース名として渡すように $(hostname) に渡します。
サンプル値: FileServer01
-i、 --service-principal-id
Azure で Azure Arc 対応サーバー リソースを作成するために使用されるサービス プリンシパルのアプリケーション ID を指定します。 --service-principal-secret と --tenant-id フラグと共に使用する必要があります。 詳細については、認証オプションに関する記事を参照してください。
-p、 --service-principal-secret
サービス プリンシパル シークレットを指定します。 --service-principal-id と --tenant-id フラグと共に使用する必要があります。 コンソール ログでシークレットが公開されないように、構成ファイルでサービス プリンシパル シークレットを渡すことをお勧めします。 詳細については、認証オプションに関する記事を参照してください。
-s、 --subscription-id
Azure Arc 対応サーバー リソースを作成するサブスクリプションの名前または ID。
サンプル値: Production、aaaaaaaa-bbbb-cccc-dddd-eeeeeeeee
--tags
Azure Arc 対応サーバー リソースに適用するタグのコンマ区切りの一覧。 各タグは、TagName=TagValue という形式で指定する必要があります。 タグ名または値にスペースが含まれている場合は、名前または値を単一引用符で囲んでください。
サンプル値: Datacenter=NY3,Application=SharePoint,Owner='Shared Infrastructure Services'
-t、 --tenant-id
Azure Arc 対応サーバー リソースを作成するサブスクリプションのテナント ID。 このフラグは、サービス プリンシパルを使用して認証する場合に必要です。 他のすべての認証方法では、Azure での認証に使用されるアカウントのホーム テナントもリソースに使用されます。 アカウントとサブスクリプションのテナントが異なる場合 (ゲスト アカウント、Lighthouse)、サブスクリプションが存在するテナントを明確にするために、テナント ID を指定する必要があります。
--use-device-code
別のコンピューターの Web ブラウザーに入力して、Azure でエージェントを認証できる Microsoft Entra デバイス ログイン コードを生成します。 詳細については、認証オプションに関する記事を参照してください。
--user-tenant-id
サーバーを Azure に接続するために使用されるアカウントのテナント ID。 このフィールドは、オンボード アカウントのテナントが Azure Arc 対応サーバー リソースの目的のテナントと同じでない場合に必要です。
すべてのコマンドで使用可能な共通フラグ
--config
コマンドへの入力を含む JSON または YAML ファイルへのパスを受け取ります。 構成ファイルには、キーが使用可能なコマンド ライン オプションと一致する一連のキーと値のペアが含まれている必要があります。 たとえば、--verbose フラグを渡す場合、構成ファイルは次のようになります。
{
"verbose": true
}
コマンド呼び出しと構成ファイルの両方でコマンド ライン オプションが見つかった場合は、コマンド ラインで指定された値が優先されます。
-h、 --help
構文やコマンド ライン オプションなど、現在のコマンドに関するヘルプを表示します。
-j、 --json
コマンドの結果を JSON 形式で出力します。
--log-stderr
エラーと詳細メッセージを標準エラー (stderr) ストリームにリダイレクトします。 既定では、すべての出力が標準出力 (stdout) ストリームに送信されます。
--no-color
ANSI カラーをサポートしていないターミナルのカラー出力を無効にします。
-v、 --verbose
コマンドの実行中に、より詳細なログ情報を表示します。 コマンドを実行するときの問題のトラブルシューティングに役立ちます。