Azure で Windows Admin Center を使用して Azure Arc 対応サーバーを管理する (プレビュー)

  • [アーティクル]

重要

Azure portal の Windows Admin Center は現在プレビュー段階です。 ベータ版、プレビュー版、または一般提供としてまだリリースされていない Azure の機能に適用される法律条項については、「Microsoft Azure プレビューの追加使用条件」を参照してください。

重要

Azure Connected Machine Agent (Arc エージェント) バージョン 1.36 および 1.35 に更新すると、Windows Admin Center への接続が切断されます。 これは、Arc エージェントの新しいバージョン (1.37 以降) で修正されました。これは、こちらからダウンロードできます

Azure portal で Windows Admin Center を使用すると、ハイブリッド マシンと呼ばれる Arc 対応サーバーの Windows Server オペレーティング システムを管理できます。 VPN、パブリック IP アドレス、またはその他のマシンへの受信接続を必要とせずに、どこからでもハイブリッド マシンを安全に管理できます。

Azure の Windows Admin Center 拡張機能を使用すると、Azure portal で Arc 対応サーバーを管理するための管理、構成、トラブルシューティング、メンテナンスの機能を利用できます。 Windows Server インフラストラクチャとワークロード管理では、通信経路やリモート デスクトップ プロトコル (RDP) を確立する必要がなくなり、すべてを Azure portal からネイティブに実行できるようになりました。 Windows Admin Center には、サーバー マネージャー、デバイス マネージャー、タスク マネージャー、Hyper-V マネージャー、その他のほとんどの Microsoft 管理コンソール (MMC) ツールで通常使用できるツールが用意されています。

この記事では、Azure portal で Windows Admin Center を使用する方法、要件、および Azure portal で Windows Admin Center をインストールしてハイブリッド マシンを管理する方法について説明します。 また、よく寄せられる質問に回答し、既知の問題と、問題が発生した場合のトラブルシューティングのヒントの一覧を示します。

Screenshot showing Windows Admin Center in the Azure portal for Arc-enabled server, displaying the Windows admin Center Overview page.

Azure の Windows Admin Center の概要

Azure portal の Windows Admin Center では、単一のハイブリッド マシンで実行されている Windows Server を管理するために必要なツールを提供しています。 ファイアウォールで受信ポートを開く必要なく、ハイブリッド マシンを管理できます。

Azure portal の Windows Admin Center を使用すると、次のものを管理できます。

  • 証明書
  • デバイス
  • イベント
  • ファイルとファイル共有
  • ファイアウォール
  • インストール済みのアプリ
  • ローカル ユーザーとグループ
  • パフォーマンス モニター
  • PowerShell
  • プロセス
  • レジストリ
  • リモート デスクトップ
  • 役割と機能
  • スケジュールされたタスク
  • サービス
  • Storage
  • 更新プログラム
  • 仮想マシン
  • 仮想スイッチ

現在、Azure portal の Windows Admin Center で他の拡張機能はサポートされていません。

警告

複数のシステムを管理するためにハイブリッド マシンに Windows Admin Center を手動でインストールした場合、Azure で Windows Admin Center を有効にすると、既存の Windows Admin Center インスタンスが置き換えられ、他のマシンを管理する機能が削除されます。 以前にデプロイした Windows Admin Center のインスタンスにはアクセスできなくなります。

要件

このセクションでは、Azure portal で Windows Admin Center を使用してハイブリッド マシンを管理するための要件について説明します。

アクティブなサブスクリプションが含まれる Azure アカウント

Windows Admin Center をデプロイするには、アクティブなサブスクリプションが含まれる Azure アカウントが必要です。 まだアカウントがない場合は、無料でアカウントを作成することができます。

Windows Admin Center のデプロイ中に、サブスクリプションの Microsoft.HybridConnectivity リソース プロバイダーを登録します。

重要

リソース プロバイダーを登録するには、*/register/action 操作を実行するためのアクセス許可が必要です。 これは、サブスクリプションに共同作成者または所有者ロールが割り当てられている場合に含まれます。

注意

リソース プロバイダーの登録は、サブスクリプションごとに 1 回限りのタスクです。

リソース プロバイダーの状態を確認し、必要に応じて登録するには、次のようにします。

  1. Azure portal にサインインします。
  2. [サブスクリプション] を選択します。
  3. サブスクリプションの名前を選択します。
  4. [リソース プロバイダー] を選択します。
  5. Microsoft.HybridConnectivity を検索します。
  6. Microsoft.HybridConnectivity の状態が Registered になっていることを確認します。
    1. 状態が NotRegistered の場合は、Microsoft.HybridConnectivity を選択し、[登録] を選択します。

Azure のアクセス許可

Arc 対応サーバー リソースの Windows Admin Center 拡張機能をインストールするには、Azure でアカウントに所有者共同作成者、または Windows Admin Center 管理者ログイン ロールが付与されている必要があります。

Windows Admin Center に接続するには、Arc 対応サーバー リソースで閲覧者Windows Admin Center 管理者ログインのアクセス許可が必要です。

詳細情報は、Azure portal を使用して Azure ロールの割り当てを確認してください

Azure リージョンの利用可能性

Windows Admin Center は、次の Azure リージョンでサポートされています。

  • オーストラリア東部
  • ブラジル南部
  • カナダ中部
  • カナダ東部
  • インド中部
  • 米国中部
  • 東アジア
  • 米国東部
  • 米国東部 2
  • フランス中部
  • 東日本
  • 韓国中部
  • 米国中北部
  • 北ヨーロッパ
  • 南アフリカ北部
  • 米国中南部
  • 東南アジア
  • スウェーデン中部
  • スイス北部
  • アラブ首長国連邦北部
  • 英国南部
  • 英国西部
  • 米国中西部
  • 西ヨーロッパ
  • 米国西部
  • 米国西部 2
  • 米国西部 3

注意

Windows Admin Center は、Azure China 21Vianet、Azure Government、またはその他の非パブリック クラウドではサポートされていません

ハイブリッド マシンの要件

Azure portal で Windows Admin Center を使用するには、Azure VM 拡張機能を使用して管理する各ハイブリッド マシンに Windows Admin Center エージェントをインストールする必要があります。 ハイブリッド マシンは、次の要件を満たしている必要があります。

  • Windows Server 2016 以降
  • 3 GB 以上の RAM
  • Azure Arc エージェント バージョン 1.13.21320.014 以降

ネットワーク要件

ハイブリッド マシンは、次のネットワーク要件を満たしている必要があります。

  • 送信インターネット アクセス、または次のエンドポイントへの HTTPS トラフィックを許可する送信ポートの規則:

    • *service.waconazure.com または WindowsAdminCenterサービス タグ
    • pas.windows.net
    • *.servicebus.windows.net

注意

Windows Admin Center を使用するには受信ポートは必要ありません。

Azure Portal が実行されている管理マシンは、次のネットワーク要件を満たしている必要があります。

  • ポート 443 経由の送信インターネット アクセス

管理マシンまたはシステムから Azure portal にアクセスする前に、サポートされているデバイスと推奨されるブラウザーを必ずご確認ください。

Azure portal に Windows Admin Center をインストールする

Azure portal で Windows Admin Center を使用するには、その前に、次の手順に従って Windows Admin Center VM 拡張機能をデプロイする必要があります。

  1. Azure portal を開き、Arc 対応サーバーに移動します。
  2. [設定] グループで、[Windows Admin Center] を選択します。
  3. Windows Admin Center をインストールするポートを指定し、[インストール] を選択します。

Screenshot showing the install button for Windows Admin Center on an Arc-enabled server.

Azure portal の Windows Admin Center への接続

ハイブリッド マシンに Windows Admin Center をインストールしたら、次の手順に従って接続し、それを使用して Windows Server を管理します。

  1. Azure portal を開き、Arc 対応サーバーに移動し、[設定] グループで [Windows Admin Center (プレビュー)] を選択します。
  2. [接続] を選択します。

Note

2022 年 8 月より、Windows Admin Center では、ハイブリッド マシンに Microsoft Entra ID ベースの認証を使用できるようになりました。 ローカル管理者アカウントの資格情報の入力を求められなくなります。

ポータルで Windows Admin Center が開き、オンプレミス デプロイで Windows Admin Center を使用する場合と同じ (使い慣れているかもしれない) ツールにアクセスできます。

Screenshot showing the Connect button for Windows Admin Center on an Arc-enabled server.

ロールの割り当ての構成

Windows Admin Center へのアクセスは、Windows Admin Center 管理者ログイン Azure ロールによって制御されます。

Note

Windows Admin Center 管理者ログイン ロールは dataActions を使用するため、管理グループ スコープで割り当てることはできません。 現時点では、これらのロールは、サブスクリプション、リソース グループまたはリソース スコープでのみ割り当てることができます。

Microsoft Entra 管理センター エクスペリエンスを使用してハイブリッド マシンのロールの割り当てを構成するには、以下を実行します。

  1. Windows Admin Center を使用して管理するハイブリッド マシンを開く

  2. [アクセス制御 (IAM)] を選択します。

  3. [追加]>[ロールの割り当ての追加] を選択して、[ロールの割り当ての追加] ページを開きます。

  4. 次のロールを割り当てます。 詳細な手順については、「Azure portal を使用して Azure ロールを割り当てる」を参照してください。

    設定
    Role Windows Admin Center 管理者ログイン
    アクセスの割り当て先 ユーザー、グループ、サービス プリンシパル、またはマネージド ID

Azure RBAC を使用して、Azure サブスクリプション リソースへのアクセスを管理する方法の詳細については、次の記事を参照してください。

プロキシの構成

コンピューターがプロキシ サーバー経由で接続してインターネット経由で通信する場合は、次の要件を確認して、必要なネットワーク構成を理解してください。

Windows Admin Center 拡張機能は、HTTPS プロトコルを使用してプロキシ サーバー経由で通信できます。 次の手順で説明するように、構成に拡張機能の設定を使用します。 認証済みプロキシはサポートされていません。

注意

プロキシ構成は、0.0.0.321 より大きい拡張機能バージョンでのみサポートされます。

  1. このフローチャートを使用して、Settings パラメーター Workflow for customers to understand the configuration needed to use proxies with Windows Admin Center.の値を決定します

  2. Settings パラメーター値を決定したら、AdminCenter エージェントをデプロイするときに、これらの他のパラメーターを指定します。 次の例に示すように、PowerShell コマンドを使用します:

$wacPort = "6516"
$settings = @{"port" = $wacPort; "proxy" = @{"mode" = "application"; "address" = "http://[address]:[port]";}}
New-AzConnectedMachineExtension -Name AdminCenter -ExtensionType AdminCenter -Publisher Microsoft.AdminCenter -ResourceGroupName <resource-group-name> -MachineName <arc-server-name> -Location <arc-server-location> -Setting $settings -SubscriptionId <subscription-id>

しくみ

Azure で Windows Admin Center を使用すると、ファイアウォールで受信ポートを有効にしなくても、ハイブリッド マシンに接続できます。 Windows Admin Center から Arc エージェントを介して、Azure Arc サービスとのリバース プロキシ セッション接続をアウトバウンドで安全に確立できます。

Azure portal の Windows Admin Center で管理するハイブリッド マシンでは、各マシンにエージェントをデプロイする必要があります。

エージェントは、証明書を管理する外部サービスと通信しており、ハイブリッド マシンに簡単に接続できます。

[インストール] をクリックすると、次の操作が実行されます。

  1. サブスクリプションに Microsoft.HybridConnectivity リソース プロバイダーを登録します。 リソース プロバイダーは、Arc 対応サーバーへの通信に使用されるプロキシをホストします。
  2. 指定したポートでリバース プロキシ接続を有効にする Arc 対応リソース上に Azure "エンドポイント" リソースをデプロイします。 これは単に Azure の論理リソースであり、サーバー自体には何もデプロイしません。
  3. 有効な TLS 証明書を使用して、ハイブリッド マシンに Windows Admin Center エージェントをインストールします。

注意

Windows Admin Center をアンインストールしても、論理 Azure エンドポイント リソースは削除されません。 これは、SSH など、このリソースを活用する可能性がある他のエクスペリエンスに対して保持されます。

[接続] をクリックすると、次の操作が実行されます。

  1. Azure portal は、Arc 対応サーバーへのアクセスを Microsoft.HybridConnectivity リソース プロバイダーに求めます。
  2. リソース プロバイダーは、レイヤー 4 SNI プロキシと通信して、Windows Admin Center ポート上の Arc 対応サーバーへの有効期間が短いセッション固有のアクセスを確立します。
  3. 有効期間の短い一意の URL が生成され、Windows Admin Center への接続が Azure portal から確立されます。

Windows Admin Center への接続はエンド ツー エンドで暗号化され、ハイブリッド マシンで SSL 終了が行われます。

PowerShell を使用して Windows Admin Center のデプロイを自動化する

この PowerShell スクリプトの例を使用することで、Azure portal で Windows Admin Center のデプロイを自動化できます。

$location = "<location_of_hybrid_machine>"
$machineName = "<name_of_hybrid_machine>"
$resourceGroup = "<resource_group>"
$subscription = "<subscription_id>"
$port = "6516"
$portint = 6516
        
#Deploy Windows Admin Center
$Setting = @{"port" = $port; "proxy" = @{"mode" = "application"; "address" = "http://[address]:[port]";}} #proxy configuration is optional
New-AzConnectedMachineExtension -Name "AdminCenter" -ResourceGroupName $resourceGroup -MachineName $machineName -Location $location -Publisher "Microsoft.AdminCenter" -Settings $Setting -ExtensionType "AdminCenter" -SubscriptionId $subscription
        
#Allow connectivity
$putPayload = "{'properties': {'type': 'default'}}"
Invoke-AzRestMethod -Method PUT -Uri "https://management.azure.com/subscriptions/${subscription}/resourceGroups/${resourceGroup}/providers/Microsoft.HybridCompute/machines/${machineName}/providers/Microsoft.HybridConnectivity/endpoints/default?api-version=2023-03-15" -Payload $putPayload

$patch = @{ "properties" =  @{ "serviceName" = "WAC"; "port" = $portint}} 
$patchPayload = ConvertTo-Json $patch 
Invoke-AzRestMethod -Method PUT -Path /subscriptions/${subscription}/resourceGroups/${resourceGroup}/providers/Microsoft.HybridCompute/machines/${machineName}/providers/Microsoft.HybridConnectivity/endpoints/default/serviceconfigurations/WAC?api-version=2023-03-15 -Payload $patchPayload

トラブルシューティング

ここでは、問題が発生した場合に試すヒントをいくつか示します。 (特に Azure に限らず) Windows Admin Center 全般のトラブルシューティングについては、「Windows Admin Center のトラブルシューティング」を参照してください。

"404 エンドポイントが見つかりません" というメッセージが表示されて、接続できませんでした

  1. Azure Connected Machine Agent (Arc エージェント) バージョン 1.36 および 1.35 に更新すると、Windows Admin Center への接続が切断されます。 これは、Arc エージェントの新しいバージョン (1.37 以降) で修正されました。これは、こちらからダウンロードできます

接続できませんでしたエラー

  1. HIMDS サービスを再起動します。

    1. サーバーに RDP 接続します。

    2. 管理者として PowerShell を開き、以下を実行します。

      Restart-Service -Name himds

  2. 拡張機能のバージョンが 0.0.0.169 以降であることを確認します。

    1. "拡張機能" に移動します
    2. "AdminCenter" 拡張機能のバージョンが 0.0.0.169 以降であることを確認します
    3. 異なる場合は、拡張機能をアンインストールして再インストールします

  3. Windows Admin Center サービスがマシン上で実行されていることを確認します。

    1. サーバーに RDP 接続します。
    2. タスク マネージャーを開き (Ctrl + Shift + Esc キーを押し)、[サービス] に移動します。
    3. ServerManagementGateway / Windows Admin Center が実行されていることを確認してください。
    4. 実行されていない場合は、サービスを開始します。

  4. ポートがリバース プロキシ セッションが有効になっていることを確認します。

    1. サーバーに RDP 接続します。

    2. 管理者として PowerShell を開き、以下を実行します。

      azcmagent config list

    3. これにより、Azure からの接続が有効になっている incomingconnections.ports (プレビュー) 構成の下にあるポートの一覧が返されます。 Windows Admin Center をインストールしたポートがこの一覧に表示されていることを確認します。 たとえば、Windows Admin Center がポート 443 にインストールされている場合、結果は次のようになります。

      Local configuration setting
incomingconnections.ports (preview): 443

    4. この一覧にない場合は、次のように実行します

      azcmagent config set incomingconnections.ports <port>

      このソリューションを使用して別のエクスペリエンス (SSH など) を使用している場合は、コンマで区切って複数のポートを指定できます。

  5. 必要なポートへの送信接続があることを確認します。

    1. ハイブリッド マシンは、次のエンドポイントへの送信接続を持っている必要があります:
      • *.wac.azure.com*.waconazure.com または WindowsAdminCenter ServiceTag
      • pas.windows.net
      • *.servicebus.windows.net

Windows Admin Center ツールのいずれかが読み込まれていないか、エラーが発生している

  1. Windows Admin Center 内の他のツールに移動し、読み込まれていないものに戻ります。

  2. 他のツールが読み込まれていない場合は、ネットワーク接続に問題がある可能性があります。 ブレードを閉じてから、もう一度接続してみます。 それでもうまくいかない場合は、サポート チケットを開きます。

Windows Admin Center の拡張機能をインストールできない

  1. ハイブリッド マシンが要件を満たしていることを再確認します。

  2. Windows Admin Center への送信トラフィックがハイブリッド マシンで許可されていることを確認します

    1. 仮想マシン内で PowerShell を使用して次のコマンドを実行することで、接続をテストします。

      Invoke-RestMethod -Method GET -Uri https://<your_region>.service.waconazure.com

      Microsoft Certificate and DNS service for Windows Admin Center in the Azure Portal

  3. すべての送信トラフィックを許可していて、上記のコマンドからのエラーが示される場合は、接続をブロックしているファイアウォール規則がないことを確認してください。

何も問題がなくても Windows Admin Center がインストールされない場合は、次の情報を含むサポート リクエストを開きます。

  • Azure ポータルからのログ。 Windows Admin Center ログは、[設定]>[拡張機能]>[AdminCenter]>[詳細な状態の表示] の下にあります。

  • ハイブリッド マシンのログ。 次の PowerShell コマンドを実行し、結果の .zip ファイルを共有します。

    azcmagent logs

  • ネットワーク トレース (該当する場合)。 ネットワーク トレースには、顧客データや、パスワードなどの機密性の高いセキュリティの詳細情報が含まれる場合があります。そのため、共有する前に、トレースを確認し、機密性の高い詳細情報を削除することをお勧めします。

既知の問題

  • Chrome のシークレット モードはサポートされていません。
  • Azure portal デスクトップ アプリはサポートされていません。
  • 失敗した接続の詳細なエラー メッセージはまだ用意されていません。

よく寄せられる質問

Azure での Windows Admin Center の使用に関してよく寄せられる質問への回答を示します。

Windows Admin Center を使用するにはいくらかかりますか。

Azure portal で Windows Admin Center を使用することに関連してコストはかかりません。

Windows Admin Center を使用して、サーバー上で実行されている仮想マシンを管理できますか?

役割と機能の拡張機能を使用して、Hyper-V の役割をインストールすることができます。 インストールされたら、ブラウザーを更新します。すると、Windows Admin Center に仮想マシンとスイッチの拡張機能が表示されます。

この拡張機能を使用して管理できるのはどのサーバーですか?

この機能を使用して、Arc 対応 Windows Server 2016 以降を管理できます。 また、Azure のWindows Admin Center を使用して、Azure Stack HCI を管理することもできます。

Windows Admin Center では、セキュリティをどのように処理していますか。

Azure portal から Windows Admin Center へのトラフィックは、エンド ツー エンドで暗号化されます。 Arc 対応サーバーは、PowerShell と WMI over WinRM を使用して管理されます。

Windows Admin Center を使用するには受信ポートが必要ですか?

Windows Admin Center を使用するために受信接続は必要ありません。

送信ポートの規則を作成する必要があるのはなぜですか?

サーバーとの通信用に構築されたサービスには、送信ポート規則が必要です。 このサービスから、Windows Admin Center のインスタンスに対して無料の証明書が発行されます。 このサービスにより、WAC 証明書を最新の状態に保つことで、常に Azure portal から Windows Admin Center のインスタンスに接続できます。

さらに、Azure から Windows Admin Center へのアクセスには、受信ポートは必要なく、必要なのはリバース プロキシ ソリューションを介した送信接続のみです。 接続を確立するには、これらのアウトバウンド規則が必要です。

Windows Admin Center のインストールに使用されるポートを見つけるにはどうすればよいですか?

SmePort レジストリ設定の値を確認するには、次のようにします。

  1. サーバーに RDP を接続します
  2. レジストリ エディターを開きます
  3. キー \HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ServerManagementGateway に移動します
  4. SmePort の値を読み取って、使用されているポートを見つけます

PowerShell または Azure CLI を使用して、VM に拡張機能をインストールできますか?

はい。Azure CLI を使用して拡張機能をインストールするには、コマンド プロンプトから次のコマンドを実行します。

az connectedmachine extension create

PowerShell を使用して拡張機能をインストールすることもできます。 詳細については、PowerShell を使用して Windows Admin Center デプロイを自動化する方法を参照してください。

Windows Admin Center は Arc サーバーに既にインストールされています。 ポータルからそこにアクセスできますか?

はい。 このドキュメントで説明されているのと同じ手順に従うことができます。

警告

この機能を有効にすると、Windows Admin Center の既存のインスタンスが置き換えられ、他のマシンを管理する機能が削除されます。 以前にデプロイした Windows Admin Center のインスタンスは使用できなくなります。 Admin Center のインスタンスを使用して複数のサーバーを管理する場合は、この操作を行わないでください。

次の手順