Narzędzie do odnajdywania i usuwania MMA

Po przeprowadzeniu migracji maszyn do agenta usługi Azure Monitor (AMA) należy usunąć agenta usługi Log Analytics (nazywanego również programem Microsoft Management Agent lub MMA), aby uniknąć duplikowania dzienników. Narzędzie do odnajdywania i usuwania mma rozwiązania zabezpieczeń dzierżawy platformy Azure (AzTS) może centralnie usunąć rozszerzenie MMA z maszyn wirtualnych platformy Azure, zestawów skalowania maszyn wirtualnych platformy Azure i serwerów usługi Azure Arc z dzierżawy.

Uwaga

To narzędzie służy do odnajdywania i usuwania rozszerzeń MMA. Nie spowoduje to usunięcia rozszerzeń pakietu OMS. Usługa OMS będzie musiała zostać usunięta ręcznie, uruchamiając skrypt przeczyszczania tutaj: Przeczyszczanie agenta systemu Linux

Narzędzie działa w dwóch krokach:

1. Odnajdywanie: narzędzie tworzy spis wszystkich maszyn, na których zainstalowano mma. Zalecamy, aby nie tworzyć żadnych nowych maszyn wirtualnych, zestawów skalowania maszyn wirtualnych ani serwerów usługi Azure Arc z rozszerzeniem MMA, gdy narzędzie jest uruchomione.

2. Usunięcie: narzędzie wybiera maszyny, które mają zarówno MMA, jak i AMA, i usuwa rozszerzenie MMA. Możesz wyłączyć ten krok i uruchomić go po zweryfikowaniu listy maszyn. Istnieje możliwość usunięcia rozszerzenia z maszyn, które mają tylko mma, ale zalecamy najpierw zmigrowanie wszystkich zależności do usługi AMA, a następnie usunięcie mma.

Wymagania wstępne

Wykonaj wszystkie kroki konfiguracji w programie Visual Studio Code z rozszerzeniem programu PowerShell. Należy wykonać:

• Windows 10 lub nowszy albo Windows Server 2019 lub nowszy.
• Program PowerShell w wersji 5.0 lub nowszej. Sprawdź wersję, uruchamiając polecenie $PSVersionTable.
• Program PowerShell. Język musi być ustawiony na FullLanguage tryb. Sprawdź tryb, uruchamiając polecenie $ExecutionContext.SessionState.LanguageMode w programie PowerShell. Aby uzyskać więcej informacji, zobacz dokumentację programu PowerShell.
• Bicep. Skrypty konfiguracji używają narzędzia Bicep do zautomatyzowania instalacji. Sprawdź instalację, uruchamiając polecenie bicep --version. Aby uzyskać więcej informacji, zobacz Instalowanie narzędzi Bicep.
• Tożsamość zarządzana przypisana przez użytkownika, która ma dostęp czytelnika, współautora maszyny wirtualnej i współautora maszyny wirtualnej usługi Azure Arc scVmm w zakresach docelowych.
• Nowa grupa zasobów zawierająca wszystkie zasoby platformy Azure tworzone automatycznie przez automatyzację konfiguracji.
• Odpowiednie uprawnienie do skonfigurowanych zakresów. Aby udzielić tożsamości zarządzanej przypisanej przez użytkownika korygowania z wcześniej wymienionymi rolami w zakresach docelowych, musisz mieć uprawnienia Administracja istrator lub właściciel dostępu użytkowników. Jeśli na przykład konfigurujesz konfigurację dla określonej subskrypcji, musisz mieć przypisanie roli Administracja istratora dostępu użytkowników w tej subskrypcji, aby skrypt mógł zapewnić uprawnienia do tożsamości zarządzanej przypisanej przez użytkownika korygowania.

Pobieranie pakietu wdrożeniowego

Pakiet wdrożeniowy zawiera:

• Szablony Bicep, które zawierają szczegóły konfiguracji zasobów tworzone w ramach konfiguracji.
• Skrypty konfiguracji wdrożenia, które udostępniają polecenie cmdlet do uruchomienia instalacji.

Aby zainstalować pakiet:

1. Przejdź do repozytorium GitHub AzTS-docs. Pobierz plik pakietu wdrożeniowego AzTSMMARemovalUtilityDeploymentFiles.zip na komputer lokalny.

2. Wyodrębnij plik .zip do lokalizacji folderu lokalnego.

3. Odblokuj pliki przy użyciu tego skryptu:

   Get-ChildItem -Path "<Extracted folder path>" -Recurse | Unblock-File 
   

Konfigurowanie narzędzia

Pojedyncza dzierżawa

1. Przejdź do folderu wdrożenia i załaduj skonsolidowany skrypt konfiguracji. Musisz mieć dostęp właściciela do subskrypcji.

   CD "<LocalExtractedFolderPath>\AzTSMMARemovalUtilityDeploymentFiles"
   . ".\MMARemovalUtilityConsolidatedSetup.ps1"
   

2. Zaloguj się do konta platformy Azure przy użyciu następującego polecenia programu PowerShell:

   $TenantId = "<TenantId>"
   Connect-AzAccount -Tenant $TenantId
   

3. Uruchom skrypt instalacyjny, aby wykonać następujące operacje:

   • Zainstaluj wymagane moduły Az.
   • Skonfiguruj tożsamość zarządzaną przypisaną przez użytkownika do korygowania.
   • Monituj i zbieraj szczegóły dołączania dla kolekcji telemetrii użycia na podstawie preferencji użytkownika.
   • Utwórz lub zaktualizuj grupę zasobów.
   • Utwórz lub zaktualizuj zasoby przy użyciu przypisanych tożsamości zarządzanych.
   • Utwórz lub zaktualizuj pulpit nawigacyjny monitorowania.
   • Konfigurowanie zakresów docelowych.

   $SetupInstallation = Install-AzTSMMARemovalUtilitySolutionConsolidated `
            -RemediationIdentityHostSubId <MIHostingSubId> `
            -RemediationIdentityHostRGName <MIHostingRGName> `
            -RemediationIdentityName <MIName> `
            -TargetSubscriptionIds @("<SubId1>","<SubId2>","<SubId3>") `
            -TargetManagementGroupNames @("<MGName1>","<MGName2>","<MGName3>") `
            -TenantScope `
            -SubscriptionId <HostingSubId> `
            -HostRGName <HostingRGName> `
            -Location <Location> `
            -AzureEnvironmentName <AzureEnvironmentName>
   

   Skrypt zawiera następujące parametry:

   Nazwa parametru	opis	Wymagania
   RemediationIdentityHostSubId	Identyfikator subskrypcji do tworzenia zasobów korygowania.	Tak
   RemediationIdentityHostRGName	Nowa nazwa grupy zasobów w celu utworzenia korygowania. Wartość domyślna to AzTS-MMARemovalUtility-RG.	Nie.
   RemediationIdentityName	Nazwa tożsamości zarządzanej korygowania.	Tak
   TargetSubscriptionIds	Lista docelowych identyfikatorów subskrypcji do uruchomienia.	Nie.
   TargetManagementGroupNames	Lista docelowych nazw grup zarządzania do uruchomienia.	Nie.
   TenantScope	Zakres dzierżawy do przypisywania ról za pośrednictwem identyfikatora dzierżawy.	Nie.
   SubscriptionId	Identyfikator subskrypcji, w której zainstalowano instalatora.	Tak
   HostRGName	Nazwa nowej grupy zasobów, w której jest tworzona tożsamość zarządzana korygowania. Wartość domyślna to AzTS-MMARemovalUtility-Host-RG.	Nie.
   Location	Kontroler domeny lokalizacji, na którym jest tworzona konfiguracja. Wartość domyślna to EastUS2.	Nie.
   AzureEnvironmentName	Środowisko platformy Azure, w którym zainstalowano rozwiązanie: AzureCloud lub AzureGovernmentCloud. Wartość domyślna to AzureCloud.	Nie.

Multitenant

W tej sekcji opisano kroki konfigurowania wielodostępnych narzędzi odnajdywania i usuwania programu AzTS MMA. Ta konfiguracja może potrwać do 30 minut.

Ładowanie skryptu instalacji

Wskaż bieżącą ścieżkę do folderu zawierającego wyodrębniony pakiet wdrożeniowy i uruchom skrypt instalacyjny:

CD "<LocalExtractedFolderPath>\AzTSMMARemovalUtilityDeploymentFiles"
. ".\MMARemovalUtilitySetup.ps1"

Instalowanie wymaganych modułów Az

Moduły Az programu PowerShell zawierają polecenia cmdlet do wdrażania zasobów platformy Azure. Zainstaluj wymagane moduły Az przy użyciu następującego polecenia. Aby uzyskać więcej informacji na temat modułów Az, zobacz How to install Azure PowerShell (Jak zainstalować program Azure PowerShell). Należy wskazać bieżącą ścieżkę do wyodrębnionej lokalizacji folderu.

Set-Prerequisites

Konfigurowanie tożsamości wielodostępnych

W tym kroku skonfigurujesz tożsamość aplikacji Firmy Microsoft Entra przy użyciu jednostki usługi. Musisz zalogować się do konta Microsoft Entra, na którym chcesz zainstalować instalatora narzędzia odnajdywania i usuwania MMA przy użyciu polecenia programu PowerShell.

Wykonasz następujące operacje:

• Utwórz wielodostępną aplikację Firmy Microsoft Entra, jeśli nie jest dostarczana z wcześniej istniejącego identyfikatora obiektu aplikacji Microsoft Entra.
• Utwórz poświadczenia hasła dla aplikacji Microsoft Entra.

Disconnect-AzAccount
Disconnect-AzureAD
$TenantId = "<TenantId>"
Connect-AzAccount -Tenant $TenantId
Connect-AzureAD -TenantId $TenantId

$Identity = Set-AzTSMMARemovalUtilitySolutionMultiTenantRemediationIdentity `
         -DisplayName <AADAppDisplayName> `
         -ObjectId <PreExistingAADAppId> `
         -AdditionalOwnerUPNs @("<OwnerUPN1>","<OwnerUPN2>")
$Identity.ApplicationId
$Identity.ObjectId
$Identity.Secret

Skrypt zawiera następujące parametry:

Nazwa parametru	opis	Wymagania
DisplayName	Nazwa wyświetlana tożsamości korygowania.	Tak
ObjectId	Identyfikator obiektu tożsamości korygowania.	Nie.
AdditionalOwnerUPNs	Główne nazwy użytkownika (UPN) właścicieli aplikacji do utworzenia.	Nie.

Konfigurowanie magazynu

W tym kroku skonfigurujesz magazyn dla wpisów tajnych. Aby utworzyć grupę zasobów, musisz mieć dostęp właściciela do subskrypcji.

Wykonasz następujące operacje:

• Utwórz lub zaktualizuj grupę zasobów dla magazynu kluczy.
• Utwórz lub zaktualizuj magazyn kluczy.
• Zapisz wpis tajny.

$KeyVault = Set-AzTSMMARemovalUtilitySolutionSecretStorage ` 
         -SubscriptionId <KVHostingSubId> `
         -ResourceGroupName <KVHostingRGName> `
         -Location <Location> `
         -KeyVaultName <KeyVaultName> `
         -AADAppPasswordCredential $Identity.Secret
$KeyVault.Outputs.keyVaultResourceId.Value
$KeyVault.Outputs.secretURI.Value
$KeyVault.Outputs.logAnalyticsResourceId.Value

Skrypt zawiera następujące parametry:

Nazwa parametru	opis	Wymagania
SubscriptionId	Identyfikator subskrypcji, w której jest tworzony magazyn kluczy.	Tak
ResourceGroupName	Nazwa grupy zasobów, w której jest tworzony magazyn kluczy. Powinna to być inna grupa zasobów niż grupa zasobów konfiguracji.	Tak
Location	Kontroler domeny lokalizacji, w którym jest tworzony magazyn kluczy. Aby uzyskać lepszą wydajność, zalecamy utworzenie wszystkich zasobów związanych z konfiguracją w jednej lokalizacji. Wartość domyślna to EastUS2.	Nie.
KeyVaultName	Nazwa utworzonego magazynu kluczy.	Tak
AADAppPasswordCredential	Poświadczenia hasła aplikacji Microsoft Entra dla narzędzia do odnajdywania i usuwania MMA.	Tak

Konfigurowanie instalacji

W tym kroku zainstalujesz narzędzie odnajdywania i usuwania MMA. Musisz mieć dostęp właściciela do subskrypcji, w której została utworzona konfiguracja. Zalecamy użycie nowej grupy zasobów dla narzędzia.

Wykonasz następujące operacje:

• Monituj i zbieraj szczegóły dołączania dla kolekcji telemetrii użycia na podstawie preferencji użytkownika.
• Utwórz grupę zasobów, jeśli nie istnieje.
• Utwórz lub zaktualizuj zasoby przy użyciu tożsamości zarządzanych.
• Utwórz lub zaktualizuj pulpit nawigacyjny monitorowania.

$Solution = Install-AzTSMMARemovalUtilitySolution ` 
         -SubscriptionId <HostingSubId> `
         -HostRGName <HostingRGName> `
         -Location <Location> `
         -SupportMultipleTenant `
         -IdentityApplicationId $Identity.ApplicationId `
         -IdentitySecretUri ('@Microsoft.KeyVault(SecretUri={0})' -f $KeyVault.Outputs.secretURI.Value)
$Solution.Outputs.internalMIObjectId.Value

Skrypt zawiera następujące parametry:

Nazwa parametru	opis	Wymagania
SubscriptionId	Identyfikator subskrypcji, w której jest tworzona konfiguracja.	Tak
HostRGName	Nazwa grupy zasobów, w której jest tworzona konfiguracja. Wartość domyślna to AzTS-MMARemovalUtility-Host-RG.	Nie.
Location	Kontroler domeny lokalizacji, na którym jest tworzona konfiguracja. Aby uzyskać lepszą wydajność, zalecamy hostowanie tożsamości zarządzanej oraz narzędzia do odnajdywania i usuwania MMA w tej samej lokalizacji. Wartość domyślna to EastUS2.	Nie.
SupportMultiTenant	Przełącz się do obsługi konfiguracji wielodostępnych.	Nie.
IdentityApplicationId	Identyfikator aplikacji Entra firmy Microsoft.	Tak
IdentitySecretUri	Identyfikator URI wpisu tajnego aplikacji Firmy Microsoft.	Nie.

Udzielanie tożsamości wewnętrznej korygowania z dostępem do magazynu kluczy

W tym kroku utworzysz tożsamość zarządzaną przypisaną przez użytkownika, aby umożliwić aplikacjom funkcji odczytywanie magazynu kluczy na potrzeby uwierzytelniania. Musisz mieć dostęp właściciela do grupy zasobów.

Grant-AzTSMMARemediationIdentityAccessOnKeyVault ` 
    -SubscriptionId <HostingSubId> `
    -ResourceId $KeyVault.Outputs.keyVaultResourceId.Value `
    -UserAssignedIdentityObjectId $Solution.Outputs.internalMIObjectId.Value `
    -SendAlertsToEmailIds @("<EmailId1>","<EmailId2>") `
    -IdentitySecretUri $KeyVault.Outputs.secretURI.Value `
    -LAWorkspaceResourceId $KeyVault.Outputs.logAnalyticsResourceId.Value `
    -DeployMonitoringAlert

Skrypt zawiera następujące parametry:

Nazwa parametru	opis	Wymagania
SubscriptionId	Identyfikator subskrypcji, w której jest tworzona konfiguracja.	Tak
ResourceId	Identyfikator zasobu istniejącego magazynu kluczy.	Tak
UserAssignedIdentityObjectId	Identyfikator obiektu tożsamości zarządzanej.	Tak
SendAlertsToEmailIds	Identyfikatory wiadomości e-mail użytkownika, do których powinny być wysyłane alerty.	Nr; Tak, jeśli DeployMonitoringAlert przełącznik jest włączony
SecretUri	Identyfikator URI wpisu tajnego magazynu kluczy poświadczeń aplikacji narzędzia do odnajdywania i usuwania MMA.	Nr; Tak, jeśli DeployMonitoringAlert przełącznik jest włączony
LAWorkspaceResourceId	Identyfikator zasobu obszaru roboczego usługi Log Analytics skojarzonego z magazynem kluczy.	Nr; Tak, jeśli DeployMonitoringAlert przełącznik jest włączony.
DeployMonitoringAlert	Tworzenie alertów na podstawie dzienników inspekcji magazynu kluczy.	Nr; Tak, jeśli DeployMonitoringAlert przełącznik jest włączony

Konfigurowanie elementu Runbook do zarządzania zakresami adresów IP magazynu kluczy

W tym kroku utworzysz bezpieczny magazyn kluczy z wyłączonym dostępem do sieci publicznej. Zakresy adresów IP dla aplikacji funkcji muszą mieć dostęp do magazynu kluczy. Musisz mieć dostęp właściciela do grupy zasobów.

Wykonasz następujące operacje:

• Utwórz lub zaktualizuj konto usługi Automation.
• Udziel dostępu do konta usługi Automation przy użyciu przypisanej przez system tożsamości zarządzanej w magazynie kluczy.
• Skonfiguruj element Runbook za pomocą skryptu, aby pobrać zakresy adresów IP publikowane przez platformę Azure co tydzień.
• Uruchom element Runbook jeden raz w momencie instalacji i zaplanuj uruchomienie zadania co tydzień.

Set-AzTSMMARemovalUtilityRunbook ` 
    -SubscriptionId <HostingSubId> `
    -ResourceGroupName <HostingRGName> `
    -Location <Location> `
    -FunctionAppUsageRegion <FunctionAppUsageRegion> `
    -KeyVaultResourceId $KeyVault.Outputs.keyVaultResourceId.Value

Skrypt zawiera następujące parametry:

Nazwa parametru	opis	Wymagania
SubscriptionId	Identyfikator subskrypcji, która zawiera konto usługi Automation i magazyn kluczy.	Tak
ResourceGroupName	Nazwa grupy zasobów zawierającej konto automatyzacji i magazyn kluczy.	Tak
Location	Lokalizacja, w której jest tworzone konto usługi Automation. Aby uzyskać lepszą wydajność, zalecamy utworzenie wszystkich zasobów związanych z konfiguracją w tej samej lokalizacji. Wartość domyślna to EastUS2.	Nie.
FunctionAppUsageRegion	Lokalizacja dynamicznych adresów IP dozwolonych w magazynie kluczy. Domyślna lokalizacja to EastUS2.	Tak
KeyVaultResourceId	Identyfikator zasobu magazynu kluczy dla dozwolonych adresów IP.	Tak

Konfigurowanie nazw SPN i udzielanie wymaganych ról dla każdej dzierżawy

W tym kroku utworzysz nazwy główne usługi (SPN) dla każdej dzierżawy i przyznasz uprawnienie do każdej dzierżawy. Instalator wymaga dostępu czytelnika, współautora maszyny wirtualnej i współautora maszyny wirtualnej programu Azure Arc ScVmm w zakresach. Skonfigurowane zakresy mogą być dzierżawą, grupą zarządzania lub subskrypcją albo mogą być zarówno grupą zarządzania, jak i subskrypcją.

Dla każdej dzierżawy wykonaj kroki i upewnij się, że masz wystarczające uprawnienia do tworzenia nazw SPN w drugiej dzierżawie. Musisz mieć uprawnienia Administracja istrator lub właściciel dostępu użytkowników w skonfigurowanych zakresach. Aby na przykład uruchomić konfigurację w określonej subskrypcji, musisz mieć przypisanie roli user access Administracja istrator dla tej subskrypcji, aby udzielić nazwy SPN z wymaganymi uprawnieniami.

$TenantId = "<TenantId>"
Disconnect-AzureAD
Connect-AzureAD -TenantId $TenantId
$SPN = Set-AzSKTenantSecuritySolutionMultiTenantIdentitySPN -AppId $Identity.ApplicationId
Grant-AzSKAzureRoleToMultiTenantIdentitySPN -AADIdentityObjectId $SPN.ObjectId `
    -TargetSubscriptionIds @("<SubId1>","<SubId2>","<SubId3>") `
    -TargetManagementGroupNames @("<MGName1>","<MGName2>","<MGName3>")

Skrypt zawiera następujące parametry dla polecenia Set-AzSKTenantSecuritySolutionMultiTenantIdentitySPN:

Nazwa parametru	opis	Wymagania
AppId	Utworzony identyfikator aplikacji.	Tak

Skrypt zawiera następujące parametry dla polecenia Grant-AzSKAzureRoleToMultiTenantIdentitySPN:

Nazwa parametru	opis	Wymagania
AADIdentityObjectId	Obiekt tożsamości.	Tak
TargetSubscriptionIds	Lista docelowych identyfikatorów subskrypcji do uruchomienia konfiguracji.	Nie.
TargetManagementGroupNames	Lista docelowych nazw grup zarządzania do uruchomienia instalacji.	Nie.

Konfigurowanie zakresów docelowych

Zakresy docelowe można skonfigurować przy użyciu polecenia Set-AzTSMMARemovalUtilitySolutionScopes:

$ConfiguredTargetScopes = Set-AzTSMMARemovalUtilitySolutionScopes ` 
         -SubscriptionId <HostingSubId> `
         -ResourceGroupName <HostingRGName> `
         -ScopesFilePath <ScopesFilePath>

Skrypt zawiera następujące parametry:

Nazwa parametru	opis	Wymagania
SubscriptionId	Identyfikator subskrypcji, w której zainstalowano instalatora.	Tak
ResourceGroupName	Nazwa grupy zasobów, w której jest zainstalowana konfiguracja.	Tak
ScopesFilePath	Ścieżka pliku z konfiguracjami zakresu docelowego.	Tak

Plik konfiguracji zakresu jest plikiem CSV z wierszem nagłówka i trzema kolumnami:

Typ zakresu	Idzakresu	TenantId
Subskrypcja	/subscriptions/abb5301a-22a4-41f9-9e5f-99badff261f8	72f988bf-86f1-41af-91ab-2d7cd011db47
Subskrypcja	/subscriptions/71bdd12b-ae1d-499a-a4ea-e32d4c1d9c35	e60f12c0-e1dc-4be1-8d86-e979a5527830

Uruchamianie narzędzia

Odnajdywanie

Update-AzTSMMARemovalUtilityDiscoveryTrigger ` 
    -SubscriptionId <HostingSubId> `
    -ResourceGroupName <HostingRGName> `
    -StartScopeResolverAfterMinutes 60 `
    -StartExtensionDiscoveryAfterMinutes 30 

Skrypt zawiera następujące parametry:

Nazwa parametru	opis	Wymagania
SubscriptionId	Identyfikator subskrypcji, w której zainstalowano narzędzie.	Tak
ResourceGroupName	Nazwa grupy zasobów, w której zainstalowano narzędzie.	Tak
StartScopeResolverAfterMinutes	Czas ( w minutach) poczekaj przed uruchomieniem narzędzia rozpoznawania.	Tak (wzajemnie wykluczające się z -StartScopeResolverImmediately)
StartScopeResolverImmediately	Wskaźnik, aby natychmiast uruchomić program rozpoznawania nazw.	Tak (wzajemnie wykluczające się z -StartScopeResolverAfterMinutes)
StartExtensionDiscoveryAfterMinutes	Czas w minutach, aby poczekać na uruchomienie odnajdywania (powinien być po zakończeniu rozpoznawania).	Tak (wzajemnie wykluczające się z -StartExtensionDiscoveryImmediatley)
StartExtensionDiscoveryImmediatley	Wskaźnik uruchamiania odnajdywania rozszerzeń natychmiast.	Tak (wzajemnie wykluczające się z -StartExtensionDiscoveryAfterMinutes)

Usuwania

Domyślnie faza usuwania jest wyłączona. Zalecamy jego uruchomienie po zweryfikowaniu spisu maszyn z kroku odnajdywania.

Update-AzTSMMARemovalUtilityRemovalTrigger ` 
    -SubscriptionId <HostingSubId> `
    -ResourceGroupName <HostingRGName> `
    -StartAfterMinutes 60 `
    -EnableRemovalPhase `
    -RemovalCondition 'CheckForAMAPresence'

Skrypt zawiera następujące parametry:

Nazwa parametru	opis	Wymagania
SubscriptionId	Identyfikator subskrypcji, w której zainstalowano narzędzie.	Tak
ResourceGroupName	Nazwa grupy zasobów, w której zainstalowano narzędzie.	Tak
StartAfterMinutes	Czas w minutach, aby poczekać przed rozpoczęciem usuwania.	Tak (wzajemnie wykluczające się z -StartImmediately)
StartImmediately	Wskaźnik natychmiastowego uruchomienia fazy usuwania.	Tak (wzajemnie wykluczające się z -StartAfterMinutes)
EnableRemovalPhase	Wskaźnik umożliwiający włączenie fazy usuwania.	Tak (wzajemnie wykluczające się z -DisableRemovalPhase)
RemovalCondition	Wskaźnik, że rozszerzenie MMA powinno zostać usunięte po wystąpieniu CheckForAMAPresence rozszerzenia AMA. W SkipAMAPresenceCheck każdym przypadku rozszerzenie AMA jest obecne, czy nie.	Nie.
DisableRemovalPhase	Wskaźnik wyłączania fazy usuwania.	Tak (wzajemnie wykluczające się z -EnableRemovalPhase)

Poniżej przedstawiono znane problemy z usuwaniem:

• Usunięcie programu MMA w zestawie skalowania maszyn wirtualnych, w którym tryb aranżacji zależy Uniform od zasad uaktualniania. Zalecamy ręczne uaktualnienie wystąpienia, jeśli zasady są ustawione na Manual.

• Jeśli zostanie wyświetlony następujący komunikat o błędzie, uruchom ponownie polecenie instalacji z tymi samymi wartościami parametrów:

  The deployment MMARemovalenvironmentsetup-20233029T103026 failed with error(s). Showing 1 out of 1 error(s). Status Message: (Code:BadRequest) - We observed intermittent issue with App service deployment.

  Polecenie powinno kontynuować bez żadnego błędu w następnej próbie.

• Jeśli kafelek postępu usuwania rozszerzenia pokazuje błędy na pulpitach nawigacyjnych monitorowania, skorzystaj z następujących informacji, aby je rozwiązać:

  Kod błędu	Opis/przyczyna	Następne kroki
  AuthorizationFailed	Tożsamość korygowania nie ma uprawnień do wykonywania operacji usuwania rozszerzeń na maszynach wirtualnych, zestawach skalowania maszyn wirtualnych ani na serwerach usługi Azure Arc.	Udziel roli Współautor maszyny wirtualnej tożsamości korygowania na maszynach wirtualnych. Udziel roli Współautor maszyny wirtualnej scVmm usługi Azure Arc do tożsamości korygowania w zestawach skalowania maszyn wirtualnych. Następnie ponownie uruchom fazę usuwania.
  OperationNotAllowed	Zasoby są w stanie cofnięcia przydziału lub na zasobach jest stosowana blokada.	Włącz zasoby, które zakończyły się niepowodzeniem i/lub usuń blokadę, a następnie ponownie uruchom fazę usuwania.

Narzędzie zbiera szczegóły błędu w obszarze roboczym usługi Log Analytics użytym podczas instalacji. Przejdź do obszaru roboczego usługi Log Analytics, wybierz pozycję Dzienniki, a następnie uruchom następujące zapytanie:

let timeago = timespan(7d);
InventoryProcessingStatus_CL
| where TimeGenerated > ago(timeago) and Source_s == "AzTS_07_ExtensionRemovalProcessor"
| where ProcessingStatus_s !~ "Initiated"
| summarize arg_max(TimeGenerated,*) by tolower(ResourceId)
| project ResourceId, ProcessingStatus_s, ProcessErrorDetails_s

Oczyszczania

Narzędzie do odnajdywania i usuwania MMA tworzy zasoby, które należy wyczyścić po usunięciu programu MMA z infrastruktury. Wykonaj następujące kroki, aby wyczyścić:

1. Przejdź do folderu zawierającego pakiet wdrożeniowy i załaduj skrypt oczyszczania:

   CD "<LocalExtractedFolderPath>\AzTSMMARemovalUtilityDeploymentFiles"
   . ".\MMARemovalUtilityCleanUpScript.ps1"
   

2. Uruchom skrypt oczyszczania:

   Remove-AzTSMMARemovalUtilitySolutionResources ` 
       -SubscriptionId <HostingSubId> `
       -ResourceGroupName <HostingRGName> `
       [-DeleteResourceGroup `]
       -KeepInventoryAndProcessLogs
   

Skrypt zawiera następujące parametry:

Nazwa parametru	opis	Wymagania
SubscriptionId	Identyfikator subskrypcji, którą usuwasz.	Tak
ResourceGroupName	Nazwa grupy zasobów, którą usuwasz.	Tak
DeleteResourceGroup	Flaga logiczna w celu usunięcia całej grupy zasobów.	Tak
KeepInventoryAndProcessLogs	Flaga logiczna w celu wykluczenia obszaru roboczego usługi Log Analytics i Szczegółowe informacje aplikacji. Nie można go używać z DeleteResourceGroupprogramem .	Nie.