Utilitário de Descoberta e Remoção do MMA

Após migrar seus computadores para o AMA (Agente do Azure Monitor), você precisará remover o Agente do Log Analytics (também chamado de Agente de Gerenciamento da Microsoft ou MMA), para evitar a duplicação de logs. O Utilitário de Descoberta e Remoção do MMA da AzTS (Solução de segurança para locatários do Azure), pode remover centralmente a extensão do MMA de VMs (máquinas virtuais) do Azure, conjuntos de dimensionamento de máquinas virtuais do Azure e servidores do Azure Arc de um locatário.

O utilitário funciona em duas etapas:

1. Descoberta: o utilitário cria um inventário de todos os computadores que têm o MMA instalado. É reemendável que você não crie novas VMs, conjuntos de dimensionamento de máquinas virtuais ou servidores do Azure Arc com a extensão do MMA enquanto o utilitário estiver em execução.

2. Remoção: o utilitário seleciona computadores que têm o MMA e o AMA e remove a extensão do MMA. É possível desabilitar essa etapa e executá-la depois de validar a lista de computadores. Há uma opção para remover a extensão de computadores que têm apenas o MMA, mas é recomendável que você primeiro migre todas as dependências para o AMA e, em seguida, remova o MMA.

Pré-requisitos

Execute todas as etapas de instalação no Visual Studio Code com a extensão do PowerShell. Você precisa de:

• Windows 10 ou posterior, ou Windows Server 2019 ou posterior.
• PowerShell 5.0 ou posterior. Verifique a versão executando $PSVersionTable.
• PowerShell. O idioma deve ser definido como modo FullLanguage. Verifique o modo executando $ExecutionContext.SessionState.LanguageMode no PowerShell. Para obter mais informações, consulte a referência do PowerShell.
• Bicep. Os scripts de instalação usam o Bicep para automatizar a instalação. Verifique a instalação executando bicep --version. Para obter mais informações, confira Instalar as ferramentas do Bicep.
• Uma identidade gerenciada atribuída pelo usuário que tem acesso de Leitor, Colaborador de Máquina Virtual e Colaborador de VM do SCVMM do Azure Arc nos escopos de destino.
• Um novo grupo de recursos para conter todos os recursos do Azure que a automação de instalação cria automaticamente.
• Permissão apropriada nos escopos configurados. Para conceder a identidade gerenciada atribuída pelo usuário de correção com as funções mencionadas anteriormente nos escopos de destino, é necessário ter permissão de Administrador de Acesso do Usuário ou Proprietário. Por exemplo, caso esteja definindo a configuração para uma assinatura específica, deverá ter a atribuição de função de Administrador de Acesso do Usuário nessa assinatura, para que o script possa fornecer as permissões para a identidade gerenciada atribuída pelo usuário de correção.

Fazer download do pacote de implantação

O pacote de implantação contém:

• Modelos Bicep, que contêm detalhes de configuração de recurso que você cria como parte da instalação.
• Scripts de instalação de implantação, que fornecem o cmdlet para executar a instalação.

Para instalar o pacote:

1. Acesse o Repositório do GitHub das AzTS-docs. Faça download do arquivo de pacote de implantação, AzTSMMARemovalUtilityDeploymentFiles.zip, no computador local.

2. Extraia o arquivo .zip para a pasta local.

3. Desbloqueie os arquivos usando este script:

   Get-ChildItem -Path "<Extracted folder path>" -Recurse | Unblock-File 
   

Configurar o utilitário

Locatário único

1. Acesse a pasta de implantação e carregue o script de instalação consolidado. É necessário ter acesso de Proprietário na assinatura.

   CD "<LocalExtractedFolderPath>\AzTSMMARemovalUtilityDeploymentFiles"
   . ".\MMARemovalUtilityConsolidatedSetup.ps1"
   

2. Entre na conta do Azure usando o seguinte comando do PowerShell:

   $TenantId = "<TenantId>"
   Connect-AzAccount -Tenant $TenantId
   

3. Execute o script de instalação para executar as seguintes operações:

   • Instale os módulos do Az necessários.
   • Configure a identidade gerenciada atribuída pelo usuário de correção.
   • Solicite e colete detalhes de integração para a coleção de telemetria de uso com base na preferência do usuário.
   • Crie ou atualize o grupo de recursos.
   • Crie ou atualize os recursos com as identidades gerenciadas atribuídas.
   • Crie ou atualize o painel de monitoramento.
   • Configure os escopos de destino.

   $SetupInstallation = Install-AzTSMMARemovalUtilitySolutionConsolidated `
            -RemediationIdentityHostSubId <MIHostingSubId> `
            -RemediationIdentityHostRGName <MIHostingRGName> `
            -RemediationIdentityName <MIName> `
            -TargetSubscriptionIds @("<SubId1>","<SubId2>","<SubId3>") `
            -TargetManagementGroupNames @("<MGName1>","<MGName2>","<MGName3>") `
            -TenantScope `
            -SubscriptionId <HostingSubId> `
            -HostRGName <HostingRGName> `
            -Location <Location> `
            -AzureEnvironmentName <AzureEnvironmentName>
   

   O script contém estes parâmetros:

   Nome do parâmetro	Descrição	Obrigatório
   RemediationIdentityHostSubId	ID da assinatura para criar recursos de correção.	Sim
   RemediationIdentityHostRGName	Novo nome do grupo de recursos para criar a correção. Assume o padrão de AzTS-MMARemovalUtility-RG.	Não
   RemediationIdentityName	Nome da identidade gerenciada de correção.	Sim
   TargetSubscriptionIds	Lista de IDs de assinatura de destino a serem executadas.	Não
   TargetManagementGroupNames	Lista de nomes de grupos de gerenciamento de destino a serem executados.	Não
   TenantScope	Escopo do locatário para atribuir funções por meio da ID do locatário.	Não
   SubscriptionId	ID da assinatura onde a instalação está instalada.	Sim
   HostRGName	Nome do novo grupo de recursos onde a identidade gerenciada de correção é criada. O valor padrão é AzTS-MMARemovalUtility-Host-RG.	Não
   Location	Controlador de domínio de localização onde a instalação é criada. O valor padrão é EastUS2.	Não
   AzureEnvironmentName	Ambiente do Azure onde a solução está instalada: AzureCloud ou AzureGovernmentCloud. O valor padrão é AzureCloud.	Não

Multilocatário

Esta seção orientará você pelas etapas para configurar o Utilitário de Descoberta e Remoção de multilocatário da AzTS do MMA. Essa configuração pode levar até 30 minutos.

Carregue o script de instalação

Aponte o caminho atual para a pasta que contém o pacote de implantação extraído e execute o script de instalação:

CD "<LocalExtractedFolderPath>\AzTSMMARemovalUtilityDeploymentFiles"
. ".\MMARemovalUtilitySetup.ps1"

Instalar módulos do Az necessários

Os módulos do Az do PowerShell contêm cmdlets para implantar recursos do Azure. Instale os módulos do Az necessários usando o comando a seguir. Para obter mais informações sobre módulos do Az, consulte Como instalar o Azure PowerShell. Aponte o caminho atual para o local da pasta extraída.

Set-Prerequisites

Configurar identidade multilocatário

Nesta etapa, você configurará uma identidade de aplicativo do Microsoft Entra usando uma entidade de serviço. Entre na conta do Microsoft Entra em que deseja instalar a instalação do Utilitário de Descoberta e Remoção do MMA usando o comando do PowerShell.

Execute as seguintes operações:

• Crie um aplicativo multilocatário do Microsoft Entra se não for fornecido um, com uma ID de objeto de aplicativo do Microsoft Entra preexistente.
• Crie credenciais de senha para o aplicativo do Microsoft Entra.

Disconnect-AzAccount
Disconnect-AzureAD
$TenantId = "<TenantId>"
Connect-AzAccount -Tenant $TenantId
Connect-AzureAD -TenantId $TenantId

$Identity = Set-AzTSMMARemovalUtilitySolutionMultiTenantRemediationIdentity `
         -DisplayName <AADAppDisplayName> `
         -ObjectId <PreExistingAADAppId> `
         -AdditionalOwnerUPNs @("<OwnerUPN1>","<OwnerUPN2>")
$Identity.ApplicationId
$Identity.ObjectId
$Identity.Secret

O script contém estes parâmetros:

Nome do parâmetro	Descrição	Obrigatório
DisplayName	Nome de exibição da identidade de correção.	Sim
ObjectId	ID do objeto da identidade de correção.	Não
AdditionalOwnerUPNs	UPNs (nomes de entidade de usuário) dos proprietários para o aplicativo a ser criado.	Não

Configurar o armazenamento

Nesta etapa, você configurará o armazenamento para segredos. É necessário ter acesso de Proprietário na assinatura para criar um grupo de recursos.

Execute as seguintes operações:

• Crie ou atualize o grupo de recursos para um cofre de chaves.
• Crie ou atualize o cofre de chaves.
• Armazene o segredo.

$KeyVault = Set-AzTSMMARemovalUtilitySolutionSecretStorage ` 
         -SubscriptionId <KVHostingSubId> `
         -ResourceGroupName <KVHostingRGName> `
         -Location <Location> `
         -KeyVaultName <KeyVaultName> `
         -AADAppPasswordCredential $Identity.Secret
$KeyVault.Outputs.keyVaultResourceId.Value
$KeyVault.Outputs.secretURI.Value
$KeyVault.Outputs.logAnalyticsResourceId.Value

O script contém estes parâmetros:

Nome do parâmetro	Descrição	Obrigatório
SubscriptionId	ID da assinatura onde o cofre de chaves é criado.	Sim
ResourceGroupName	Nome do grupo de recursos onde o cofre de chaves é criado. Ele deve ser um grupo de recursos diferente do grupo de recursos de instalação.	Sim
Location	Controlador de domínio de localização em que o cofre de chaves é criado. Para melhorar o desempenho, é recomendável a criação de todos os recursos relacionados à instalação em um único local. O valor padrão é EastUS2.	Não
KeyVaultName	Nome do cofre de chaves que foi criado.	Sim
AADAppPasswordCredential	Credenciais de senha de aplicativo do Microsoft Entra para o Utilitário de Descoberta e Remoção do MMA.	Sim

Configurar a instalação

Nesta etapa, você instalará o Utilitário de Descoberta e Remoção do MMA. É necessário ter acesso de Proprietário à assinatura em que a configuração é criada. É recomendável usar um novo grupo de recursos para o utilitário.

Execute as seguintes operações:

• Solicite e colete detalhes de integração para a coleção de telemetria de uso com base na preferência do usuário.
• Crie um grupo de recursos se ele não existir
• Crie ou atualize os recursos com identidades gerenciadas.
• Crie ou atualize o painel de monitoramento.

$Solution = Install-AzTSMMARemovalUtilitySolution ` 
         -SubscriptionId <HostingSubId> `
         -HostRGName <HostingRGName> `
         -Location <Location> `
         -SupportMultipleTenant `
         -IdentityApplicationId $Identity.ApplicationId `
         -IdentitySecretUri ('@Microsoft.KeyVault(SecretUri={0})' -f $KeyVault.Outputs.secretURI.Value)
$Solution.Outputs.internalMIObjectId.Value

O script contém estes parâmetros:

Nome do parâmetro	Descrição	Obrigatório
SubscriptionId	ID da assinatura onde a configuração é criada.	Sim
HostRGName	Nome do grupo de recursos em que a instalação é criada. O valor padrão é AzTS-MMARemovalUtility-Host-RG.	Não
Location	Controlador de domínio de localização onde a instalação é criada. Para obter melhor desempenho, é recomendável hospedar a identidade gerenciada e o Utilitário de Descoberta e Remoção do MMA no mesmo local. O valor padrão é EastUS2.	Não
SupportMultiTenant	Alterne para dar suporte à configuração multilocatário.	Não
IdentityApplicationId	ID do aplicativo do Microsoft Entra.	Sim
IdentitySecretUri	URI do segredo do aplicativo do Microsoft Entra.	Não

Conceder uma identidade de correção interna com acesso ao cofre de chaves

Nesta etapa, você criará uma identidade gerenciada atribuída pelo usuário para permitir que os aplicativos de funções leiam o cofre de chaves para autenticação. É necessário ter acesso de Proprietário ao grupo de recursos.

Grant-AzTSMMARemediationIdentityAccessOnKeyVault ` 
    -SubscriptionId <HostingSubId> `
    -ResourceId $KeyVault.Outputs.keyVaultResourceId.Value `
    -UserAssignedIdentityObjectId $Solution.Outputs.internalMIObjectId.Value `
    -SendAlertsToEmailIds @("<EmailId1>","<EmailId2>") `
    -IdentitySecretUri $KeyVault.Outputs.secretURI.Value `
    -LAWorkspaceResourceId $KeyVault.Outputs.logAnalyticsResourceId.Value `
    -DeployMonitoringAlert

O script contém estes parâmetros:

Nome do parâmetro	Descrição	Obrigatório
SubscriptionId	ID da assinatura onde a configuração é criada.	Sim
ResourceId	ID do recurso do cofre de chaves existente.	Sim
UserAssignedIdentityObjectId	ID do objeto de sua identidade gerenciada.	Sim
SendAlertsToEmailIds	IDs de email do usuário para quem os alertas devem ser enviados.	Não; sim, se a opção DeployMonitoringAlert estiver habilitada
SecretUri	URI do segredo do cofre de chaves das credenciais do aplicativo do Utilitário de Descoberta e Remoção do MMA.	Não; sim, se a opção DeployMonitoringAlert estiver habilitada
LAWorkspaceResourceId	ID do recurso do workspace do Log Analytics associado ao cofre de chaves.	Não; sim, se a opção DeployMonitoringAlert estiver habilitada.
DeployMonitoringAlert	Criação de alertas sobre os logs de auditoria do cofre de chaves.	Não; sim, se a opção DeployMonitoringAlert estiver habilitada

Configurar um runbook para gerenciar intervalos de IP do cofre de chaves

Nesta etapa, você criará um cofre de chaves seguro com acesso à rede pública desabilitado. Intervalos de IP para aplicativos de funções devem ter acesso permitido ao cofre de chaves. É necessário ter acesso de Proprietário ao grupo de recursos.

Execute as seguintes operações:

• Crie ou atualize a conta de automação.
• Conceda acesso à conta de automação usando uma identidade gerenciada atribuída pelo sistema no cofre de chaves.
• Configure o runbook com um script para buscar os intervalos de IP que o Azure publica toda semana.
• Execute o runbook uma vez no momento da instalação e agende uma tarefa a ser executada toda semana.

Set-AzTSMMARemovalUtilityRunbook ` 
    -SubscriptionId <HostingSubId> `
    -ResourceGroupName <HostingRGName> `
    -Location <Location> `
    -FunctionAppUsageRegion <FunctionAppUsageRegion> `
    -KeyVaultResourceId $KeyVault.Outputs.keyVaultResourceId.Value

O script contém estes parâmetros:

Nome do parâmetro	Descrição	Obrigatório
SubscriptionId	ID da assinatura que inclui a conta de automação e o cofre de chaves.	Sim
ResourceGroupName	Nome do grupo de recursos que contém a conta de automação e o cofre de chaves.	Sim
Location	Local onde sua conta de automação é criada. Para melhorar o desempenho, é recomendável a criação de todos os recursos relacionados à instalação no mesmo local. O valor padrão é EastUS2.	Não
FunctionAppUsageRegion	Localização de endereços IP dinâmicos permitidos no cofre de chaves. A localização padrão é EastUS2.	Sim
KeyVaultResourceId	ID do recurso do cofre de chaves para endereços IP permitidos.	Sim

Configurar SPNs e conceder funções necessárias para cada locatário

Nesta etapa, você criará os SPNs (nomes de entidade de serviço), para cada locatário e concede permissão a cada locatário. A instalação requer acesso de Leitor, Colaborador de Máquina Virtual e Colaborador de VM do SCVMM do Azure Arc nos escopos. Os escopos configurados podem ser locatário, grupo de gerenciamento ou assinatura ou podem ser grupo de gerenciamento e assinatura.

Para cada locatário, execute as etapas e verifique se você tem permissões suficientes no outro locatário para criar SPNs. É necessário ter a permissão de Administrador de Acesso do Usuário ou Proprietário nos escopos configurados. Por exemplo, para executar a instalação em uma assinatura específica, é necessário ter uma atribuição de função de Administrador de Acesso de Usuário nessa assinatura para conceder ao SPN as permissões necessárias.

$TenantId = "<TenantId>"
Disconnect-AzureAD
Connect-AzureAD -TenantId $TenantId
$SPN = Set-AzSKTenantSecuritySolutionMultiTenantIdentitySPN -AppId $Identity.ApplicationId
Grant-AzSKAzureRoleToMultiTenantIdentitySPN -AADIdentityObjectId $SPN.ObjectId `
    -TargetSubscriptionIds @("<SubId1>","<SubId2>","<SubId3>") `
    -TargetManagementGroupNames @("<MGName1>","<MGName2>","<MGName3>")

O script contém estes parâmetros para Set-AzSKTenantSecuritySolutionMultiTenantIdentitySPN:

Nome do parâmetro	Descrição	Obrigatório
AppId	A ID do aplicativo criado.	Sim

O script contém estes parâmetros para Grant-AzSKAzureRoleToMultiTenantIdentitySPN:

Nome do parâmetro	Descrição	Obrigatório
AADIdentityObjectId	Seu objeto de identidade.	Sim
TargetSubscriptionIds	Sua lista de IDs de assinatura de destino para executar a configuração.	Não
TargetManagementGroupNames	Sua lista de nomes de grupo de gerenciamento de destino para executar a instalação.	Não

Configurar escopos de destino

Configure escopos de destino usando Set-AzTSMMARemovalUtilitySolutionScopes:

$ConfiguredTargetScopes = Set-AzTSMMARemovalUtilitySolutionScopes ` 
         -SubscriptionId <HostingSubId> `
         -ResourceGroupName <HostingRGName> `
         -ScopesFilePath <ScopesFilePath>

O script contém estes parâmetros:

Nome do parâmetro	Descrição	Obrigatório
SubscriptionId	ID da sua assinatura em que a instalação está instalada.	Sim
ResourceGroupName	Nome do grupo de recursos em que a instalação está instalada.	Sim
ScopesFilePath	Caminho do arquivo com configurações de escopo de destino.	Sim

O arquivo de configuração de escopo é um arquivo CSV com uma linha de cabeçalho e três colunas:

ScopeType	ScopeId	TenantId
Assinatura	/subscriptions/abb5301a-22a4-41f9-9e5f-99badff261f8	72f988bf-86f1-41af-91ab-2d7cd011db47
Assinatura	/subscriptions/71bdd12b-ae1d-499a-a4ea-e32d4c1d9c35	e60f12c0-e1dc-4be1-8d86-e979a5527830

Executar o utilitário

Discovery

Update-AzTSMMARemovalUtilityDiscoveryTrigger ` 
    -SubscriptionId <HostingSubId> `
    -ResourceGroupName <HostingRGName> `
    -StartScopeResolverAfterMinutes 60 `
    -StartExtensionDiscoveryAfterMinutes 30 

O script contém estes parâmetros:

Nome do parâmetro	Descrição	Obrigatório
SubscriptionId	ID da assinatura onde o utilitário foi instalado.	Sim
ResourceGroupName	Nome do grupo de recursos onde o utilitário foi instalado.	Sim
StartScopeResolverAfterMinutes	Tempo, em minutos, para aguardar antes de executar o resolvedor.	Sim (mutuamente exclusivo com -StartScopeResolverImmediately)
StartScopeResolverImmediately	Indicador para executar imediatamente o resolvedor.	Sim (mutuamente exclusivo com -StartScopeResolverAfterMinutes)
StartExtensionDiscoveryAfterMinutes	Tempo, em minutos, para aguardar para executar a descoberta (deve ser após o resolvedor ser concluído).	Sim (mutuamente exclusivo com -StartExtensionDiscoveryImmediatley)
StartExtensionDiscoveryImmediatley	Indicador para executar imediatamente a descoberta de extensão.	Sim (mutuamente exclusivo com -StartExtensionDiscoveryAfterMinutes)

Remoção

Por padrão, a fase de remoção está desabilitada. É recomendável executá-lo depois de validar o inventário de computadores da etapa de descoberta.

Update-AzTSMMARemovalUtilityRemovalTrigger ` 
    -SubscriptionId <HostingSubId> `
    -ResourceGroupName <HostingRGName> `
    -StartAfterMinutes 60 `
    -EnableRemovalPhase `
    -RemovalCondition 'CheckForAMAPresence'

O script contém estes parâmetros:

Nome do parâmetro	Descrição	Obrigatório
SubscriptionId	ID da assinatura onde o utilitário foi instalado.	Sim
ResourceGroupName	Nome do grupo de recursos onde o utilitário foi instalado.	Sim
StartAfterMinutes	Tempo, em minutos, para aguardar antes de iniciar a remoção.	Sim (mutuamente exclusivo com -StartImmediately)
StartImmediately	Indicador para executar imediatamente a fase de remoção.	Sim (mutuamente exclusivo com -StartAfterMinutes)
EnableRemovalPhase	Indicador para habilitar a fase de remoção.	Sim (mutuamente exclusivo com -DisableRemovalPhase)
RemovalCondition	Indicador de que a extensão do MMA deve ser removida quando a extensão do AMA CheckForAMAPresence estiver presente. Aplica-se SkipAMAPresenceCheck em todos os casos, se uma extensão do AMA está presente ou não.	Não
DisableRemovalPhase	Indicador de desabilitação da fase de remoção.	Sim (mutuamente exclusivo com -EnableRemovalPhase)

Aqui estão os problemas conhecidos com a remoção:

• A remoção do MMA em um conjunto de dimensionamento de máquinas virtuais em que o modo de orquestração depende Uniform da política de atualização. É recomendável atualizar manualmente a instância se a política estiver definida como Manual.

• Caso receba a seguinte mensagem de erro, execute novamente o comando de instalação com os mesmos valores de parâmetro:

  The deployment MMARemovalenvironmentsetup-20233029T103026 failed with error(s). Showing 1 out of 1 error(s). Status Message: (Code:BadRequest) - We observed intermittent issue with App service deployment.

  O comando deve continuar sem nenhum erro na próxima tentativa.

• Se o bloco de progresso para remoção de extensão mostrar falhas nos painéis de monitoramento, use as seguintes informações para resolvê-los:

  Código de erro	Descrição/motivo	Próximas etapas
  AuthorizationFailed	A identidade de correção não tem permissão para executar uma operação de exclusão de extensão em VMs, conjuntos de dimensionamento de máquinas virtuais ou servidores do Azure Arc.	Conceda a função de Colaborador da VM à identidade de correção em VMs. Conceda a função de Colaborador de VM do SCVMM do Azure Arc à identidade de correção em conjuntos de dimensionamento de máquinas virtuais. Em seguida, execute novamente a fase de remoção.
  OperationNotAllowed	Os recursos estão em um estado desalocado ou um bloqueio é aplicado nos recursos.	Ative recursos com falha e/ou remova o bloqueio e execute novamente a fase de remoção.

O utilitário coleta detalhes de erro no workspace do Log Analytics que foi usado durante a instalação. Acesse o workspace do Log Analytics, selecione Logs e execute a seguinte consulta:

let timeago = timespan(7d);
InventoryProcessingStatus_CL
| where TimeGenerated > ago(timeago) and Source_s == "AzTS_07_ExtensionRemovalProcessor"
| where ProcessingStatus_s !~ "Initiated"
| summarize arg_max(TimeGenerated,*) by tolower(ResourceId)
| project ResourceId, ProcessingStatus_s, ProcessErrorDetails_s

Limpeza

O Utilitário de Descoberta e Remoção do MMA cria recursos que é necessário limpar depois de remover o MMA de sua infraestrutura. Conclua as seguintes etapas para limpar:

1. Acesse a pasta que contém o pacote de implantação e carregue o script de limpeza:

   CD "<LocalExtractedFolderPath>\AzTSMMARemovalUtilityDeploymentFiles"
   . ".\MMARemovalUtilityCleanUpScript.ps1"
   

2. Execute o script de limpeza:

   Remove-AzTSMMARemovalUtilitySolutionResources ` 
       -SubscriptionId <HostingSubId> `
       -ResourceGroupName <HostingRGName> `
       [-DeleteResourceGroup `]
       -KeepInventoryAndProcessLogs
   

O script contém estes parâmetros:

Nome do parâmetro	Descrição	Obrigatório
SubscriptionId	ID da assinatura que você está excluindo.	Sim
ResourceGroupName	Nome do grupo de recursos que você está excluindo.	Sim
DeleteResourceGroup	Sinalizador booliano para excluir um grupo de recursos inteiro.	Sim
KeepInventoryAndProcessLogs	Sinalizador booliano para excluir o workspace do Log Analytics e o Application Insights. Não é possível usá-lo com DeleteResourceGroup.	Não