Служебная программа обнаружения и удаления MMA

После переноса компьютеров в агент Azure Monitor (AMA) необходимо удалить агент Log Analytics (также называемый microsoft Management Agent или MMA), чтобы избежать дублирования журналов. Служебная программа обнаружения и удаления MMA решения azure (AzTS) для обеспечения безопасности клиента (AzTS) может централизованно удалить расширение MMA из виртуальных машин Azure, масштабируемых наборов виртуальных машин Azure и серверов Azure Arc из клиента.

Примечание.

Эта программа используется для обнаружения и удаления расширений MMA. Это не приведет к удалению расширений OMS, OMS необходимо удалить вручную, выполнив сценарий очистки здесь: очистка агента Linux

Служебная программа работает двумя шагами:

1. Обнаружение: служебная программа создает инвентаризацию всех компьютеров, на которых установлена MMA. Рекомендуется не создавать новые виртуальные машины, масштабируемые наборы виртуальных машин или серверы Azure Arc с расширением MMA во время выполнения программы.

2. Удаление: служебная программа выбирает компьютеры, имеющие как MMA, так и AMA, и удаляет расширение MMA. Этот шаг можно отключить и запустить после проверки списка компьютеров. Существует возможность удалить расширение с компьютеров, имеющих только MMA, но мы рекомендуем сначала перенести все зависимости в AMA, а затем удалить MMA.

Необходимые компоненты

Выполните все действия по настройке в Visual Studio Code с расширением PowerShell. Необходимые компоненты:

• Windows 10 или более поздней версии или Windows Server 2019 или более поздней версии.
• PowerShell 5.0 или более поздней версии. Проверьте версию, выполнив команду $PSVersionTable.
• PowerShell. Язык должен быть задан в FullLanguage режиме. Проверьте режим, выполнив в $ExecutionContext.SessionState.LanguageMode PowerShell. Дополнительные сведения см. в справочнике по PowerShell.
• Bicep Скрипты установки используют Bicep для автоматизации установки. Проверьте установку, выполнив команду bicep --version. Дополнительные сведения см. в статье Установка средств Bicep.
• Назначаемое пользователем управляемое удостоверение с доступом читателя, участника виртуальной машины и участника виртуальной машины Azure Arc ScVmm на целевых область.
• Новая группа ресурсов, которая будет содержать все ресурсы Azure, создаваемые автоматизацией установки автоматически.
• Соответствующее разрешение для настроенных область. Чтобы предоставить управляемое удостоверение, назначаемое пользователем, с ранее упоминание ролями в целевых область, необходимо иметь разрешение Администратор доступа пользователей или владельца. Например, если вы настраиваете настройку для определенной подписки, необходимо указать назначение роли пользователя Администратор istrator в этой подписке, чтобы скрипт смог предоставить разрешения для управляемого удостоверения, назначаемого пользователем.

Скачивание пакета развертывания

Пакет развертывания содержит следующее:

• Шаблоны Bicep, содержащие сведения о конфигурации ресурсов, которые создаются в процессе установки.
• Скрипты установки развертывания, которые предоставляют командлет для запуска установки.

Чтобы установить пакет, выполните следующие действия:

1. Перейдите в репозиторий GitHub AzTS-docs. Скачайте файл пакета развертывания AzTSMMARemovalUtilityDeploymentFiles.zip на локальный компьютер.

2. Извлеките файл .zip в расположение локальной папки.

3. Разблокируйте файлы с помощью этого скрипта:

   Get-ChildItem -Path "<Extracted folder path>" -Recurse | Unblock-File 
   

Настройка служебной программы

Один клиент

1. Перейдите в папку развертывания и загрузите консолидированный скрипт установки. У вас должен быть доступ владельца к подписке.

   CD "<LocalExtractedFolderPath>\AzTSMMARemovalUtilityDeploymentFiles"
   . ".\MMARemovalUtilityConsolidatedSetup.ps1"
   

2. Войдите в учетную запись Azure с помощью следующей команды PowerShell:

   $TenantId = "<TenantId>"
   Connect-AzAccount -Tenant $TenantId
   

3. Запустите скрипт установки, чтобы выполнить следующие операции:

   • Установите необходимые модули Az.
   • Настройте управляемое удостоверение, назначаемое пользователем.
   • Запрос и сбор сведений о подключении для сбора данных телеметрии использования на основе предпочтений пользователя.
   • Создайте или обновите группу ресурсов.
   • Создайте или обновите ресурсы с назначенными управляемыми удостоверениями.
   • Создайте или обновите панель мониторинга.
   • Настройте целевые область.

   $SetupInstallation = Install-AzTSMMARemovalUtilitySolutionConsolidated `
            -RemediationIdentityHostSubId <MIHostingSubId> `
            -RemediationIdentityHostRGName <MIHostingRGName> `
            -RemediationIdentityName <MIName> `
            -TargetSubscriptionIds @("<SubId1>","<SubId2>","<SubId3>") `
            -TargetManagementGroupNames @("<MGName1>","<MGName2>","<MGName3>") `
            -TenantScope `
            -SubscriptionId <HostingSubId> `
            -HostRGName <HostingRGName> `
            -Location <Location> `
            -AzureEnvironmentName <AzureEnvironmentName>
   

   Скрипт содержит следующие параметры:

   Наименование параметра	Description	Обязательное поле
   RemediationIdentityHostSubId	Идентификатор подписки для создания ресурсов исправления.	Да
   RemediationIdentityHostRGName	Новое имя группы ресурсов для создания исправления. По умолчанию — AzTS-MMARemovalUtility-RG.	No
   RemediationIdentityName	Имя управляемого удостоверения исправления.	Да
   TargetSubscriptionIds	Список идентификаторов целевых подписок для запуска.	No
   TargetManagementGroupNames	Список имен целевых групп управления для запуска.	No
   TenantScope	Область клиента для назначения ролей с помощью идентификатора клиента.	No
   SubscriptionId	Идентификатор подписки, в которой установлена программа установки.	Да
   HostRGName	Имя новой группы ресурсов, в которой создается управляемое удостоверение исправления. Значение по умолчанию: AzTS-MMARemovalUtility-Host-RG.	No
   Location	Контроллер домена расположения, в котором создается настройка. Значение по умолчанию: EastUS2.	No
   AzureEnvironmentName	Среда Azure, в которой установлено решение: AzureCloud или AzureGovernmentCloud. Значение по умолчанию: AzureCloud.	No

Многопользовательского

В этом разделе описаны действия по настройке мультитенантной программы AzTS MMA Discovery и удаления. Эта настройка может занять до 30 минут.

Загрузка скрипта установки

Укажите текущий путь к папке, содержащей извлеченный пакет развертывания, и запустите скрипт установки:

CD "<LocalExtractedFolderPath>\AzTSMMARemovalUtilityDeploymentFiles"
. ".\MMARemovalUtilitySetup.ps1"

Установка необходимых модулей Az

Модули Az PowerShell содержат командлеты для развертывания ресурсов Azure. Установите необходимые модули Az с помощью следующей команды. Дополнительные сведения о модулях Az см. в статье "Установка Azure PowerShell". Необходимо указать текущий путь к расположению извлеченной папки.

Set-Prerequisites

Настройка мультитенантного удостоверения

На этом шаге вы настроите удостоверение приложения Microsoft Entra с помощью субъекта-службы. Необходимо войти в учетную запись Microsoft Entra, в которой необходимо установить программу обнаружения и удаления MMA с помощью команды PowerShell.

Вы выполняете следующие операции:

• Создайте мультитенантное приложение Microsoft Entra, если оно не предоставляется с предварительным идентификатором объекта приложения Microsoft Entra.
• Создайте учетные данные пароля для приложения Microsoft Entra.

Disconnect-AzAccount
Disconnect-AzureAD
$TenantId = "<TenantId>"
Connect-AzAccount -Tenant $TenantId
Connect-AzureAD -TenantId $TenantId

$Identity = Set-AzTSMMARemovalUtilitySolutionMultiTenantRemediationIdentity `
         -DisplayName <AADAppDisplayName> `
         -ObjectId <PreExistingAADAppId> `
         -AdditionalOwnerUPNs @("<OwnerUPN1>","<OwnerUPN2>")
$Identity.ApplicationId
$Identity.ObjectId
$Identity.Secret

Скрипт содержит следующие параметры:

Наименование параметра	Description	Обязательное поле
DisplayName	Отображаемое имя удостоверения исправления.	Да
ObjectId	Идентификатор объекта удостоверения исправления.	No
AdditionalOwnerUPNs	Имена субъектов-пользователей (UPN) владельцев создаваемого приложения.	No

Настройка хранилища

На этом шаге вы настроили хранилище для секретов. Для создания группы ресурсов необходимо иметь доступ владельца к подписке.

Вы выполняете следующие операции:

• Создайте или обновите группу ресурсов для хранилища ключей.
• Создайте или обновите хранилище ключей.
• Сохраните секрет.

$KeyVault = Set-AzTSMMARemovalUtilitySolutionSecretStorage ` 
         -SubscriptionId <KVHostingSubId> `
         -ResourceGroupName <KVHostingRGName> `
         -Location <Location> `
         -KeyVaultName <KeyVaultName> `
         -AADAppPasswordCredential $Identity.Secret
$KeyVault.Outputs.keyVaultResourceId.Value
$KeyVault.Outputs.secretURI.Value
$KeyVault.Outputs.logAnalyticsResourceId.Value

Скрипт содержит следующие параметры:

Наименование параметра	Description	Обязательное поле
SubscriptionId	Идентификатор подписки, в которой создается хранилище ключей.	Да
ResourceGroupName	Имя группы ресурсов, в которой создается хранилище ключей. Это должна быть другая группа ресурсов из группы ресурсов установки.	Да
Location	Контроллер домена расположения, в котором создается хранилище ключей. Для повышения производительности рекомендуется создавать все ресурсы, связанные с настройкой в одном расположении. Значение по умолчанию: EastUS2.	No
KeyVaultName	Имя созданного хранилища ключей.	Да
AADAppPasswordCredential	Учетные данные пароля приложения Microsoft Entra для служебной программы обнаружения и удаления MMA.	Да

Настройка установки

На этом шаге устанавливается служебная программа обнаружения и удаления MMA. У вас должен быть доступ владельца к подписке, в которой создается настройка. Рекомендуется использовать новую группу ресурсов для служебной программы.

Вы выполняете следующие операции:

• Запрос и сбор сведений о подключении для сбора данных телеметрии использования на основе предпочтений пользователя.
• Создайте группу ресурсов, если она не существует.
• Создайте или обновите ресурсы с помощью управляемых удостоверений.
• Создайте или обновите панель мониторинга.

$Solution = Install-AzTSMMARemovalUtilitySolution ` 
         -SubscriptionId <HostingSubId> `
         -HostRGName <HostingRGName> `
         -Location <Location> `
         -SupportMultipleTenant `
         -IdentityApplicationId $Identity.ApplicationId `
         -IdentitySecretUri ('@Microsoft.KeyVault(SecretUri={0})' -f $KeyVault.Outputs.secretURI.Value)
$Solution.Outputs.internalMIObjectId.Value

Скрипт содержит следующие параметры:

Наименование параметра	Description	Обязательное поле
SubscriptionId	Идентификатор подписки, в которой создается программа установки.	Да
HostRGName	Имя группы ресурсов, в которой создается программа установки. Значение по умолчанию: AzTS-MMARemovalUtility-Host-RG.	No
Location	Контроллер домена расположения, в котором создается настройка. Для повышения производительности рекомендуется разместить управляемое удостоверение и программу обнаружения и удаления MMA в том же расположении. Значение по умолчанию: EastUS2.	No
SupportMultiTenant	Переключитесь на поддержку мультитенантной настройки.	No
IdentityApplicationId	Идентификатор приложения Microsoft Entra.	Да
IdentitySecretUri	URI секрета приложения Microsoft Entra.	No

Предоставление удостоверения внутренней исправления с доступом к хранилищу ключей

На этом шаге вы создадите управляемое удостоверение, назначаемое пользователем, чтобы приложения-функции могли считывать хранилище ключей для проверки подлинности. У вас должен быть доступ владельца к группе ресурсов.

Grant-AzTSMMARemediationIdentityAccessOnKeyVault ` 
    -SubscriptionId <HostingSubId> `
    -ResourceId $KeyVault.Outputs.keyVaultResourceId.Value `
    -UserAssignedIdentityObjectId $Solution.Outputs.internalMIObjectId.Value `
    -SendAlertsToEmailIds @("<EmailId1>","<EmailId2>") `
    -IdentitySecretUri $KeyVault.Outputs.secretURI.Value `
    -LAWorkspaceResourceId $KeyVault.Outputs.logAnalyticsResourceId.Value `
    -DeployMonitoringAlert

Скрипт содержит следующие параметры:

Наименование параметра	Description	Обязательное поле
SubscriptionId	Идентификатор подписки, в которой создается программа установки.	Да
ResourceId	Идентификатор ресурса существующего хранилища ключей.	Да
UserAssignedIdentityObjectId	Идентификатор объекта управляемого удостоверения.	Да
SendAlertsToEmailIds	Идентификаторы электронной почты пользователя, на которые должны отправляться оповещения.	Нет; Да, если переключатель DeployMonitoringAlert включен
SecretUri	URI секрета хранилища ключей учетных данных приложения службы обнаружения и удаления MMA.	Нет; Да, если переключатель DeployMonitoringAlert включен
LAWorkspaceResourceId	Идентификатор ресурса рабочей области Log Analytics, связанной с хранилищем ключей.	Нет; Да, если переключатель DeployMonitoringAlert включен.
DeployMonitoringAlert	Создание оповещений на основе журналов аудита хранилища ключей.	Нет; Да, если переключатель DeployMonitoringAlert включен

Настройка модуля Runbook для управления диапазонами IP-адресов хранилища ключей

На этом шаге вы создадите безопасное хранилище ключей с отключенным доступом к общедоступной сети. Диапазоны IP-адресов для приложений-функций должны быть разрешены для доступа к хранилищу ключей. У вас должен быть доступ владельца к группе ресурсов.

Вы выполняете следующие операции:

• Создайте или обновите учетную запись службы автоматизации.
• Предоставьте доступ для учетной записи автоматизации с помощью управляемого удостоверения, назначаемого системой, в хранилище ключей.
• Настройте модуль Runbook с помощью скрипта, чтобы получить диапазоны IP-адресов, которые Azure публикует каждую неделю.
• Запустите модуль Runbook один раз во время установки и запланируйте задачу для выполнения каждую неделю.

Set-AzTSMMARemovalUtilityRunbook ` 
    -SubscriptionId <HostingSubId> `
    -ResourceGroupName <HostingRGName> `
    -Location <Location> `
    -FunctionAppUsageRegion <FunctionAppUsageRegion> `
    -KeyVaultResourceId $KeyVault.Outputs.keyVaultResourceId.Value

Скрипт содержит следующие параметры:

Наименование параметра	Description	Обязательное поле
SubscriptionId	Идентификатор подписки, включающей учетную запись службы автоматизации и хранилище ключей.	Да
ResourceGroupName	Имя группы ресурсов, содержащей учетную запись службы автоматизации и хранилище ключей.	Да
Location	Расположение, в котором создается учетная запись службы автоматизации. Для повышения производительности рекомендуется создавать все ресурсы, связанные с настройкой в одном расположении. Значение по умолчанию: EastUS2.	No
FunctionAppUsageRegion	Расположение динамических IP-адресов, разрешенных в хранилище ключей. Расположение по умолчанию — EastUS2.	Да
KeyVaultResourceId	Идентификатор ресурса хранилища ключей для разрешенных IP-адресов.	Да

Настройка субъектов-служб и предоставление необходимых ролей для каждого клиента

На этом шаге вы создадите имена субъектов-служб (SPN) для каждого клиента и предоставьте разрешение для каждого клиента. Для установки требуется доступ читателя, участника виртуальной машины и участника виртуальной машины Azure Arc ScVmm в область. Настроенные область могут быть клиентом, группой управления или подпиской или могут быть как группой управления, так и подпиской.

Для каждого клиента выполните действия и убедитесь, что у вас достаточно разрешений для другого клиента для создания имен субъектов-служб. Для настроенных область необходимо иметь разрешение на доступ пользователей Администратор istrator или владельца. Например, чтобы запустить настройку в определенной подписке, необходимо назначить роль пользователя Администратор istrator в этой подписке, чтобы предоставить имя субъекта-службы с необходимыми разрешениями.

$TenantId = "<TenantId>"
Disconnect-AzureAD
Connect-AzureAD -TenantId $TenantId
$SPN = Set-AzSKTenantSecuritySolutionMultiTenantIdentitySPN -AppId $Identity.ApplicationId
Grant-AzSKAzureRoleToMultiTenantIdentitySPN -AADIdentityObjectId $SPN.ObjectId `
    -TargetSubscriptionIds @("<SubId1>","<SubId2>","<SubId3>") `
    -TargetManagementGroupNames @("<MGName1>","<MGName2>","<MGName3>")

Скрипт содержит следующие параметры для Set-AzSKTenantSecuritySolutionMultiTenantIdentitySPN:

Наименование параметра	Description	Обязательное поле
AppId	Созданный идентификатор приложения.	Да

Скрипт содержит следующие параметры для Grant-AzSKAzureRoleToMultiTenantIdentitySPN:

Наименование параметра	Description	Обязательное поле
AADIdentityObjectId	Объект удостоверений.	Да
TargetSubscriptionIds	Список идентификаторов целевых подписок для запуска программы установки.	No
TargetManagementGroupNames	Список имен целевых групп управления для запуска программы установки.	No

Настройка целевых область

Вы можете настроить целевые область с помощьюSet-AzTSMMARemovalUtilitySolutionScopes:

$ConfiguredTargetScopes = Set-AzTSMMARemovalUtilitySolutionScopes ` 
         -SubscriptionId <HostingSubId> `
         -ResourceGroupName <HostingRGName> `
         -ScopesFilePath <ScopesFilePath>

Скрипт содержит следующие параметры:

Наименование параметра	Description	Обязательное поле
SubscriptionId	Идентификатор подписки, в которой установлена программа установки.	Да
ResourceGroupName	Имя группы ресурсов, в которой установлена программа установки.	Да
ScopesFilePath	Путь к файлу с конфигурациями целевых область.	Да

Файл конфигурации область — это CSV-файл со строкой заголовка и тремя столбцами:

ScopeType	ScopeId	TenantId
Отток подписок	/subscriptions/abb5301a-22a4-41f9-9e5f-99badff261f8	72f988bf-86f1-41af-91ab-2d7cd011db47
Отток подписок	/subscriptions/71bdd12b-ae1d-499a-a4ea-e32d4c1d9c35	e60f12c0-e1dc-4be1-8d86-e979a5527830

Запуск служебной программы

Обнаружение

Update-AzTSMMARemovalUtilityDiscoveryTrigger ` 
    -SubscriptionId <HostingSubId> `
    -ResourceGroupName <HostingRGName> `
    -StartScopeResolverAfterMinutes 60 `
    -StartExtensionDiscoveryAfterMinutes 30 

Скрипт содержит следующие параметры:

Наименование параметра	Description	Обязательное поле
SubscriptionId	Идентификатор подписки, в которой установлена программа.	Да
ResourceGroupName	Имя группы ресурсов, в которой установлена программа.	Да
StartScopeResolverAfterMinutes	Время в минутах, чтобы ждать перед запуском сопоставителя.	Да (взаимоисключающ с -StartScopeResolverImmediately)
StartScopeResolverImmediately	Индикатор для немедленного запуска сопоставителя.	Да (взаимоисключающ с -StartScopeResolverAfterMinutes)
StartExtensionDiscoveryAfterMinutes	Время( в минутах) для ожидания выполнения обнаружения (должно быть после завершения разрешения).	Да (взаимоисключающ с -StartExtensionDiscoveryImmediatley)
StartExtensionDiscoveryImmediatley	Индикатор немедленного запуска обнаружения расширений.	Да (взаимоисключающ с -StartExtensionDiscoveryAfterMinutes)

Удаления

По умолчанию этап удаления отключен. Рекомендуется запустить его после проверки инвентаризации компьютеров на этапе обнаружения.

Update-AzTSMMARemovalUtilityRemovalTrigger ` 
    -SubscriptionId <HostingSubId> `
    -ResourceGroupName <HostingRGName> `
    -StartAfterMinutes 60 `
    -EnableRemovalPhase `
    -RemovalCondition 'CheckForAMAPresence'

Скрипт содержит следующие параметры:

Наименование параметра	Description	Обязательное поле
SubscriptionId	Идентификатор подписки, в которой установлена программа.	Да
ResourceGroupName	Имя группы ресурсов, в которой установлена программа.	Да
StartAfterMinutes	Время, в минутах, чтобы дождаться, прежде чем начать удаление.	Да (взаимоисключающ с -StartImmediately)
StartImmediately	Индикатор для немедленного запуска этапа удаления.	Да (взаимоисключающ с -StartAfterMinutes)
EnableRemovalPhase	Индикатор для включения этапа удаления.	Да (взаимоисключающ с -DisableRemovalPhase)
RemovalCondition	Указывает, что расширение MMA должно быть удалено при CheckForAMAPresence наличии расширения AMA. SkipAMAPresenceCheck Это во всех случаях, независимо от того, присутствует ли расширение AMA.	No
DisableRemovalPhase	Индикатор отключения этапа удаления.	Да (взаимоисключающ с -EnableRemovalPhase)

Ниже приведены известные проблемы с удалением:

• Удаление MMA в масштабируемом наборе виртуальных машин, где режим Uniform оркестрации зависит от политики обновления. Рекомендуется вручную обновить экземпляр, если задана Manualполитика.

• Если вы получите следующее сообщение об ошибке, выполните команду установки с теми же значениями параметров:

  The deployment MMARemovalenvironmentsetup-20233029T103026 failed with error(s). Showing 1 out of 1 error(s). Status Message: (Code:BadRequest) - We observed intermittent issue with App service deployment.

  Команда должна продолжаться без каких-либо ошибок в следующей попытке.

• Если плитка хода выполнения удаления расширения отображает сбои на панелях мониторинга мониторинга, используйте следующие сведения, чтобы устранить их:

  Код ошибки	Описание и причина	Следующие шаги
  AuthorizationFailed	Удостоверение исправления не имеет разрешения на выполнение операции удаления расширений на виртуальных машинах, масштабируемых наборах виртуальных машин или серверах Azure Arc.	Предоставьте роль участника виртуальной машины идентификатору исправления на виртуальных машинах. Предоставьте роль участника виртуальной машины Azure Arc ScVmm идентификатору исправления в масштабируемых наборах виртуальных машин. Затем повторно запустите этап удаления.
  OperationNotAllowed	Ресурсы находятся в состоянии сделок или блокировка применяется к ресурсам.	Включите неудачные ресурсы и(или) удалите блокировку, а затем повторно запустите этап удаления.

Программа собирает сведения об ошибках в рабочей области Log Analytics, которую вы использовали во время установки. Перейдите в рабочую область Log Analytics, выберите журналы и выполните следующий запрос:

let timeago = timespan(7d);
InventoryProcessingStatus_CL
| where TimeGenerated > ago(timeago) and Source_s == "AzTS_07_ExtensionRemovalProcessor"
| where ProcessingStatus_s !~ "Initiated"
| summarize arg_max(TimeGenerated,*) by tolower(ResourceId)
| project ResourceId, ProcessingStatus_s, ProcessErrorDetails_s

Очистка

Служебная программа обнаружения и удаления MMA создает ресурсы, которые следует очистить после удаления MMA из инфраструктуры. Выполните следующие действия, чтобы очистить:

1. Перейдите в папку, содержащую пакет развертывания, и загрузите скрипт очистки:

   CD "<LocalExtractedFolderPath>\AzTSMMARemovalUtilityDeploymentFiles"
   . ".\MMARemovalUtilityCleanUpScript.ps1"
   

2. Запустите скрипт очистки:

   Remove-AzTSMMARemovalUtilitySolutionResources ` 
       -SubscriptionId <HostingSubId> `
       -ResourceGroupName <HostingRGName> `
       [-DeleteResourceGroup `]
       -KeepInventoryAndProcessLogs
   

Скрипт содержит следующие параметры:

Наименование параметра	Description	Обязательное поле
SubscriptionId	Идентификатор удаляемой подписки.	Да
ResourceGroupName	Имя группы ресурсов, которую вы удаляете.	Да
DeleteResourceGroup	Логический флаг для удаления всей группы ресурсов.	Да
KeepInventoryAndProcessLogs	Логический флаг для исключения рабочей области Log Analytics и приложения Аналитика. Его нельзя использовать.DeleteResourceGroup	No