在自動化中部署代理程式型 Windows 混合式 Runbook 背景工作角色

重要

Azure 自動化代理程式型的使用者混合式 Runbook 背景工作角色 (Windows 和 Linux) 將於 2024 年 8 月 31 日淘汰，且自該日期之後便不會再受到支援。 您必須在 2024 年 8 月 31 日之前，完成將現有的代理程式型使用者混合式 Runbook 背景工作角色移轉至延伸模組型背景工作角色的工作。 此外，從 2023 年 11 月 1 日開始，您就無法再建立新的代理程式型混合式背景工作角色。 深入了解。

您可以使用 Azure 自動化的使用者混合式 Runbook 背景工作角色功能，直接在 Azure 或非 Azure 電腦上執行 Runbook，包括向已啟用 Azure Arc 的伺服器登錄的伺服器。 您可以從裝載角色的機器或伺服器，直接針對它執行 Runbook，以及針對環境中的資源執行，以管理這些本機資源。

Azure 自動化會儲存並管理 Runbook，然後將其傳遞至一或多個已選擇的機器。 本文說明內容：如何在 Windows 機器上部署使用者混合式 Runbook 背景工作角色、如何移除背景工作角色，以及如何移除混合式 Runbook 背景工作角色群組。 對於使用者混合式 Runbook 背景工作角色，另請參閱在自動化中部署擴充功能型的 Windows 或 Linux 使用者混合式 Runbook 背景工作角色

在您成功部署 Runbook 背景工作角色後，請檢閱在混合式 Runbook 背景工作角色上執行 Runbook，以了解如何設定 Runbook 以將內部部署資料中心或其他雲端環境中的程序自動化。

注意

混合式背景工作角色可與下列兩個平台共存：代理程式型 (V1) 和擴充功能型 (V2)。 如果您在已執行代理程式型 (V1) 的混合式背景工作角色上，安裝擴充功能型 (V2)，則您會在群組中看到混合式 Runbook 背景工作角色的兩個項目。 其中一個使用平台擴充功能型 (V2)，而另一個則使用代理程式型 (V1)。 深入了解。

必要條件

開始之前，請確定您有下列項目。

Log Analytics 工作區

混合式 Runbook 背景工作角色會根據 Azure 監視器 Log Analytics 工作區來安裝及設定角色。 您可透過 Azure Resource Manager、透過 PowerShell，或在 Azure 入口網站中建立角色。

如果您沒有 Azure Monitor Log Analytics 工作區，在建立工作區之前，請檢閱 Azure 監視器記錄設計指引。

Log Analytics 代理程式

混合式 Runbook 背景工作角色需要 Log Analytics 代理程式才能使用支援的 Windows 作業系統。 對於裝載於 Azure 外部的伺服器或機器，您可使用已啟用 Azure Arc 的伺服器來安裝 Log Analytics 代理程式。

支援的 Windows 作業系統

混合式 Runbook 背景工作角色功能支援下列作業系統：

• Windows Server 2022 (包括 Server Core)
• Windows Server 2019 (包括 Server Core)
• Windows Server 2016 版本 1709 和 1803 (不包括 Server Core)
• Windows Server 2012、2012 R2
• Windows Server 2008 SP2 (x64)、2008 R2
• Windows 10 企業版 (包括多工作階段) 和專業版
• Windows 8 企業版和專業版
• Windows 7 SP1

注意

混合式背景工作角色會遵循OS廠商的支援時程表。

最低需求

Windows 系統和使用者混合式 Runbook 背景工作角色的最低需求如下：

• Windows PowerShell 5.1 (下載 WMF 5.1)。 不支援 PowerShell Core。
• .NET Framework 4.6.2 或更新版本
• 雙核心
• 4 GB 的 RAM
• 連接埠 443 (輸出)

網路組態

如需混合式 Runbook 背景工作角色的網路需求，請參閱設定網路。

將機器新增至混合式 Runbook 背景工作角色群組

您可將背景工作角色機器新增至其中一個自動化帳戶中的混合式 Runbook 背景工作角色群組。 對於裝載由「更新管理」所管理系統混合式 Runbook 背景工作角色的機器，您可將這些機器新增至混合式 Runbook 背景工作角色群組。 但針對更新管理和混合式 Runbook 背景工作角色群組成員資格，您必須使用相同的自動化帳戶。

注意

Azure 自動化的更新管理會自動在已啟用「更新管理」的 Azure 或非 Azure 機器上安裝系統混合式 Runbook 背景工作角色。 不過，此背景工作角色不會向自動化帳戶中的任何混合式 Runbook 背景工作角色群組進行註冊。 若要在這些機器上執行 Runbook，您必須將這些機器新增至混合式 Runbook 背景工作角色群組。 請遵循手動部署一節底下的步驟 6，將它新增至群組中。

啟用以透過「Azure 自動化狀態設定」來進行管理

如需啟用機器以透過「Azure 自動化狀態設定」來進行管理的相關資訊，請參閱啟用機器以透過「Azure 自動化狀態設定」來進行管理。

注意

對於支援混合式 Runbook 背景工作角色的機器，若要使用 Desired State Configuration (DSC) 來管理其設定，您必須將伺服器新增為 DSC 節點。

安裝選項

若要安裝及設定 Windows 使用者混合式 Runbook 背景工作角色，您可以使用下列其中一種方法。

• 使用所提供的 PowerShell 指令碼，以完全自動化一台或多台 Windows 機器的程序。 對於資料中心或其他雲端環境中的機器，建議採用此方法。
• 手動匯入自動化解決方案、安裝適用於 Windows 的 Log Analytics 代理程式，並在機器上設定背景工作角色。
• 代理程式型的混合式背景工作角色會使用 MMA Proxy 設定。 您必須在安裝 Log Analytics 擴充功能 (MMA) 時傳遞 Proxy 設定，而此設定會儲存在 VM 上的 MMA 組態 (登錄) 下。

自動化部署

有兩種方法可以自動部署「混合式 Runbook 背景工作角色」。 您可以從 Azure 入口網站中的 Runbook 資源庫匯入 Runbook 並加以執行，也可以手動從 PowerShell 資源庫下載指令碼。

從 Runbook 資源庫中匯入 Runbook

匯入程序會在透過 Azure 入口網站從 GitHub 匯入 Runbook中詳細說明。 要匯入的 Runbook 名稱是 Create Automation Windows HybridWorker。

該 Runbook 會使用下列參數。

參數	狀態	描述
Location	必要	在其中執行指令碼之自動化帳戶的位置。
ResourceGroupName	必要	自動化帳戶的資源群組。
AccountName	必要	將在其中混合式 Runbook 背景工作角色的自動化帳戶名稱。
CreateLA	必要	如果為 true，請使用 WorkspaceName 值來建立 Log Analytics 工作區。 如果為 false，WorkspaceName 的值必須參考現有的工作區。
LAlocation	選擇性	將在其中建立 Log Analytics 工作區的位置，或它已存在的位置。
WorkspaceName	選擇性	要使用的 Log Analytics 工作區的名稱。
CreateVM	必要	如果為 true，請使用 VMName 的值作為新 VM 的名稱。 如果為 false，請使用 VMName 尋找並登錄現有的 VM。
VMName	選擇性	根據 CreateVM 的值，建立或登錄的虛擬機器名稱。
VMImage	選擇性	要建立的 VM 映像名稱。
VMlocation	選擇性	建立或登錄的 VM 位置。 如果未指定此位置，則會使用 LAlocation 的值。
RegisterHW	必要	如果為 true，請登錄 VM 作為混合式背景工作角色。
WorkerGroupName	必要	混合式背景工作角色群組的名稱。

從 PowerShell 資源庫中下載指令碼。

此自動化部署方法會使用 PowerShell 指令碼 New-OnPremiseHybridWorker.ps1 來自動化及設定 Windows Hybrid Runbook 背景工作角色。 它會執行下列工作：

• 安裝必要的模組
• 使用您的 Azure 帳戶來登入
• 確認指定的資源群組和自動化帳戶是否存在
• 建立自動化帳戶屬性的參考
• 如果未指定，則會建立 Azure 監視器 Log Analytics 工作區
• 在工作區中啟用 Azure 自動化解決方案
• 下載並安裝適用於 Windows 的 Log Analytics 代理程式
• 將機器登錄為混合式 Runbook 背景工作角色

執行下列步驟，以使用指令碼在 Windows 機器上安裝角色。

1. 從 PowerShell 資源庫下載 New-OnPremiseHybridWorker.ps1 指令碼。 下載指令碼之後，請在目標機器上複製或執行該指令碼。 該指令碼會使用下列參數。

   參數	狀態	描述
   AAResourceGroupName	必要	與您的自動化帳戶相關聯的資源群組名稱。
   AutomationAccountName	必要	自動化帳戶的名稱。
   Credential	選擇性	登入 Azure 環境時所要使用的認證。
   HybridGroupName	必要	您針對支援此案例的 Runbook，指定作為目標的「混合式 Runbook 背景工作角色」群組名稱。
   OMSResourceGroupName	選擇性	Log Analytics 工作區的資源群組名稱。 如果未指定此資源群組，則會使用 AAResourceGroupName 的值。
   SubscriptionID	必要	識別碼，代表與自動化帳戶相關聯的 Azure 訂用帳戶。
   TenantID	選擇性	識別碼，代表與自動化帳戶相關聯的租用戶組織。
   WorkspaceName	選擇性	Log Analytics 工作區名稱。 如果您沒有 Log Analytics 工作區，此指令碼就會建立並設定一個 Log Analytics 工作區。

2. 開啟已提高權限的 64 位元 PowerShell 命令提示字元。

3. 從 PowerShell 命令提示字元中，瀏覽至包含您所下載之指令碼的資料夾。 變更參數 AutomationAccountName、AAResourceGroupName、OMSResourceGroupName、HybridGroupName、SubscriptionID 和 WorkspaceName 的值。 然後執行指令碼。

   執行指令碼之後，系統會提示您向 Azure 進行驗證。 您必須以「訂用帳戶管理員」角色成員和訂用帳戶共同管理員的帳戶登入。

   $NewOnPremiseHybridWorkerParameters = @{
     AutomationAccountName = <nameOfAutomationAccount>
     AAResourceGroupName   = <nameOfResourceGroup>
     OMSResourceGroupName  = <nameOfResourceGroup>
     HybridGroupName       = <nameOfHRWGroup>
     SubscriptionID        = <subscriptionId>
     WorkspaceName         = <nameOfLogAnalyticsWorkspace>
   }
   .\New-OnPremiseHybridWorker.ps1 @NewOnPremiseHybridWorkerParameters
   

4. 系統會提示您同意安裝 NuGet，以及使用您的 Azure 認證進行驗證。 如果您沒有最新的 NuGet 版本，可以從可用的 NuGet 散發版本中下載。

5. 指令碼完成後驗證部署。 在自動化帳戶的 [混合式 Runbook 背景工作角色群組] 頁面的 [使用者混合式 Runbook 背景工作角色群組] 索引標籤下，它會顯示新的群組和成員數目。 如果這是現有群組，成員數目就會遞增。 您可以從頁面上的清單中選取群組，從左側功能表中選擇 [混合式背景工作角色]。 在 [混合式背景工作角色] 頁面上，您可以看到列出群組的每個成員。

手動部署

若要安裝和設定 Windows Hybrid Runbook 背景工作角色，請執行下列步驟。

1. 在較高權限的 PowerShell 命令提示字元或 Azure 入口網站 的 Cloud Shell 中執行下列命令，以在您的 Log Analytics 工作區中啟用 Azure 自動化解決方案。

   Set-AzOperationalInsightsIntelligencePack -ResourceGroupName <resourceGroupName> -WorkspaceName <workspaceName> -IntelligencePackName "AzureAutomation" -Enabled $true
   

2. 將 Log Analytics 代理程式部署至目標機器。

   • 針對 Azure VM，使用適用於 Windows 的虛擬機器擴充功能，安裝適用於 Windows 的 Log Analytics 代理程式。 擴充功能會在 Azure 虛擬機器上安裝 Log Analytics 代理程式，並且在現有的 Log Analytics 工作區中註冊虛擬機器。 您可以使用 Azure Resource Manager 範本、PowerShell 或Azure 原則來指派「針對 Linux 或 Windows VM 內建原則定義部署 Log Analytics 代理程式」這項作業。 安裝代理程式之後，您就可以將機器新增至自動化帳戶中的混合式 Runbook 背景工作角色群組。

   • 對於非 Azure 機器，您可使用已啟用的 Azure Arc 伺服器來安裝 Log Analytics 代理程式。 已啟用 Azure Arc 的伺服器會使用下列方法支援部署 Log Analytics 代理程式：

     • 使用 VM 擴充功能架構。

       已啟用 Azure Arc 的伺服器中的這項功能可讓您將 Log Analytics 代理程式 VM 擴充功能部署至非 Azure Windows 或 Linux 伺服器。 您可以在混合式機器或已啟用 Arc 的伺服器所管理的伺服器上，使用下列方法來管理 VM 擴充功能：

       • Azure 入口網站
       • Azure CLI
       • Azure PowerShell
       • Azure Resource Manager 範本

     • 使用 Azure 原則。

     透過此方法，您可以使用 Azure 原則將 Log Analytics 代理程式部署至 Linux 或 Microsoft Azure Arc 機器內建原則定義來稽核 (如果啟用 Arc 的伺服器已安裝 Log Analytics 代理程式的話)。 如果未安裝代理程式，便會使用補救工作自動部署代理程式。 如果您打算使用適用於 VM 的 Azure 監視器來監視機器，請改用啟用 Azure Monitor for VM 方案來安裝及設定 Log Analytics 代理程式。

   建議您使用 Azure 原則來安裝適用於 Windows 或 Linux 的 Log Analytics 代理程式。

3. 確認代理程式正在向工作區報告

   適用於 Windows 的 Log Analytics 代理程式會將機器連線到 Azure Monitor Log Analytics 工作區。 當您將代理程式安裝在您的機器上並將其連線到工作區時，將會自動下載「混合式 Runbook 背景工作角色」所需的元件。

   幾分鐘後，當代理程式已成功連線到 Log Analytics 工作區時，您可以執行下列查詢，以驗證其是否正在將活動訊號資料傳送至工作區。

   Heartbeat 
   | where Category == "Direct Agent"
   | where TimeGenerated > ago(30m)
   

   在搜尋結果中，您應該會看到機器的活動訊號記錄，其中指出其已連線且正在向服務報告。 根據預設，每個代理程式會將活動訊號記錄轉送至其獲指派的工作區。 使用下列步驟來完成代理程式安裝和設定。

4. 確認裝載 Log Analytics 代理程式之機器上的「混合式 Runbook 背景工作角色」版本，瀏覽至 C:\Program Files\Microsoft Monitoring Agent\Agent\AzureAutomation\ 並注意版本子資料夾。 在工作區中啟用解決方案之後，此資料夾會在機器上顯示數分鐘。

5. 安裝 Runbook 環境並連接到 Azure 自動化。 當您將代理程式設定為向 Log Analytics 工作區報告並匯入自動化解決方案時，該解決方案會向下推送 HybridRegistration PowerShell 模組。 此模組包含 Add-HybridRunbookWorker cmdlet。 使用此 cmdlet 以在機器上安裝 Runbook 環境，並向 Azure 自動化進行登錄。

   以系統管理員模式開啟 PowerShell 工作階段，並執行下列命令來匯入模組。

   cd "C:\Program Files\Microsoft Monitoring Agent\Agent\AzureAutomation\<version>\HybridRegistration"
   Import-Module .\HybridRegistration.psd1
   

6. 透過指定參數 Url、Key 及 GroupName 的值來執行 Add-HybridRunbookWorker cmdlet。

   Add-HybridRunbookWorker –GroupName <String> -Url <Url> -Key <String>
   

   您可以從您的自動化帳戶的 [金鑰] 頁面中取得參數 Url 和 Key 所需的資訊。 從頁面左側的 [帳戶設定] 區段底下選取 [金鑰]。

   

   • 針對 Url 參數，複製 URL 的值。

   • 針對 Key 參數，複製 PRIMARY ACCESS KEY 的值。

   • 針對 GroupName 參數，使用「混合式 Runbook 背景工作角色」群組的名稱。 如果自動化帳戶中已經有此群組，即會將目前機器新增至其中。 如果此群組不存在，則會新增此群組。

   • 必要的話，請設定 Verbose 參數，以接收有關安裝的詳細資料。

7. 命令完成後驗證部署。 從自動化帳戶中 [混合式 Runbook 背景工作角色] 頁面的 [使用者混合式 Runbook 背景工作角色群組] 索引標籤下，將顯示新或現有群組和成員數目。 如果這是現有群組，成員數目就會遞增。 您可以從頁面上的清單中選取群組，從左側功能表中選擇 [混合式背景工作角色]。 在 [混合式背景工作角色] 頁面，您可查看列出群組的每個成員。

安裝 PowerShell 模組

Runbook 可以使用 Azure 自動化環境中安裝的模組中定義的任何活動和 Cmdlet。 因為這些模組不會自動部署至內部部署機器，所以您必須手動安裝它們。 但 Azure 模組例外。 此模組預設為安裝，可讓您存取 Cmdlet 以執行 Azure 自動化的所有 Azure 服務和活動。

因為「混合式 Runbook 背景工作角色」主要是管理本機資源，您很可能需要安裝支援這些資源的模組，特別是 PowerShellGet 模組。 如需安裝 Windows PowerShell 模組的相關資訊，請參閱 Windows PowerShell。

安裝的模組必須位於 PSModulePath 環境變數所參考的位置，才能由混合式背景工作角色自動匯入。 如需詳細資訊，請參閱在 PSModulePath 中安裝模組。

移除混合式 Runbook 背景工作角色

1. 在系統管理員模式中開啟 PowerShell 工作階段，並執行下列命令：

       Remove-Item -Path "HKLM:\SOFTWARE\Microsoft\HybridRunbookWorker\<AutomationAccountID>\<HybridWorkerGroupName>" -Force -Verbose
   

2. 在流程自動化下，選取混合式背景工作角色群組，然後選取混合式背景工作角色群組，以前往混合式背景工作角色群組頁面。

3. 在 [混合式背景工作角色群組] 底下，選取 [混合式背景工作角色]。

4. 在您要從混合式背景工作角色群組刪除的電腦旁，選取核取方塊。

5. 選取 [刪除] 以移除代理程式型 Windows 混合式背景工作角色。

   注意

   • 停用自動化帳戶中的 Private Link 之後，可能需要最多 60 分鐘的時間才能移除混合式 Runbook 背景工作角色。
   • 移除混合式背景工作角色之後，機器上的混合式背景工作角色驗證憑證有效期為 45 分鐘。

移除混合式背景工作角色群組

若要移除混合式 Runbook 背景工作角色群組，您必須先從屬於該群組的每一部機器中，移除混合式 Runbook 背景工作角色。 然後，使用下列步驟來移除群組：

1. 在 Azure 入口網站中，開啟 [自動化帳戶]。

2. 在 [程序自動化] 下，選取 [混合式背景工作角色群組]。 選取您要刪除的群組。 該群組的屬性頁面隨即出現。

   

3. 在所選群組的屬性頁面上，選取 [刪除]。 會出現一則警告訊息，說明要移除任何定義為混合式背景工作角色群組中混合式背景工作角色的機器。 如果已將背景工作角色新增至該群組，則您必須先從該群組中移除背景工作角色。

4. 如果您確定要繼續，請選取 [是]。

此程序可能需要數秒鐘的時間完成。 您可以在功能表的 [通知] 底下追蹤其進度。

管理混合式背景工作角色群組和混合式背景工作角色的角色權限

您可建立自動 Azure 自動化角色，並將下列權限授與混合式背景工作角色群組和混合式背景工作角色。 若要深入瞭解如何建立 Azure 自動化自訂角色，請參閱 Azure 自訂角色

動作	說明
Microsoft.Automation/automationAccounts/hybridRunbookWorkerGroups/read	讀取混合式 Runbook 背景工作角色群組。
Microsoft.Automation/automationAccounts/hybridRunbookWorkerGroups/write	建立混合式 Runbook 背景工作角色群組。
Microsoft.Automation/automationAccounts/hybridRunbookWorkerGroups/delete	刪除混合式 Runbook 背景工作角色群組。
Microsoft.Automation/automationAccounts/hybridRunbookWorkerGroups/hybridRunbookWorkers/read	讀取混合式 Runbbok 背景工作角色。
Microsoft.Automation/automationAccounts/hybridRunbookWorkerGroups/hybridRunbookWorkers/delete	刪除混合式 Runbook 背景工作角色。

檢查混合式背景工作角色的版本

若要檢查代理程式型 Windows 混合式 Runbook 背景工作角色的版本，請移至下列路徑：

C:\ProgramFiles\Microsoft Monitoring Agent\Agent\AzureAutomation\

Azure 自動化資料夾有一個子資料夾，其版本號碼與該子資料夾的名稱相同。

將 Log Analytics 代理程式更新為最新版本

在安裝混合式背景工作角色期間，Azure 自動化代理程式型使用者混合式 Runbook 背景工作角色 (V1) 需要 Log Analytics 代理程式 (也稱為 MMA 代理程式)。 建議您將 Log Analytics 代理程式更新為最新版本，以減少安全性弱點並因錯誤修正而受益。

10.20.18053 (搭售方案) 和 1.0.18053.0 (延伸模組) 之前的 Log Analytics 代理程式版本使用較舊的憑證處理方法，因此不建議使用。 過期代理程式上的混合式背景工作角色將無法連線到 Azure，由這些混合式背景工作角色所執行的 Azure 自動化作業將會停止。

您必須遵循下列步驟，將 Log Analytics 代理程式更新為最新版本：

1. 檢查 Windows 混合式背景工作角色目前的 Log Analytics 代理程式版本：移至安裝路徑 - C：\ProgramFiles\Microsoft Monitoring Agent\Agent，並以滑鼠右鍵按一下 HealthService.exe 以檢查 [屬性]。 [產品版本] 欄位提供 Log Analytics 代理程式的版本號碼。
2. 如果您的 Log Analytics 代理程式版本在 10.20.18053 (搭售方案) 和 1.0.18053.0 (延伸模組) 之前，請依照下列指引升級至最新版本的 Windows Log Analytics 代理程式。

注意

在升級流程期間，於混合式背景工作角色上執行的 Azure 自動化作業可能會停止。 請確保在 Log Analytics 代理程式升級期間未執行或排程任何作業。

下一步

• 若要了解如何設定您的 Runbook，將您在內部部署資料中心或其他雲端環境中的程序自動化，請參閱在混合式 Runbook 背景工作角色上執行 Runbook。

• 若要了解如何對混合式 Runbook 背景工作角色進行疑難排解，請參閱對混合式 Runbook 背景工作角色問題進行疑難排解。