MMA 探索和移除公用程式

將機器移轉至 Azure 監視器代理程式 (AMA) 之後，您必須移除 Log Analytics 代理程式 (也稱為 Microsoft 管理代理程式或 MMA)，以避免重複記錄。 Azure 租用戶安全性解決方案 (AzTS) MMA 探索和移除公用程式可以從租用戶集中移除 Azure 虛擬機器 (VM)、Azure 虛擬機擴展集和 Azure Arc 伺服器的 MMA 擴充功能。

注意

此公用程式可用來探索和移除 MMA 延伸模組。 這不會移除 OMS 擴充功能，您必須在這裡執行清除腳本來手動移除 OMS： 清除 Linux 代理程式

公用程式可在兩個步驟中運作：

1. 探索：公用程式會建立已安裝 MMA 的所有機器清查。 建議您在執行公用程式時，不要使用 MMA 擴充功能建立任何新的 VM、虛擬機器擴展集或 Azure Arc 伺服器。

2. 移除：公用程式會選取同時具有 MMA 和 AMA 的電腦，並移除 MMA 擴充功能。 您可以在驗證電腦清單之後停用此步驟並加以執行。 您可以選擇從只有 MMA 的機器中移除擴充功能，但建議您先將所有相依性移轉至 AMA，然後移除 MMA。

必要條件

使用 PowerShell 擴充功能，在 Visual Studio Code 執行所有安裝步驟。 您需要：

• Windows 10 或更新版本，或 Windows Server 2019 或更新版本。
• PowerShell 5.0 或更新版本。 執行 $PSVersionTable 以檢查版本。
• PowerShell。 語言必須設定為 FullLanguage 模式。 在 PowerShell 中執行 $ExecutionContext.SessionState.LanguageMode 來檢查模式。 如需詳細資訊，請參閱 PowerShell 參考。
• Bicep。 安裝指令碼會使用 Bicep 將安裝自動化。 執行 bicep --version 檢查安裝狀態。 如需詳細資訊，請參閱安裝 Bicep 工具。
• 具有讀取者、虛擬機器參與者，以及 Azure Arc ScVmm VM 參與者目標範圍存取權的使用者指派的受控識別。
• 新的資源群組，其中包含安裝自動化自動建立的所有 Azure 資源。
• 所設定範圍的適當權限。 若要將補救使用者指派的受控識別授與目標範圍上先前提及的角色，您必須擁有使用者存取系統管理員或擁有者權限。 例如，如果您要安裝特定訂用帳戶的設定，您必須在該訂用帳戶上擁有使用者存取系統管理員角色指派，讓指令碼可以提供補救使用者指派受控識別的權限。

已建立的資源

拿掉工具會建立 resouce 群組，並建立下列重新搜尋以管理代理程式移除。 其中有些可能會有 Azure 成本。

下載部署套件

部署套件包含：

• Bicep 範本，其中包含您在安裝期間建立的資源組態詳細資料。
• 部署安裝令碼，提供 Cmdlet 來執行安裝。

安裝套件：

1. 移至 AzTS-docs GitHub 存放庫。 將部署套件檔案 AzTSMMARemovalUtilityDeploymentFiles.zip 下載到本機電腦。

2. 將 .zip 檔案解壓縮至本機資料夾位置。

3. 使用此指令碼解除封鎖檔案：

   Get-ChildItem -Path "<Extracted folder path>" -Recurse | Unblock-File 
   

設定公用程式

單一租用戶

1. 移至部署資料夾並載入合併安裝指令碼。 您必須擁有訂用帳戶的擁有者存取權。

   CD "<LocalExtractedFolderPath>\AzTSMMARemovalUtilityDeploymentFiles"
   . ".\MMARemovalUtilityConsolidatedSetup.ps1"
   

2. 使用下列 PowerShell 命令登入 Azure 帳戶：

   $TenantId = "<TenantId>"
   Connect-AzAccount -Tenant $TenantId
   

3. 執行安裝指令碼以執行下列作業：

   • 安裝必要的 Az 模組。
   • 設定補救使用者指派的受控識別。
   • 根據使用者喜好設定，提示並收集使用量遙測收集的上線詳細資料。
   • 建立或更新資源群組。
   • 使用指派的受控識別建立或更新資源。
   • 建立或更新監視儀表板。
   • 設定目標範圍。

   $SetupInstallation = Install-AzTSMMARemovalUtilitySolutionConsolidated `
            -RemediationIdentityHostSubId <MIHostingSubId> `
            -RemediationIdentityHostRGName <MIHostingRGName> `
            -RemediationIdentityName <MIName> `
            -TargetSubscriptionIds @("<SubId1>","<SubId2>","<SubId3>") `
            -TargetManagementGroupNames @("<MGName1>","<MGName2>","<MGName3>") `
            -TenantScope `
            -SubscriptionId <HostingSubId> `
            -HostRGName <HostingRGName> `
            -Location <Location> `
            -AzureEnvironmentName <AzureEnvironmentName>
   

   指令碼包含下列參數：

   參數名稱	描述	必要
   RemediationIdentityHostSubId	用來建立補救資源的訂用帳戶識別碼。	Yes
   RemediationIdentityHostRGName	要建立補救的新資源群組名稱。 預設為 AzTS-MMARemovalUtility-RG。	No
   RemediationIdentityName	補救受控識別的名稱。	Yes
   TargetSubscriptionIds	要執行的目標訂用帳戶識別碼清單。	No
   TargetManagementGroupNames	要執行的目標管理群組名稱清單。	No
   TenantScope	透過租用戶識別碼指派角色的租用戶範圍。	No
   SubscriptionId	安裝設置的訂用帳戶識別碼。	Yes
   HostRGName	建立補救受控識別的新資源群組名稱。 預設值為 AzTS-MMARemovalUtility-Host-RG。	No
   Location	建立安裝程式的位置網域控制站。 預設值為 EastUS2。	No
   AzureEnvironmentName	安裝解決方案的 Azure 環境：AzureCloud 或 AzureGovernmentCloud。 預設值為 AzureCloud。	No

多用戶

本節將逐步引導您完成設定多租用戶 AzTS MMA 探索和移除公用程式的步驟。 此設定最多可能需要 30 分鐘的時間。

載入安裝指令碼

將目前路徑指向包含解壓縮部署套件的資料夾，然後執行安裝指令碼：

CD "<LocalExtractedFolderPath>\AzTSMMARemovalUtilityDeploymentFiles"
. ".\MMARemovalUtilitySetup.ps1"

安裝必要的 Az 模組

Az PowerShell 模組包含用來部署 Azure 資源的 Cmdlet。 使用下列命令來安裝必要的 Az 模組。 如需 Az 模組的詳細資訊，請參閱如何安裝 Azure PowerShell。 您必須將目前路徑指向解壓縮的資料夾位置。

Set-Prerequisites

設定多組織用戶共享身分識別

在此步驟中，您會使用服務主體來設定 Microsoft Entra 應用程式身分識別。 您必須使用 PowerShell 命令登入想要安裝 MMA 探索和移除公用程式設定的 Microsoft Entra 帳戶。

您要執行下列作業：

• 如果沒有提供一個預先存在的 Microsoft Entra 應用程式物件識別碼，請建立多租用戶 Microsoft Entra 應用程式。
• 建立 Microsoft Entra 應用程式的密碼認證。

Disconnect-AzAccount
Disconnect-AzureAD
$TenantId = "<TenantId>"
Connect-AzAccount -Tenant $TenantId
Connect-AzureAD -TenantId $TenantId

$Identity = Set-AzTSMMARemovalUtilitySolutionMultiTenantRemediationIdentity `
         -DisplayName <AADAppDisplayName> `
         -ObjectId <PreExistingAADAppId> `
         -AdditionalOwnerUPNs @("<OwnerUPN1>","<OwnerUPN2>")
$Identity.ApplicationId
$Identity.ObjectId
$Identity.Secret

指令碼包含下列參數：

參數名稱	描述	必要
DisplayName	顯示補救識別的名稱。	Yes
ObjectId	補救識別的物件識別碼。	No
AdditionalOwnerUPNs	要建立應用程式之擁有者的使用者主體名稱 (UPN)。	No

設定儲存體

在此步驟中，您會設定祕密儲存體。 您必須擁有訂用帳戶的擁有者存取權來建立資源群組。

您要執行下列作業：

• 建立或更新金鑰保存庫的資源群組。
• 建立或更新金鑰保存庫。
• 儲存祕密。

$KeyVault = Set-AzTSMMARemovalUtilitySolutionSecretStorage ` 
         -SubscriptionId <KVHostingSubId> `
         -ResourceGroupName <KVHostingRGName> `
         -Location <Location> `
         -KeyVaultName <KeyVaultName> `
         -AADAppPasswordCredential $Identity.Secret
$KeyVault.Outputs.keyVaultResourceId.Value
$KeyVault.Outputs.secretURI.Value
$KeyVault.Outputs.logAnalyticsResourceId.Value

指令碼包含下列參數：

參數名稱	描述	必要
SubscriptionId	建立金鑰保存庫的訂用帳戶識別碼。	Yes
ResourceGroupName	要在其中建立金鑰保存庫之資源群組的名稱。 這應該是與設定資源群組不同的資源群組。	Yes
Location	建立網域控制站的位置網域控制站。 為了提升效能，建議您在同一位置建立與設定相關的所有資源。 預設值為 EastUS2。	No
KeyVaultName	建立的金鑰保存庫名稱。	Yes
AADAppPasswordCredential	MMA 探索和移除公用程式的 Microsoft Entra 應用程式密碼認證。	Yes

設定安裝

在此步驟中，您要安裝 MMA 探索和移除公用程式。 您必須具有擁有者於其中建立設定的訂用帳戶存取權。 建議您針對公用程式使用新的資源群組。

您要執行下列作業：

• 根據使用者喜好設定，提示並收集使用量遙測收集的上線詳細資料。
• 建立資源群組 (如果不存在)。
• 使用受控識別建立或更新資源。
• 建立或更新監視儀表板。

$Solution = Install-AzTSMMARemovalUtilitySolution ` 
         -SubscriptionId <HostingSubId> `
         -HostRGName <HostingRGName> `
         -Location <Location> `
         -SupportMultipleTenant `
         -IdentityApplicationId $Identity.ApplicationId `
         -IdentitySecretUri ('@Microsoft.KeyVault(SecretUri={0})' -f $KeyVault.Outputs.secretURI.Value)
$Solution.Outputs.internalMIObjectId.Value

指令碼包含下列參數：

參數名稱	描述	必要
SubscriptionId	建立設定之訂用帳戶的識別碼。	Yes
HostRGName	要在其中建立設定之資源群組的名稱。 預設值為 AzTS-MMARemovalUtility-Host-RG。	No
Location	建立安裝程式的位置網域控制站。 為了提升效能，建議您將受控識別和 MMA 探索和移除公用程式裝載在同一個位置。 預設值為 EastUS2。	No
SupportMultiTenant	切換為支援多租用戶設定。	No
IdentityApplicationId	Microsoft Entra 應用程式識別碼。	Yes
IdentitySecretUri	Microsoft Entra 應用程式祕密 URI。	No

授與具有金鑰保存庫存取權的內部補救識別

在此步驟中，您會建立使用者指派的受控識別，讓函式應用程式讀取金鑰保存庫以進行驗證。 您必須擁有資源群組擁有者存取權。

Grant-AzTSMMARemediationIdentityAccessOnKeyVault ` 
    -SubscriptionId <HostingSubId> `
    -ResourceId $KeyVault.Outputs.keyVaultResourceId.Value `
    -UserAssignedIdentityObjectId $Solution.Outputs.internalMIObjectId.Value `
    -SendAlertsToEmailIds @("<EmailId1>","<EmailId2>") `
    -IdentitySecretUri $KeyVault.Outputs.secretURI.Value `
    -LAWorkspaceResourceId $KeyVault.Outputs.logAnalyticsResourceId.Value `
    -DeployMonitoringAlert

指令碼包含下列參數：

參數名稱	描述	必要
SubscriptionId	建立設定之訂用帳戶的識別碼。	Yes
ResourceId	現有金鑰保存庫的資源識別碼。	Yes
UserAssignedIdentityObjectId	受控識別的物件識別碼。	Yes
SendAlertsToEmailIds	應傳送警示的使用者電子郵件識別碼。	否；如果已啟用 DeployMonitoringAlert 則為是
SecretUri	MMA 探索和移除公用程式應用程式的金鑰保存庫祕密 URI。	否；如果已啟用 DeployMonitoringAlert 則為是
LAWorkspaceResourceId	與金鑰保存庫相關聯的 Log Analytics 工作區資源識別碼。	否；如果已啟用 DeployMonitoringAlert 則為是。
DeployMonitoringAlert	在金鑰保存庫稽核記錄之上建立警示。	否；如果已啟用 DeployMonitoringAlert 則為是

設定 Runbook 來管理金鑰保存庫 IP 範圍

在此步驟中，您會建立已停用公用網路存取的安全金鑰保存庫。 函式應用程式的 IP 範圍必須允許存取金鑰保存庫。 您必須擁有資源群組擁有者存取權。

您要執行下列作業：

• 建立或更新自動化帳戶。
• 在金鑰保存庫上使用系統指派的受控識別，授與自動化帳戶的存取權。
• 使用指令碼設定 Runbook，以擷取 Azure 每週發佈的 IP 範圍。
• 在安裝時執行 Runbook 一次，並排程每週執行的工作。

Set-AzTSMMARemovalUtilityRunbook ` 
    -SubscriptionId <HostingSubId> `
    -ResourceGroupName <HostingRGName> `
    -Location <Location> `
    -FunctionAppUsageRegion <FunctionAppUsageRegion> `
    -KeyVaultResourceId $KeyVault.Outputs.keyVaultResourceId.Value

指令碼包含下列參數：

參數名稱	描述	必要
SubscriptionId	包含自動化帳戶和金鑰保存庫的訂用帳戶識別碼。	Yes
ResourceGroupName	包含自動化帳戶和金鑰保存庫的資源群組名稱。	Yes
Location	建立自動化帳戶的位置。 為了提升效能，建議您建立與相同位置設定相關的所有資源。 預設值為 EastUS2。	No
FunctionAppUsageRegion	金鑰保存庫上允許的動態 IP 位址位置。 預設位置為 EastUS2。	Yes
KeyVaultResourceId	允許 IP 位址的金鑰保存庫資源識別碼。	Yes

設定 SPN 並授與每個租用戶的必要角色

在此步驟中，您會為每個租用戶建立服務主體名稱 (SPN)，並授與每個租用戶的權限。 設置需要讀取者、虛擬機參與者，以及 Azure Arc ScVmm VM 參與者範圍存取權。 設定的範圍可以是租用戶、管理群組或訂用帳戶，也可以是管理群組和訂用帳戶。

請針對每個租用戶執行這些步驟，並確定您在其他租用戶上有足夠的權限可建立 SPN。 在設定範圍中您必須有 [使用者存取管理員] 或 [擁有者] 權限。 例如，若要在特定訂用帳戶上執行設置，您必須在該訂用帳戶上擁有使用者存取系統管理員角色指派，才能以必要的權限授與 SPN。

$TenantId = "<TenantId>"
Disconnect-AzureAD
Connect-AzureAD -TenantId $TenantId
$SPN = Set-AzSKTenantSecuritySolutionMultiTenantIdentitySPN -AppId $Identity.ApplicationId
Grant-AzSKAzureRoleToMultiTenantIdentitySPN -AADIdentityObjectId $SPN.ObjectId `
    -TargetSubscriptionIds @("<SubId1>","<SubId2>","<SubId3>") `
    -TargetManagementGroupNames @("<MGName1>","<MGName2>","<MGName3>")

指令碼包含下列 Set-AzSKTenantSecuritySolutionMultiTenantIdentitySPN 的參數：

參數名稱	描述	必要
AppId	您建立的應用程式識別碼。	Yes

指令碼包含下列 Grant-AzSKAzureRoleToMultiTenantIdentitySPN 的參數：

參數名稱	描述	必要
AADIdentityObjectId	您的識別物件。	Yes
TargetSubscriptionIds	您要於其中執行設定的目標訂用帳戶識別碼清單。	No
TargetManagementGroupNames	您要在其中執行設置的目標管理群組名稱清單。	No

設定目標範圍

您可以使用 Set-AzTSMMARemovalUtilitySolutionScopes 來設定目標範圍：

$ConfiguredTargetScopes = Set-AzTSMMARemovalUtilitySolutionScopes ` 
         -SubscriptionId <HostingSubId> `
         -ResourceGroupName <HostingRGName> `
         -ScopesFilePath <ScopesFilePath>

指令碼包含下列參數：

參數名稱	描述	必要
SubscriptionId	您安裝設定的訂用帳戶識別碼。	Yes
ResourceGroupName	要在其中安裝設定之資源群組的名稱。	Yes
ScopesFilePath	具有目標範圍設定的檔案路徑。	Yes

範圍組態檔是 CSV 檔案，其中包含標頭資料列和三個資料行：

ScopeType	ScopeId	TenantId
訂用帳戶	/subscriptions/abb5301a-22a4-41f9-9e5f-99badff261f8	72f988bf-86f1-41af-91ab-2d7cd011db47
訂用帳戶	/subscriptions/71bdd12b-ae1d-499a-a4ea-e32d4c1d9c35	e60f12c0-e1dc-4be1-8d86-e979a5527830

執行公用程式

探索

Update-AzTSMMARemovalUtilityDiscoveryTrigger ` 
    -SubscriptionId <HostingSubId> `
    -ResourceGroupName <HostingRGName> `
    -StartScopeResolverAfterMinutes 60 `
    -StartExtensionDiscoveryAfterMinutes 30 

指令碼包含下列參數：

參數名稱	描述	必要
SubscriptionId	您安裝公用程式的訂用帳戶識別碼。	Yes
ResourceGroupName	您安裝公用程式的資源群組名稱。	Yes
StartScopeResolverAfterMinutes	時間，以分鐘為單位，執行解析程式前的等候時間。	是 (不可與 -StartScopeResolverImmediately 同時存在)
StartScopeResolverImmediately	要立即執行解析程式的指標。	是 (不可與 -StartScopeResolverAfterMinutes 同時存在)
StartExtensionDiscoveryAfterMinutes	時間，以分鐘為單位，等候執行探索前的時間 (應在解析程式完成之後)。	是 (不可與 -StartExtensionDiscoveryImmediatley 同時存在)
StartExtensionDiscoveryImmediatley	要立即執行延伸模組探索的指標。	是 (不可與 -StartExtensionDiscoveryAfterMinutes 同時存在)

移除

根據預設，移除階段會停用。 建議您在驗證探索步驟中的機器清查之後執行。

Update-AzTSMMARemovalUtilityRemovalTrigger ` 
    -SubscriptionId <HostingSubId> `
    -ResourceGroupName <HostingRGName> `
    -StartAfterMinutes 60 `
    -EnableRemovalPhase `
    -RemovalCondition 'CheckForAMAPresence'

指令碼包含下列參數：

參數名稱	描述	必要
SubscriptionId	您安裝公用程式的訂用帳戶識別碼。	Yes
ResourceGroupName	您安裝公用程式的資源群組名稱。	Yes
StartAfterMinutes	時間，以分鐘為單位，開始移除前的等候時間。	是 (不可與 -StartImmediately 同時存在)
StartImmediately	要立即執行移除階段的指標。	是 (不可與 -StartAfterMinutes 同時存在)
EnableRemovalPhase	啟用移除階段的指標。	是 (不可與 -DisableRemovalPhase 同時存在)
RemovalCondition	CheckForAMAPresence AMA 延伸模組存在時，應移除 MMA 延伸模組的指標。 無論 AMA 延伸模組是否存在，在所有情況下都會是 SkipAMAPresenceCheck。	No
DisableRemovalPhase	停用移除階段的指標。	是 (不可與 -EnableRemovalPhase 同時存在)

以下是移除的已知問題：

• 移除虛擬機器擴展集中的 MMA，其中協調流程模式為 Uniform，要取決於其升級原則。 如果原則設定為 Manual，建議您手動升級執行個體。

• 如果您收到下列錯誤訊息，請使用相同的參數值重新執行安裝命令：

  The deployment MMARemovalenvironmentsetup-20233029T103026 failed with error(s). Showing 1 out of 1 error(s). Status Message: (Code:BadRequest) - We observed intermittent issue with App service deployment.

  下一次嘗試時，命令應該繼續進行，而不會發生任何錯誤。

• 如果擴充功能移除的進度圖格顯示監視儀表板上的失敗，請使用下列資訊加以解決：

  錯誤碼	描述/原因	下一步
  AuthorizationFailed	補救識別無權在 VM、虛擬機器擴展集或 Azure Arc 伺服器上執行擴充功能刪除作業。	將 VM 參與者角色授與 VM 上的補救識別。 將 Azure Arc ScVmm VM 參與者角色授與虛擬機器擴展集上的補救識別。 然後重新執行移除階段。
  OperationNotAllowed	資源處於已解除分配的狀態，或對資源套用鎖定。	開啟失敗的資源和/或移除鎖定，然後重新執行移除階段。

公用程式會在您在設置期間使用的 Log Analytics 工作區中收集錯誤詳細資料。 移至 Log Analytics 工作區，選取 [Logs]，然後執行下列查詢：

let timeago = timespan(7d);
InventoryProcessingStatus_CL
| where TimeGenerated > ago(timeago) and Source_s == "AzTS_07_ExtensionRemovalProcessor"
| where ProcessingStatus_s !~ "Initiated"
| summarize arg_max(TimeGenerated,*) by tolower(ResourceId)
| project ResourceId, ProcessingStatus_s, ProcessErrorDetails_s

清除

MMA 探索和移除公用程式會建立從基礎結構中移除 MMA 之後應該清除的資源。 完成下列步驟以清除：

1. 移至包含部署套件的資料夾，並載入清除指令碼：

   CD "<LocalExtractedFolderPath>\AzTSMMARemovalUtilityDeploymentFiles"
   . ".\MMARemovalUtilityCleanUpScript.ps1"
   

2. 執行清除指令碼：

   Remove-AzTSMMARemovalUtilitySolutionResources ` 
       -SubscriptionId <HostingSubId> `
       -ResourceGroupName <HostingRGName> `
       [-DeleteResourceGroup `]
       -KeepInventoryAndProcessLogs
   

指令碼包含下列參數：

參數名稱	描述	必要
SubscriptionId	您想要刪除的訂用帳戶識別碼。	Yes
ResourceGroupName	您正在刪除的資源群組名稱。	Yes
DeleteResourceGroup	刪除整個資源群組的布林值旗標。	Yes
KeepInventoryAndProcessLogs	排除 Log Analytics 工作區和 Application Insights 的布林值旗標。 無法與 DeleteResourceGroup 搭配使用。	No