基本的なマシン管理 により、Azure 仮想マシン (VM) とアーク対応サーバーの管理のオンボードと構成が簡素化されます。 重要なマシン管理のためにサブスクリプションを有効にすると、そのサブスクリプション内のすべての VM と arc 対応サーバーが自動的に登録され、管理された一連の管理機能で構成されます。 これにより、マシンが監視、セキュリティ、および管理用に一貫して構成されます。
[前提条件]
- VM から収集されたログ データを収集するための Log Analytics ワークスペース。
- VM から収集されたメトリック データを収集するための Azure Monitor ワークスペース。
- 以下の「マネージド ID」セクションに記載されているユーザー割り当てマネージド ID。
必要なアクセス許可
ユーザー
登録を実行するユーザーは、サブスクリプションで有効になっている次のロールを持っている必要があります。
- 必須の機械管理者
- マネージド ID オペレーターロール
- リソース ポリシー共同作成者
Log Analytics ワークスペースまたは Azure Monitor ワークスペースを、重要なマシン管理に対して有効になっているサブスクリプションとは異なるサブスクリプションで使用している場合:
- ユーザー アカウントには、Log Analytics ワークスペースまたは Azure Monitor ワークスペースのリソース グループの Essential Machine Management Administrator ロールも必要です。
-
Microsoft.ManagedOps リソース プロバイダーは、Log Analytics ワークスペースまたは Azure Monitor ワークスペースのサブスクリプションに登録する必要があります。 Azure PowerShell コマンド:
Register-AzResourceProvider -ProviderNamespace "Microsoft.ManagedOps"を使用します。
マネージド ID
登録には、サブスクリプションの共同作成者アクセス許可が付与されているユーザー割り当てマネージド ID が必要です。
Log Analytics ワークスペースまたは Azure Monitor ワークスペースを、重要なマシン管理に対して有効になっているサブスクリプションとは異なるサブスクリプションで使用している場合、マネージド ID には、Log Analytics ワークスペースまたは Azure Monitor ワークスペースのリソース グループの 共同作成者 アクセス許可も必要です。
有効な機能
基本的なマシン管理により、標準の機能セットが可能になり、必要に応じて追加のセキュリティ機能を有効にすることができます。
注
パブリック プレビュー期間中は、必要なレベルのコア サービスを追加料金なしで利用できます。 お客様は、Change Tracking と Inventory のログ インジェスト率に対して引き続き料金を支払います。
Essentials レベル
次の機能は、essentials レベルの一部です。
| 特徴 | Description |
|---|---|
| Azure Monitor | VM のパフォーマンスと正常性を監視し、分析情報を提供します。 |
| 更新マネージャー | VM へのオペレーティング システム更新プログラムのデプロイを自動化します。 推奨されるアラートを構成します。 |
| 変更履歴とインベントリ | VM 構成の変更を追跡し、リソースのインベントリを保持します。 |
| マシンの構成 | Azure セキュリティ ベースライン ポリシーを監査する |
セキュリティ層
基本的なマシン管理の一部として、次のセキュリティ機能を使用できます。 登録された VM に対して、これらの機能の任意の組み合わせを有効にすることを選択できます。 このセクションの機能には追加料金が発生する場合があります。
| 特徴 | Description | 費用 |
|---|---|---|
| 基本的な CSPM | クラウド リソースのセキュリティを評価および改善するための基本的なクラウド セキュリティ体制管理 (CSPM) 機能を提供します。 | いいえ |
| ディフェンダー CSPM | クラウド リソースのセキュリティを強化するための高度なクラウド セキュリティ体制管理 (CSPM) 機能。 | イエス |
| クラウド用Defender | VM の高度な脅威保護とセキュリティ管理。 | イエス |
サブスクリプションを有効にする
サブスクリプションのマシン管理を有効にするには、[構成] メニューから [基本的なマシン管理] を選択し、[有効] をクリックします。
注
パブリック プレビュー期間中は、マシン管理を有効にするための唯一の方法として Azure portal がサポートされています。
[スコープ] タブ
[ スコープ ] タブには、有効にするサブスクリプションとマネージド ID が含まれます。
| 設定 | 説明 |
|---|---|
| サブスクリプションを選択する | 有効にするサブスクリプションをクリックして選択します。 アクセス権を持つすべてのサブスクリプションと、各サブスクリプション内の Azure VM と Arc 対応 VM の数が一覧表示されます。 |
| 必要なユーザー ロールの割り当て | ユーザー アカウントに割り当てられる必要があるロールを一覧表示します。 |
| 現在のユーザー ロールの割り当て | ユーザー アカウントに現在割り当てられているロールを一覧表示します。 |
| ユーザー割り当てマネージド ID | サブスクリプション内の VM のオンボードに使用するマネージド ID を選択します。 |
| 必要な ID ロールの割り当て | マネージド ID を割り当てる必要がある必要なロールを一覧表示します。 |
| 現在の ID ロールの割り当て | マネージド ID に現在割り当てられているロールを一覧表示します。 |
構成タブ
[ 構成 ] タブには、マネージド VM からデータを収集する Log Analytics ワークスペースと Azure Monitor ワークスペースが含まれています。
| 設定 | 説明 |
|---|---|
| Log Analytics ワークスペース | VM からログ データを収集するために使用する Log Analytics ワークスペースを選択します。 |
| Azure Monitor ワークスペース | VM からメトリック データを収集するために使用する Azure Monitor ワークスペースを選択します。 |
[セキュリティ] タブ
[ セキュリティ ] タブでは、マネージド VM の追加のセキュリティ サービスを選択できます。
| 設定 | 説明 |
|---|---|
| 基本的な CSPM | エージェントレスでリスク優先の分析情報を使用して、クラウド環境を継続的に評価します。 すべてのワークロードに推奨されます。 このアドオンでは、追加料金は発生しません。 |
| Defender CSPM | エージェントレスでリスク優先の分析情報を使用して、クラウド環境を継続的に評価します。 すべてのワークロードに推奨されます。 このアドオンには追加料金が発生します。 |
| クラウド ディフェンダー | 統合エンドポイントの検出と対応 (EDR)、脆弱性管理、ファイルの整合性の監視、高度な脅威検出を使用した包括的なサーバー保護。 ビジネス クリティカルなワークロードに推奨されます。 このアドオンには追加料金が発生します。 |
既存の VM
各サブスクリプションで基本的なマシン管理が有効になり、そのサブスクリプション内のすべての Azure VM と Arc 対応サーバーが自動的にオンボードされます。 有効にすると、サブスクリプションに追加されたすべての VM が登録され、選択した機能で構成されます。 次の動作は、重要なマシン管理が有効になっている場合に、サブスクリプション内の既存の VM に適用されます。
- 既存のサービスは、その構成を保持します。 たとえば、VM がメンテナンス スケジュールで Update Management を既に使用している場合でも、そのメンテナンス スケジュールに従います。
- サブスクリプションが有効になった後、 修復タスク が作成され、サブスクリプション内のすべての既存の VM に対して選択したサービスが有効になります。
Warnung
変更追跡が有効になっている既存の VM がある場合は、パブリック プレビューには注意してください。 この場合、追加の変更追跡 DCR が作成され、VM に関連付けられます。 ただし、Change Tracking では 1 つの DCR のみがサポートされるため、どちらの DCR も割り当てることができます。 ManagedOps DCR を使用する場合は、既存の DCR を削除してください。
VM の除外
現在、有効なサブスクリプション内の VM を除外する機能はありません。 サブスクリプション内のすべての VM がオンボードされ、選択した機能で構成されます。
サブスクリプションを無効にする
サブスクリプションを選択し、[ オフボード] をクリックして、サブスクリプションを無効にします。 サブスクリプションを無効にすると、そのサブスクリプションに追加された VM は、選択した管理機能で構成されなくなります。 ただし、既存の VM の構成は変更されません。 これらは、手動で削除するまで、既存の機能で引き続き管理されます。
Warnung
サブスクリプションを無効にすると、そのサブスクリプション内のマシンでは統合価格が使用されなくなります。 これらのマシンの価格は、個々のサービスの標準価格に戻ります。これにより、コストが増加する可能性が最も高くなります。 追加料金が発生しないように、既存の VM で不要なサービスを無効にしてください。
トラブルシューティング
基本的なマシン管理に関する一般的な問題の解決については、基本的なマシン管理 (プレビュー) のトラブルシューティングに関する記事を参照してください。 この記事では、登録時に作成されたオブジェクトと、その作成を確認する方法についても説明します。
詳細な構成
次の表では、基本的なマシン管理が有効になっている場合に各 VM に適用される特定の構成について説明します。
| 特徴 | 構成の詳細 |
|---|---|
| Azure Monitor | - Azure Monitor エージェントをインストールします - パフォーマンス カウンターの標準セットを収集します。 - 推奨されるアラートを構成する |
| Azureアップデートマネージャー | - 拡張機能をインストールします (Microsoft.CPlat.Core.LinuxPatchExtension または Microsoft.CPlat.Core.WindowsPatchExtension)- 定期的な評価 が有効になっています。 |
| 変更履歴とインベントリ | - 拡張機能のインストール (Microsoft.Azure.ChangeTrackingAndInventory.<br>ChangeTracking-Windows または Microsoft.Azure.ChangeTrackingAndInventory.ChangeTracking-Linux)- オンボードで指定された Log Analytics ワークスペースを使用します。 - 基本的なファイルとレジストリ キーを収集します。 |
| Defender CSPM | - 既定では、すべての設定がオンになっています。 |