Azure Arc を使用して Windows Server インスタンスを管理する

• 12 分

Windows Server を Azure Arc にオンボードした後は、Azure を使ってマシンの管理と構成を行うことができます。 使用可能な機能の一部を次の表に示します。

オプション

説明

概要

状態、場所、サブスクリプション、コンピューター名、オペレーティング システム、タグなど、VM の基本情報を確認できます。

アクティビティ ログ

VM に対して実行されたアクティビティの一覧、およびイベントの実行者を確認できます。

アクセス制御

ユーザー、グループ、サービス プリンシパルの Azure リソースへのアクセスを確認および管理できます。 さらに、ロールの割り当てを作成することにより、このスコープのマネージド ID。

Tags

リソースの分類に使用できる名前と値のペアです。

Extensions

VM 拡張機能を追加および削除できます。

ポリシー

VM のポリシーを追加、構成、および削除できます。

更新管理

[更新プログラムの管理] を使用して VM の一貫した制御とコンプライアンスを維持できます。

変更履歴とインベントリ

VM の変更追跡とインベントリ構成を確認できます。 [変更履歴とインベントリ] は、リソースの一貫した統制とコンプライアンスの実現に役立ちます。

洞察

Azure Monitor を使用して、ホスト CPU、ディスク、および Azure Arc VM のアップまたはダウン状態を確認できます。

ログ

ログに対してクエリを実行し、VM に関する情報を収集できます。

拡張機能の管理

"VM 拡張機能" は、Azure VM 上でデプロイ後の構成と自動タスクを提供する小さなアプリです。 たとえば、Contoso で、VM に新しいソフトウェアをインストールする必要がある場合、ウイルス対策保護を有効にする必要がある場合、または IT スタッフが VM 内でスクリプトを実行する必要がある場合、VM 拡張機能を使用できます。 Azure Arc for servers を使用すると、Azure VM 拡張機能を Azure 以外の Windows および Linux VM の両方にデプロイできます。これは、このようなコンピューターの管理を簡略化するために役立ちます。

VM 拡張機能は、Azure portal から、または Azure CLI、Azure PowerShell、Azure Resource Manager テンプレートを使って管理できます。 次の表に掲載され、説明されている拡張機能を Azure Arc VM に追加できます。

拡張子

追加情報

Microsoft Defender for Cloud に組み込まれている脆弱性スキャナー

.Qualys

Microsoft Antimalware 拡張機能

Microsoft.Azure.Security

カスタム スクリプト拡張機能

Microsoft.Compute.

Log Analytics エージェント

Microsoft.EnterpriseCloud.Monitoring

VM に対する Azure Monitor

Microsoft.Azure.Monitoring.DependencyAgent

Azure Key Vault 証明書の同期

Microsoft.Azure.Key.Vault

Azure Monitor エージェント

Microsoft.Azure.Monitor

Azure Automation Hybrid Runbook Worker 拡張機能

Microsoft.Compute

Azure Policy で管理する

Azure Policy は、組織で Microsoft Azure 環境の組織標準のコンプライアンスを管理および評価するために役立つサービスです。 Azure Policy では、ターゲットの Azure リソースの種類のプロパティに基づく宣言的ルールを使用します。 これらの規則によってポリシー定義が形成されます。管理者は、ポリシーの割り当てを介して、個々の Azure リソース、リソース グループ、サブスクリプション、管理グループなどのスコープにこれを適用できます。

たとえば Contoso では、ポリシー定義の管理を簡略化するために、複数のポリシーをイニシアチブに結合した後、複数のポリシー割り当ての代わりに少数のイニシアチブ割り当てを作成することを検討できます。

Azure Policy の機能は、4 つの主要カテゴリに分類できます。

• 新しい Azure リソースをプロビジョニングするときのコンプライアンスの実施
• 既存の Azure リソースのコンプライアンスの監査
• 既存の Azure リソースのコンプライアンス違反の修復
• Azure VM 内部の OS、アプリケーション構成、および環境設定のコンプライアンスの監査

具体的には、Contoso では Arc 対応サーバーで Azure Policy を使って、次の規則を実装できます。

• Azure Arc へのデプロイの間にマシンにタグを割り当てる
• Log Analytics 拡張機能を Azure 以外のマシンにデプロイする
• Microsoft Defender が有効になっていない Arc 対応サーバーを識別する

Azure Arc を使うと、オンプレミスのデータセンターで実行されている、またはサードパーティーのクラウド プロバイダーによってホストされているサーバーとクラスターに、Azure Policy のガバナンスを拡張できます。 この機能は、OS、アプリケーション、環境の設定のコンプライアンス監査に適用されます。

エージェントをインストールした後、Azure Arc に対して Transmission Control Protocol (TCP) ポート 443 経由での送信接続が必要になります。 その時点で、Azure Policy Guest Configuration クライアントベースの構成のうち、割り当てられたポリシーまたはイニシアチブ定義に含まれるすべての構成が有効になります。

特に、Contoso では、[[プレビュー]: Azure セキュリティ ベースライン設定と一致しない Windows VM を監査する] ポリシー イニシアティブを使用して、Azure Security Center ベースラインに対するコンプライアンスを監査できます。 また、ポリシー定義 [[プレビュー] Windows マシンでタイム ゾーンを構成する] を割り当てることにより、ターゲット サーバーのタイムゾーンを設定することもできます。 ターゲット コンピューターを監査する場合、Contoso には、Azure portal から使用できる Azure VM Run コマンドを使用して、ローカルまたはリモートでログを確認するオプションがあります。

Azure Arc ポリシーを割り当てる

コンピューターの Azure Arc ポリシーの管理と割り当てを行うには:

1. Azure portal から Azure Arc に移動し、[サーバーの管理] を選択します。

2. 返されたマネージド サーバーの一覧から適切なサーバーを選択し、ナビゲーション ペインの [操作] の下にある [ポリシー] を選択します。

3. ポリシーを割り当てるには、ツールバーの [ポリシーの割り当て] を選択します。

4. [ポリシーの割り当て] ページで、次の情報を選択します。

   • ポリシーのスコープおよびスコープからの除外。
   • ポリシー定義。
   • 割り当て名。
   • 説明
   • ポリシーの適用 (有効または無効)。

   

5. [確認と作成]、または [パラメーター] タブと [修復] タブを選択して、追加の動作を構成します。

ポリシーを割り当てたら、Azure Arc ホームページから、選択した VM でポリシー設定を確認できます。

追加の参考資料

詳しくは、次のドキュメントをご覧ください。

• Azure Arc for servers 用の Azure Policy 組み込み定義
• クイックスタート: 準拠していないリソースを識別するためのポリシー割り当てを作成する