次の方法で共有

グループ ポリシーを使用して大規模にマシンを接続する

  • [アーティクル]

グループ ポリシーを使用して、Active Directory 参加済みの Windows マシンを Azure Arc 対応サーバーに大規模にオンボードできます。

最初に、Connected Machine エージェントでローカル リモート共有を設定し、Azure 内の Arc 対応サーバーのランディング ゾーンを指定するスクリプトを変更する必要があります。 次に、グループ ポリシー オブジェクト (GPO) を生成するスクリプトを実行して、マシンのグループを Azure Arc 対応サーバーにオンボードします。 このグループ ポリシー オブジェクトは、サイト、ドメイン、または組織のレベルに適用できます。 割り当てでは、アクセス制御リスト (ACL) や、グループ ポリシーにネイティブな他のセキュリティ フィルター処理を使うこともできます。 グループ ポリシーのスコープ内のマシンが、Azure Arc 対応サーバーにオンボードされます。 Azure Arc にオンボードするマシンのみを含むように GPO のスコープを設定します。

開始する前に、必ず前提条件を確認し、ご利用のサブスクリプションおよびリソースが要件を満たしていることを確認してください。 サポートされているリージョン、および関連するその他の考慮事項については、 サポート対象の Azure リージョン に関する記事を参照してください。 また、設計と展開の条件、および管理と監視に関する推奨事項については、規模拡大に関する計画ガイドを参照してください。

Azure サブスクリプションをお持ちでない場合は、始める前に無料アカウントを作成してください。

SQL Server の自動接続

Microsoft SQL Server もインストールされている Azure Arc に Windows または Linux サーバーを接続すると、SQL Server インスタンスも Azure Arc に自動的に接続されます。 Azure Arc によって有効化された SQL Server には、SQL Server インスタンスとデータベース用の詳細インベントリと追加の管理機能が備わっています。 接続プロセスの一環として、拡張機能が Azure Arc 対応サーバーにデプロイされ、新しいロールが SQL Server とデータベースに適用されます。 SQL Server を Azure Arc に自動的に接続しないように設定する場合は、Windows または Linux サーバーが Azure Arc に接続されたときに、名前が ArcSQLServerExtensionDeployment、値が Disabled のタグを追加することで、オプトアウトできます。

詳細については、「Azure Arc によって有効化された SQL Server の自動接続を管理する」を参照してください。

リモート共有を準備し、サービス プリンシパルを作成する

Azure Arc 対応サーバーのオンボードに使用するグループ ポリシー オブジェクトには、Connected Machine エージェントとのリモート共有が必要です。 次のことを行う必要があります。

  1. Windows 用の Azure Connected Machine エージェント パッケージと構成ファイルをホストするためのリモート共有を準備します。 分散した場所にファイルを追加できる必要があります。 ネットワーク共有では、ドメイン コントローラーと、変更アクセス許可を持つドメイン コンピューター、およびフル コントロールのアクセス許可を持つドメイン管理者を提供する必要があります。

  2. 大規模なオンボーディング用にサービス プリンシパルを作成する手順に従います。

    • Azure Connected Machine のオンボード ロールをサービス プリンシパルに割り当て、ロールのスコープをターゲットの Azure ランディング ゾーンに制限します。
    • 後で必要になるため、サービス プリンシパル シークレットの値を記録しておきます。

  3. https://github.com/Azure/ArcEnabledServersGroupPolicy/releases/latest/ からフォルダー ArcEnabledServersGroupPolicy_vX.X.X をダウンロードして解凍します。 このフォルダーには、スクリプト EnableAzureArc.ps1DeployGPO.ps1、および AzureArcDeployment.psm1 が含まれています。 これらのアセットは、マシンを Azure Arc 対応サーバーにオンボードするために使用されます。

  4. 最新バージョンの Azure Connected Machine エージェント Windows インストーラー パッケージを、Microsoft ダウンロード センターからダウンロードして、リモート共有に保存します。

  5. デプロイ スクリプト DeployGPO.ps1 を実行し、DomainFQDN、ReportServerFQDN、ArcRemoteShare、サービス プリンシパル シークレット、サービス プリンシパル クライアント ID、サブスクリプション ID、リソース グループ、リージョン、テナント、および AgentProxy の実行パラメーターを変更します (該当する場合)。

    .\DeployGPO.ps1 -DomainFQDN contoso.com -ReportServerFQDN Server.contoso.com -ArcRemoteShare AzureArcOnBoard -ServicePrincipalSecret $ServicePrincipalSecret -ServicePrincipalClientId $ServicePrincipalClientId -SubscriptionId $SubscriptionId -ResourceGroup $ResourceGroup -Location $Location -TenantId $TenantId [-AgentProxy $AgentProxy]

グループ ポリシー オブジェクトを適用する

グループ ポリシー管理コンソール (GPMC) で、目的の組織単位を右クリックし、[MSFT] Azure Arc Servers (datetime) という名前の GPO をリンクします。 これは、マシンをオンボードするためのスケジュールされたタスクを持つグループ ポリシー オブジェクトです。 10 分から 20 分すると、グループ ポリシー オブジェクトがそれぞれのドメイン コントローラーにレプリケートされます。 詳細については、Microsoft Entra Domain Services でのグループ ポリシーの作成と管理を参照してください。

正常にエージェントをインストールし、それを Azure Arc 対応サーバーに接続するように構成したら、Azure portal に移動して、組織単位のサーバーが正常に接続されたことを確認します。 自分のマシンは Azure portal に表示されます。

重要

サーバーが Arc に正常にオンボードされたことを確認したら、グループ ポリシー オブジェクトを無効にします。 これにより、システムの再起動時またはグループ ポリシーの更新時に、スケジュールされたタスク内の同じ Powershell コマンドが実行されなくなります。

次のステップ