Azure Arc 対応サーバーの主要な管理およびガバナンス機能
Azure Arc を使用すると、いくつかの Azure サービスのスコープを Azure 以外の Windows および Linux サーバーまで拡張できます。 これは、Contoso のような企業がハイブリッド シナリオでの運用時に管理戦略を標準化するのに役立ちます。 このユニットでは、Azure Arc の機能について、Azure および Azure Arc 対応サーバーでのみ使用できる機能に的を絞って説明します。
Azure Arc 対応サーバーの主要なリソース管理機能
Azure Arc の利点の多くは、Azure Resource Manager の機能を反映しているので、リソースの種類に依存しません。 次のような利点があります。
Azure 管理グループ、サブスクリプション、リソース グループ、タグを使用して、組織のすべてのリソースを整理する機能。
Azure Resource Graph を使用した検索とインデックス作成のサポートなど、マルチクラウドとオンプレミスを対象とする組織資産の単一の包括的なインベントリ。
Azure portal、Azure コマンド ライン インターフェイス (CLI)、Azure PowerShell、Representational State Transfer (REST) アプリケーション プログラミング インターフェイス (API) による、Azure および Azure Arc 対応リソースの統合されたビュー。
Azure portal から Azure Arc 対応サーバーのほとんどの管理機能への直接アクセス。
- ログとサーバー インベントリ データを表示するためのロール ベースのアクセス制御 (RBAC)
- ソフトウェア エージェントを展開し、サーバー上でスクリプトを実行するための VM 拡張機能
- オペレーティング システムとソフトウェアの構成を監査するための Azure Policy ゲスト構成
- サーバー上で実行されているアプリが他の Azure サービスに対する認証を行う際に使用するための、Microsoft Entra システム割り当てマネージド ID
Azure Arc 対応サーバーに固有の次のような利点もあります。
- Azure 仮想マシン (VM) 拡張機能を適用して、Azure と Azure 以外の Windows および Linux サーバーの構成を一貫性のある方法で自動化する機能。
- Azure Policy ゲスト構成のサポート。 Azure Policy により、Azure Arc 対応サーバーの監査が、Azure 内のそれに対応する部分と同じ方法でサポートされます。 これにより、同じ方法を使用して、環境内のすべてのサーバーの構成が、組織の標準に準拠しているかどうかを評価できます。
VM 拡張機能、および Azure Arc 対応サーバーでのその使用方法
VM 拡張機能は、オペレーティング システムのデプロイ後の構成とオートメーション タスクを自動化する軽量のソフトウェア コンポーネントです。 これまで VM 拡張機能は Azure VM のみで使用できましたが、Azure Arc 対応サーバーで選択した機能を使用できるようになりました。 次の表に、Windows Server または Linux オペレーティング システムを実行している Azure Arc 対応サーバーに追加できる拡張機能を示します。
| 拡張機能 | 関連情報 |
|---|---|
| Log Analytics エージェント | 対象の Arc 対応サーバーに Log Analytics エージェントをインストールし、Log Analytics ワークスペースにログを転送するようにそれを構成します。 |
| 依存関係エージェント | 対象の Arc 対応サーバーに Dependency Agent をインストールすると、サーバー ワークロードの内部および外部の依存関係を簡単に識別できるようになります。 |
| Azure Key Vault エージェント | Azure Key Vault インスタンスからの証明書を Arc 対応サーバーに同期します。 |
| Qualys 拡張機能 | サーバーの脆弱性評価スキャン ソリューションのための Microsoft Defender です。 |
| 必要な状態の構成 | 対象の Arc 対応サーバーに PowerShell DSC の構成を適用します。 |
| カスタム スクリプト拡張機能 | 対象の Arc 対応サーバーでスクリプトを実行します。 |
Azure Policy、およびそれを Azure Arc 対応サーバーのガバナンスに使用する方法
Azure Policy は、組織がさまざまな Azure サービスに加えて Arc 対応サーバーの内部および規制上のコンプライアンスを管理および評価するのに役立つサービスです。 Azure Policy では、Windows や Linux オペレーティング システムなど、対象のリソースの種類のプロパティに基づく宣言型の規則が使用されます。 これらの規則によってポリシー定義が形成され、管理者は、Azure Arc 対応サーバーがホストされているリソース グループ、サブスクリプション、または管理グループに、ポリシーの割り当てを通じてそれを適用できます。 ポリシー定義の管理を簡素化するには、複数のポリシーをイニシアティブに結合した後、複数のポリシーを割り当てずに、少数のイニシアティブを割り当てることができます。
Azure Policy により、ゲスト構成ポリシーを使用した Arc 対応サーバーの状態の監査がサポートされています。 ゲスト構成ポリシーを使用すると、構成は適用されませんが、対象のオペレーティング システム内の設定が監査され、コンプライアンスが評価されます。 ただし、Azure Policy を使用すると、Arc 対応サーバーを表す Azure リソースの構成を適用できます。 また、Azure Policy を使用すると、VM 拡張機能を利用して構成を展開することもできます。
たとえば、Contoso では Azure Policy を使用して次の規則を実装できます。
- 登録時に、Arc 対応サーバーを表すリソースに特定のタグを割り当てます。
- Windows Defender Exploit Guard が無効になっている Windows が実行されている Arc 対応サーバーを特定します。
- 特定の Active Directory Domain Services (AD DS) ドメインに参加していない Windows が実行されている Arc 対応サーバーを特定します。
- Log Analytics エージェントがインストールされていない Windows または Linux が実行されている Arc 対応サーバーを特定します。
- 認証に SSH キーが使用されていない Linux が実行されている Arc 対応サーバーを特定します。
注意
修復をサポートするポリシーは、Azure Arc 対応サーバーのオペレーティング システム内のポリシー ロジックを評価する必要はなく、代わりに Azure リソースのメタデータを利用します。 このようなポリシーの例としては、タグの準拠の適用や VM 拡張機能の展開などがあります。
Note
Azure Policy では Azure VM と Azure Arc 対応サーバーがサポートされ、一貫性のある、組織全体のコンプライアンス情報のビューが提供されます。
Azure ポリシーを Azure Arc サーバーに割り当てる方法
Azure ポリシーの管理と Azure Arc 対応サーバーへの割り当ては、Azure portal から直接行えます。
![Azure portal の [ポリシーの割り当て] ページを示すスクリーンショット。管理者が利用可能なポリシーの一覧から選んでいます。](media/3-assign-policy.png)
ポリシーの割り当てを作成するとすぐに、対象の Azure Arc 対応サーバーに関するポリシー評価の結果を確認できるようになります。
ハイブリッド シナリオにおける Azure Update Manager の利点
Azure Update Manager は、ハイブリッド マシンを含むすべてのハイブリッド マシンの更新プログラムの管理とガバナンスに役立つ統合サービスです。 単一の管理ウィンドウから、ハイブリッド マシン全体の Windows と Linux の更新プログラムのコンプライアンスを監視できます。 また、Update Manager ではリアルタイムの更新や、定義されたメンテナンス期間内での更新をスケジュールすることもできます。
Azure Update Manager では、次のことができます。
- 更新プログラムをすぐに確認するか、セキュリティまたは重要な更新プログラムを展開して、ハイブリッド マシンのセキュリティを確保します。
- 定期的な評価を有効にして、ハイブリッド マシンで利用可能な最新の更新プログラムを確認します。
- お客様が定義したメンテナンス スケジュールやホット パッチの適用など、柔軟な修正プログラムの適用オプションを使用します。
- 更新の状態を報告するためのカスタム レポート ダッシュボードを作成し、特定の条件のアラートを構成します。
- すべてのハイブリッド マシンの更新プログラムのコンプライアンスを監視します。
ハイブリッド シナリオでの Azure Automation Desired State Configuration (DSC) の利点
PowerShell DSC は、PowerShell スクリプトとオペレーティング システムの機能を組み合わせて宣言型の構成管理を実装するテクノロジです。 特定の Windows 機能が有効になっていることを確認するような単純な構成も、SharePoint を展開するような複雑な構成も可能です。 DSC 構成はプッシュ モードまたはプル モードのいずれかで展開できます。 プッシュ モードでは、管理コンピューターから 1 台以上のマネージド コンピューターに対して展開を起動します。 プル モードでは、プル サーバーという指定した場所の構成データに基づいて、マネージド コンピューターによって自動的に展開が実行されます。 Azure Automation には、Azure に常駐するマネージドの DSC プル サーバーが含まれています。 VM 拡張機能を使うと、Azure Arc 対応サーバーを含めた Azure 以外のコンピューターにプッシュ モードで DSC 構成を適用できます。 または、両方の種類のシステムを Azure Automation にオンボードし、それらの構成をプル サーバーを利用して管理することもできます。
ハイブリッド シナリオでの Azure Automanage の利点
Azure Automanage マシンのベスト プラクティスは、Arc 対応サーバーにメリットをもたらす特定のサービスを Azure で検出する方法、オンボードする方法、および構成する方法を知っておく必要がないサービスです。 ご利用のマシンを Azure Automanage にオンボードすると、各ベスト プラクティス サービスが推奨される設定に自動的に構成されます。 また、Azure Automanage を使うと、ドリフトが自動的に監視され、検出されると修正されます。 参加しているサービスには、次のものがあります。
- Machines Insights Monitoring
- 変更履歴とインベントリ
- Azure ゲスト構成
- Azure Automation アカウント
- Log Analytics ワークスペース
以下の各質問に最も適した回答を選択してください。