Active Directory に参加している Windows マシンは、グループ ポリシーを使用して 大規模に Azure Arc 対応サーバー にオンボードできます。
まず、Connected Machine エージェントをホストするリモート共有を設定してから、Azure 内の Arc 対応サーバーのランディング ゾーンを指定するスクリプトを変更します。 次に、グループ ポリシー オブジェクト (GPO) を生成するスクリプトを実行して、マシンのグループを Azure Arc 対応サーバーにオンボードします。 このグループ ポリシー オブジェクトは、サイト、ドメイン、または組織レベルで適用できます。 割り当てでは、グループ ポリシーにネイティブなアクセス制御リスト (ACL) やその他のセキュリティ フィルターを使用することもできます。 グループ ポリシーのスコープ内のすべてのマシンは Azure Arc 対応サーバーにオンボードされるため、GPO のスコープには、Azure Arc にオンボードするマシンのみを含めます。
作業を開始する前に、環境が 接続マシン エージェントの前提条件 と 、Azure Arc 対応サーバーをデプロイするためのネットワーク要件を満たしていることを確認します。 サポートされているリージョン、および関連するその他の考慮事項については、 サポート対象の Azure リージョン に関する記事を参照してください。 設計と展開の条件の詳細については、 大規模な計画ガイドを参照してください。
Azure サブスクリプションをお持ちでない場合は、始める前に無料アカウントを作成してください。
SQL Server の自動接続
Microsoft SQL Server もインストールされている Azure Arc に Windows または Linux サーバーを接続すると、SQL Server インスタンスも Azure Arc に自動的に接続されます。
Azure Arc によって有効化された SQL Server には、SQL Server インスタンスとデータベース用の詳細インベントリと追加の管理機能が備わっています。 接続プロセスの一環として、拡張機能が Azure Arc 対応サーバーにデプロイされ、 新しいロール が SQL Server とデータベースに適用されます。 SQL Server を Azure Arc に自動的に接続しない場合は、Azure Arc に接続するときに、 ArcSQLServerExtensionDeployment と値 Disabled という名前のタグを Windows または Linux サーバーに追加することでオプトアウトできます。
詳細については、「Azure Arc によって有効化された SQL Server の自動接続を管理する」を参照してください。
リモート共有を準備し、サービス プリンシパルを作成する
Azure Arc 対応サーバーのオンボードに使用するグループ ポリシー オブジェクトには、Connected Machine エージェントとのリモート共有が必要です。
Windows 用の Azure Connected Machine エージェント パッケージと構成ファイルをホストするためのリモート共有を準備します。 このリモート共有にファイルを追加できる必要があります。 ネットワーク共有には、ドメイン コントローラーとドメイン マシンからアクセスできる必要があります。 ドメイン コンピューターには変更アクセス許可が必要で、ドメイン管理者にはフル コントロールのアクセス許可が必要です。
大規模なオンボーディング用にサービス プリンシパルを作成する手順に従います。
- Azure Connected Machine Onboarding ロールをサービス プリンシパルに割り当てます。 ロールのスコープをターゲットの Azure ランディング ゾーンに制限します。
- 後で必要になるため、サービス プリンシパル シークレットの値を記録しておきます。
からフォルダー https://github.com/Azure/ArcEnabledServersGroupPolicy/releases/latest/ をダウンロードして解凍します。 このフォルダーには、ArcGPOプロジェクト構造とスクリプト
EnableAzureArc.ps1、DeployGPO.ps1、およびAzureArcDeployment.psm1が含まれています。 これらの資産は、マシンを Azure Arc 対応サーバーにオンボードするために使用されます。最新バージョンの Azure Connected Machine エージェント Windows インストーラー パッケージを、Microsoft ダウンロード センターからダウンロードして、リモート共有に保存します。
ドメイン コントローラーで
DeployGPO.ps1デプロイ スクリプトを実行し、DomainFQDN、ReportServerFQDN、ArcRemoteShare、サービス プリンシパル シークレット、サービス プリンシパル クライアント ID、サブスクリプション ID、リソース グループ、リージョン、テナント、および AgentProxy (該当する場合) の実行パラメーターを変更します。 これらの値の詳細については、スクリプトのコメントを参照してください。たとえば、次のコマンドでは、GPO を contoso.com ドメインに展開し、オンボード スクリプト
EnableAzureArc.ps1をAzureArcOnBoardサーバーのリモート共有Server.contoso.comにコピーします。.\DeployGPO.ps1 -DomainFQDN contoso.com -ReportServerFQDN Server.contoso.com -ArcRemoteShare AzureArcOnBoard -ServicePrincipalSecret $ServicePrincipalSecret -ServicePrincipalClientId $ServicePrincipalClientId -SubscriptionId $SubscriptionId -ResourceGroup $ResourceGroup -Location $Location -TenantId $TenantId [-AgentProxy $AgentProxy]
グループ ポリシー オブジェクトを適用する
グループ ポリシー管理コンソール (GPMC) で、目的の組織単位 (OU) を右クリックし、[ MSFT] Azure Arc Servers (datetime) という名前の GPO をリンクします。 この GPO には、マシンをオンボードするためのスケジュールされたタスクがあります。 20 分以内に、GPO がそれぞれのドメイン コントローラーにレプリケートされます。 Microsoft Entra Domain Services でのグループ ポリシーの作成と管理の詳細については、「Microsoft Entra Domain Services マネージド ドメインでのグループ ポリシーの管理」を参照してください。
オンボードが成功したことを確認する
エージェントをインストールして構成したら、OU 内のサーバーが Azure Arc に正常に接続されたことを確認します。これを行うには、 Azure Portal の AzureArc - Machines に表示されるようにします。
重要
サーバーが Azure Arc に正常にオンボードされたことを確認したら、グループ ポリシー オブジェクトを無効にします。 これにより、スケジュールされたタスクの PowerShell コマンドが、システムの再起動時またはグループ ポリシーの更新時に再度実行されなくなります。
次のステップ
- 計画と展開ガイドを参照して、任意の規模で Azure Arc 対応サーバーをデプロイし、一元的な管理と監視を実装する計画を立ててください。
- 接続のトラブルシューティング情報については、Connected Machine エージェントのトラブルシューティング ガイドに関するページを確認してください。
- Azure マシンの構成、マシンが予想される Log Analytics ワークスペースに報告されていることを確認する、VM 分析情報を使用した監視を有効にするなど、Azure Policy を使用してマシンを管理する方法について説明します。
- グループ ポリシーの詳細を確認してください。