MMA 发现和删除实用工具

项目
03/25/2024

将计算机迁移到 Azure Monitor 代理 (AMA) 后，需要删除 Log Analytics 代理（也称为 Microsoft 管理代理或 MMA），以避免日志重复。 Azure 租户安全解决方案 (AzTS) MMA 发现和删除实用工具可以从租户的 Azure 虚拟机 (VM)、Azure 虚拟机规模集和 Azure Arc 服务器中集中删除 MMA 扩展。

该实用工具按两个步骤工作：

发现：该实用工具会创建已安装 MMA 的所有计算机的清单。建议在运行实用工具时不要创建具有 MMA 扩展的任何新 VM、虚拟机规模集或 Azure Arc 服务器。
删除：该实用工具会选择装有 MMA 和 AMA 的计算机，并删除 MMA 扩展。可以在验证计算机列表后禁用此步骤并运行它。可以选择从只有 MMA 的计算机中删除扩展，但我们建议先将所有依赖项迁移到 AMA，然后删除 MMA。

先决条件

使用 PowerShell 扩展在 Visual Studio Code 中执行所有安装步骤。您需要：

Windows 10 或更高版本，或 Windows Server 2019 或更高版本。
PowerShell 5.0 或更高版本。通过运行 $PSVersionTable 来查看版本。
PowerShell。语言必须设置为 FullLanguage 模式。通过在 PowerShell 中运行 $ExecutionContext.SessionState.LanguageMode 来检查模式。有关详细信息，请参阅 PowerShell 参考。
Bicep。安装脚本使用 Bicep 自动进行安装。通过运行 bicep --version 检查安装。有关详细信息，请参阅安装 Bicep 工具。
用户分配的托管标识，它对目标作用域具有读取者、虚拟机参与者和 Azure Arc ScVmm VM 参与者访问权限。
一个新资源组，用于包含安装自动化自动创建的所有 Azure 资源。
对已配置的作用域具有适当权限。若要向修正用户分配的托管标识授予对目标作用域具有的上述角色，必须具有用户访问管理员或所有者权限。例如，如果要为特定订阅配置安装程序，则必须对该订阅具有用户访问管理员角色分配，以便脚本可以为修正用户分配的托管标识提供权限。

下载部署包

部署包包含：

Bicep 模板，其中包含在安装过程中创建的资源配置详细信息。
部署安装脚本，它提供用于运行安装的 cmdlet。

安装此包：

转到 AzTS-docs GitHub 存储库。将部署包文件 AzTSMMARemovalUtilityDeploymentFiles.zip 下载到本地计算机。
将 .zip 文件提取到本地文件夹位置。

使用此脚本取消阻止文件：

Get-ChildItem -Path "<Extracted folder path>" -Recurse | Unblock-File

转到部署文件夹并加载合并的安装脚本。你必须对订阅具有所有者访问权限。

CD "<LocalExtractedFolderPath>\AzTSMMARemovalUtilityDeploymentFiles"
. ".\MMARemovalUtilityConsolidatedSetup.ps1"

使用以下 PowerShell 命令登录到 Azure 帐户：

$TenantId = "<TenantId>"
Connect-AzAccount -Environment AzureChinaCloud -Tenant $TenantId

运行安装脚本以执行以下操作：

安装所需的 Az 模块。
设置修正用户分配的托管标识。
根据用户首选项提示并收集使用情况遥测收集的载入详细信息。
创建或更新资源组。
使用分配的托管标识创建或更新资源。
创建或更新监视仪表板。
配置目标作用域。

$SetupInstallation = Install-AzTSMMARemovalUtilitySolutionConsolidated `
         -RemediationIdentityHostSubId <MIHostingSubId> `
         -RemediationIdentityHostRGName <MIHostingRGName> `
         -RemediationIdentityName <MIName> `
         -TargetSubscriptionIds @("<SubId1>","<SubId2>","<SubId3>") `
         -TargetManagementGroupNames @("<MGName1>","<MGName2>","<MGName3>") `
         -TenantScope `
         -SubscriptionId <HostingSubId> `
         -HostRGName <HostingRGName> `
         -Location <Location> `
         -AzureEnvironmentName <AzureEnvironmentName>

该脚本包含以下参数：

参数名称	说明	必须
`RemediationIdentityHostSubId`	用于创建修正资源的订阅 ID。	是
`RemediationIdentityHostRGName`	用于创建修正的新资源组名称。默认为 `AzTS-MMARemovalUtility-RG`。	否
`RemediationIdentityName`	修正托管标识的名称。	是
`TargetSubscriptionIds`	要在其上运行的目标订阅 ID 的列表。	否
`TargetManagementGroupNames`	要运行的目标管理组名称的列表。	否
`TenantScope`	通过租户 ID 分配角色的租户作用域。	否
`SubscriptionId`	在其中安装安装程序的订阅 ID。	是
`HostRGName`	在其中创建修正托管标识的新资源组的名称。默认值为 `AzTS-MMARemovalUtility-Host-RG`。	否
`Location`	在其中创建安装程序的位置域控制器。	否
`AzureEnvironmentName`	安装解决方案的 Azure 环境：`AzureCloud` 或 `AzureGovernmentCloud`。默认值为 `AzureCloud`。	否

本部分将指导你完成设置多租户 AzTS MMA 发现和删除实用工具的步骤。此设置最长可能需要 30 分钟。

加载安装脚本

将当前路径指向包含已提取的部署包的文件夹，并运行安装脚本：

CD "<LocalExtractedFolderPath>\AzTSMMARemovalUtilityDeploymentFiles"
. ".\MMARemovalUtilitySetup.ps1"

安装所需的 Az 模块

Az PowerShell 模块包含用于部署 Azure 资源的 cmdlet。使用以下命令安装所需的 Az 模块。有关 Az 模块的详细信息，请参阅如何安装 Azure PowerShell。必须将当前路径指向已提取的文件夹位置。

Set-Prerequisites

设置多租户标识

在此步骤中，你将使用服务主体设置 Microsoft Entra 应用程序标识。必须使用 PowerShell 命令登录到要在其中安装 MMA 发现和删除实用工具安装程序的 Microsoft Entra 帐户。

需要执行以下操作：

如果未提供预先存在的 Microsoft Entra 应用程序对象 ID，请创建一个多租户 Microsoft Entra 应用程序。
为 Microsoft Entra 应用程序创建密码凭据。

Disconnect-AzAccount
Disconnect-AzureAD
$TenantId = "<TenantId>"
Connect-AzAccount -Environment AzureChinaCloud -Tenant $TenantId
Connect-AzureAD -Environment AzureChinaCloud -TenantId $TenantId

$Identity = Set-AzTSMMARemovalUtilitySolutionMultiTenantRemediationIdentity `
         -DisplayName <AADAppDisplayName> `
         -ObjectId <PreExistingAADAppId> `
         -AdditionalOwnerUPNs @("<OwnerUPN1>","<OwnerUPN2>")
$Identity.ApplicationId
$Identity.ObjectId
$Identity.Secret

该脚本包含以下参数：

参数名称	说明	必须
`DisplayName`	修正标识的显示名称。	是
`ObjectId`	修正标识的对象 ID。	否
`AdditionalOwnerUPNs`	要创建的应用的所有者的用户主体名称 (UPN)。	否

设置存储

在此步骤中，将为机密设置存储。必须对订阅具有所有者访问权限才能创建资源组。

需要执行以下操作：

创建或更新密钥保管库的资源组。
创建或更新密钥保管库。
存储机密。

$KeyVault = Set-AzTSMMARemovalUtilitySolutionSecretStorage ` 
         -SubscriptionId <KVHostingSubId> `
         -ResourceGroupName <KVHostingRGName> `
         -Location <Location> `
         -KeyVaultName <KeyVaultName> `
         -AADAppPasswordCredential $Identity.Secret
$KeyVault.Outputs.keyVaultResourceId.Value
$KeyVault.Outputs.secretURI.Value
$KeyVault.Outputs.logAnalyticsResourceId.Value

该脚本包含以下参数：

参数名称	说明	必须
`SubscriptionId`	在其中创建密钥保管库的订阅 ID。	是
`ResourceGroupName`	在其中创建密钥保管库的资源组的名称。它应该是与安装资源组不同的资源组。	是
`Location`	在其中创建密钥保管库的位置域控制器。为了获得更好的性能，我们建议在一个位置创建与安装相关的所有资源。	否
`KeyVaultName`	创建的密钥保管库的名称。	是
`AADAppPasswordCredential`	MMA 发现和删除实用工具的 Microsoft Entra 应用程序密码凭据。	是

设置安装

在此步骤中，安装 MMA 发现和删除实用工具。必须对从中创建安装程序的订阅具有所有者访问权限。建议为实用工具使用新的资源组。

需要执行以下操作：

根据用户首选项提示并收集使用情况遥测收集的载入详细信息。
创建资源组（如果不存在）。
使用托管标识创建或更新资源。
创建或更新监视仪表板。

$Solution = Install-AzTSMMARemovalUtilitySolution ` 
         -SubscriptionId <HostingSubId> `
         -HostRGName <HostingRGName> `
         -Location <Location> `
         -SupportMultipleTenant `
         -IdentityApplicationId $Identity.ApplicationId `
         -IdentitySecretUri ('@Microsoft.KeyVault(SecretUri={0})' -f $KeyVault.Outputs.secretURI.Value)
$Solution.Outputs.internalMIObjectId.Value

该脚本包含以下参数：

参数名称	说明	必须
`SubscriptionId`	在其中创建安装程序的订阅 ID。	是
`HostRGName`	在其中创建安装程序的资源组的名称。默认值为 `AzTS-MMARemovalUtility-Host-RG`。	否
`Location`	在其中创建安装程序的位置域控制器。为了获得更好的性能，我们建议在同一位置托管该托管标识和 MMA 发现和删除实用工具。	否
`SupportMultiTenant`	切换到支持多租户设置。	否
`IdentityApplicationId`	Microsoft Entra 应用程序 ID。	是
`IdentitySecretUri`	Microsoft Entra 应用程序机密 URI。	否

向内部修正标识授予对密钥保管库的访问权限

在此步骤中，将创建用户分配的托管标识，使函数应用能够读取密钥保管库以进行身份验证。必须对资源组具有所有者访问权限。

Grant-AzTSMMARemediationIdentityAccessOnKeyVault ` 
    -SubscriptionId <HostingSubId> `
    -ResourceId $KeyVault.Outputs.keyVaultResourceId.Value `
    -UserAssignedIdentityObjectId $Solution.Outputs.internalMIObjectId.Value `
    -SendAlertsToEmailIds @("<EmailId1>","<EmailId2>") `
    -IdentitySecretUri $KeyVault.Outputs.secretURI.Value `
    -LAWorkspaceResourceId $KeyVault.Outputs.logAnalyticsResourceId.Value `
    -DeployMonitoringAlert

该脚本包含以下参数：

参数名称	说明	必须
`SubscriptionId`	在其中创建安装程序的订阅 ID。	是
`ResourceId`	现有密钥保管库的资源 ID。	是
`UserAssignedIdentityObjectId`	托管标识的对象 ID。	是
`SendAlertsToEmailIds`	应向其发送警报的用户电子邮件 ID。	否；如果启用了 `DeployMonitoringAlert` 开关，则为“是”
`SecretUri`	MMA 发现和删除实用工具应用凭据的密钥保管库机密 URI。	否；如果启用了 `DeployMonitoringAlert` 开关，则为“是”
`LAWorkspaceResourceId`	与密钥保管库关联的 Log Analytics 工作区的资源 ID。	否；如果启用了 `DeployMonitoringAlert` 开关，则为“是”。
`DeployMonitoringAlert`	根据密钥保管库的审核日志创建警报。	否；如果启用了 `DeployMonitoringAlert` 开关，则为“是”

设置用于管理密钥保管库 IP 范围的 Runbook

在此步骤中，将创建已禁用公用网络访问的安全密钥保管库。必须允许访问密钥保管库的函数应用的 IP 范围。必须对资源组具有所有者访问权限。

需要执行以下操作：

创建或更新自动化帐户。
通过在密钥保管库上使用系统分配的托管标识，授予自动化帐户的访问权限。
使用脚本设置 Runbook，以获取 Azure 每周发布的 IP 范围。
在安装时运行 Runbook 一次，并计划每周运行一次任务。

Set-AzTSMMARemovalUtilityRunbook ` 
    -SubscriptionId <HostingSubId> `
    -ResourceGroupName <HostingRGName> `
    -Location <Location> `
    -FunctionAppUsageRegion <FunctionAppUsageRegion> `
    -KeyVaultResourceId $KeyVault.Outputs.keyVaultResourceId.Value

该脚本包含以下参数：

参数名称	说明	必须
`SubscriptionId`	包含自动化帐户和密钥保管库的订阅 ID。	是
`ResourceGroupName`	包含自动化帐户和密钥保管库的资源组的名称。	是
`Location`	创建自动化帐户的位置。为了获得更好的性能，建议将与设置相关的所有资源创建在同一位置。	否
`FunctionAppUsageRegion`	密钥保管库上允许的动态 IP 地址的位置。	是
`KeyVaultResourceId`	允许的 IP 地址的密钥保管库的资源 ID。	是

设置 SPN 并为每个租户授予所需的角色

在此步骤中，将为每个租户创建服务主体名称 (SPN)，并为每个租户授予权限。安装程序需要对作用域具有读取者、虚拟机参与者和 Azure Arc ScVmm VM 参与者访问权限。配置的作用域可以是租户、管理组或订阅，也可以是管理组和订阅。

对于每个租户，请执行这些步骤，并确保在其他租户上拥有足够的权限来创建 SPN。你必须对已配置的作用域具有用户访问管理员或所有者权限。例如，若要在特定订阅上运行安装程序，必须对该订阅具有用户访问管理员角色分配，才能向 SPN 授予所需的权限。

$TenantId = "<TenantId>"
Disconnect-AzureAD
Connect-AzureAD -TenantId $TenantId
$SPN = Set-AzSKTenantSecuritySolutionMultiTenantIdentitySPN -AppId $Identity.ApplicationId
Grant-AzSKAzureRoleToMultiTenantIdentitySPN -AADIdentityObjectId $SPN.ObjectId `
    -TargetSubscriptionIds @("<SubId1>","<SubId2>","<SubId3>") `
    -TargetManagementGroupNames @("<MGName1>","<MGName2>","<MGName3>")

该脚本包含 Set-AzSKTenantSecuritySolutionMultiTenantIdentitySPN 的以下参数：

参数名称	说明	必须
`AppId`	已创建的应用程序 ID。	是

该脚本包含 Grant-AzSKAzureRoleToMultiTenantIdentitySPN 的以下参数：

参数名称	说明	必须
`AADIdentityObjectId`	标识对象。	是
`TargetSubscriptionIds`	要在其上运行安装程序的目标订阅 ID 列表。	否
`TargetManagementGroupNames`	要运行安装程序的目标管理组名称列表。	否

配置目标作用域

可以使用 Set-AzTSMMARemovalUtilitySolutionScopes 配置目标作用域：

$ConfiguredTargetScopes = Set-AzTSMMARemovalUtilitySolutionScopes ` 
         -SubscriptionId <HostingSubId> `
         -ResourceGroupName <HostingRGName> `
         -ScopesFilePath <ScopesFilePath>

该脚本包含以下参数：

参数名称	说明	必须
`SubscriptionId`	在其中安装安装程序的订阅 ID。	是
`ResourceGroupName`	在其中安装安装程序的资源组的名称。	是
`ScopesFilePath`	具有目标作用域配置的文件路径。	是

作用域配置文件是包含标题行和三列的 CSV 文件：

ScopeType	ScopeId	TenantId
订阅	`/subscriptions/abb5301a-22a4-41f9-9e5f-99badff261f8`	`72f988bf-86f1-41af-91ab-2d7cd011db47`
订阅	`/subscriptions/71bdd12b-ae1d-499a-a4ea-e32d4c1d9c35`	`e60f12c0-e1dc-4be1-8d86-e979a5527830`

运行实用工具

Update-AzTSMMARemovalUtilityDiscoveryTrigger ` 
    -SubscriptionId <HostingSubId> `
    -ResourceGroupName <HostingRGName> `
    -StartScopeResolverAfterMinutes 60 `
    -StartExtensionDiscoveryAfterMinutes 30

该脚本包含以下参数：

参数名称	说明	必须
`SubscriptionId`	在其中安装了实用工具的订阅 ID。	是
`ResourceGroupName`	在其中安装了实用工具的资源组的名称。	是
`StartScopeResolverAfterMinutes`	在运行解析程序之前等待的时间（以分钟为单位）。	是（与 `-StartScopeResolverImmediately` 互斥）
`StartScopeResolverImmediately`	用于立即运行解析程序的指示器。	是（与 `-StartScopeResolverAfterMinutes` 互斥）
`StartExtensionDiscoveryAfterMinutes`	等待运行发现的时间（以分钟为单位）（应在解析程序完成之后）。	是（与 `-StartExtensionDiscoveryImmediatley` 互斥）
`StartExtensionDiscoveryImmediatley`	用于立即运行扩展发现的指示器。	是（与 `-StartExtensionDiscoveryAfterMinutes` 互斥）

默认情况下，删除阶段处于禁用状态。建议在验证发现步骤中的计算机清单后运行它。

Update-AzTSMMARemovalUtilityRemovalTrigger ` 
    -SubscriptionId <HostingSubId> `
    -ResourceGroupName <HostingRGName> `
    -StartAfterMinutes 60 `
    -EnableRemovalPhase `
    -RemovalCondition 'CheckForAMAPresence'

该脚本包含以下参数：

参数名称	说明	必须
`SubscriptionId`	在其中安装了实用工具的订阅 ID。	是
`ResourceGroupName`	在其中安装了实用工具的资源组的名称。	是
`StartAfterMinutes`	在开始删除之前等待的时间（以分钟为单位）。	是（与 `-StartImmediately` 互斥）
`StartImmediately`	用于立即运行删除阶段的指示器。	是（与 `-StartAfterMinutes` 互斥）
`EnableRemovalPhase`	用于启用删除阶段的指示器。	是（与 `-DisableRemovalPhase` 互斥）
`RemovalCondition`	指示当存在 `CheckForAMAPresence` AMA 扩展时，应删除 MMA 扩展。在所有情况下，无论 AMA 扩展是否存在，都 `SkipAMAPresenceCheck`。	否
`DisableRemovalPhase`	用于禁用删除阶段的指示器。	是（与 `-EnableRemovalPhase` 互斥）

下面是与删除相关的已知问题：

在业务流程模式为 Uniform 的虚拟机规模集中删除 MMA 取决于其升级策略。如果策略设置为 Manual，则建议手动升级实例。
如果收到以下错误消息，请使用相同的参数值重新运行安装命令：

The deployment MMARemovalenvironmentsetup-20233029T103026 failed with error(s). Showing 1 out of 1 error(s). Status Message: (Code:BadRequest) - We observed intermittent issue with App service deployment.

下一次尝试时，该命令应该会继续运行，而不会出现任何错误。

如果扩展删除的进度磁贴在监视仪表板上显示故障，请使用以下信息来解决它们：

错误代码	说明/原因	后续步骤
`AuthorizationFailed`	修正标识无权对 VM、虚拟机规模集或 Azure Arc 服务器执行扩展删除操作。	向修正标识授予对 VM 的 VM 参与者角色。向修正标识授予对虚拟机规模集的 Azure Arc ScVmm VM 参与者角色。然后重新运行删除阶段。
`OperationNotAllowed`	资源处于解除分配状态，或者已对资源应用锁定。	打开出现故障的资源和/或删除锁定，然后重新运行删除阶段。

该实用工具在安装过程中使用的 Log Analytics 工作区中收集错误详细信息。转到 Log Analytics 工作区，选择“日志”，然后运行以下查询：

let timeago = timespan(7d);
InventoryProcessingStatus_CL
| where TimeGenerated > ago(timeago) and Source_s == "AzTS_07_ExtensionRemovalProcessor"
| where ProcessingStatus_s !~ "Initiated"
| summarize arg_max(TimeGenerated,*) by tolower(ResourceId)
| project ResourceId, ProcessingStatus_s, ProcessErrorDetails_s

MMA 发现和删除实用工具会创建资源，在从基础结构中删除 MMA 后应清理这些资源。请完成以下步骤以进行清理：

转到包含部署包的文件夹并加载清理脚本：

CD "<LocalExtractedFolderPath>\AzTSMMARemovalUtilityDeploymentFiles"
. ".\MMARemovalUtilityCleanUpScript.ps1"

运行清理脚本：

Remove-AzTSMMARemovalUtilitySolutionResources ` 
    -SubscriptionId <HostingSubId> `
    -ResourceGroupName <HostingRGName> `
    [-DeleteResourceGroup `]
    -KeepInventoryAndProcessLogs

该脚本包含以下参数：

参数名称	说明	必须
`SubscriptionId`	要删除的订阅的 ID。	是
`ResourceGroupName`	要删除的资源组的名称。	是
`DeleteResourceGroup`	用于删除整个资源组的布尔标志。	是
`KeepInventoryAndProcessLogs`	用于排除 Log Analytics 工作区和 Application Insights 的布尔标志。不能将其与 `DeleteResourceGroup` 一起使用。	否

MMA 发现和删除实用工具

先决条件

下载部署包

设置实用工具

运行实用工具

其他资源