Azure AD環境のコンピューターへのエージェントインストール
Endpoint Centralは、管理対象PCへのエージェントインストールが必須です。この記事では、Azure ADに属するPCへのエージェントインストール方法について説明しています。
Azure AD環境のコンピューターへのエージェントインストール
Azure ADに所属するコンピューターに対して、エージェントをインストールする方法は以下の通りです。
Azure Automation Serviceを利用する
前提条件
- Microsoft ストレージアカウントがあること
- Azure Automation Serviceが利用可能なこと
Azure Automation Serviceを使用してエージェントをインストールする手順
Automationアカウントの作成
- Azureポータルにアクセスし、ハンバーガーアイコン > すべてのサービス をクリックします。
- 「サービスのフィルター」にAutomation アカウントと入力し、Automation アカウントをクリックします。
- [Automation アカウントの作成]をクリックし必要事項を入力します。
- 名前: 任意の名前を入力します。
- サブスクリプション: ご契約内容に合わせて選択します。
- リソースグループ: 新規作成または既存のリソースグループを選択します。
- Azure実行アカウントの作成: 選択します。
[作成]をクリックします。Automationアカウントが作成されます。
ストレージアカウントの作成
- Azureポータルにアクセスし、ハンバーガーアイコン > すべてのサービス をクリックします。
- 「サービスのフィルター」にストレージアカウントと入力し、ストレージアカウント をクリックします。
- [ストレージ アカウント の作成]をクリックします。
- サブスクリプション: 選択します。
- リソースグループ: 新規作成または既存のリソースグループを選択します。
- 「レガシストレージアカウントの種類を作成する必要がある場合は、以下をクリックしてください:こちら」をクリックします。
- ストレージアカウント名: 任意の名前を入力します。
- 地域: ロケーションを選択するか、またはデフォルトの値を使用します。
- パフォーマンス: Standardを選択します。
- アカウントの種類: StorageV2(汎用 v2)を選択します。
- レプリケーション: 読み取りアクセス Geo 冗長ストレージ(RA0GRS)を選択します。
- [確認および作成]をクリックします。
Azure環境以外の場合には、Hybrid Worker Groupを使用する必要があります。
Hybrid Worker Groupの作成
- Workerとなるコンピューターにおいて、このスクリプトを右クリック > 名前を付けてリンク先を保存 を選択し、 New-OnPremiseHybridWorker.ps1 というファイル名で保存します。
- 管理者権限でWindows PowerShellを起動し、ダウンロードしたスクリプトを開きます。
- このスクリプトには以下のパラメータが必要です。パラメータの値を変更します。
- AutomationAccountName(必須): Automationアカウント名
- AAResourceGroupName(必須): Automationアカウントに関連付けたリソースグループ名
- OMSResourceGroupName: Log Analytics Workspaceのためのリソースグループ名(指定しない場合は AAResourceGroupName が使用されます)
- HybridGroupName(必須): Runbookkの実行対象として指定する Hybrid Runbook Workerグループ名
- SubscriptionID(必須): Automationアカウントが作成されたAzureサブスクリプションID
- WorkspaceName: Log Analytics ワークスペース名(Log Analyticsワークスペースが無い場合、新規に作成され自動的に設定されます)。
- 変更後、次のコマンドを実行します。
" .\New-OnPremiseHybridWorker.ps1 -AutomationAccountName -AAResourceGroupName -OMSResourceGroupName -HybridGroupName -SubscriptionId -WorkspaceName"
- NuGetのインストールおよびAzure認証情報の確認画面が表示されたら「はい」を選択し、AzureADの認証情報を入力します。
- スクリプトの実行が完了すると、「Hybrid Worker グループ」ページに新しいグループおよびメンバー数が表示されます(既存グループの場合は、メンバー数が更新されます)。
管理対象ポリシー機能を使用することで、以下が可能になります。
- Operations Management Suite (OMS)は、エージェントのインストールおよび維持、ワーカーの監視目的でのみ使用されます。Runbookの配布および実行は、Azure Automationによって実行されます。
- Log AnalyticsワークスペースとAutomationアカウントを紐づけることで、Hybrid Workerで実行された変更を追跡できます。
- Automationアカウント > 作成したAutomationアカウント名をクリック > 「構成管理」カテゴリー内の インベントリ をクリックして開きます。
- Log Analyticsワークスペースのサブスクリプション、Log Analyticsワークスペース、Automationアカウントを選択して[有効化]をクリックします。
BLOBの作成とエージェントのアップロード
- Azureポータルにアクセスし、ハンバーガーアイコン > すべてのサービス をクリックします。
- 「サービスのフィルター」にストレージアカウントと入力し、ストレージアカウント をクリックします。
- 作成済みのストレージアカウント名をクリックします。
- [コンテナー] をクリックし、新規コンテナーを作成します。
- コンテナー名: 任意の名称
- パブリックアクセスレベル: BLOB
- 作成したコンテナーをクリックし、続いて[アップロード]をクリックします。
- Endpoint Centralコンソール > エージェントタブ > リモートオフィス > エージェントのダウンロード からエージェントをダウンロードし、zipファイルを解凍します。
- 解凍したファイルうち、以下のファイルをアップロードします。
- UEMSAgent.msi
- UEMSAgent.mst
- アップロードメニューの「詳細設定」を開き、以下の内容になっていることを確認します。
- 認証の種類: アカウントキー
- BLOBの種類: ブロック BLOB
- ブロックサイズ: 条件に合わせて設定する
- [アップロード]をクリックします。
- アップロードしたファイルの名前をクリックし、概要 > URL から URLをそれぞれコピーします。
- こちらのテキストファイルを右クリック > 名前を付けてリンク先を保存 を選択して「AgentInstall.ps1」として保存し、テキストエディタで開きます。
- AgentInstall.ps1の 30 行目、31 行目の以下の部分に、先ほどコピーしたURLをペーストして置き換えます。
"<UEMS_Agent_Msi_URL>" → アップロードしたUEMSAgent.msiのURL
"<UEMS_Agent_Mst_URL>" → アップロードしたUEMSAgent.mstのURL - AgentInstall.ps1を上書き保存します。
Runbookの作成
- Azureポータルにアクセスし、Automationアカウント > 作成済のAutomationアカウント名をクリックして開きます。
- プロセス オートメーション > Runbook をクリックして開きます。
- [Runbookの作成] をクリックし、以下の内容を入力後 [作成] をクリックしてRunbookを作成します。
- 名前: 任意の名前を入力
- Runbookの種類: PowerShell
- RUNBOOK > すべて > (作成したRUNBOOK名) > [編集] をクリックします。
- AgentInstall.ps1を開いて内容を全てコピーし、RUNBOOK編集画面にペーストします。
- 保存 > 公開 > はい をクリックし、RUNBOOKを発行します。
- [開始] > はい をクリックします。
- Hybrid Worker グループオプションを選択します。
- Endpoint Centralエージェントをインストールする必要のあるグループを選択し、[OK]をクリックします。
以上で、Endpoint Centralエージェントのインストールプロセスが開始されます。
Microsoft Intuneを利用する( ストレージアカウントがある場合 / ストレージアカウントがない場合 )
詳細はHow to install Endpoint Central Agents on Microsoft Azure? (英語) を開き、「Microsoft Intune Service with storage account」または「Microsoft Intune Service without storage account」の箇所をご覧ください。
この記事は、こちらのドキュメント(英語) を参考に作成されています。