Verwalten von Azure-Verbindungen

IT Asset Management (Cloud)

Tipp: Wenn Sie Ihre bestehende Verbindung zu Microsoft Azure so konfiguriert haben, dass sie über das ursprüngliche AzureRM-Modul (von Microsoft heruntergeladen) hergestellt wird, UND Sie möchten kein Inventar von Instanzen in Azure importieren, die den Azure-Hybridvorteil nutzen können, UND Sie möchten auf eine bessere Leistung verzichten, dann brauchen Sie an Ihrer bestehenden Konfiguration keine Änderungen vorzunehmen. (Bedenken Sie jedoch, dass das AzureRM-Modul in Kürze nicht mehr mit Fehlerbehebungen unterstützt wird und dass es künftig Erweiterungen geben wird, die nur mit dem Microsoft-Az-Modul funktionieren, nicht mit dem älteren Modul. Außerdem verbessert sich, insbesondere bei groß angelegten Implementierungen, die Leistung mit jüngeren Versionen des neuen Az-Moduls erheblich. Daher hat es sich bewährt, zumindest die ersten beiden Schritte des unten erläuterten Vorgehens auszuführen, um das alte Modul zu deinstallieren und durch das neuere Az-Modul zu ersetzen.)

Wenn Sie möchten, dass Ihr Azure-Connector Inventar importiert, das den Azure-Hybridvorteil nutzt oder nutzen kann, gibt es zwei leicht unterschiedliche Vorgehensweisen, je nachdem, wo Sie anfangen:

Wenn Sie bisher Ihren Azure-Connector mit dem älteren Azure-Resource-Manager-Modul (AzureRM) von Microsoft verwendet haben, müssen Sie dieses Modul zuerst deinstallieren. Danach gehen Sie für die Konfiguration so vor, wie nachfolgend beschrieben.
Wenn Sie Ihre Verbindung zu Azure über die Inventarisierungsstation mit dem Azure-Connector herstellen, lassen Sie den Deinstallationsschritt natürlich aus und gehen so wie in den übrigen Schritten beschrieben vor.

Für eine Verbindung zu der von Ihnen gewählten Microsoft-Azure-Umgebung sind drei Elemente erforderlich:

Installation des neueren Azure-Resource-Manager-Moduls (Az-Modul), das Sie von Microsoft herunterladen.
Die Identität eines Azure-Dienstprinzipals, der für den Zugriff auf Microsoft.Compute/virtualMachines und Microsoft.SqlVirtualMachine/sqlVirtualMachines mit Leserechten erforderlich ist. Alternativ können Sie die vorinstallierte Rolle Mitwirkender für virtuelle Computer verwenden.
Konfigurieren der Inventarisierungsstation, damit diese die Verbindung zu Azure herstellt. Sie müssen die Verbindungsdaten angeben, die Sie von Azure Active Directory (das standardmäßig keinen Zeitplan aufweist, weshalb Sie einen hinzufügen sollten) erhalten können.

Voraussetzungen

Um diesen Vorgang durchführen zu können, muss Ihre gewählte Inventarisierungsstation die folgenden Voraussetzungen erfüllen. Manche dieser Voraussetzungen sollten bereits erfüllt worden sein, als die Software FlexNet Beacon installiert wurde:

Die 32-Bit-Version von PowerShell 5,1 oder höher wird auf Windows Server 2008 R2 SP1 oder Windows 7 SP1 oder höher ausgeführt, wobei die Ausführungsrichtlinie der PowerShell auf RemoteSigned (fernsigniert) gesetzt ist.
Installieren Sie .NET Framework 4.7.2 oder eine spätere Version (Installationsanweisungen und Downloads beginnen von https://docs.microsoft.com/en-us/dotnet/framework/install/).
Vergewissern Sie sich, dass die Windows-Umgebungsvariable PSModulePath den folgenden Pfad beinhaltet:
```
%ProgramFiles%\WindowsPowerShell\Modules
```
Die auf der Inventarisierungsstation installierte Software FlexNet Beacon muss mindestens Version 16,3.0 aufweisen (mit IT Asset Management 2020 R2.3 ausgeliefert).
Auf der Inventarisierungsstation ist ein Webbrowser installiert und aktiviert.
Sie müssen sich unter Verwendung eines Kontos mit Administratorrechten bei der Inventarisierungsstation anmelden und FlexNet Beacon ausführen.
Installieren Sie das Modul Microsoft Az ab Version 6.1.0. Weitere Einzelheiten finden Sie in der nachfolgend beschriebenen Vorgehensweise.
Tipp: Auch wenn der Connector mit dem Modul Microsoft Az ab Version 5.2.0 kompatibel ist, ist eine Version ab 6.1.0 für die Kompatibilität mit dem Modul Azure Resource Graph erforderlich, durch das es zu den jüngsten Leistungsverbesserungen kommt.
Installieren Sie das Modul Microsoft Azure Resource Version 0.11 oder eine spätere Version (denken Sie daran, dass dafür wie oben erwähnt Microsoft Az for Windows PowerShell ab Version 6.1.0 erforderlich ist). Anweisungen finden Sie weiter unten. Flexera empfiehlt diese Installation, da dadurch die Leistung insbesondere für groß angelegte Implementierungen in Azure optimiert wird.

Die Verbindung zu Azure unterstützt die optionale Verwendung eines Proxy.

So konfigurieren Sie Ihre Verbindung zu Microsoft Azure:

Wenn Sie Ihre Verbindung zu Azure bisher über das alte Modul Azure Resource Manager (AzureRM) hergestellt haben, installieren Sie zuerst dieses Modul wie folgt:
1. Führen Sie auf Ihrer Inventarisierungsstation, bei der Sie als Administrator angemeldet sind, die PowerShell aus.
2. Deinstallieren Sie das AzureRM-Modul mit dem folgenden Befehl:
```
uninstall-module AzureRM
```
Wenn Sie das Modul Microsoft Az in Ihrer Umgebung bereits installiert haben, verwenden Sie den folgenden Befehl in Ihrem PowerShell-Fenster (als Administrator ausgeführt):
1. So prüfen Sie, welche Version derzeit installiert ist:
```
Get-Installedmodule az
```
2. So aktualisieren Sie das jüngste Microsoft-Az-Modul:
```
Update-Module -Name Az -Force
```
  Hinweis: Wenn Sie bei der Aktualisierung von Az-Modulen auf Probleme stoßen, versuchen Sie es mit einer Deinstallation und anschließender Neuinstallation der Az-Module, während Sie sich in einer als Administrator ausgeführten Windows-PowerShell-Sitzung befinden:
  - Zum Deinstallieren:
    Get-InstalledModule -Name Az* | Uninstall-module
  - Zum Installieren:
    Install-Module -Name Az -AllowClobber
Wenn Sie das Microsoft-Az-Modul in Ihrer Umgebung nicht bereits installiert hatten, konfigurieren Sie Version 6.1.0 oder eine nachfolgende Version wie folgt:
1. Laden Sie das Modul auf Ihre Inventarisierungsstation herunter.
  
  Tipp: Neue Versionen stehen unter https://www.powershellgallery.com/packages/Az/ zur Verfügung.
2. Wenn Sie nicht bereits ein PowerShell-Fenster geöffnet haben, vergewissern Sie sich, dass Sie als Administrator angemeldet sind, und führen Sie PowerShell aus.
3. Registrieren Sie das Microsoft-Az-Modul mit dem folgenden Befehl in der PowerShell:
```
Install-Module -Name Az -RequiredVersion x.x.x
```
  wobei der Platzhalter x.x.x durch die Nummer der von Ihnen heruntergeladenen Version ersetzt wird, zum Beispiel:
```
Install-Module -Name Az -RequiredVersion 6.1.0
```
Installieren Sie das Modul Microsoft Azure Resource Graph ab Version 0.11 (immer noch in Ihrem PowerShell-Fenster, das Sie als Administrator ausführen):
1. Führen Sie zur Installation folgenden Befehl aus:
```
Install-Module -Name Az.ResourceGraph
```
2. Prüfen Sie Ihre Installation mit dem cmdlet:
```
Get-InstalledModule -Name 'Az.ResourceGraph'
```
Die Identität eines Dienstprinzipals für den Microsoft-Azure-Adapter ist erforderlich. Dieser stellt die Authentifizierung für die Azure-Ressourcen bereit, auf die zugegriffen werden kann.
Microsoft bietet die folgenden Leitfäden, um Sie bei dieser Aufgabe zu unterstützen:
- Erstellen eines Azure-Dienstprinzipals mit Azure PowerShell: https://docs.microsoft.com/en-us/powershell/azure/create-azure-service-principal-azureps.
- Erstellen einer Azure AD-Anwendung und eines Dienstprinzipals mit Ressourcenzugriff über das Portal: https://docs.microsoft.com/en-us/azure/active-directory/develop/howto-create-service-principal-portal.
Das erforderliche Objekt Dienstprinzipal ist die vordefinierte Rolle Mitwirkender für virtuelle Computer oder ein benutzerdefiniertes Objekt mit Lese-Zugriff für Microsoft.Compute/virtualMachines und Microsoft.SqlVirtualMachine/sqlVirtualMachines.
So konfigurieren Sie die Verbindung zu Azure:
1. Wählen Sie auf der Benutzeroberfläche von FlexNet Beacon die Registerkarte Inventory Systems (Inventarisierungssysteme) aus.
2. Klicken Sie zum Anlegen einer neuen Verbindung auf der rechten Seite der geteilten Schaltfläche New... (Neu) auf den Abwärtspfeil und wählen Sie die Option PowerShell.
  
  Tipp: Sie können auch eine zuvor definierte Verbindung bearbeiten, indem Sie diese aus der Verbindungsliste auswählen und auf Edit... (Bearbeiten) klicken.
3. Füllen Sie im eingeblendeten Dialog die folgenden Pflichtfelder mit den Werten aus (bzw. ändern Sie diese in die Werte), die der von Ihnen gewählten Microsoft Azure-Umgebung entsprechen:
  - Connection Name (Verbindungsname): Der Name, den Sie dieser Inventarisierungsverbindung geben, wird in der Weboberfläche von IT Asset Management auch für die Datenimportaufgabe verwendet.
  - Source Type (Quelltyp): Wählen Sie aus dieser Liste Microsoft Azure aus.
  - Fetch credentials from CyberArk (for specific connection type) (Anmeldeinformationen von CyberArk (für bestimmten Verbindungstyp) abrufen): Wenn dieses Kontrollkästchen markiert ist, wird das Zusatzfeld Query (Abfrage) angezeigt, in das Sie die CyberArk-Abfragezeichenfolge zum Abrufen der Vault-Anmeldeinformationen für den entsprechenden Verbindungstyp eingeben können.
  - Azure Tenant ID (Azure-Mandanten-ID): Dieser Wert ist Ihre Directory ID, die auf der Seite Properties (Eigenschaften) in Azure Active Directory verfügbar ist.
  - Application ID (Anwendungs-ID): Nachdem Sie Ihre Anwendung registriert haben, wird dieser Wert neben dem Display Name (Anzeigename) Ihrer Anwendung auf der Seite App registrations (Registrierung von Anwendungen) von Azure Active Directory angezeigt. Die Anwendungs-ID (Application ID) bezieht sich speziell auf die von Ihnen gewählte Azure-Umgebung, die darunter anzugeben ist. Eine Anleitung zum Registrieren einer Anwendung in Microsoft Entra ID finden Sie unter Eine Anwendung in Microsoft Entra ID registrieren in der Microsoft Entra-Hilfe. Weitere Informationen über die für App-Registrierungen notwendigen API-Berechtigungen finden Sie unter App-Registrierungsberechtigungen für benutzerdefinierte Rollen in Microsoft Entra ID.
  - Ablauf der Authentifizierung: Wählen Sie entweder Anwendungsschlüssel oder Auf Basis des Zertifikats aus der Dropdown-Liste aus. Beide Arten der Authentifizierung werden vom Microsoft-Azure-Adapter unterstützt.
    - Wenn Sie Authentifizierung mittels Anwendungsschlüssel auswählen, müssen Sie das Anwendungskennwort eingeben. Das Anwendungskennwort (Application Password) kann erst nach Speichern des Anwendungsschlüssels von Azure Active Directory kopiert werden. Es kann später nicht mehr abgerufen werden. Auch dieses Kennwort bezieht sich ausschließlich auf die von Ihnen gewählte Azure-Umgebung. Wenn das Kontrollkästchen Fetch credentials from CyberArk (for specific connection type) (Anmeldeinformationen von CyberArk (für bestimmten Verbindungstyp) abrufen) markiert ist, wird für CyberArk-Integrationen der folgende Hinweis in diesem Feld angezeigt: Enter CyberArk field name or leave empty for password (CyberArk-Feldnamen eingeben oder für Kennwort leer lassen). Dies erlaubt es Ihnen, den Feldnamen für den CyberArk-Vault anzugeben. Wenn Sie das Feld leer lassen, wird standardmäßig das Kennwort angezeigt. Für Verbindungseinstellungen, bei denen dieser Hinweis nicht angezeigt wird, wird der lokal hinterlegte Wert verwendet.
    - Wenn Sie Authentifizierung Auf Basis des Zertifikats auswählen, müssen Sie den Daumenabdruck (Thumbprint) des Zertifikats eingeben, der der Anwendung zugewiesen ist. Der Daumenabdruck des Zertifikats kann auf der Registerkarte Certificates (Zertifikate) für die entsprechende Anwendung auf dem Azure-Directory-Portal (portal.azure.com) eingesehen werden.
  - Umgebung: Geben Sie den Namen einer der verfügbaren Microsoft Azure-Umgebungen ein (beispielsweise AzureChinaCloud, AzureCloud, AzureGermanCloud, AzureUSGovernment). Wird dieses Feld leer gelassen, wird standardmäßig versucht, eine Verbindung zu AzureCloud herzustellen. Jeder eingegebene Wert muss (inkl. Groß- und Kleinschreibung) mit einer der Microsoft Azure-Umgebungen identisch sein. Wenn Ihr Wert mit keiner vorhandenen Microsoft Azure-Umgebung identisch ist, wird eine Fehlermeldung angezeigt, in der die aktuellen Werte aufgeführt sind, aus denen Sie auswählen können. (Die vollständige Liste verfügbarer Umgebungen steht auch über das PowerShell-cmdlet Get-AzureRmEnvironment zur Verfügung, das über die AzureRM-Tools für Windows PowerShell ausgeliefert wird.)
4. Wenn zwischen der Inventarisierungsstation und Microsoft Azure ein Proxyserver im Einsatz ist, markieren Sie außerdem das Kontrollkästchen Use Proxy (Proxy verwenden) und füllen Sie die folgenden zusätzlichen Felder aus:
  - Proxy Server: Geben Sie die Adresse des Proxyservers unter Verwendung von HTTP, HTTPS oder einer IP-Adresse an. Verwenden Sie das Format https://ProxyServerURL:PortNumber, http://ProxyServerURL:PortNumber oder IPAddress:PortNumber). Wird das Protokoll übersprungen, wird standardmäßig http: eingestellt. Wird die Portnummer übersprungen, wird standardmäßig :80 für http bzw. 443 für https eingestellt.
  - Fetch credentials from CyberArk (for proxy settings) (Anmeldeinformationen von CyberArk (für Proxy-Einstellungen) abrufen): Wenn dieses Kontrollkästchen markiert ist, wird das Feld Query (Abfrage) angezeigt, in das Sie die CyberArk-Abfragezeichenfolge zum Abrufen des Vault für den Benutzernamen und das Kennwort eingeben können.
  - Username (Benutzername) und Password (Kennwort:): Wenn Ihr Unternehmen einen authentifizierten Proxy verwendet, geben Sie die Anmeldeinformationen für den Zugriff auf den Proxy an, den Sie gerade festgelegt haben.
5. Klicken Sie auf Test Connection (Verbindung testen), um zu prüfen, ob Ihre aktuellen Einstellungen in der von Ihnen angegebenen Umgebung gültig sind.
  - Wenn der Verbindungstest fehlschlägt, klicken Sie auf OK, um die Meldung zu schließen, überprüfen und korrigieren Sie die Verbindungsdaten und testen Sie die Verbindung erneut. Sie können die Verbindungsdetails nicht speichern, wenn der Verbindungstest fehlgeschlagen ist. Wenn Sie den Verbindungstest nicht erfolgreich abschließen können, klicken Sie auf Cancel (Abbrechen), um das Hinzufügen dieser Verbindungsdaten abzubrechen, und suchen Sie sich Unterstützung.
  - Wenn die Inventarisierungsstation mit den bereitgestellten Daten erfolgreich auf die Azure-APIs zugreifen kann, wird die Meldung Database connection succeeded (Datenbankverbindung erfolgreich) angezeigt. Klicken Sie auf OK, um die Meldung zu schließen. Klicken Sie auf Save (Speichern), um die Verbindung zur Liste hinzuzufügen (oder dort zu aktualisieren).
6. Ihre neue Azure-Verbindung wird nicht automatisch per Voreinstellung mit einem Zeitplan verknüpft, der für einen regelmäßigen Import des Azure-Inventars dieses virtuellen Computers erforderlich ist.
  - Wenn noch kein geeigneter Zeitplan für Ihren Azure-Inventarimport angelegt wurde, klicken Sie in der Navigationsleiste in der Gruppe Data collection (Datenerfassung) auf Scheduling* (Terminplanung*). Klicken Sie auf New... (Neu...) und legen Sie einen neuen Zeitplan an (siehe Erstellen eines Zeitplans zur Datenerfassung).
  - Wenn Sie bereits einen geeigneten Zeitplan definiert haben, klicken Sie auf Schedule... (Planen..), um eine Verknüpfung mit dem Zeitplan für wiederholte Datenimporte von Microsoft Azure zu erstellen (weitere Informationen finden Sie unter Zeitplan für eine Verbindung).

Genau wie bei den Instanzdaten (virtuellen Computerdaten), die zuvor von Azure gesammelt wurden, gehören zum importierten Inventar bei Verwendung des Microsoft-Az-Moduls:

Virtuelle Computer und Instanzen in Azure, die SQL Server ausführen
Daten zur Lizenzierung von Windows Server Datacenter Edition und Standard Edition für die Versionen 2008R2, 2012, 2012 R2 und 2016
Daten zur Lizenzierung von virtuellen Computern, die entweder die Enterprise-Edition oder die Standard-Edition von SQL Server ausführen.

Um dies zu erreichen, stützt sich der Connector auf Az-Tools für Windows PowerShell und nutzt dabei die folgenden PowerShell-cmdlets:

Connect-AzAccount zum Anmelden bei Microsoft Azure
Connect-AzAccount zum Abmelden von Microsoft Azure
Get-AzEnvironment zum Identifizieren der Umgebungen, die in Microsoft Azure aktuell zur Verfügung stehen (wie zum Beispiel AzureChinaCloud, AzureCloud, AzureGermanCloud, AzureUSGovernment)
Get-AzLocation zum Identifizieren der verfügbaren geografischen Azure-Regionen des Instanztyps (Size in Microsoft-Terminologie), in denen Ihre Instanzen ausgeführt werden können
Get-AzSqlVM Zum Zurückgeben einer Liste der virtuellen SQL-Computer, die Sie besitzen, und zum Erfassen des Cloud-Lizenzmodells
Get-AzVMSize Zum Zurückgeben einer Liste der Instanztypen auf Basis des Standorts
Get-AzVM Zum Zurückgeben einer Liste der Instanzen (virtuellen Computer), die Sie besitzen, und zum Erfassen einer Übersicht über die Inventardetails auf jeder Instanz/jedem Computer
Search-AzGraph Zum Zurückgeben einer Liste von Instanzen für einen Stapel Abonnements

So installieren Sie Az- und Az.ResourceGraph-PowerShell-Module ohne Paket-Repository

Installieren Sie das Az-Modul mithilfe von MSI.
1. Gehen Sie zu https://github.com/Azure/azure-powershell/releases und laden Sie eine kompatible Version des Az-Moduls (ab Version 6.1.0) herunter. Wählen Sie im Bereich Assets das MSI-Installationsprogramm für Ihre Architektur (in der Regel x64).
2. Kopieren Sie die MSI-Datei auf den Server Ihrer Inventarisierungsstation (Ihren Beacon-Server) und führen Sie das Installationsprogramm aus.
3. Wenn Sie zuvor den älteren Azure-Connector verwendet haben, deinstallieren Sie AzureRM:
```
Uninstall-Module AzureRM
```
4. Vergewissern Sie sich nach der Installation, dass Az und die ihm zugrundeliegenden Module in der PowerShell sichtbar sind:
```
Get-InstalledModule
```
Installieren Sie das Az.ResourceGraph-Modul manuell.
Hinweis: Das auf diese Weise installierte Az.ResourceGraph-Modul wird durch den Befehl Get-InstalledModule nicht abgerufen, es wird aber dem Azure-Adapter zur Verwendung zur Verfügung stehen.
1. Gehen Sie zu https://www.powershellgallery.com/packages/Az.ResourceGraph/0.11.0 und wählen Sie aus den Installation Options (Installationsoptionen) Manual Download (Manueller Download) aus, um die Datei .nupkg herunterzuladen.
2. Extrahieren Sie die Datei .nupkg.
3. Entfernen Sie aus dem extrahierten Ordner NuGet-spezifische Dateien: _rels, package, [Content_Types].xml und alle .nuspec-Dateien.
4. Benennen Sie den extrahierten Ordner (zum Beispiel: az.resourcegraph.0.11.0) in Az.ResourceGraph um.
5. Kopieren Sie den gesamten Ordner in den folgenden Pfad:
```
%ProgramFiles%\WindowsPowerShell\Modules
```

Wenn Sie Fehler ähnlich dem aus dem folgenden Beispiel erkennen, klicken Sie mit der rechten Maustaste auf jede DLL-Datei im Ordner Az.ResourceGraph, wählen Sie Properties Eigenschaften) und dann Unblock (Sperre aufheben):

ERROR: System.Management.Automation.CmdletInvocationException: 
Could not load file or assembly 
'file:///C:\Program Files\WindowsPowerShell\Modules\Az.ResourceGraph
\Microsoft.Azure.Management.ResourceGraph.dll' or one of its dependencies. 
Operation is not supported. (Operation wird nicht unterstützt.) (Exception from HRESULT: 0x80131515)

Weitere Informationen finden Sie in den folgenden Ressourcen:

Microsoft-Dokumentation „Installieren von Azure PowerShell unter Windows mit MSI“
Microsoft documentation „Manueller Paketdownload“
Flexera-Community-Artikel „Installing the Az and Az.ResourceGraph PowerShell modules without a package repository“ (Installation der Az- und Az.ResourceGraph-PowerShell-Module ohne Paket-Repository)

IT Asset Management (Cloud)

Current