Activer MSP sur une machine virtuelle existante ou un ensemble de machines virtuelles

Cet article explique comment activer le protocole MSP (Metadata Security Protocol) sur une machine virtuelle existante ou un groupe de machines virtuelles identiques. Vous pouvez activer MSP sur une machine virtuelle à l’aide du portail Azure, d’un modèle Azure Resource Manager (modèle ARM) ou de l’API REST.

Conditions préalables

Vérifiez que votre image de votre choix est compatible.
Familiarisez-vous avec les options de configuration de base .

Activer MSP sur une machine virtuelle

Utilisation du portail Azure

Consultez Configurer MSP via le portail.

Utiliser un modèle ARM

Voir des exemples

Avec l’API REST

Activez MSP avec WireServer et Azure Instance Metadata Service protégés en mode Audit :

PATCH https://management.azure.com/subscriptions/{subscription-id}/resourceGroups/{resource-group-name}/providers/Microsoft.Compute/virtualMachines/{virtualMachine-Name}?api-version=2024-03-01

{
  "properties": {
    "securityProfile": {
      "proxyAgentSettings": {
        "enabled": true,
        "wireServer": {
          "mode": "Audit"
        },
        "imds": {
          "mode": "Audit"
        }
      }
    },
  }
}

Pour les machines virtuelles Windows, si ProxyAgentSettings.Enabled est true, l'extension Microsoft.CPlat.ProxyAgent.ProxyAgentWindows est installée par défaut.

Pour les machines virtuelles Linux, le paramètre ProxyAgentSettings.Enabled à true n'installe pas implicitement l'extension Agent Proxy. Pour activer l’agent proxy via l’extension Agent proxy, il doit y avoir un appel d’API REST explicite PUT sur l’extension Microsoft.CPlat.ProxyAgent.ProxyAgentLinux . L’objectif de l’extension Agent proxy est d’activer, de mettre à jour et de signaler automatiquement l’état de l’agent proxy.

Valider les règles liées

Pour vérifier que les règles liées ont été appliquées à votre machine virtuelle, vérifiez la vue de l’instance de machine virtuelle pour confirmer l’état de l’extension Microsoft.CPlat.ProxyAgent.ProxyAgentWindows pour Windows et l’extension Microsoft.CPlat.ProxyAgent.ProxyAgentLinux pour Linux.

L’état ComponentStatus/ProxyAgentStatus/succeeded doit avoir une imdsRuleId valeur et une wireServerRuleId valeur. Ces valeurs doivent être mappées à l’ID de référence de InVMAccessControlProfile.

"extensions": [
    {
      "name": "AzureGuestProxyAgentExtension",
      "type": "Microsoft.CPlat.ProxyAgent.ProxyAgentWindows",
      "typeHandlerVersion": "1.0.21",
      "substatuses": [
        {
          "code": "ComponentStatus/ProxyAgentConnectionSummary/succeeded",
          "level": "Info",
          "displayStatus": "Provisioning succeeded",
          "message": "[{\"userName\":\"SYSTEM\",\"ip\":\"169.254.169.254\",\"port\":80,\"processCmdLine\":\"\\\"C:\\\\Packages\\\\Plugins\\\\Microsoft.Azure.Geneva.GenevaMonitoring\\\\2.45.0.4\\\\GenevaMonitoringExtension.exe\\\" collectLogs\",\"responseStatus\":\"200 OK\",\"count\":344,\"userGroups\":[],\"processFullPath\":\"C:\\\\Packages\\\\Plugins\\\\Microsoft.Azure.Geneva.GenevaMonitoring\\\\2.45.0.4\\\\GenevaMonitoringExtension.exe\"]"
        },
        {
          "code": "ComponentStatus/ProxyAgentStatus/succeeded",
          "level": "Info",
          "displayStatus": "Provisioning succeeded",
          "message": "{\"version\":\"1.0.21\",\"status\":\"SUCCESS\",\"monitorStatus\":{\"status\":\"RUNNING\",\"message\":\"proxy_agent_status thread started.\"},\"keyLatchStatus\":{\"status\":\"RUNNING\",\"message\":\"Found key details from local and ready to use. - 122\",\"states\":{\"imdsRuleId\":\"/SUBSCRIPTIONS/A53F7094-A16C-47AF-ABE4-B05C05D0D79A/RESOURCEGROUPS/HUIYARG-EASTUS2EUAP/PROVIDERS/MICROSOFT.COMPUTE/GALLERIES/GALLERYXX/INVMACCESSCONTROLPROFILES/WINDOWSIMDS/VERSIONS/1.3.0\",\"secureChannelState\":\"WireServer Audit -  IMDS Audit\",\"keyGuid\":\"7512289d-6e5c-449b-9cbf-06728c1c1e4a\",\"wireServerRuleId\":\"/SUBSCRIPTIONS/A53F7094-A16C-47AF-ABE4-B05C05D0D79A/RESOURCEGROUPS/HUIYARG-EASTUS2EUAP/PROVIDERS/MICROSOFT.COMPUTE/GALLERIES/GALLERYXX/INVMACCESSCONTROLPROFILES/WINDOWSWIRESERVER/VERSIONS/1.2.0\"}},\"ebpfProgramStatus\":{\"status\":\"RUNNING\",\"message\":\"Started Redirector with eBPF maps - 79\"},\"proxyListenerStatus\":{\"status\":\"RUNNING\",\"message\":\"Started proxy listener 127.0.0.1:3080, ready to accept request - 9\"},\"telemetryLoggerStatus\":{\"status\":\"RUNNING\",\"message\":\"Telemetry event logger thread started.\"},\"proxyConnectionsCount\":259356}"
        },
        {
          "code": "ComponentStatus/EbpfStatus/succeeded",
          "level": "Info",
          "displayStatus": "Provisioning succeeded",
          "message": "Ebpf Drivers successfully queried."
        }
      ],
      "statuses": [
        {
          "code": "ProvisioningState/succeeded",
          "level": "Info",
          "displayStatus": "Provisioning succeeded",
          "message": "Update Proxy Agent command output successfully",
          "time": "2024-09-24T16:42:59+00:00"
        }
      ]
    }

Activer MSP sur un groupe de machines virtuelles identiques

Les étapes précédentes pour activer MSP sur une machine virtuelle s’appliquent également à un ensemble de machines virtuelles.

Commentaires

Cette page a-t-elle été utile ?

Last updated on 2025-09-18

Partager via

Activer MSP sur une machine virtuelle existante ou un ensemble de machines virtuelles

Conditions préalables