このページのトピック
Azureアカウントを追加する
| 場所 | Main Dashboard > [アカウントの追加]を選択します。 |
さあ、始めましょう。
Azure Active DirectoryとサブスクリプションをConformityに追加することで、組織は、セキュリティとガバナンスの体制に関する包括的なマルチクラウドビューを作成できるようになります。
ユーザアクセス
| ユーザの役割 | アクセス可能 |
|---|---|
| Administrator |  |
| Power User |  |
| Custom - Full Access | |
| Read Only | |
| Custom - Read Only | |
Azureへのアクセスを設定する
Azure App registrationからAzureにアクセスできます。これにより、 ConformityのRuleエンジンに、 Conformityに追加するサブスクリプションリソースに対してルールチェックを実行するために必要な読み取り専用権限が付与されます。 組織。必要に応じて、セットアップの種類として AutomatedまたはManualを選択します。
Automatedモード(推奨)
Conformity Azureオンボードスクリプトを使用すると、 に必要なすべてのリソースと権限を自動的に設定し、 Azure Active Directory およびサブスクリプションを Conformityにオンボードできます。
スクリプトの実行方法については、GithubでのConformity Azureオンボードスクリプトを参照してください。
Manual モード
アプリ登録を作成する
- [ Active Directory ]を選択します。
- [ App registrations ]を選択します。
- [ New registration ] (アプリID)をクリックします。
- アプリの登録に名前を付けます(例: Conformity Azure Access)。
- サポートされるアカウントの種類: Accounts in this organization only (単一テナント)。
- リダイレクトURL: 不要。
- [ Register ]をクリックします。
Certificates and secretsの設定
- [ Certificates & secrets ]を選択します。
- [ Client secrets ]を選択し、[ +New client secret ]をクリックします。
- 説明を追加します。
- 有効期限を選択します。
- [ Add ]をクリックします。
組織のセキュリティプロトコルに従って新しいシークレットを保存します。このシークレットは、後で Conformityにサブスクリプションを追加するときに必要になります。
証明書とシークレットを設定するときに、アプリケーションキーも作成します。
このキーにアクセスできなくなった場合は、上記と同じ手順で再度作成できます。
API Permissionsを追加する
ActiveDirectory チェックのAPI権限を設定して、 ActiveDirectory ルールを実行するために Conformity が ActiveDirectory リソースにアクセスできるようにする必要があります。
- App registrationsで、登録時に Conformity に登録したアプリ(例: Conformity Azure Access)をクリックします。
- 左側のメニューで API アクセス許可 に移動します。
- [+ Add a permission]をクリックします。
- Commonly used Microsoft APIsで、Microsoft Graphを選択します。
- Delegated permissions を次のように設定:
- User.Read
- User.Read.All
- Application permissions を次のように設定します。
- User.Read.All
- Directory.Read.All
- Add permissionsをクリックします。
- API PermissionsページでGrant admin consent for [AD name]をクリックして、すべての権限の管理者権限を付与します。
完了すると、設定済みのAPI Permissionsは次のようになります。
カスタムの役割を作成する
- Subscriptionsに移動します。
- [ Access Control (IAM) ]を選択します。
- [ Add ] →[ Add Custom Role ]の順にクリックします。
- [ JSON ]タブを選択し、[ Edit ]ボタンをクリックします。
-
テンプレートの内容を削除し、次のJSONをコピーしてテンプレートに貼り付けます。
{ "properties": { "roleName": "Custom Role - Cloud One Conformity", "description": "Subscription level custom role for Cloud One Conformity access.", "assignableScopes": [], "permissions": [ { "actions": [ "Microsoft.AppConfiguration/configurationStores/ListKeyValue/action", "Microsoft.Network/networkWatchers/queryFlowLogStatus/action", "Microsoft.Web/sites/config/list/Action", "Microsoft.Storage/storageAccounts/queueServices/queues/read" ], "notActions": [], "dataActions": [], "notDataActions": [] } ] } } -
Saveの順にクリックします。
- [ Assignable Scopes ]タブの[ Add assignable Scope ]を選択します。
- サブスクリプションを選択し、Addをクリックします。
- [ Review + Create ]をクリックし、[ Create ]をクリックします。
役割がシステムで使用可能になるまでに数分かかる場合があります。
Role 割り当ての作成
閲覧者の役割
- Access Control (IAM) ページで、[ Add ]→[ Add Role Assignment ]の順にクリックします。
- [ Role ]ドロップダウンで、[ Reader ]を選択します。
- Assign Access が User, group or service principalに設定されていることを確認します。
- Selectドロップダウン検索から、 Conformity App登録を検索します(例:Conformity Azure Access。
- Saveをクリックします。
- 追加のサブスクリプションについて繰り返します。
カスタムの役割
- Access Control (IAM) ページで [Add]→[ Add Role Assignment ]の順にクリックします。
- Roleドロップダウンで、手順1で追加したRoleを検索します。例:Custom Role-Cloud OneConformity。
- Assign Access が User, group or service principalに設定されていることを確認します。
- Selectドロップダウンから、Conformityアプリの登録を検索します。例Conformity Azure Access。
- Saveをクリックします。
- 追加のサブスクリプションについて繰り返します。
Azure Active Directoryを追加する
Active Directory(およびサブスクリプション)を追加するには、最初に、 Conformity組織に追加するActive DirectoryごとにApp registrationを作成する必要があります。
Azureアプリの登録を設定したら、 Active Directoryを追加できます。
- Conformityにサインインします。
- ConformityのMain Dashboardから、 Add an accountをクリックします。
- [ Azure Subscription ]をクリックし、[ Next ]をクリックします。
- Active Directory Name と Active Directory Tenant IDに入力し、[ Next ]をクリックします。
- Active Directory名:ConformityでのActive Directoryの参照名になります。この名前は Conformity アカウントメニューに表示され、Azureコンソールで使用されている名前と一致する必要はありません。
- Active DirectoryテナントID:ConformityのActive Directoryを識別します。
AzureからActive DirectoryテナントIDを取得するには 1. Azure Active Directoryを選択します。 2. [ Properties ]を選択します。 3. テナントIDをクリップボードにコピーします。
-
Conformity からAzureサブスクリプションへのアクセスを許可するには、前のセットアップで作成した Azure App registration を使用します。これにより、 Conformity ルールエンジンが、 Azure Active Directory内のサブスクリプションに対して Rule チェックを実行できるようになります。次の両方を指定する必要があります。
-
アプリ登録アプリID Azureからアプリ登録IDを取得するには
1.Azure Active Directoryを選択します。 2.App registrationsを選択します。 3. Conformity Azure Access、またはこのアプリケーションに名前を付けたアプリケーションを選択します。 4. App registration Application IDをコピーします。
-
Azure App registration 用に生成された Application registration Key。
- Azure App registrationのセットアップ時に証明書とシークレットを設定すると、アプリケーション登録キーが作成されます。
- このキーがない場合は、設定済みの証明書とシークレットの同じ手順に従って再度作成できます。
-
Nextをクリックした後、 Conformity 組織に追加するサブスクリプションを選択するオプションがあります。
Conformity へのアクセス権を付与したサブスクリプションは、 Azure App registration セットアップでのみ表示されます。
サブスクリプションが表示されない場合は、次の手順に従ってAzureでこのサブスクリプションのアクセス設定を有効にする必要があります。サブスクリプションのアプリ登録へのアクセスの割り当て
-
Nextをクリックし、 サブスクリプション リソースで Conformity がルールのFailureを確認するまでしばらく待ちます。
-
Success! Conformity ですべてのルールの実行が完了すると、Main Dashboardに戻り、追加した Azure Active Directoryが表示されます。
アカウントのナビゲーションは、同じ種類のクラウドプロバイダをグループ化して表示されます。
Active Directoryを削除する
既存のActive Directoryで[Delete...]をクリックします。
Active Directoryは、サブスクリプションをすべて削除しないと削除できません。
Azure China サブスクリプション(現在は プレビュー)を追加する
Azure Chinaを組織に要求する
Azure China サブスクリプションを Conformity アカウントに追加するには、alloftrendproduct-conformity@trendmicro.comに次の詳細をメールで送信する必要があります。
- Organizationの Conformityアカウントの名前
- Conformity にアクセスする際に、 Cloud One プラットフォームと Conformity スタンドアロンのどちらを使用するか(www.cloudconformity.com)
- 組織の主要な連絡先のリスト
China Cloudを追加
- 「azure-china」機能が有効になっている Conformity 組織にログインします。
- Add an accountをクリックします。
- Azure Subscriptionを選択します。
- この新しいサブスクリプションに対して[Add new Active Directory]を選択し、[Next]をクリックします。
- 正しいAzure China AD情報を入力するには、[ Azure Cloud Environment ]で[ China Cloud ]オプションを選択していることを確認します。
- Azureへのアクセスを設定するの手順に従います。