目次

Azureアカウントを追加する

場所

Main Dashboard > [アカウントの追加]を選択します。

さあ、始めましょう。

Trend Micro Cloud One™– ConformityにAzure Active Directoriesとサブスクリプションを追加することで、組織はセキュリティと管理体制の全体的なマルチクラウドビューを作成できます。

ユーザアクセス

ユーザの役割 アクセス可能
Administrator
Power User
Custom - Full Access
Read Only
Custom - Read Only
  1. Azureへのアクセスを設定する
  2. Azure Active Directoryを追加する
  3. Active Directoryを削除する
  4. Azure China サブスクリプションの追加-現在プレビュー

Azureへのアクセスを設定する

Azureへのアクセスは、 Azure App registrationを介して提供されます。これにより、追加する サブスクリプション リソースに対してルールチェックを実行するために必要な読み取り専用の権限が Conformityの Rule されます。 Conformity 組織に送信します。必要に応じて、セットアップの種類として[ Automated ]または[ Manual]を選択します。

Automated モード

Conformity オンボードスクリプトを実行します。 スクリプトの実行方法については、 GithubでのConformity Azureオンボードスクリプトを参照してください。

Manual モード

Azure CLIまたはCloud Shellを設定する

重要: 2021年9月10日以降、Azureコンソールから Azure Active Directory Graph API権限を追加するオプションはサポートされなくなりました。 予期しない変更については、Microsoftと協力して対処しています。

それまでの間は、Azure CLIまたは Azure Cloud Shell (推奨)を使用して、 Azure Active Directory Graph APIの権限を App Registration に暫定的なソリューションとして追加する必要があります。

リソース

アプリ登録を作成する

このアプリの登録を設定するには、Azureコンソールを開き、次の手順を実行する必要があります。

  1. [ Active Directory]を選択します。
  2. [ App registrations]を選択します。
  3. [ New registration] (アプリID)をクリックします。


  4. アプリの登録に名前を付けます(例: Conformity Azure Access)。
  5. サポートされるアカウントの種類:「Accounts in this organization only」(単一テナント)。
  6. リダイレクトURL: 不要

  7. [ Register]をクリックします。

Certificates and secretsの設定

  1. [ Certificates & secrets]を選択します。
  2. [ Client secrets ]を選択し、[ +New client secret]をクリックします。
  3. 説明を追加します。
  4. 有効期限を選択します。
  5. [ Add]をクリックします。

組織のセキュリティプロトコルに従って新しいシークレットを保存します。このシークレットは、後で Conformityにサブスクリプションを追加するときに必要になります。



Certificates and secretsを設定するときに、アプリケーションキーも作成します。

このキーにアクセスできなくなった場合は、上記と同じ手順で再度作成できます。

API 権限を追加する

ActiveDirectory チェックのAPI権限を設定して、 ActiveDirectory ルールを実行するために Conformity Bot が ActiveDirectory リソースにアクセスできるようにする必要があります。

Azure Active Directory グラフAPI権限を追加するコンソールオプションが無効になっているため、コンソールに加えてCLIまたは Azure Cloud Shell を使用する準備をしてください。

  1. App registrationsで、登録時に Conformity に登録したアプリ(例: Conformity Azure Access )をクリックし、アプリケーション(クライアント)IDをメモします。

  2. Azure CLIまたは Azure Cloud Shellにアクセスし、選択したディレクトリに移動して、以下の内容を「manifest.json」という名前で保存します。このファイルには、 App Registrationに必要な権限が含まれています。

     [{
    
        "resourceAppId": "00000003-0000-0000-c000-000000000000",
    
        "resourceAccess": [
    
           {
    
              "id": "e1fe6dd8-ba31-4d61-89e7-88639da4683d",
    
              "type": "Scope"
    
           },
    
           {
    
              "id": "a154be20-db9c-4678-8ab7-66f6cc099a59",
    
              "type": "Scope"
    
           },
    
           {
    
              "id": "7ab1d382-f21e-4acd-a863-ba3e13f7da61",
    
              "type": "Role"
    
           },
    
           {
    
              "id": "df021288-bdef-4463-88db-98f22de89214",
    
              "type": "Role"
    
           }
    
        ]
    
     },
    
     {
    
        "resourceAppId": "00000002-0000-0000-c000-000000000000",
    
        "resourceAccess": [{
    
              "id": "5778995a-e1bf-45b8-affa-663a9f3f4d04",
    
              "type": "Scope"
    
           },
    
           {
    
              "id": "c582532d-9d9e-43bd-a97c-2667a28ce295",
    
              "type": "Scope"
    
           },
    
           {
    
              "id": "311a71cc-e848-46a1-bdf8-97ff7156d8e6",
    
              "type": "Scope"
    
           },
    
           {
    
              "id": "5778995a-e1bf-45b8-affa-663a9f3f4d04",
    
              "type": "Role"
    
           }
    
        ]
    
     }]
    
  3. 正しいアプリケーションIDを挿入して、次のコマンドを実行します。

az ad app update --id 000-YOUR-APP-ID-0000 --required-resource-accesses @manifest.json

PowerShellを使用する場合は、manifest.jsonファイルを保存したディレクトリから次のコマンドを実行します。

az ad app update --id 000-YOUR-APP-ID-0000 --required-resource-accesses ./manifest.json

  1. Azureがコンソールに表示されるように権限が更新されるまでには数分かかります。権限が追加されたことを確認するには、コマンド az ad app permission list --id 000-YOUR-APP-ID-0000を使用します。これにより、「manifest.json」ファイルから保存された値が返されます。

  2. 数分待ってから、Azureコンソールで App Registration に戻り、左側のメニューで[ API Permissions ]を選択します。次のように表示されます。

  3. [ API Permissions ]画面で[ Grant admin consent for [AD name] ]の管理者の同意を得て、すべての権限の管理者の同意を与えます。


完了すると、設定したAPI権限は次のようになります。

カスタムの役割を作成する

  1. Subscriptionsに移動します。
  2. [ Access Control (IAM)]を選択します。
  3. [ Add ] →[ Add Custom Role]の順にクリックします。


  4. [ JSON ]タブを選択し、[ Edit ]ボタンをクリックします。


  5. テンプレートの内容を削除し、次のJSONをコピーしてテンプレートに貼り付けます。
      {
         "properties": {
               "roleName": "Custom Role - Cloud One Conformity",
               "description": "Subscription level custom role for Cloud One Conformity access.",
               "assignableScopes": [],
               "permissions": [
                  {
                     "actions": [
                           "Microsoft.AppConfiguration/configurationStores/ListKeyValue/action",
                           "Microsoft.Network/networkWatchers/queryFlowLogStatus/action",
                           "Microsoft.Web/sites/config/list/Action",
                           "Microsoft.Storage/storageAccounts/queueServices/queues/read"
                     ],
                     "notActions": [],
                     "dataActions": [],
                     "notDataActions": []
                  }
               ]
         }
      }
  1. Saveの順にクリックします。

7.[ Assignable Scopes ]タブの[ Add assignable Scope] を選択します。



  1. サブスクリプションを選択し、Addをクリックします。

  2. [ Review + Create]をクリックし、[ Create]をクリックします。

役割がシステムで使用可能になるまでに数分かかる場合があります。

Role 割り当ての作成

閲覧者の役割

  1. Access Control (IAM) ページで、[ Add]→[ Add Role Assignment]の順にクリックします。
  2. [ Role ]ドロップダウンで、[ Reader]を選択します。
  3. Assign AccessUser, group or service principalに設定されていることを確認します。
  4. Selectドロップダウン検索から、 Conformity App登録を検索します(例:Conformity Azure Access
  5. Saveをクリックします。
  6. 追加のサブスクリプションについて繰り返します。

カスタムの役割

  1. Access Control (IAM) ページで [Add]→[ Add Role Assignment]の順にクリックします。
  2. Roleドロップダウンで、手順1で追加したRoleを検索します。例:Custom Role-Cloud OneConformity
  3. Assign AccessUser, group or service principalに設定されていることを確認します。
  4. Selectドロップダウンから、Conformityアプリの登録を検索します。例Conformity Azure Access
  5. Saveをクリックします。
  6. 追加のサブスクリプションについて繰り返します。

Azure Active Directoryを追加する

Active Directory(およびサブスクリプション)を追加するには、最初に、 Conformity組織に追加するActive DirectoryごとにApp registrationを作成する必要があります。

Azureアプリの登録を設定したら、 Active Directoryを追加できます。

  1. Conformityにサインインします。
  2. ConformityのMain Dashboardから、 Add an accountをクリックします。
  3. [ Azure Subscription]をクリックし、[ Next]をクリックします。
  4. Active Directory NameActive Directory Tenant IDに入力し、[ Next]をクリックします。
    • Active Directory名:ConformityでのActive Directoryの参照名になります。この名前は Conformity アカウントメニューに表示され、Azureコンソールで使用されている名前と一致する必要はありません。
    • Active DirectoryテナントID:ConformityのActive Directoryを識別します。

AzureからActive DirectoryテナントIDを取得するには

  1. **Azure Active Directory**を選択します。
  2.[ **Properties**]を選択します。
  3. **テナントID **を**クリップボードにコピー**します。

  <br /> ![](img/misc/ad-tenant-id-z4ayip.png){.zoom} <br />
  1. Conformity からAzureサブスクリプションへのアクセスを許可するには、前のセットアップで作成した Azure App registration を使用します。これにより、 Conformity ルールエンジンが、 Azure Active Directory内のサブスクリプションに対して Rule チェックを実行できるようになります。次の両方を指定する必要があります。

  2. アプリ登録アプリID

Azureからアプリ登録IDを取得するには

  1.**Azure Active Directory**を選択します。
  2.**App registrations**を選択します。
  3. **_Conformity Azure Access_**_、またはこのアプリケーションに名前を付けたアプリケーションを選択します。_
  4. ** App registration Application ID **をコピーします。
  • Azure App registration 用に生成された Application registration Key
  • Azure App registrationのセットアップ時に証明書とシークレットを設定すると、アプリケーション登録キーが作成されます。
  • このキーがない場合は、「 設定済みの証明書とシークレット」の同じ手順に従って再度作成できます。

  • Nextをクリックした後、 Conformity 組織に追加するサブスクリプションを選択するオプションがあります。

Conformity へのアクセス権を付与したサブスクリプションは、 Azure App registration セットアップでのみ表示されます。
サブスクリプションが表示されない場合は、次の手順に従ってAzureでこのサブスクリプションのアクセス設定を有効にする必要があります。サブスクリプションのアプリ登録へのアクセスの割り当て

  1. Nextをクリックし、 サブスクリプション リソースで Conformity Bot がルールのFailureを確認するまでしばらく待ちます。

  2. Success! Conformity Bot の実行が完了すると、 Main Dashboard に戻り、追加した Azure Active Directoryが表示されます。

アカウントのナビゲーションは、同じ種類のクラウドプロバイダをグループ化して表示されます。



Active Directoryを削除する

既存のActive Directoryで[Delete...]をクリックします。

Active Directoryは、サブスクリプションをすべて削除しないと削除できません。

Azure China サブスクリプション(現在は プレビュー)を追加する

Azure Chinaを組織に要求する

Azure China サブスクリプションを Conformity アカウントに追加するには、alloftrendproduct-conformity@trendmicro.comに次の詳細をメールで送信する必要があります。

  • Organizationの Conformityアカウントの名前
  • Conformity にアクセスする際に、 Cloud One プラットフォームと Conformity スタンドアロンのどちらを使用するか(www.cloudconformity.com)
  • 組織の主要な連絡先のリスト

China Cloudを追加

  1. 「azure-china」機能が有効になっている Conformity 組織にログインします。
  2. Add an accountをクリックします。
  3. Azure Subscriptionを選択します。
  4. この新しいサブスクリプションに対して[Add new Active Directory]を選択し、[Next]をクリックします。
  5. 正しいAzure China AD情報を入力するには、[ Azure Cloud Environment ]で[ China Cloud ]オプションを選択していることを確認します。
  6. Azureへのアクセスを設定するの手順に従います。