目次

Workload Security用のAzureアプリケーションを作成する

運用環境によっては、Microsoft Entra IDのグローバル管理者ロールとAzureサブスクリプションのサブスクリプション所有者ロールの両方を持つアカウントを使用して、Workload SecurityがAzureリソースにアクセスできるようにすることが望ましくない場合があります。別の方法として、Azureリソースへの読み取り専用アクセスを提供するWorkload Security用のAzureアプリケーションを作成できます。

複数のAzureサブスクリプションがある場合は、すべてのサブスクリプションが同じMicrosoft Entra IDに接続している限り、すべてのサブスクリプションに対して1つのWorkload Security Azureアプリケーションを作成できます。

Azureアプリケーションを作成するには

  1. 適切な役割を割り当てる
  2. Azureアプリケーションを作成する
  3. AzureアプリID、Microsoft Entra ID、およびパスワードを記録します.
  4. サブスクリプションIDを記録する
  5. Azureアプリケーションに役割とコネクタを割り当てる

適切な役割を割り当てる

Azureアプリケーションを作成するには、アカウントにMicrosoft Entra IDのユーザ管理者ロールと、Azureサブスクリプションのユーザアクセス管理者ロールが割り当てられている必要があります。続行する前に、これらのロールをAzureアカウントに割り当てます。

Azureアプリケーション {#Create_App}の作成

  1. [Microsoft Entra ID] ブレードで、[App registrations] をクリックします。
  2. [New registration] をクリックします。
  3. を入力します(例: Workload Security Azure Connector)。
  4. [Supported account types] で、[Accounts in this organizational directory only] を選択します。
  5. [Register] をクリックします。
    Azureアプリが App registrations リストに、手順3で選択した Name で表示されます。

AzureアプリケーションID、Microsoft Entra ID、およびパスワード {#Record_App}を記録します。

  1. [ App registrations ]リストで、Azureアプリケーションを選択します。

    Azureアプリケーションが、 「Azureアプリの作成」の手順3で選択した名前で表示されます。

  2. [Application (client) ID] を記録します。

  3. ディレクトリ(テナント)IDを記録します。
  4. 証明書&秘密をクリックします。
  5. [New client secret] をクリックします。
  6. クライアントシークレットの[Description]を入力します。
  7. 適切な [Duration] を選択します。この時間が経過すると、クライアントシークレットが期限切れになります。
  8. [Add] をクリックします。
    クライアントシークレットの[Value]が表示されます。
  9. クライアントシークレットの[Value]を記録します。これは、Azureアプリを Workload Securityに登録する際のアプリケーションパスワードとして使用されます。

クライアントシークレット Value は1回しか表示されないため、ここで記録します。そうでない場合は、再生成して新しい Valueを取得する必要があります。

クライアントシークレットのが期限切れになった場合は、再生成して、古い値が関連付けられているAzureアカウントで値を更新する必要があります。

サブスクリプションIDを記録する

  1. 左側の [All Services] に移動し、[Subscriptions] をクリックします。

    [登録]が左側に表示されない場合は、上部の検索ボックスを使用して検索します。

サブスクリプションのリストが表示されます。
2. Azureアプリケーションに関連付ける各サブスクリプションションの サブスクリプションID を記録します。このIDは、後でAzureアカウントをWorkload Securityに追加するときに必要になります。

Azureアプリケーションにロールとコネクタ {#Assign_Role}を割り当てる

  1. [ All Services ] →[ Subscriptions] で、Azureアプリケーションに関連付けるサブスクリプションをクリックします。

    必要に応じて、後で別のサブスクリプションをAzureアプリケーションに関連付けることができます。

  2. [Access Control (IAM)] をクリックします。

  3. メインペインで、[Add] をクリックし、メニューから [Add Role Assignment] を選択します。
  4. [Role] で「Reader」と入力し、表示される [Reader] ロールをクリックします。
  5. [ へのアクセスの割り当て]で、[ ユーザ、ユーザグループ、またはサービスプリンシパル]を選択します。
  6. [メンバーを選択]で、Azureアプリケーションの[Name] (Workload Security Azure Connectorなど) を入力します。
    Azureアプリケーションが、Azureアプリケーションの作成 の手順3で選択した で表示されます。
  7. [Save] をクリックします。
  8. Azureアプリケーションを別のサブスクリプションに関連付ける場合は、そのサブスクリプションションに対してこの手順 (Azureアプリに役割とコネクタを割り当てる) を繰り返します。

Workload Security を設定して、Azure仮想マシンを追加できます( の「Microsoft Azureアカウントの Workload Securityへの追加」を参照)。