Azureアプリ(Workload Security用)を作成します。

ご使用のオペレーティング環境では、 Workload Security が、Azure Active Directoryのグローバル管理者ロールとAzureサブスクリプションのサブスクリプション所有者ロールの両方を持つアカウントで、Azureリソースにアクセスすることを許可しないことがあります。代わりに、Azureリソースへの読み取り専用アクセスを提供する Workload Security 用のAzureアプリを作成できます。

複数のAzureサブスクリプションがある場合は、サブスクリプションがすべて同じActive Directoryに接続されていれば、すべての Workload Security Azureアプリを作成できます。詳細については、以下の手順を参照してください。

Azureアプリケーションを作成するには、次の手順を実行する必要があります。

  1. 適切な役割を割り当てる
  2. Azureアプリケーションを作成する
  3. AzureアプリID、 Active Directory ID、およびパスワードを記録します。
  4. サブスクリプションIDを記録する
  5. Azureアプリケーションに役割とコネクタを割り当てる

適切な役割を割り当てる

Azureアプリケーションを作成するには、Azure Active Directoryのユーザ管理者ロールとAzureサブスクリプションのユーザアクセス管理者ロールがアカウントに割り当てられている必要があります。先に進む前に、これらの役割をAzureアカウントに割り当ててください。

Azureアプリケーションを作成する

  1. [Azure Active Directory] ブレードで、[App registrations] をクリックします。
  2. [New registration] をクリックします。
  3. を入力します(例: Workload Security Azure Connector)。
  4. [Supported account types] で、[Accounts in this organizational directory only] を選択します。
  5. [Register] をクリックします。
    [App registrations] リストに、上記の手順3で選択した[Name]と共にAzureアプリケーションが表示されます。

AzureアプリケーションID、Active Directory ID、およびパスワードを記録する

  1. [App registrations] リストで、Azureアプリケーションをクリックします。

    「Azureアプリケーションを作成する」の手順3で選択した[Name]と共に、Azureアプリケーションが表示されます。

  2. [Application (client) ID] を記録します。

  3. Active Directory IDを記録します。
  4. 証明書&秘密をクリックします。
  5. [New client secret] をクリックします。
  6. クライアントシークレットの[Description]を入力します。
  7. 適切な [Duration] を選択します。この時間が経過すると、クライアントシークレットが期限切れになります。
  8. [Add] をクリックします。
    クライアントシークレットの[Value]が表示されます。
  9. クライアントシークレットの[Value]を記録します。これは、Azureアプリを Workload Securityに登録する際のアプリケーションパスワードとして使用されます。

クライアントシークレットのは一度しか表示されないため、この時点で必ず記録してください。ここで記録しておかないと、後でクライアントシークレットを再生成して新しいを取得することが必要になります。

クライアントシークレットのが期限切れになった場合は、再生成して、古い値が関連付けられているAzureアカウントで値を更新する必要があります。

サブスクリプションIDを記録する

  1. 左側の [All Services] に移動し、[Subscriptions] をクリックします。
    サブスクリプションのリストが表示されます。
  2. Azureアプリケーションに関連付ける各サブスクリプションの [Subscription ID] を記録します。Azureアカウントを Workload Securityに追加する場合は、後でそのIDが必要になります。

Azureアプリケーションに役割とコネクタを割り当てる

  1. [すべてのサービス] [ ]> [ サブスクリプション] []で、Azureアプリに関連付けるサブスクリプションをクリックします。

    必要な場合は、後で別のサブスクリプションをAzureアプリケーションに関連付けることもできます。

  2. [Access Control (IAM)] をクリックします。

  3. メイン画面で、[Add] をクリックし、ドロップダウンメニューから [Add Role Assignment] を選択します。
  4. [Role] で「Reader」と入力し、表示される [Reader] ロールをクリックします。
  5. [ へのアクセスの割り当て]で、[ Azure ADユーザ、ユーザグループ、またはサービスプリンシパルの]を選択します。
  6. [Select] で、Azureアプリケーションの[Name] (Workload Security Azure Connectorなど) を入力します。
    「Azureアプリケーションを作成する」の手順3で選択した[Name]と共に、Azureアプリケーションが表示されます。
  7. [Save] をクリックします。
  8. Azureアプリケーションを別のサブスクリプションに関連付ける場合は、そのサブスクリプションに対してこの手順 (「Azureアプリケーションに役割とコネクタを割り当てる」) を繰り返します。

Workload Security を設定して、Azure仮想マシンを追加できます( の「Microsoft Azureアカウントの Workload Securityへの追加」を参照)。