Azureアカウントを追加 · Customer Self-Service

Azureアカウントを追加

場所	Main Dashboard >アカウントを追加を選択

Get Startedしましょう!

Microsoft Entra IDとサブスクリプションをConformityに追加することで、組織はセキュリティとガバナンスの姿勢を包括的にマルチクラウドで把握できるようになります。

[User Access]

ユーザRole	アクセス可能
管理者
Power user
カスタム - Full Access
Read Only
カスタム - Read Only

Azure へのアクセスを設定する
- 自動モード (推奨)
- 手動モード
Microsoft Entra ID を追加
Microsoft Entra IDを削除する
Azure Chinaサブスクリプションを追加 - 現在プレビュー中

Azureへのアクセスを設定

[Azure App registration]を通じてAzureにアクセスでき、ConformityのRuleエンジンに必要なRead-only権限を提供して、追加したいサブスクリプションリソースに対してルールチェックを実行します。お好みに応じて、[Automated]または[手動]としてセットアップタイプを選択してください。

自動モード (推奨)

Conformity Azure オンボーディングスクリプトは、Microsoft Entra IDおよびサブスクリプションをConformityにオンボードするために必要なすべてのリソースと権限を自動的に設定する方法を提供します。

スクリプトの実行方法については、GitHubのConformity Azureオンボーディングスクリプトを参照してください。

マニュアルモード

Create an App Registration

[Microsoft Entra ID.]を選択
[App registrations.]を選択
[New registration](アプリID) をクリックしてください。
App Registrationに名前を付けてください例: [Conformity Azure Access]。
サポートされているアカウントの種類: '[Accounts in this organization only]' (シングルテナント)。
リダイレクトURL: [not required]。
[Register.]をクリック

Configure Certificates and secrets

[Certificates & secrets]を選択します。
[Client secrets]を選択し、[+New client secret]をクリックします。
説明を追加してください。
任意の有効期限を選択してください。
[追加]をクリックしてください。

注意

新しいシークレットをOrganizationのセキュリティプロトコルに従って保存してください。後でサブスクリプションをConformityに追加する際にシークレットが必要になります。

注意

Certificates and Secretsを構成するときに、アプリケーションキーも作成します。

このキーにアクセスできなくなった場合は、上記と同じ手順で再作成できます。

API Permissionsを追加

ActiveDirectoryのチェックを行うためにAPI Permissionsを設定し、ConformityがActiveDirectoryのリソースにアクセスしてActiveDirectoryのルールを実行できるようにする必要があります。

[App registrations]から、オンボーディング中にConformityで登録したアプリ (例: [Conformity Azure Access]) をクリックします。
左側のメニューで[API permissions]に移動します。
[Add a permission]をクリックします。
[Commonly used Microsoft APIs]の下で、[Microsoft Graph]を選択します。
[Delegated permissions]を設定:
1. User.Read
2. User.Read.All
[Application permissions]を設定:
1. User.Read.All
2. Directory.Read.All
[Add permissions]をクリックしてください。
[API Permissions]ページで[Grant admin consent for [Microsoft Entra ID name]]をクリックして、すべての権限に対するAdminの同意を与えます。

完了すると、設定されたAPI Permissionsは次のようになります:

final-permissions=a6befd3f-0d33-437b-87b7-df5202ab0505.png

Custom Roleを作成

[Subscriptions]に移動してください。
[Access Control (IAM)]を選択してください。
[追加] > [Add Custom Role]をクリックします。
[JSON]タブを選択し、[Edit]ボタンをクリックしてください。

テンプレートの内容を削除し、次に以下のJSONをテンプレートにコピーして貼り付けてください。

{
   "properties": {
         "roleName": "Custom Role - Cloud One Conformity",
         "description": "Subscription level custom role for Cloud One Conformity access.",
         "assignableScopes": [],
         "permissions": [
            {
               "actions": [
                     "Microsoft.AppConfiguration/configurationStores/ListKeyValue/action",
                     "Microsoft.Network/networkWatchers/queryFlowLogStatus/action",
                     "Microsoft.Web/sites/config/list/Action"
               ],
               "notActions": [],
               "dataActions": [],
               "notDataActions": []
            }
         ]
   }
}

[保存]をクリックします。
[Assignable Scopes]タブを選択 > [Add assignable Scope]。
サブスクリプションを選択し、[追加]をクリックしてください。
[Review + Create]をクリックし、次に[Create]をクリックします。

注意

Roleがシステムで使用できるようになるまでに数分かかる場合があります。

テナントスコープのCustom Roleを作成する (オプション)

[Management groups]に移動してください。
[Tenant Root Group]を選択してください。
[Access Control (IAM)]を選択してください。
[追加] > [Add Custom Role]をクリックします。
[JSON]タブを選択し、[Edit]ボタンをクリックしてください。

テンプレートの内容を削除し、次に以下のJSONをテンプレートにコピーして貼り付けてください。

{
   "properties": {
      "roleName": "Custom Role - Cloud One Conformity (Tenant scope)",
      "description": "Tenant level custom role for Cloud Conformity access.",
      "assignableScopes": [],
      "permissions": [
         {
            "actions": [
                "Microsoft.Management/managementGroups/read"
            ],
            "notActions": [],
            "dataActions": [],
            "notDataActions": []
         }
      ]
   }
}

[保存]をクリックします。
[Assignable Scopes]タブを選択 > [Add assignable Scope]。
テナントルートGroupを選択し、[Select]をクリックします。
[Review + Create]をクリックし、次に[Create]をクリックします。

ロールの割り当てを作成

Reader Role

[Access Control (IAM) page click] から [Add Role Assignment] を追加。
[Role] ドロップダウンで [Reader] を選択します。
[Assign Access]が[User, group or service principal]に設定されていることを確認してください。
[Select] ドロップダウンから Conformity App Registration を検索します。例: [Conformity Azure Access]。
[保存]をクリックします。
追加のサブスクリプションについても繰り返してください。

Custom role

[Access Control (IAM) page click]から[Add Role Assignment]を追加
[Role] ドロップダウンで、ステップ1で追加したRoleを検索します。例: [Custom Role - Cloud One Conformity]。
[Assign Access]が[User, group or service principal]に設定されていることを確認してください。
[Select] ドロップダウンから Conformity App Registration を検索します。例: [Conformity Azure Access].
[保存]をクリックします。
追加のサブスクリプションについても繰り返してください。

カスタムロール (テナントスコープ)(オプション)

[Management groups]に移動して、[Tenant Root Group]を選択してください。
[Access Control (IAM) page click]から[Add Role Assignment]を追加
[Role] ドロップダウンで、ステップ1で追加したRoleを検索します。例: [Custom Role - Cloud One Conformity (Tenant scope)].
[Assign Access]が[User, group or service principal]に設定されていることを確認してください。
[Select] ドロップダウンから Conformity App Registration を検索します。例: [Conformity Azure Access].
[保存]をクリックします。

Microsoft Entra ID を追加

Microsoft Entra ID (およびサブスクリプション) を追加するには、まず追加したいMicrosoft Entra IDごとにApp Registrationを作成する必要があります。

AzureのApp Registrationが設定されたら、Microsoft Entra IDを追加する準備が整います。

Conformityにサインイン。
ConformityのMain Dashboardから、[Add an account]をクリックします。
[Azure Subscription]をクリックしてから、[Next]をクリックしてください。
[Microsoft Entra ID Name]と[Microsoft Entra ID Tenant ID]を入力し、[Next]をクリックしてください
- [Microsoft Entra ID Name:]は、ConformityでのMicrosoft Entra IDの参照名になります。この名前はConformityアカウントメニューに表示され、Azureコンソールで使用される名前と一致する必要はありません。
- [Microsoft Entra ID Tenant ID:]はConformityのMicrosoft Entra IDを識別します。
AzureからMicrosoft Entra IDテナントIDを取得するには:
1. [Microsoft Entra ID]を選択します。
2. [Properties]を選択してください。
3. [Copy to clipboard][テナントID]。
[Conformity]にAzureサブスクリプションへのアクセスを許可するには、以前に設定した[Azure App registration]を使用します。これにより、ConformityルールエンジンがMicrosoft Entra ID内のサブスクリプションに対してRuleチェックを実行できるようになります。次の両方を提供する必要があります:
- [App registration Application ID] AzureからApp Registration IDを取得するには:
  1. [Microsoft Entra ID]を選択します。
  2. [App registrations]を選択してください。
  3. アプリケーション、すなわち[Conformity Azure Access]またはこのアプリケーションに付けた名前を選択します。
  4. [App registration Application ID]をコピーしてください。
- [Application registration Key]があなたの[Azure App registration]のために生成されました。
  - アプリケーション登録キーは、[Azure App registration]のセットアップ中にCertificates and secretsを構成するときに作成されます。
  - このキーを持っていない場合は、Configured certificates and secretsの同じ手順に従って再作成できます。
[Next]をクリックすると、Conformity Organizationに追加したいサブスクリプションを選択するオプションが表示されます。

[Azure App registration]セットアップでConformityアクセスを提供したサブスクリプションのみが表示されます。サブスクリプションが表示されない場合は、Azureでこのサブスクリプションのアクセス設定を有効にする必要があります。手順に従って、サブスクリプションのApp Registrationにアクセスを割り当ててください
[Next]をクリックし、ConformityがサブスクリプションリソースのRule違反をチェックするのをしばらくお待ちください。
[Success!] Conformityがすべてのルールの実行を完了すると、追加されたMicrosoft Entra IDが表示される[Main Dashboard]に戻ります。

注意

アカウントナビゲーションは、同じタイプのクラウドプロバイダーをグループ化するように整理されます。

Microsoft Entra ID を削除する

既存のMicrosoft Entra IDの[Delete...]をクリックします。

注意

Microsoft Entra IDは、すべてのサブスクリプションが削除された後にのみ削除できます。

Azure Chinaサブスクリプションを追加

(現在プレビュー中)

お客様のOrganizationのためにAzure Chinaをリクエストする

Azure ChinaサブスクリプションをConformityアカウントに追加するには、以下の詳細を記載してalloftrendproduct-conformity@trendmicro.comにメールを送信してください:

ConformityでのOrganizationのアカウント名
Cloud One PlatformまたはConformity Standalone (例: www.cloudconformity.com) を介してConformityにアクセスするかどうか
組織の主要な連絡先のリスト

中華人民共和国クラウドを追加

‘azure-china’機能が有効になっているConformity組織にログインしてください。
[Add an account]をクリックしてください。
[Azure Subscription]を選択します。
この新しいサブスクリプションの[Add new Microsoft Entra ID]を選択し、[Next]をクリックしてください。
中華人民共和国にあるMicrosoft Entra IDの情報を入力してください。
[Azure Cloud Environment]の下にある[China Cloud]オプションを選択します。
手順に従ってAzureへのアクセスを設定してください。