ビュー:
運用環境によっては、Microsoft Entra IDのグローバル管理者ロールとAzureサブスクリプションのサブスクリプション所有者ロールの両方を持つアカウントを使用して、Workload SecurityがAzureリソースにアクセスできるようにすることが望ましくない場合があります。別の方法として、Azureリソースへの読み取り専用アクセスを提供するWorkload Security用のAzureアプリケーションを作成できます。
複数のAzureサブスクリプションがある場合は、すべてのサブスクリプションが同じMicrosoft Entra IDに接続している限り、すべてのサブスクリプションに対して1つのWorkload Security Azureアプリケーションを作成できます。
Azureアプリケーションを作成するには:

正しい役割を割り当てる 親トピック

Azureアプリケーションを作成するには、アカウントにMicrosoft Entra IDのユーザ管理者ロールと、Azureサブスクリプションのユーザアクセス管理者ロールが割り当てられている必要があります。続行する前に、これらのロールをAzureアカウントに割り当てます。

Azure アプリケーションを作成 親トピック

手順

  1. [Microsoft Entra ID]ブレードで、[アプリの登録]をクリックします。
  2. [新規登録]をクリックします。
  3. [名前]を入力してください (例: Workload Security Azure Connector)。
  4. [Supported account types]のために、[Accounts in this organizational directory only]を選択してください。
  5. [登録]をクリックします。Azureアプリは、手順3で選択した[名前]と共に[アプリの登録]リストに表示されます。

AzureアプリケーションID、Microsoft Entra ID、およびパスワードを記録する 親トピック

手順

  1. [アプリの登録]リストで、Azureアプリケーションを選択します。
    Azureアプリケーションは、Azureアプリの作成手順3で選択した[名前]と共に表示されます。
  2. [アプリケーション (クライアント) ID]を記録してください。
  3. [ディレクトリ (テナント) ID]を記録してください。
  4. [証明書とシークレット]をクリックします。
  5. [New client secret]をクリックします。
  6. クライアントシークレットの[説明]を入力してください。
  7. 適切な[期間]を選択してください。クライアントシークレットはこの時間後に期限切れになります。
  8. [追加]をクリックします。クライアントシークレット[値]が表示されます。
  9. クライアントシークレット[値]を記録してください。これは、Workload SecurityでAzureアプリを登録する際のアプリケーションパスワードとして使用されます。
    警告
    警告
    クライアントシークレット[値]は一度しか表示されないため、今すぐ記録してください。記録しない場合は、新しい[値]を取得するために再生成する必要があります。
    クライアントシークレット[値]が期限切れになる場合、再生成して関連するAzureアカウントに更新する必要があります。

サブスクリプションIDを記録する 親トピック

手順

  1. 左側で[すべてのサービス]に移動し、[サブスクリプション]をクリックします。
    サブスクリプションのリストが表示されます。
    [サブスクリプション]が左側に表示されない場合は、上部の検索ボックスを使用して見つけてください。
  2. Azureアプリケーションに関連付けたい各サブスクリプションの[サブスクリプションID]を記録してください。後でAzureアカウントをWorkload Securityに追加する際にIDが必要になります。

Azureアプリケーションに役割とコネクタを割り当てる 親トピック

手順

  1. [すべてのサービス][サブスクリプション] の下で、Azureアプリケーションに関連付けたいサブスクリプションをクリックします。
    必要に応じて、後で別のサブスクリプションをAzureアプリケーションに関連付けることができます。
  2. [Access Control (IAM)]をクリックします。
  3. メインペインで[追加]をクリックし、メニューから[Add Role Assignment]を選択します。
  4. [役割]Readerを入力し、表示される[閲覧者]ロールをクリックします。
  5. [Assign access to][User, user group, or service principal]を選択します。
  6. [Select members]の下にAzureアプリ[Name]を入力します (例: Workload Security Azure Connector)。Azureアプリケーションは、Azureアプリの作成手順3で選択した[Name]で表示されます。
  7. [保存] をクリックします。
  8. Azureアプリケーションを別のサブスクリプションに関連付けたい場合は、そのサブスクリプションに対してこの手順 (Azureアプリにロールとコネクタを割り当てる) を繰り返してください。

次のステップ

Workload Securityを構成して、Workload SecurityにMicrosoft Azureアカウントを追加するの手順に従ってAzure仮想マシンを追加できるようになりました。