運用環境によっては、Microsoft Entra IDのグローバル管理者ロールとAzureサブスクリプションのサブスクリプション所有者ロールの両方を持つアカウントを使用して、Workload SecurityがAzureリソースにアクセスできるようにすることが望ましくない場合があります。別の方法として、Azureリソースへの読み取り専用アクセスを提供するWorkload Security用のAzureアプリケーションを作成できます。
複数のAzureサブスクリプションがある場合は、すべてのサブスクリプションが同じMicrosoft Entra IDに接続している限り、すべてのサブスクリプションに対して1つのWorkload Security Azureアプリケーションを作成できます。
Azureアプリケーションを作成するには

手順

  1. 正しい役割を割り当てる
  2. Azureアプリを作成する
  3. AzureアプリID、Microsoft Entra ID、およびパスワードを記録する
  4. サブスクリプションIDを記録してください
  5. Azureアプリにロールとコネクタを割り当てる

適切な役割を割り当てる 親トピック

Azureアプリケーションを作成するには、アカウントにMicrosoft Entra IDのユーザ管理者ロールと、Azureサブスクリプションのユーザアクセス管理者ロールが割り当てられている必要があります。続行する前に、これらのロールをAzureアカウントに割り当てます。

Azure アプリケーションを作成 親トピック

手順

  1. [Microsoft Entra ID] ブレードで、[App registrations] をクリックします。
  2. [New registration] をクリックします。
  3. [名] を入力します (例: Workload Security Azure Connector)。
  4. [Supported account types] で、[Accounts in this organizational directory only] を選択します。
  5. [Register] をクリックします。Azureアプリが [App registrations] リストに、手順3で選択した [Name] で表示されます。

AzureアプリケーションID、Microsoft Entra ID、およびパスワードを記録する 親トピック

手順

  1. [ App registrations]リストで、Azureアプリケーションを選択します。
    注意
    注意
    Azureアプリケーションが、Azureアプリの作成の手順3で選択した[名前]で表示されます。
  2. [Application (client) ID] を記録します。
  3. [ディレクトリ (テナント) ID]を記録します。
  4. [証明書&秘密]をクリックします。
  5. [New client secret]をクリックします。
  6. クライアントシークレットの[Description]を入力します。
  7. 適切な [Duration] を選択します。この時間が経過すると、クライアントシークレットが期限切れになります。
  8. [追加]をクリックします。クライアントシークレットの[値]が表示されます。
  9. クライアントシークレットの[Value]を記録します。これは、Azureアプリを Workload Securityに登録する際のアプリケーションパスワードとして使用されます。
    警告
    警告
    クライアントシークレット [Value] は1回しか表示されないため、ここで記録します。そうでない場合は、再生成して新しい [Value] を取得する必要があります。
    クライアントシークレットの[値]が期限切れになった場合は、再生成して、古い値が関連付けられているAzureアカウントで値を更新する必要があります。

サブスクリプションIDを記録する 親トピック

手順

  1. 左側の [All Services] に移動し、[Subscriptions] をクリックします。
    注意
    注意
    [登録]が左側に表示されない場合は、上部の検索ボックスを使用して検索します。
    サブスクリプションのリストが表示されます。
  2. Azureアプリケーションに関連付ける各サブスクリプションの [サブスクリプションID] を記録します。このIDは、後でAzureアカウントをWorkload Securityに追加するときに必要になります。

次に進む前に

Azureアプリケーションに役割とコネクタを割り当てる 親トピック

手順

  1. [すべてのサービス] > [サブスクリプション]の下で、Azureアプリケーションに関連付けたいサブスクリプションをクリックします。
    注意
    注意
    必要に応じて、後で別のサブスクリプションをAzureアプリケーションに関連付けることができます。
  2. [Access Control (IAM)]をクリックします。
  3. メインペインで、[追加] をクリックし、メニューから [ロールの割り当てを追加] を選択します。
  4. [役割]Reader と入力し、表示される [Reader] ロールをクリックします。
  5. [へのアクセスの割り当て]で、[ユーザ、ユーザグループ、またはサービスプリンシパル]を選択します。
  6. [メンバーの選択]の下で、Azureアプリの[名前](例: Workload Security Azure Connector) を入力します。Azureアプリケーションは、Azureアプリの作成手順のステップ3で選択した[名前]で表示されます。
  7. [保存]をクリックします。
  8. Azureアプリケーションを別のサブスクリプションに関連付けたい場合は、そのサブスクリプションに対してこの手順 (Azureアプリにロールとコネクタを割り当てる) を繰り返してください。
    Workload Securityを構成して、Workload SecurityにMicrosoft Azureアカウントを追加するの手順に従ってAzure仮想マシンを追加できるようになりました。