ビュー:
リソースを展開し、Azure管理グループをTrend Vision Oneに接続するために必要な権限を確認してください。
Trend Vision OneCloud Securityリソースを管理グループおよびその中のすべてのサブスクリプションに正常にデプロイするために、以下の権限が必要です。Azureの権限について詳しくは、Azure permissions documentationをご覧ください。

必要な役割

Azure管理グループに必要なロール

役割
役割が可能にすること
注意
ユーザアクセス管理者
  • カスタムロールへのサービスプリンシパルの割り当て
  • ロールベースのアクセス制御 (RBAC) の管理
管理グループ内のすべてのサブスクリプションに必要
投稿者
  • プライマリサブスクリプションでリソースグループ、ストレージアカウント、およびBlobコンテナーを作成しています
  • サブスクリプションごとにTrend Vision Oneのカスタムロールを作成
  • 他のすべてのTerraformリソースをデプロイ中 (ロールの割り当てを管理できません)
管理グループ内のすべてのサブスクリプションに必要
所有者
ユーザアクセス管理者と共同作業者の両方の権限が含まれています
ユーザアクセス管理者と共同作成者を別々に割り当てる代わりに使用できます
管理グループリーダー
  • 管理グループ構造とメタデータのクエリ実行
  • 管理グループ内のすべてのサブスクリプションを一覧表示
管理グループレベルで必要
アプリケーション管理者
  • Azure ADでのアプリ登録の作成
  • サービスプリンシパルの作成
  • OIDC認証のためのフェデレーテッドアイデンティティ認証情報の設定
Microsoft Entra IDユーザに必要です。Azureポータルを通じて割り当てます: [Azure AD][Roles and administrators][アプリケーション管理者][課題を追加]

権限を検証しています

必要な権限が正しく構成されていることを確認するには、Azure CLIで次のコマンドを実行してください。
テスト管理グループへのアクセス:
az account management-group show --name <mg-id>
テストサブスクリプションの一覧:
az account management-group entities list --query "[?type=='/subscriptions']"
プライマリサブスクリプションアクセスをテスト:
az account show --subscription <primary-sub-id>

一般的な問題

アクセス許可エラーのトラブルシューティング

エラー
ソリューション
管理グループのサブスクリプションを一覧表示できません
管理グループリーダーの役割を割り当てます。
状態ストレージリソースを作成できません
プライマリサブスクリプションにオーナーまたは共同作成者の役割を割り当てます。
アプリ登録を作成できません
Azure ADでアプリケーション管理者ロールを割り当てる。
ロール定義を作成できません
すべてのサブスクリプションにオーナーロール (またはユーザアクセス管理者+共同作成者) を割り当てます。