檢視次數:
在您的操作環境中,可能不希望允許 Server & Workload Security保護 使用同時具有 Microsoft Entra ID 的全域管理員角色和 Azure 訂閱的訂閱擁有者角色的帳戶來訪問 Azure 資源。作為替代方案,您可以為 Server & Workload Security保護 創建一個 Azure 應用程式,該應用程式提供對 Azure 資源的唯讀訪問權限。
秘訣
秘訣
如果您有多個 Azure 訂閱,您可以為所有訂閱建立單一 Server & Workload Security保護 Azure 應用程式,只要這些訂閱都連接到相同的 Active Directory。詳細資訊請參閱以下指示。
若要建立 Azure 應用程式,您需要:

步驟

  1. 指派正確的角色
  2. 建立 Azure 應用程式
  3. 記錄 Azure 應用程式 ID、Active Directory ID 和密碼
  4. 記錄訂閱 ID
  5. 指派 Azure 應用程式角色和連接器

指派正確的角色 上層主題

要建立 Azure 應用程式,您的帳戶必須具有 Microsoft Entra ID 的使用者管理員角色和 Azure 訂閱的使用者存取管理員角色。在繼續之前,請將這些角色指派給您的 Azure 帳戶。

建立 Azure 應用程式 上層主題

步驟

  1. Microsoft Entra ID 刀鋒視窗中,點選 App registrations
  2. 點選 New registration
  3. 輸入一個Name(例如,Server & Workload Security保護 Azure 連接器)。
  4. 對於Supported account types,選擇Accounts in this organizational directory only
  5. 點選註冊。Azure 應用程式會出現在App registrations清單中,並顯示您在步驟 3(如上所述)中選擇的Name

記錄 Azure 應用程式 ID、Active Directory ID 和密碼 上層主題

步驟

  1. App registrations 清單中,點選 Azure 應用程式。
    注意
    注意
    Azure 應用程式將顯示在 Name,這是您在 建立 Azure 應用程式 步驟 3 中選擇的。
  2. 記錄Application (client) ID
  3. 記錄Directory (tenant) ID
  4. 點選 Certificates & secrets
  5. 點選 New client secret
  6. 輸入用戶端密碼的Description
  7. 選擇適當的Duration。客戶端密鑰在此時間後過期。
  8. 點選新增。客戶端密鑰Value會顯示。
  9. 記錄客戶端密鑰 Value。這將在向 Server & Workload Security保護 註冊 Azure 應用程式時用作應用程式密碼。

接下來需執行的動作

警告
警告
用戶端密鑰Value只會顯示一次,請立即記錄。如果您不記錄,則必須重新生成以獲取新的Value
注意
注意
如果用戶端密鑰 Value 過期,您必須重新生成並在相關的 Azure 帳戶中更新它。

記錄訂閱 ID 上層主題

步驟

  1. 在左側,前往All Services並點選Subscriptions
    注意
    注意
    如果Subscriptions沒有出現在左側,請使用螢幕頂部的搜索框來查找它。
    訂閱列表顯示。
  2. 記錄每個訂閱的Subscription ID,您想要將其與 Azure 應用程式關聯。稍後在將 Azure 帳戶新增到Server & Workload Security保護時,您將需要這些 ID。

指派 Azure 應用程式角色和連接器 上層主題

步驟

  1. All Services > Subscriptions 下,點選您想要與 Azure 應用程式關聯的訂閱。
    注意
    注意
    您可以稍後將另一個訂閱與 Azure 應用程式關聯。
  2. 點選 Access Control (IAM)
  3. 在主窗格中,點選新增,然後從下拉選單中選擇Add Role Assignment
  4. Role 下,輸入 Reader,然後點選出現的 Reader 角色。
  5. Assign access to下,選擇User, user group, or service principal
  6. Select members 下,輸入 Azure 應用程式 Name(例如,Server & Workload Security保護 Azure 連接器)。Azure 應用程式會顯示您在 建立 Azure 應用程式 步驟 3 中選擇的 Name
  7. 點選 儲存
  8. 如果您想將 Azure 應用程式關聯到另一個訂閱,請針對該訂閱重複此程序 (指派 Azure 應用程式角色和連接器)。

接下來需執行的動作

您現在可以配置Server & Workload Security保護來添加Azure虛擬機,請按照將Microsoft Azure帳戶添加到Server & Workload Security保護中的說明進行操作。