Azure Monitor SCOM マネージド インスタンス用にユーザー割り当て ID を作成する

この記事では、ユーザー割り当て ID を作成し、Azure SQL Managed Instance への管理者アクセスを提供し、キー コンテナーに対する Get および List アクセス権を許可する方法について説明します。

Note

Azure Monitor SCOM マネージド インスタンスのアーキテクチャの詳細については、「Azure Monitor SCOM マネージド インスタンスについて」を参照してください。

管理サービス ID を作成する

管理サービス ID (MSI) は、アプリケーションが Microsoft Entra 認証をサポートするリソースに接続するときに使用する ID を提供します。 SCOM マネージド インスタンスの場合、マネージド ID は従来の 4 つの System Center Operations Manager サービス アカウントを置き換えます。 これは、Azure SQL Managed Instance データベースにアクセスするために使用されます。 キー コンテナーへのアクセスにも使用されます。

Note

  • MSI を作成するサブスクリプションの共同作成者であることを確認します。
  • MSI には、SQL Managed Instance に対する管理者アクセス許可と、ドメイン アカウントの資格情報を保存するために使用するキー コンテナーに対する読み取りアクセス許可が必要です。
  1. Azure portal にサインインします。 マネージド ID を検索して選択します。

    Azure portal 内のマネージド ID のアイコンを示すスクリーンショット。

  2. [マネージド ID] ページで、[作成] を選びます。

    マネージド ID を示すスクリーンショット。

    [ユーザー割り当てマネージド ID の作成] ペインが開きます。

  3. [基本] で、次を行います。

    • プロジェクトの詳細:
      • サブスクリプション: SCOM マネージド インスタンスを作成する Azure サブスクリプションを選びます。
      • リソース グループ: SCOM マネージド インスタンスを作成するリソース グループを選びます。
    • インスタンスの詳細:
      • リージョン: SCOM マネージド インスタンスを作成するリージョンを選びます。
      • 名前: インスタンスの名前を入力します。

    ユーザー割り当てマネージド ID に対するプロジェクトとインスタンスの詳細を示すスクリーンショット。

  4. タグを選択します。

  5. [タグ] タブで、[名前] の値を入力し、リソースを選びます。

    タグは、同じタグを複数のリソースやリソース グループに適用することで、リソースを分類したり、統合された課金を表示したりするのに役立ちます。 詳細については、「タグを使用して Azure リソースと整理階層を整理する」を参照してください。

  6. 確認と作成 をクリックします。

  7. [確認 + 作成] タブで、指定したすべての情報を確認し、[作成] を選びます。

    作成前にマネージド ID を確認するためのタブを示すスクリーンショット。

これで、Azure にデプロイが作成されました。 リソースにアクセスし、その詳細を表示できます。

SQL Managed Instance で Microsoft Entra 管理者の値を設定する

手順 3 で作成した SQL Managed Instance に Microsoft Entra 管理者の値を設定するには、次の手順に従います。

Note

次の操作を実行するには、サブスクリプションの特権ロール管理者のアクセス許可が必要です。

重要

Microsoft Entra 管理者にグループを使用することは現在サポートされていません。

  1. SQL Managed Instance を開きます。 [設定][Microsoft Entra 管理者] を選びます。

    Microsoft Entra 管理者情報のペインのスクリーンショット。

  2. エラー ボックスのメッセージを選択して、Microsoft Entra ID 上の SQL Managed Instance に対して読み取りアクセス許可を付与します。 [アクセス許可の付与] ペインが開いて、アクセス許可が付与されます。

    アクセス許可の付与のスクリーンショット。

  3. [アクセス許可の付与] を選択して操作を開始します。操作が完了すると、Microsoft Entra の読み取りアクセス許可を正常に更新するための通知が表示されます。

    読み取りアクセス許可のスクリーンショット。

  4. [管理者の設定] を選び、MSI を検索します。 この MSI は、SCOM マネージド インスタンスの作成フロー中に指定したものと同じです。 SQL Managed Instance に管理者が追加されたことがわかります。

    Microsoft Entra の MSI 情報のスクリーンショット。

  5. マネージド ID アカウントを追加した後にエラーが発生した場合は、読み取りアクセス許可がまだ ID に付与されていないことを示しています。 SCOM マネージド インスタンスを作成するには、必要なアクセス許可を必ず指定してください。そうしないと、SCOM Managed Instance の作成が失敗します。

    成功した Microsoft Entra 認証を示すスクリーンショット。

アクセス許可の詳細については、「Azure SQL 用 Microsoft Entra ID のディレクトリ閲覧者ロール」を参照してください。

キー コンテナーでアクセス許可を付与する

手順 4 で作成したキー コンテナーでアクセス許可を付与するには、次の手順に従います。

  1. 手順 4 で作成したキー コンテナー リソースに移動し、[アクセス ポリシー] を選びます。

  2. [アクセス ポリシー] ページで、[作成] を選択します。

    [アクセス ページ] ページを示すスクリーンショット。

  3. [アクセス許可] タブで、GetList オプションを選びます。

    [アクセス ポリシーの作成] ページを示すスクリーンショット。

  4. [次へ] を選択します。

  5. [プリンシパル] タブで、作成した MSI の名前を入力します。

  6. [次へ] を選択します。 SQL Managed Instance 管理者構成で使用したのと同じ MSI を選びます。

    [プリンシパル] タブを示すスクリーンショット。

  7. [次へ]>[作成] を選びます。

次のステップ