Microsoft Azure サブスクリプションをオンボードする

  • [アーティクル]

この記事では、Permissions Management で 1 つ以上の Microsoft Azure サブスクリプションをオンボードする方法について説明します。 サブスクリプションをオンボードすると、Permissions Management で Azure サブスクリプションを表す新しい認可システムが作成されます。

Note

この記事のタスクを実行するには、Permissions Management 管理者である必要があります。

説明

権限管理サービスは Azure 上に構築されており、Azure サブスクリプションを監視および管理するためにオンボードしている場合、構成する可動パーツがほとんどないため、セットアップは簡単です。 オンボードを構成するには、以下のものが必要です。

  • テナントがオンボードされるときに、テナントにアプリケーションが作成されます。
  • このアプリには、サブスクリプションに対する "閲覧者" アクセス許可が必要です
  • コントローラー機能の場合、適切なサイズのロールを作成して実装するには、アプリに "ユーザー アクセス管理者" が必要です

前提条件

Permissions Management を Microsoft Entra テナントに追加するには:

  • お使いのシステム上に Microsoft Entra ユーザー アカウントと Azure コマンド ライン インターフェイス (Azure CLI) があるか、または Azure サブスクリプションをお持ちである必要があります。 アカウントがまだない場合は、無料のアカウントを作成してください。
  • これらのタスクを実行するには、サブスクリプションまたは管理グループ スコープで Microsoft.Authorization/roleAssignments/write アクセス許可が必要です。 このアクセス許可がない場合、このアクセス許可がある別のユーザーに、これらのタスクを実行するように依頼できます。

Azure サブスクリプションをオンボードする

  1. Permissions Management の起動時に [Data Collectors](データ コレクター) ダッシュボードが表示されない場合

    • Permissions Management のホーム ページで、[設定] (右上の歯車アイコン) を選択し、[データ コレクター] サブタブを選択します。

  2. [データ コレクター] ダッシュボードで、[Azure] を選択し、[構成の作成] を選択します。

1. Azure サブスクリプションの詳細を追加する

Azure サブスクリプションを管理するには、3 つのオプションから選択します。

オプション 1: 自動的に管理する

このオプションを使うと、サブスクリプションは自動的に検出されて監視され、それ以上の作業は必要ありません。 自動管理の主なメリットは、検出された現在または将来のサブスクリプションが自動的にオンボードされることです。 サブスクリプションのリストを検出し、収集のためにオンボードする手順は、次のとおりです。

  • まず、管理グループまたはサブスクリプション スコープで、クラウド インフラストラクチャ エンタイトルメント管理アプリケーションに閲覧者ロールを付与します。 これを行うには、次の手順を実行します。

  1. EPM ポータルで、右上にある歯車を左クリックします。

  2. データ コレクターのタブに移動します

  3. Azure が選ばれていることを確認します。

  4. [構成の作成] をクリックします。

  5. オンボード モードの場合は、[自動管理] を選びます。

    Note

    画面に一覧表示されている手順では、クラウド インフラストラクチャ エンタイトルメント管理アプリケーションのロールの割り当てを作成する方法について説明します。 これは、Microsoft Entra ID コンソールから手動で、または PowerShell か Azure CLI を使ってプログラムで実行します。

  • 完了したら、[すぐに確認して保存] をクリックします。

構成を保存した後にオンボードの状態を表示するには、次の手順に従います。

  1. コレクターが一覧に表示されるようになり、状態の種類が変化します。 [Collected Inventory] (収集済みインベントリ) の状態で一覧に表示されている各コレクターについては、その状態をクリックすると詳細が表示されます。
  2. その後、[進行中] ページでサブスクリプションを見ることができます。

オプション 2: 認可システムを入力する

特定のサブスクリプションのみを指定して、Permissions Management で管理および監視できます (コレクターあたり最大 100 個)。 監視対象のサブスクリプションを構成するには、次の手順に従います。

  1. 管理するサブスクリプションごとに、サブスクリプションのクラウド インフラストラクチャ エンタイトルメント管理アプリケーションに "閲覧者" ロールが付与されていることを確認します。
  2. EPM ポータルで、右上にある歯車をクリックします。
  3. データ コレクターのタブに移動します
  4. 'Azure' が選択されていることを確認します。
  5. [構成の作成] をクリックします
  6. [認可システムを入力] を選択します
  7. [サブスクリプション ID] セクションで、入力ボックスに目的のサブスクリプション ID を入力します。 [+] を最大 9 回追加でクリックし、各入力ボックスに 1 つのサブスクリプション ID を入力します。
  8. 必要なサブスクリプションをすべて入力したら、[次へ] をクリックします
  9. [すぐに確認して保存] をクリックします
  10. データの読み取りと収集へのアクセスが確認されると、収集が開始されます。

構成を保存した後にオンボードの状態を表示するには、次の手順に従います。

  1. [データ コレクター] タブに移動します。
  2. データ コレクターの状態をクリックします。
  3. [進行中] ページでサブスクリプションを確認します。

オプション 3: 認可システムを選択する

このオプションでは、クラウド インフラストラクチャ エンタイトルメント管理アプリケーションからアクセスできるすべてのサブスクリプションを検出します。

  • まず、管理グループまたはサブスクリプション スコープで、クラウド インフラストラクチャ エンタイトルメント管理アプリケーションに閲覧者ロールを付与します。

  1. Permissions Management ポータルで、右上にある歯車をクリックします。

  2. [データ コレクター] タブに移動します。

  3. Azure が選ばれていることを確認します。

  4. [構成の作成] をクリックします。

  5. オンボード モードの場合は、[自動管理] を選びます。

    Note

    画面に一覧表示されている手順では、クラウド インフラストラクチャ エンタイトルメント管理アプリケーションのロールの割り当てを作成する方法について説明します。 これは、Microsoft Entra ID コンソールから手動で、または PowerShell か Azure CLI を使ってプログラムで実行できます。

  • 完了したら、[すぐに確認して保存] をクリックします。

構成を保存した後にオンボードの状態を表示するには、次の手順に従います。

  1. Azure データ コレクターの下で新しく作成されたデータ コレクターの行に移動します。
  2. 行の状態が "保留中" の場合は、[状態] 列をクリックします
  3. オンボードして収集を開始するには、検出されたリストから特定のサブスクリプションを選択し、収集に同意します。

2. 確認して保存する。

  1. [Permissions Management Onboarding – Summary](Permissions Management のオンボード – 概要) ページで、追加した情報を確認して、[Verify Now Save](すぐに確認して保存) を選択します。

    次のメッセージが表示されます: Successfully Created Configuration. (構成が正常に作成されました。)

    [データ コレクター] タブの [Recently Uploaded On] (最近のアップロード) 列に [Collecting] (収集中) と表示されます。 [Recently Transformed On] (最近の変換) 列に [Processing] (処理中) と表示されます。

    Permissions Management UI の [状態] 列には、現在のデータ収集のステップが表示されます。

    • 保留中: Permissions Management はまだ検出もオンボードも開始していません。
    • 検出中: Permissions Management は認可システムを検出しています。
    • 進行中: Permissions Management は認可システムの検出を完了し、オンボード中です。
    • オンボード済み: データ収集が完了し、検出されたすべての認可システムが Permissions Management にオンボードされます。

3. データを表示する。

  1. データを表示するには、[Authorization Systems] (認可システム) タブを選択します。

    テーブルの [状態] 列に [Collecting Data] (データを収集中) と表示されます。

    データ収集プロセスには時間がかかり、ほとんどの場合、約 4 から 5 時間かかります。 期間は、使用している承認システムのサイズと、収集に使用できるデータの量によって異なります。

次のステップ