Azure AD ターゲット コネクタの追加
Azure AD アカウントのパスワードを更新するには、Azure Active Directory (AD)ターゲット コネクタを使用します。このコネクタは、Azure AD アカウントのみを管理できます。Azure ポータルに含まれているその他のアカウントは管理できません。
capam33
Azure AD アカウントのパスワードを更新するには、Azure Active Directory (AD)コネクタを使用します。このコネクタは、Azure AD アカウントのみを管理できます。Azure ポータルに含まれているその他のアカウントは管理できません。
Azure AD ターゲット コネクタは、PAM サーバも Azure で実行している必要はありません。ただし、PAM サーバが Azure で実行していない場合、PAM サーバが実行しているネットワーク ファイアウォールは、インターネット経由で portal.azure.com へのアクセスのために、ポート 443 でデータ転送を許可する必要があります。
Azure AD ターゲット コネクタは、Active Directory 管理者が新しいアカウントを作成するとき、または Azure 内の既存ユーザのパスワードを変更するときに、Azure AD ユーザ アカウントに割り当てられた一時パスワードをサポートしません。このような一時パスワードを使用しているユーザは、Azure AD ターゲット コネクタがこのユーザ アカウントを処理する前に、一時パスワードを使用して Azure ポータルにログインし、永続的なパスワードに変更する必要があります。
2
Azure でアプリケーションを作成
Azure アプリケーションを使用して、
Privileged Access Manager
は Azure リソース グループ、VM (Azure デバイス インポート用)、ネットワーク インターフェース、およびパブリック IP (クラスタ化用)にアクセスできます。クラスタ化の場合、最初のプライマリ サイト メンバに Azure アプリケーションを設定します。詳細については、「クラスタの設定」および「Azure でのクラスタ展開の要件」を参照してください。
Azure でアプリケーションを作成するには、以下の手順に従います。
- Azure の左側のメニューで、[Azure Active Directory]を選択します。
- 表示されるサービス リストから[アプリの登録]を選択します。
- 表示されるペインで[新規登録]を選択します。
- 任意の名前を入力します。名前にスペースを使用しないでください。
- [サポートされているアカウントの種類]で、[この組織のディレクトリ内のアカウントのみ]を選択します。
- [リダイレクト URI]で[Public client (mobile & desktop) (パブリック クライアント(モバイルとデスクトップ))]を選択します。
- アプリケーションの[リダイレクト URI]を入力します。ご使用のPrivileged Access ManagerURL を使用します。たとえば、クラスタの場合は、https://ip_address/cspm/home を入力し、プライマリ サイトにおける最初のノードの IP アドレスを選択します。
- [登録]を選択します。アプリケーションが作成され、そのプロパティ ページが表示されます。
- [API の呼び出し]で、[API アクセス許可の表示]を選択します。
- [API のアクセス許可]パネルで、[Microsoft Graph]を選択します。
- [委任されたアクセス許可]を選択します。
- [アクセス許可の選択]で、「directory」と入力して検索します。
- 検索結果で、[Directory.AccessAsUser.All](ディレクトリに対するサインインしたユーザーと同じアクセス)を選択します。
- [アクセス許可の更新]を選択します。
- [同意する]の下で、[[ご使用のディレクトリ]に管理者の同意を与えます]を選択します。
- [API アクセス許可の要求]を閉じます。トラブルシューティングするときは、Azure アプリケーションの権限が正しい状態で維持されていることを確認します。
- アプリケーション メニューで、[認証]を選択します。
- [詳細設定]セクションで、[はい]オプションを選択して[Allow public client flows (パブリック クライアント フローの許可)]設定を有効にします。
- [保存]を選択します。
- アプリケーション メニューから[概要]を選択します。
- Privileged Access Managerターゲット アカウントを作成するときに使用するアプリケーション(クライアント) IDおよびディレクトリ(テナント) IDをコピーします。
以下の手順で、アプリケーションをリソース グループに関連付けます。
- Azure の左側のメニューから、[リソース グループ]を選択します。
- 使用するリソース グループを選択します。
- [アクセス制御 (IAM)]を選択します。
- [追加]-[ロールの割り当て]を選択します。
- [ロール]ドロップダウン リストから[共同作成者]を選択します。[アクセスの割り当て先]は、[Azure AD のユーザー、グループ、サービス プリンシパル]のままにします。
- [選択]フィールドにアプリケーション名を入力します。表示されるリストからアプリケーションを選択します。
- [保存]を選択します。
複数の PAM サーバ インスタンスを別の Azure リソース グループ(クラスタ化用など)で実行する場合は、各リソース グループにこの関連付けの手順を繰り返します。
ターゲット アカウントの作成
Azure AD アカウントの管理、クラスタ化、Azure デバイス インポート、および Azure エージェントでは、
Privileged Access Manager
にターゲット アカウントが必要です。Privileged Access Manager
で以下の手順に従います。- [認証情報]-[ターゲットの管理]-[アカウント]に移動します。
- [追加]を選択します。
- [アプリケーション名]虫眼鏡アイコンを使用して、[Azure アクセス認証情報アカウント]を検索し、選択します。このアクションによって、[ホスト名]と[デバイス名]に「ca.portal.azure.com」が入力されます。
- [キー]タブを選択します。
- [ディスカバリ アカウント]チェック ボックスを選択します。
- [認証情報マネージャ サーバとターゲット システムの両方を更新します]ラジオ ボタンを選択します。
- [アクセス認証情報]タブを選択します。
- [Azure アプリケーション タイプ]で、[ネイティブ クライアント]を選択します。[ネイティブ クライアント]には、ユーザ名とパスワードが必要です。
- [ユーザ名]には、Azure ユーザの名前を入力します。
- [パスワード]には、Azure パスワードを入力します。検出に使用するアカウントには、[パスワードの生成]を使用しないでください。Privileged Access Managerで独自のバスワードを変更できるのは、Azure グローバル管理者またはパスワード管理者のみです。その他のユーザは、管理者アカウントをマスタ アカウントとして使用する必要があります。
- Azure アプリケーションのアプリケーション IDを入力します。前の手順でコピーしなかった場合は、以下の手順に従います。
- Azure 左側のメニューから[More Services]を選択します。
- フィルタ フィールドに「エンタープライズ」と入力し、[エンタープライズ アプリケーション]を選択します。
- メニューから、[All Applications]を選択します。
- アプリケーション リストから使用するアプリケーションを選択します。
- [プロパティ]を選択します。
- プロパティ ページから、アプリケーション IDの GUID をコピーします。
- Azure からディレクトリ IDを取得します。以下の手順に従います。
- Azure の左側のメニューで、[Azure Active Directory]を選択します。
- メニューから、[プロパティ]を選択します。
- プロパティ ページから、ディレクトリ IDの GUID をコピーします。
- 必要に応じて、その他のフィールドを受け入れるか変更します。
- [OK]を選択してターゲット アカウントを保存します。
「アカウント ディスカバリを使用してターゲット アカウントを追加」の指示に従い、このターゲット アカウントを使用して Azure Active Directory アカウントを検出します。検出に使用するアカウントは、グローバル管理者にする必要があります。
Azure のパスワードは、
Privileged Access Manager
とは関係なく失効します。このため、Privileged Access Manager
を設定して Azure AD のパスワードを Azure の展開で行うよりも頻繁に変更する必要があります。