この記事は自動的に翻訳されています。翻訳には不正確な表現が含まれる場合があります。
英語の原文はこちらをご覧ください。
Ctrlk

Azure Automation への接続

このガイドでは、新規および既存の Automation Account の両方に対するオンボーディング プロセスを説明します。

概要

RealmJoin Portal が配信できるようにするには ランブック 日常業務を自動化するには、次を接続する必要があります: Azure Automation アカウント。この Automation Account はランブックのホストとして機能し、次を提供します 権限 ランブックが環境内で機能するために必要なものです。

考慮事項

Automation Account の マネージド ID には広範な 権限 環境内での権限が必要です。たとえば、Entra ID でグループやユーザー オブジェクトを変更したり、Exchange Online のメールボックスを管理したりする能力です。これらの権限の悪用を防ぐため、このアカウントへの管理アクセスは最小限にしてください。

既存の Automation Account を使用する場合、RealmJoin Portal は次から取得したランブックを自動的に作成、更新、削除することに注意してください。 ランブックの共有オンライン リポジトリ。この機能は既存の Automation Account ではサポートされない場合があります。不明な場合は、Realmjoin Runbooks 用に専用の Azure Automation Account を作成することをお勧めします。

前提条件

  • グローバル管理者権限

  • 次を使用した PowerShell へのアクセス: Az モジュール、または AZ CLI

  • Azure サブスクリプションに対する共同作成者権限

  • ランブック要件

手順

1

Azure Automation Account を作成する

  1. 次へ移動します: Azure Portal > Automation Accounts

  2. 新しい Automation Account を作成する

  3. [Basics]タブで、必要な Subscription、Resource Group、Automation Account 名、および Region を選択します

Automation Account 用に別の Resource Group を用意することを推奨します

  1. [Advanced]タブで、System Assigned Managed Identity が有効になっていることを確認します

  2. [Review + Create]を選択して Automation Account を作成します

  3. Azure Automation Account を含む Resource Group に移動します

  4. [IAM]タブで、Azure Automation Account に Contributor を割り当てます

2

Azure Automation Account に権限を割り当てる

RealmJoin の共有ランブックは、Azure Automation の system assigned managed identity を使用して、Entra ID、MS Graph API などと連携します。

Managed Identity の権限は、現在 Azure Portal からは付与できません。これらの権限を割り当てるには Microsoft Graph または PowerShell を使用してください。

  1. 次の PowerShell スクリプトと JSON ファイルを同じフォルダーにダウンロードしてください。 このスクリプトは RealmJoin に必要な完全な権限セットを割り当てます。ロールと権限は次の 要件 セクションで確認でき、必要に応じて JSON ファイルで調整できます。

Unexpected error with integration github-files: Integration is not installed on this space

  1. Account Settings > Identity で、Azure Automation Account の Managed Identity の Object ID を控えてください

  2. PowerShell ウィンドウを開きます。

  3. ダウンロードしたファイルがあるフォルダーに移動します

  1. 必要に応じてスクリプトのブロックを解除します

  2. GrantAppPermToEntApp.ps1 を使用して Azure Automation Account に MS Graph の権限を割り当てます。xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx を Automation Account の Object ID に置き換えてください

  1. AssignAzureADRoleToEntApp.ps1 を使用して Azure Automation Account に Entra ID の管理者ロールを割り当てます。xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx を Automation Account の Object ID に置き換えてください

  1. これで Azure Automation Account には Runbooks を実行するための正しい権限が付与されているはずです

3

RealmJoin ランブックの構成 - パート 1

  1. RealmJoin Portal で「設定 -> Runbooks'.

  2. Azure Automation Account に属する Tenant ID、Subscription ID、および Resource Group 名を入力します Entra ID の 概要ページの Tenant ID

  3. 下の赤字のスクリプトをコピーします ResourceGroup. このスクリプトは、Entra ID に Service Principal を作成し、Automation Account へのアクセスを付与することで、RealmJoin がランブックの管理、実行、監視を行えるようにします。 スクリプトは Tenant ID、Subscription ID、および Resource Group の入力に基づいて更新されます。

  4. ウィザードはこのまま開いておいてください。すぐにパート 2 で戻ります。

4

RealmJoin に Azure Automation へのアクセス権を付与する

次を使用できます: Azure CloudShellそのため、AZ CLI のローカルコピーをインストールして認証する必要はありません。

  1. 前にコピーしたスクリプトを PowerShell で実行します。

  2. 次の値を控えてください: appIdpassword. App Registration「RealmJoin Runbook Management」が作成されます。

    Azure Portal の App Registrations
5

RealmJoin ランブックの構成 - パート 2

  1. RealmJoin Portal で、開いているウィンドウ/ウィザードの「設定 -> Runbooks'

  2. 次の不足している値を入力します: appIdpassword 前の手順で作成した

  3. 作成した Automation Account の名前を入力します 以前に

  4. 追従したい共有ランブック リポジトリのブランチを選択します。 不明な場合は、次を選択してください: production すべてのランブック ブランチはここで確認できます: https://github.com/realmjoin/realmjoin-runbooks

  5. ランブックが正しい場所で実行されるように、Azure Automation Account と同じ場所を選択してください Azure リージョン

RealmJoin Portal での Automation Account 接続

  1. 最初のランブックのインポートを開始するには「Save」を押してください。「Sync completed」というメッセージが表示されるまで、このウィンドウを開いたままにしてください。

最終更新

役に立ちましたか?