circle-info
この記事は自動的に翻訳されています。翻訳には不正確な表現が含まれる場合があります。
英語の原文はこちらをご覧ください。chevron-right
search

Azure Automation の接続

このガイドは、新規および既存の Automation アカウントのオンボーディングプロセスを概説します。

hashtag
概要

RealmJoin ポータルに runbook(ランブック) を提供させるには、接続する必要があります Azure Automationarrow-up-right アカウント。この Automation アカウントはランブックのホストとして機能し、 権限 を提供して、ランブックが環境内で動作するようにします。

hashtag
考慮事項

Automation アカウントの マネージド アイデンティティarrow-up-right には広範な 権限 が環境内で必要となる場合があります。例:Entra ID のグループやユーザー オブジェクトを変更する能力や Exchange Online のメールボックスを管理する能力など。これらの特権の誤用を防ぐため、管理アクセスをこのアカウントに対して制限してください。

既存の Automation アカウントを使用する場合、RealmJoin ポータルは共有オンラインのランブックリポジトリから来るランブックを自動的に作成、更新、削除しますが、 共有されたオンラインのランブックリポジトリarrow-up-rightこの機能は既存の Automation アカウントでサポートされない場合があります。不明な場合は、RealmJoin ランブック用に専用の Azure Automation アカウントを作成することをお勧めします。

hashtag
前提条件

hashtag
手順

1

hashtag
Azure Automation アカウントを作成する

  1. 次の場所に移動します Azure ポータル > Automation アカウントarrow-up-right

  2. 新しい Automation アカウントを作成する

  3. 「基本」タブで、希望するサブスクリプション、リソース グループ、Automation アカウント名、およびリージョンを選択します

circle-check

Automation アカウント用に別のリソース グループを作成することを推奨します

  1. 「詳細設定」タブで、システム割り当てマネージド アイデンティティが有効になっていることを確認してください

  2. 「確認および作成」を選択して Automation アカウントを作成します

  3. Azure Automation アカウントを含むリソース グループに移動します

  4. IAM タブで、Azure Automation アカウントに Contributor を割り当てます

2

hashtag
Azure Automation アカウントに権限を割り当てる

RealmJoin の共有ランブックは、Azure Automation のシステム割り当てマネージド アイデンティティを使用して Entra ID、Microsoft Graph API 等とやり取りします。

マネージド アイデンティティの権限は現在 Azure ポータルから付与できません。これらの権限を割り当てるには Microsoft Graph または PowerShell を使用してください。

  1. 次の PowerShell スクリプトと JSON ファイルを同じフォルダーにダウンロードしてください。 このスクリプトは RealmJoin に必要な完全な権限セットを割り当てます。ロールと権限は 要件 セクションで確認し、JSON ファイルで必要に応じて調整できます。

Unexpected error with integration github-files: Integration is not installed on this space

  1. Automation アカウントのマネージド アイデンティティのオブジェクト ID を「アカウント設定 > ID」でメモしてください

  2. PowerShell ウィンドウを開きます。

  3. ダウンロードしたファイルがあるフォルダーに移動します

  1. 必要に応じてスクリプトのブロックを解除します

  2. GrantAppPermToEntApp.ps1 を使用して Azure Automation アカウントに MS Graph 権限を割り当てます。xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx を Automation アカウントのオブジェクト ID に置き換えてください

  1. AssignAzureADRoleToEntApp.ps1 を使用して Azure Automation アカウントに Entra ID 管理者ロールを割り当てます。xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx を Automation アカウントのオブジェクト ID に置き換えてください

  1. Azure Automation アカウントは、ランブックを実行するための正しい権限を持っているはずです

3

hashtag
RealmJoin ランブック構成 - パート 1

  1. RealmJoin ポータルで「設定 -> ランブックarrow-up-right'.

  2. Azure Automation アカウントに属するテナント ID、サブスクリプション ID、およびリソース グループ名を入力してください テナント ID は Entra ID の概要ページarrow-up-right

  3. 下の赤で示されたスクリプトをコピーしてください ResourceGroup。 このスクリプトは、Automation アカウントへのアクセスを持つ Service Principal を Entra ID に作成し、RealmJoin がランブックを管理、実行、監視できるようにします。 スクリプトはテナント ID、サブスクリプション ID、およびリソース グループの入力に基づいて更新されます。

  4. ウィザードはしばらく開いたままにしてください。パート 2 で戻ってきます。

4

hashtag
RealmJoin に Azure Automation へのアクセスを付与する

circle-info

次のものを使用できます Azure CloudShellarrow-up-rightそのため、ローカルに AZ CLI をインストールして認証する必要はありません。

  1. 前にコピーしたスクリプトを PowerShell で実行します。

  2. 次の値をメモしてください appId および password。 「RealmJoin Runbook Management」というアプリ登録が作成されます。

    Azure ポータルのアプリ登録
5

hashtag
RealmJoin ランブック構成 - パート 2

  1. RealmJoin ポータルで、開いているウィンドウ/ウィザードに戻ります「設定 -> ランブックarrow-up-right'

  2. 前のステップで作成された appId および password の不足している値を入力してください

  3. 先ほど作成した Automation アカウントの名前を入力してください (前の手順で)

  4. 共有ランブックリポジトリでフォローしたいブランチを選択してください。 不明な場合は、選択してください production(本番) すべてのランブックのブランチはここで確認できます: https://github.com/realmjoin/realmjoin-runbooksarrow-up-right

  5. ランブックが正しい場所で実行されるように、Azure Automation アカウントと同じ場所を選択してください Azure リージョンarrow-up-right

RealmJoin ポータルの Automation アカウント接続

  1. 「保存」を押してランブックの初期インポートを開始します。『同期が完了しました』というメッセージが表示されるまで、このウィンドウを開いたままにしてください。

最終更新

役に立ちましたか?