circle-info
この記事は自動的に翻訳されています。翻訳には不正確な表現が含まれる場合があります。
英語の原文はこちらをご覧ください。chevron-right
search

要件

この wiki ページでは、ランブックを実行するために付与する必要がある要件と(システムレベルの)権限について説明します。

hashtag
PowerShell モジュール

circle-info

PowerShell モジュールのセクションは、次の 公開リポジトリarrow-up-right.

で利用可能な共有ランブックは GitHubarrow-up-right で以下の Windows PowerShell モジュールを期待/使用します:

モジュール
ランブックでの最小バージョン

Az.Accounts

5.3.2

Az.Compute

5.1.1

Az.DesktopVirtualization

5.4.1

Az.ManagementPartner

0.7.5

Az.Resources

9.0.1

Az.Storage

9.6.0

ExchangeOnlineManagement

3.9.2

Microsoft.Graph.Authentication

2.35.1

MicrosoftTeams

7.6.0

RealmJoin.RunbookHelper

0.8.5

RealmJoin ポータルは、ランブック内から参照されているこれらのモジュールを自動的にインポートおよびインストールします。このインポートはモジュールに指定された最小バージョンも尊重します。

hashtag
アクセス許可

circle-info

アクセス許可セクションは次に基づいて自動的に更新されます 公開リポジトリarrow-up-right.

RealmJoin の共有ランブックは Azure Automation の システム割り当てマネージド IDarrow-up-right を使用して Entra ID、MS Graph API などとやり取りします。

以下のロールとアクセス許可の一覧は、共有リポジトリで現在利用可能なすべてのランブックを使用できるようにするものです。

ランブックはこのセットのアクセス許可に対してのみテストされているため、これらのロール/アクセス許可を削減することは推奨されません。ロール/アクセス許可を削減すると、一部のランブックが動作しなくなります。

hashtag
Entra ID ロール

マネージド ID に次の Entra ID ロールを割り当ててください

  • アプリケーション開発者 (Application Developer)

  • クラウド デバイス管理者 (Cloud Device Administrator)

  • Exchange 管理者 (Exchange Administrator)

  • Teams 管理者 (Teams Administrator)

  • ユーザー管理者 (User Administrator)

hashtag
Graph API のアクセス許可

マネージド ID に次の Graph API のアクセス許可を付与してください

  • Application.Read.All

  • Application.ReadWrite.OwnedBy

  • AuditLog.Read.All

  • BitlockerKey.Read.All

  • CloudPC.ReadWrite.All

  • Device.ReadWrite.All

  • DeviceLocalCredential.Read.All

  • DeviceManagementApps.ReadWrite.All

  • DeviceManagementConfiguration.ReadWrite.All

  • DeviceManagementManagedDevices.PrivilegedOperations.All

  • DeviceManagementManagedDevices.ReadWrite.All

  • DeviceManagementServiceConfig.ReadWrite.All

  • Directory.Read.All

  • Group.Create

  • Group.ReadWrite.All

  • GroupMember.ReadWrite.All

  • IdentityRiskyUser.ReadWrite.All

  • InformationProtectionPolicy.Read.All

  • Mail.Send

  • Organization.Read.All

  • Place.Read.All

  • Policy.Read.All

  • Reports.Read.All

  • RoleAssignmentSchedule.Read.Directory

  • RoleManagement.Read.All

  • RoleManagement.Read.Directory

  • Team.Create

  • TeamSettings.ReadWrite.All

  • User.ReadWrite.All

  • UserAuthenticationMethod.ReadWrite.All

  • WindowsUpdates.ReadWrite.All

hashtag
その他のアプリ API アクセス許可

マネージド ID に次の Office 365 Exchange Online API アクセス許可を付与してください

  • Exchange.ManageAsApp

マネージド ID に次の WindowsDefenderATP API アクセス許可を付与してください

  • Machine.Read.All

  • Machine.Isolate

  • Machine.RestrictExecution

  • Ti.ReadWrite.All

マネージド ID に次の SharePoint API アクセス許可を付与してください

  • User.Read.All

  • Sites.Read.All

  • Sites.FullControl.All

hashtag
ロールとアクセス許可の付与

マネージド ID へのアクセス許可の付与は現在 Azure ポータルでは実行できません。これには MS Graph / PowerShell スクリプトを使用することを推奨します。

このプロセスの例は次で見つけることができます こちらarrow-up-right.

hashtag
Azure リソースのアクセス許可

ランブック用の Azure Automation アカウントをホストしているサブスクリプションまたはリソース グループに対して少なくとも「共同作成者 (Contributor)」アクセスを付与してください

一部のランブックはレポートやバックアップを格納するために Azure ストレージ アカウントを使用します。対応するサブスクリプションまたはリソース グループに対して少なくとも「共同作成者 (Contributor)」アクセスを付与してください。ほとんどのランブックはその後、リソース グループ内に自分でリソースを作成できます。

hashtag
認証方法

hashtag
マネージド ID

Azure Automation は マネージド IDarrow-up-right (システム割り当て)を主要な認証方法としてサポートします。これは非推奨になった RunAs アカウントに代わるものです。

RealmJoin のランブックは、マネージド ID が構成されていない場合は現在 RunAs アカウントをサポートします。

circle-exclamation

マネージド ID と RunAs アカウントが同時に構成されている場合、RealmJoin の共有リポジトリのランブックは、サポート用モジュールの新しいバージョンを使用する際に自動的にマネージド ID の使用を優先します。 RealmJoin.RunbookHelper モジュールは v0.8.0 からこの動作を開始します。

モジュールの古いバージョンはマネージド ID を完全には利用できず、RunAs アカウントを優先していました。

マネージド ID に必要なアクセス許可を付与するか、完全に無効にして RunAs アカウントのみを使用するようにしてください。

hashtag
クライアント シークレット

一部のプライベートなランブックは ClientID/Secret 形式の認証を必要とする場合があります。現在、ClientID と Secret を必要とする共有ランブックはありません。

必要な場合、ClientID と Secret は Azure Automation アカウント内の "realmjoin-automation-cred" という名前の管理資格情報に保存できます。

現在、オートメーション アカウントの "realmjoin-automation-cred" は RJ-Wizard によってデフォルトで作成されますが、ランダムな値で埋められています — 正しい値で入力する必要があります。

最終更新

役に立ちましたか?