circle-info
この記事は自動的に翻訳されています。翻訳には不正確な表現が含まれる場合があります。
英語の原文はこちらをご覧ください。chevron-right
search

要件

この Wiki ページでは、Runbook を実行できるようにするために必要な要件や(システムレベルの)権限について説明します。

hashtag
PowerShell モジュール

共有ランブックは GitHubarrow-up-right 次の Windows PowerShell 5.1 モジュールを想定/使用します:

  • RealmJoin.RunbookHelper

  • Az.Accounts

  • Az.Storage

  • AzureAD

  • ExchangeOnlineManagement

RealmJoin ポータルは、ランブック内で参照されている場合にこれらのモジュールを自動的にインポートおよびインストールします。このインポートはモジュールに指定された最小バージョンも尊重します。

hashtag
権限

RealmJoin の共有ランブックは Azure Automation の システム割り当てマネージド IDarrow-up-right を使用して Entra ID、MS Graph API 等とやり取りします。

以下のロールと権限の一覧は、当社の共有リポジトリで現在利用可能なすべてのランブックを使用できるようにするものです。

ランブックはこの権限セットに対してのみテストされているため、これらのロール/権限を削減することは推奨されません。ロール/権限を削減すると、いくつかのランブックが機能しなくなります。

hashtag
Entra ID ロール

マネージド ID に次の Entra ID ロールを割り当ててください

  • ユーザー管理者

  • クラウド デバイス管理者

  • Exchange 管理者

  • Teams 管理者

hashtag
Graph API 権限

マネージド ID に次の Graph API 権限を付与してください

  • AppCatalog.ReadWrite.All

  • Application.ReadWrite.All

  • AuditLog.Read.All

  • BitlockerKey.Read.All

  • Channel.Delete.All

  • ChannelMember.ReadWrite.All

  • ChannelSettings.ReadWrite.All

  • CloudPC.ReadWrite.All

  • Device.Read.All

  • DeviceLocalCredential.Read.All

  • DeviceManagementApps.ReadWrite.All

  • DeviceManagementConfiguration.ReadWrite.All

  • DeviceManagementManagedDevices.PrivilegedOperations.All

  • DeviceManagementManagedDevices.ReadWrite.All

  • DeviceManagementServiceConfig.ReadWrite.All

  • Directory.ReadWrite.All

  • Group.ReadWrite.All

  • IdentityRiskyUser.ReadWrite.All

  • InformationProtectionPolicy.Read.All

  • Mail.Send

  • Organization.Read.All

  • Place.Read.All

  • Policy.Read.All

  • Reports.Read.All

  • RoleManagement.Read.All

  • Team.Create

  • TeamSettings.ReadWrite.All

  • User.ReadWrite.All

  • UserAuthenticationMethod.ReadWrite.All

  • WindowsUpdates.ReadWrite.All

hashtag
その他のアプリ API 権限

マネージド ID に次の Office 365 Exchange Online API 権限を付与してください

  • Exchange.ManageAsApp

マネージド ID に次の WindowsDefenderATP API 権限を付与してください

  • Machine.Read.All

  • Machine.Isolate

  • Machine.RestrictExecution

  • Ti.ReadWrite.All

マネージド ID に次の SharePoint API 権限を付与してください

  • User.Read.All

  • Sites.Read.All

  • Sites.FullControl.All

hashtag
ロールと権限の付与

マネージド ID への権限付与は現在 Azure ポータル上で行うことができません。これには MS Graph / PowerShell スクリプトの使用を推奨します。

このプロセスの例は見つけることができます こちらarrow-up-right.

hashtag
Azure リソースの権限

ランブック用の Azure Automation アカウントをホストしているサブスクリプションまたはリソースグループに対して、少なくとも「共同作成者(Contributor)」のアクセスを付与してください

一部のランブックはレポートやバックアップを保存するために Azure ストレージ アカウントを使用します。対応するサブスクリプションまたはリソースグループに対して少なくとも「共同作成者(Contributor)」のアクセスを付与してください。ほとんどのランブックはその後、リソースグループ内にリソースを自動的に作成できます。

hashtag
認証方法

hashtag
マネージド ID

Azure Automation は マネージド IDarrow-up-right (システム割り当て)を主な認証方法としてサポートします。これは非推奨となった RunAs アカウントに代わるものです。

RealmJoin のランブックは、マネージド ID が構成されていない場合に RunAs アカウントをサポートします。

circle-exclamation

マネージド ID と RunAs アカウントが同時に構成されている場合、当社のサポート用モジュールの新しいバージョンを使用していると、RealmJoin の共有リポジトリからのランブックは自動的にマネージド ID を優先して使用します。 RealmJoin.RunbookHelper モジュールは v0.8.0 以降で開始します。

古いバージョンのモジュールはマネージド ID を完全に利用できず、RunAs アカウントを優先していました。

マネージド ID に必要な権限を付与するか、完全に無効にして RunAs アカウントのみを使用するようにしてください。

hashtag
クライアント シークレット

一部のプライベートランブックは ClientID/Secret スタイルの認証を必要とする場合があります。現在、ClientID と Secret を必要とする共有ランブックはありません。

必要な場合、ClientID と Secret は Azure Automation アカウントの管理資格情報「realmjoin-automation-cred」に保存できます。

現在、オートメーション アカウント内の「realmjoin-automation-cred」は RJ ウィザードによってデフォルトで作成されますが、ランダムな値で埋められています — 正しい値で埋める必要があります。

hashtag
ユーザー アカウント(問題あり)

古いモジュールは操作のために「本物の」ユーザー オブジェクトを必要とする場合があります。

circle-info

Microsoft Teams は現在マネージド ID 経由で操作できるようになっています。すべての音声/電話用ランブックはマネージド ID を使用するように調整されています。

偽のユーザーを使用したい場合、次を行う必要があります

  1. (ADM-)ユーザー オブジェクトを作成する、例: ADM-ServiceUser.TeamsAutomation

  2. ユーザーにパスワードを割り当てる

  3. パスワードの有効期限を無期限にする(またはパスワード変更を適切に追跡する)

  4. このユーザーの MFA を無効にする/条件付きアクセスがユーザーをブロックしないようにする

  5. RealmJoin ランブックで使用する Azure Automation アカウントに資格情報オブジェクトを作成し、資格情報の名前を例えば次のようにする、 fakeuser そしてその資格情報を保存する。

circle-exclamation

これは推奨される方法ではなく回避すべきです。デフォルトのランブックはもはやこのシナリオを使用していません。

最終更新

役に立ちましたか?