circle-info
この記事は自動的に翻訳されています。翻訳には不正確な表現が含まれる場合があります。
英語の原文はこちらをご覧ください。chevron-right
search

Runbook の権限

特定の Runbook へのアクセスを付与/拒否する方法。

hashtag
範囲

これは Azure テナント内の特定のランブックへのアクセス許可/拒否の付与方法を扱います。あるアクションをランブックとして実行するために必要な MS Graph API の権限についての回答を探している場合は、ぜひ当社の 要件.

hashtag
概要

"Runbook Permissions" は特定のユーザーに対するランブックの可視性を定義します。特定のランブックはグローバルにブロック/非表示にすることもできます。

Runbook Customizations」と同様に、これらの権限は RealmJoin の Web ポータルで RealmJoin 管理者として JSON 形式の構成を与えることで定義されます。場所: https://portal.realmjoin.com/settings/runbooks-permissionsarrow-up-right .

hashtag
このガイドについて

構文の簡単な説明を行い、サンプルを段階的に構築します。直接完全なサンプルに進み、そこから始めてもかまいません。 そこから.

hashtag
構成の構文

hashtag
ランブック名

ランブックは Azure Automation アカウントで表示される名前で参照されます。例えば、 rjgit-group_general_remove-group.

ワイルドカード('*')を使用して複数のランブックに一致させることができます。同じ文字列内で複数のワイルドカードを使用することもできます。例えば、 rjgit-*_security_*。これは次のすべての例に一致します:

  • rjgit-org_security_list-inactive-users

  • rjgit-device_security_enable-or-disable-device

プレフィックス rjgit- は当社の公開 GitHub リポジトリからインポートされたランブックを示します。顧客固有のランブックにはプレフィックスがなく、例えば user_userinfo_custom-runbook

hashtag
Entra ID グループ

Entra ID グループはオブジェクト ID を使って参照されます。例えば 91688d11-9a34-42cd-8d1e-ce617d6c1234。現時点ではセキュリティグループのみ使用可能です。

hashtag
JSON の構造と例

フル構成例を段階的に構築します。

JSON 構成は複数のセクションで構成されますが、すべてのセクションは任意であり、省略できます。

「//」プレフィックスを使用してコメントを追加することが許可されています。

hashtag
EnabledRunbookPatterns

このセクションには使用を許可するランブックの一覧が含まれます。このセクションが省略された場合、すべてのランブックはデフォルトで有効/許可されます。

このセクションを定義した場合、ここに記載されたランブックのみがすべてのロール / サポートおよび管理者によって使用可能になります。

hashtag

  • 完全な名前を指定して特定の個別ランブックのみを許可する

    rjgit-group_general_remove-group

  • 共有リポジトリからのすべてのデバイス関連ランブックを許可する

    rjgit-device_*

  • すべての共有ユーザーランブックを許可する

    rjgit-user_*

  • 顧客固有(ローカル)のユーザー関連ランブックをすべて許可する

    user_*

これにより多くのグループベースおよびすべての org ベースのランブックが暗黙的に除外されます。注意してください。

hashtag
DisabledRunbookPatterns

グローバルに無効/禁止されるランブックの一覧。このセクションが省略されているか空の場合、前のセクションで指定されたすべての有効なランブックは使用可能です。 EnabledRunbookPatternsこのセクションのエントリは

のエントリより優先されます。 EnabledRunbookPatterns - これらのランブックはこのテナント内の誰にとっても非表示/使用不可になります。

hashtag

前に示した EnabledRunbookPatterns セクションを再利用します。

  • 共有(rjgit-)のすべてのランブックを security カテゴリで無効化する。

hashtag
Roles

このセクションでは、Entra ID グループにランブックの一覧を割り当てることができます。これにより、テナント内で複数のサポート/オペレーターロールを定義できます。

このセクションが省略されている場合、すべての RealmJoin サポートと管理者は前のセクションで指定されたすべてのランブックにアクセスできます。

circle-exclamation

有効にすると、ロールに属さないすべてのユーザーはランブックを一切見られなくなります。

hashtag

ここまでの内容を続けて、デバイスサポートロールを作成しましょう。 DeviceAdmin およびユーザーサポートロール UserAdmin.

これらのロールを複数の Entra ID グループに適用し、各ロールに許可されたランブックの一覧を与えます。注意 — これによりユーザーサポートロールは限られたランブックのみ使用可能になります。

グループのオブジェクト ID の横にコメント("//")を追加して、Entra ID グループ名を示し読者の助けにしましょう。

これで UserAdmin ロールは次のことができます:

  • テナント内のすべてのユーザーにライセンスを割り当てる

  • テナント内のすべてのユーザーのメールアドレスを変更する

その DeviceAdmin ロールは

  • テナント内の任意のデバイスをワイプすることができる

hashtag
TargetEntityGroups

重要な VIP ユーザーがいるかもしれません。すべてのサポートスタッフが VIP のデバイスを消去したり VIP のメールアドレスを変更したりできてはなりません。ターゲティングを使用して、重要なユーザーに対するロールを特定のチームに制限できます。

「Devices」は割り当てられた主要ユーザーによってターゲティングされ、Entra ID のデバイスオブジェクト自体ではありません。これにより純粋にユーザーベースのグループモデルに従うことができます。

重要な VIP ユーザーを含む Entra ID グループが存在すると仮定します。このセクションを使用して、特定の Entra ID グループ(ターゲット)に対してより重要なロールやランブックを慎重にスコープできます。

当然ですが、このセクションを省略すると、テナント内のすべてのユーザー/グループ/デバイスは同等に扱われます。

TargetEntityGroups を定義した場合、そのセクションに記載されていない他のグループには影響を与えるべきではありません。

hashtag
完全な例

グループを仮定します 0000c0af-c217-41e9-b790-3043788f0000 が私たちの VIP ユーザーのグループです。

新しい Entra ID グループを導入します 4444c0af-c217-41e9-b790-3043788f4444 VIP ユーザーを管理することが承認されたサポート担当者を含みます。これらのサポート担当者は他の基本的なサポート権限も持つべきなので、既存のロールに追加します。

ロールを「制限」しても、サポーターに新たなロールを付与することにはなりません。

hashtag
例:米国のサポート担当者を米国内のユーザーのみ管理可能に制限する

このシナリオでは、米国内のサポート担当者が米国内に所在するユーザーのみを管理するべきです。この制限を適用するには:

  • 明示的に権限ルールを作成して 拒否します 米国サポーターがランブックを実行する能力を すべてのユーザーに対して.

  • 例外ルールを追加して、特に 許可します ランブックの実行を 米国内のユーザーに対してのみ.

これにより、米国サポーターの権限は意図した対象(米国内のユーザー)に厳密に限定され、この範囲外のユーザーと誤ってやり取りすることを防ぎます。

実装

  1. Runbook を実行する Entra グループは Realm Join ポータルで割り当てられている必要があります

    1. Settings > Permissions > Runbook Runner Permissions

    2. US Supporters の Entra グループは、RealmJoin ポータルで一般的なランブック操作を許可するために Runbook Runners グループのメンバーである必要があります。

  2. Settings > Runbook Permissions の下で新しいロールを追加する

    1. Roles セクションで、USSupporters ロールをその Entra グループ(グループオブジェクト ID)と共に追加します。

    2. USSupporters に対して AllowedRunbookPatterns を追加します。

  3. TargetEntityGroups を修正します。

    1. All-Users グループは Role USSupporters を空の値で Restrict する必要があります(ここには Entra グループのオブジェクト ID が追加されません)。これは暗黙の拒否です!

    2. US Users グループは Role USSupporters を US Supporters の Entra グループオブジェクト ID に Restrict する必要があります。

米国サポートスタッフを米国内のユーザーのみ管理可能に制限する

このシナリオの完全な例は以下の通りです:

hashtag
SchedulingEnabledRunbookPatterns

このセクションには「スケジュール可能」とマークされるランブックの一覧が含まれます。RealmJoin ポータルはこれらのランブックに対してスケジュールの割り当て/管理を許可します。参照: Runbook のスケジューリング.

以下の例は SchedulingEnabledRunbookPatterns が定義されていない場合のデフォルト動作を説明しています:

hashtag
SchedulingDisabledRunbookPatterns

このセクションには「スケジュール可能」とマークされることがブラックリスト化されるランブックの一覧が含まれます。RealmJoin ポータルはこれらのランブックに対してスケジュールの割り当て/管理を許可しません。参照: Runbook のスケジューリング.

SchedulingEnabledRunbookPatterns と SchedulingDisabledRunbookPatterns の両方に存在するランブックは 返し スケジュール可能になります。

デフォルトではランブックはブラックリスト化されていません。以下の例は構文を示すだけです:

最終更新

役に立ちましたか?