Azure リソースのマネージド ID に関する FAQ と既知の問題FAQs and known issues with managed identities for Azure resources

Azure リソースのマネージドID は、Azure Active Directory の機能です。Managed identities for Azure resources is a feature of Azure Active Directory. Azure リソースのマネージド ID をサポートする各 Azure サービスは、それぞれ固有のタイムラインの下で提供されます。Each of the Azure services that support managed identities for Azure resources are subject to their own timeline. ご利用のリソースに対するマネージド ID の提供状態と既知の問題をあらかじめ確認しておいてください。Make sure you review the availability status of managed identities for your resource and known issues before you begin.

よく寄せられる質問 (FAQ)Frequently Asked Questions (FAQs)

注意

Azure リソースのマネージド ID は、以前のマネージドサービス ID (MSI) の新しい名前です。Managed identities for Azure resources is the new name for the service formerly known as Managed Service Identity (MSI).

マネージド ID を持つリソースを見つけるにはどうすればいいですか?How can you find resources that have a managed identity?

次の Azure CLI コマンドを使用して、システム割り当てマネージド ID を持つリソースの一覧を検索できます。You can find the list of resources that have a system-assigned managed identity by using the following Azure CLI Command:

az resource list --query "[?identity.type=='SystemAssigned'].{Name:name,  principalId:identity.principalId}" --output table

マネージド ID にバッキング アプリ オブジェクトはありますか?Do managed identities have a backing app object?

いいえ。No. マネージド ID と Azure AD アプリ登録は、ディレクトリ内で同じものではありません。Managed identities and Azure AD App Registrations are not the same thing in the directory.

アプリの登録には、次の 2 つのコンポーネントがあります。アプリケーション オブジェクトとサービス プリンシパル オブジェクト。App registrations have two components: An Application Object + A Service Principal Object. Azure リソースのマネージド ID にあるのは、これらのコンポーネントのうち、次の 1 つだけです:サービス プリンシパル オブジェクト。Managed Identities for Azure resources have only one of those components: A Service Principal Object.

マネージド ID では、アプリケーション オブジェクトがディレクトリにありません。これは、MS グラフに対するアプリのアクセス許可を付与するために一般的に使用されるものです。Managed identities don't have an application object in the directory, which is what is commonly used to grant app permissions for MS graph. 代わりに、マネージド ID に対する MS グラフのアクセス許可をサービス プリンシパルに直接付与する必要があります。Instead, MS graph permissions for managed identities need to be granted directly to the Service Principal.

Azure リソースのマネージド ID は Azure Cloud Services で動作しますか?Does managed identities for Azure resources work with Azure Cloud Services?

いいえ、Azure Cloud Services で Azure リソースのマネージド ID をサポートする予定はありません。No, there are no plans to support managed identities for Azure resources in Azure Cloud Services.

マネージド ID に関連付けられる資格情報は何ですか?What is the credential associated with a managed identity? その有効期間とローテーションの頻度は?How long is it valid and how often is it rotated?

注意

マネージド ID の認証方法は、内部的な実装の詳細であり、予告なく変更されます。How managed identities authenticate is an internal implementation detail that is subject to change without notice.

マネージド ID には、証明書ベースの認証が使用されます。Managed identities use certificate-based authentication. 各マネージド ID の資格情報は有効期限が 90 日で、45 日後にローテーションされます。Each managed identity’s credential has an expiration of 90 days and it is rolled after 45 days.

Azure リソースのマネージド ID のセキュリティ境界は何ですか?What is the security boundary of managed identities for Azure resources?

ID のセキュリティ境界は、ID のアタッチ先リソースです。The security boundary of the identity is the resource to which it is attached to. たとえば、Azure リソースのマネージド ID が有効な仮想マシンのセキュリティ境界は、仮想マシンです。For example, the security boundary for a Virtual Machine with managed identities for Azure resources enabled, is the Virtual Machine. その VM 上で実行されているすべてのコードは、Azure リソース エンドポイントと要求トークンのマネージド ID を呼び出すことができます。Any code running on that VM, is able to call the managed identities for Azure resources endpoint and request tokens. これは Azure リソースのマネージド ID をサポートする他のリソースと同様のエクスペリエンスです。It is the similar experience with other resources that support managed identities for Azure resources.

要求内で ID を指定しない場合、IMDS はどの ID を規定値としますか?What identity will IMDS default to if don't specify the identity in the request?

  • システム割り当てマネージド ID が有効で、要求内で ID が指定されない場合、IMDS はシステム割り当てマネージド ID を規定値とします。If system assigned managed identity is enabled and no identity is specified in the request, IMDS will default to the system assigned managed identity.
  • システム割り当てマネージド ID が有効でなく、ユーザー割り当てマネージド ID が 1 つのみの場合、IMDS はその単一のユーザー割り当てマネージド ID を規定値とします。If system assigned managed identity is not enabled, and only one user assigned managed identity exists, IMDS will default to that single user assigned managed identity.
  • システム割り当てマネージド ID が有効でなく、複数のユーザー割り当てマネージド ID が存在する場合、要求内でのマネージド ID の指定が必要です。If system assigned managed identity is not enabled, and multiple user assigned managed identities exist, then specifying a managed identity in the request is required.

サブスクリプションを別のディレクトリに移動する場合、マネージド ID は自動的に再作成されますか?Will managed identities be recreated automatically if I move a subscription to another directory?

いいえ。No. サブスクリプションを別のディレクトリに移動する場合、お客様が手動でそれらを再作成し、再度 Azure ロールの割り当てを許可する必要があります。If you move a subscription to another directory, you will have to manually re-create them and grant Azure role assignments again.

  • システム割り当てマネージドID の場合、無効にしてから最有効化します。For system assigned managed identities: disable and re-enable.
  • ユーザー割り当てマネージド ID の場合、削除、再作成の後、必要なリソース (例: 仮想マシン) へ再度添付します。For user assigned managed identities: delete, re-create and attach them again to the necessary resources (e.g. virtual machines)

マネージド ID を使って違うディレクトリやテナント内のリソースへアクセスできますか?Can I use a managed identity to access a resource in a different directory/tenant?

いいえ。No. マネージド ID は現在、クロスディレクトリ シナリオをサポートしていません。Managed identities do not currently support cross-directory scenarios.

リソースのマネージド ID に必要な Azure RBAC アクセス許可は何ですか?What Azure RBAC permissions are required to managed identity on a resource?

  • システム割り当てマネージド ID:リソースに対する書き込みアクセス許可が必要です。System-assigned managed identity: You need write permissions over the resource. たとえば、仮想マシンには Microsoft.Compute/virtualMachines/write が必要です。For example, for virtual machines you need Microsoft.Compute/virtualMachines/write. このアクションは、Virtual Machine Contributor などのリソース固有の組み込みロールに含まれています。This action is included in resource specific built-in roles like Virtual Machine Contributor.
  • ユーザー割り当てマネージド ID:リソースに対する書き込みアクセス許可が必要です。User-assigned managed identity: You need write permissions over the resource. たとえば、仮想マシンには Microsoft.Compute/virtualMachines/write が必要です。For example, for virtual machines you need Microsoft.Compute/virtualMachines/write. さらにマネージド ID に対する Managed Identity Operator ロールの割り当て。In addition to Managed Identity Operator role assignment over the managed identity.

既知の問題Known issues

Azure リソース拡張機能のマネージド ID のスキーマ エクスポートを試行すると、"自動スクリプト" が失敗する"Automation script" fails when attempting schema export for managed identities for Azure resources extension

VM で Azure リソースのマネージド ID が有効になっている場合、その VM またはリソース グループに対して "自動スクリプト" 機能を使用しようとすると、次のエラーが表示されます:When managed identities for Azure resources is enabled on a VM, the following error is shown when attempting to use the “Automation script” feature for the VM, or its resource group:

Azure リソースのマネージド ID の自動スクリプトのエクスポート エラー

現時点では、Azure リソース VM 拡張機能のマネージド ID (2019 年 1 月に非推奨になる予定) は、そのスキーマをリソース グループ テンプレートにエクスポートする機能はサポートされていません。The managed identities for Azure resources VM extension (planned for deprecation in January 2019) does not currently support the ability to export its schema to a resource group template. その結果、生成されたテンプレートには、リソース上で Azure リソースのマネージド ID を有効にする構成パラメーターは表示されません。As a result, the generated template does not show configuration parameters to enable managed identities for Azure resources on the resource. これらのセクションは、テンプレート を使用して Azure VM 上で Azure リソースのマネージド ID を構成するの例に従って手動で追加できます。These sections can be added manually by following the examples in Configure managed identities for Azure resources on an Azure VM using a templates.

Azure リソース VM 拡張機能のマネージド ID (2019 年 1 月に非推奨になる予定) でスキーマのエクスポート機能が利用可能になると、VM 拡張機能を含むリソース グループのエクスポートの一覧に表示されます。When the schema export functionality becomes available for the managed identities for Azure resources VM extension (planned for deprecation in January 2019), it will be listed in Exporting Resource Groups that contain VM extensions.

リソース グループまたはサブスクリプションから移動した後に VM を開始できないVM fails to start after being moved from resource group or subscription

実行中の状態で VM を移動する場合、VM は移動中も実行し続けます。If you move a VM in the running state, it continues to run during the move. ただし、移動後に、VM を停止および再起動すると、VM を開始できなくなります。However, after the move, if the VM is stopped and restarted, it will fail to start. この問題は、VM が Azure リソースのマネージド ID への参照を更新できず、以前のリソース グループでポイントし続けるために発生します。This issue happens because the VM is not updating the reference to the managed identities for Azure resources identity and continues to point to it in the old resource group.

回避策Workaround

Azure リソースのマネージド ID の正しい値を取得できるように、VM 上で更新をトリガーします。Trigger an update on the VM so it can get correct values for the managed identities for Azure resources. VM プロパティの変更を行って、Azure リソース ID のマネージド ID への参照を更新できます。You can do a VM property change to update the reference to the managed identities for Azure resources identity. たとえば、次のコマンドを使用して、VM で新しいタグの値を設定できます。For example, you can set a new tag value on the VM with the following command:

az vm update -n <VM Name> -g <Resource Group> --set tags.fixVM=1

このコマンドは、新しいタグ "fixVM" を値 1 で VM に設定します。This command sets a new tag "fixVM" with a value of 1 on the VM.

このプロパティの設定によって、VM は Azure リソース URI の正しいマネージド ID で更新され、VM を開始できるようになります。By setting this property, the VM updates with the correct managed identities for Azure resources resource URI, and then you should be able to start the VM.

VM が開始されると、次のコマンドを使用してタグを削除できます。Once the VM is started, the tag can be removed by using following command:

az vm update -n <VM Name> -g <Resource Group> --remove tags.fixVM

Azure AD ディレクトリ間のサブスクリプションの転送Transferring a subscription between Azure AD directories

マネージド ID は、サブスクリプションが別のディレクトリに移動/転送されたときに更新されません。Managed identities do not get updated when a subscription is moved/transferred to another directory. その結果、既存のシステム割り当てマネージド ID やユーザー割り当てマネージド ID は破損します。As a result, any existent system-assigned or user-assigned managed identities will be broken.

別のディレクトリに移動されたサブスクリプションのマネージド ID の回避策:Workaround for managed identities in a subscription that has been moved to another directory:

  • システム割り当てマネージドID の場合、無効にしてから最有効化します。For system assigned managed identities: disable and re-enable.
  • ユーザー割り当てマネージド ID の場合、削除、再作成の後、必要なリソース (例: 仮想マシン) へ再度添付します。For user assigned managed identities: delete, re-create and attach them again to the necessary resources (e.g. virtual machines)

詳細については、「Azure サブスクリプションを別の Azure AD ディレクトリに移転する」を参照してください。For more information, see Transfer an Azure subscription to a different Azure AD directory.

ユーザー割り当てマネージド ID の異なるリソース グループ/サブスクリプションへの移動Moving a user-assigned managed identity to a different resource group/subscription

ユーザー割り当てマネージド ID の異なるリソース グループへの移動はサポートされていません。Moving a user-assigned managed identity to a different resource group is not supported.