Azure リソースのマネージド ID に関する FAQ と既知の問題FAQs and known issues with managed identities for Azure resources

Azure リソースのマネージドID は、Azure Active Directory の機能です。Managed identities for Azure resources is a feature of Azure Active Directory. Azure リソースのマネージド ID をサポートする各 Azure サービスは、それぞれ固有のタイムラインの下で提供されます。Each of the Azure services that support managed identities for Azure resources are subject to their own timeline. ご利用のリソースに対するマネージド ID の提供状態と既知の問題をあらかじめ確認しておいてください。Make sure you review the availability status of managed identities for your resource and known issues before you begin.

よく寄せられる質問 (FAQ)Frequently Asked Questions (FAQs)

注意

Azure リソースのマネージド ID は、以前のマネージドサービス ID (MSI) の新しい名前です。Managed identities for Azure resources is the new name for the service formerly known as Managed Service Identity (MSI).

Azure リソースのマネージド ID は Azure Cloud Services で動作しますか?Does managed identities for Azure resources work with Azure Cloud Services?

いいえ、Azure Cloud Services で Azure リソースのマネージド ID をサポートする予定はありません。No, there are no plans to support managed identities for Azure resources in Azure Cloud Services.

Azure リソースのマネージド ID は Active Directory Authentication Library (ADAL) または Microsoft Authentication Library (MSAL) で動作しますか?Does managed identities for Azure resources work with the Active Directory Authentication Library (ADAL) or the Microsoft Authentication Library (MSAL)?

いいえ、Azure リソースのマネージド ID は、ADAL または MSAL とまだ統合されていません。No, managed identities for Azure resources is not yet integrated with ADAL or MSAL. REST エンドポイントを使用して Azure リソースのマネージド ID のトークンを取得する方法については、「Azure VM 上で Azure リソースのマネージド ID を使用してアクセス トークンを取得する方法」を参照してください。For details on acquiring a token for managed identities for Azure resources using the REST endpoint, see How to use managed identities for Azure resources on an Azure VM to acquire an access token.

Azure リソースのマネージド ID のセキュリティ境界は何ですか?What is the security boundary of managed identities for Azure resources?

ID のセキュリティ境界は、ID のアタッチ先リソースです。The security boundary of the identity is the resource to which it is attached to. たとえば、Azure リソースのマネージド ID が有効な仮想マシンのセキュリティ境界は、仮想マシンです。For example, the security boundary for a Virtual Machine with managed identities for Azure resources enabled, is the Virtual Machine. その VM 上で実行されているすべてのコードは、Azure リソース エンドポイントと要求トークンのマネージド ID を呼び出すことができます。Any code running on that VM, is able to call the managed identities for Azure resources endpoint and request tokens. これは Azure リソースのマネージド ID をサポートする他のリソースと同様のエクスペリエンスです。It is the similar experience with other resources that support managed identities for Azure resources.

要求内で ID を指定しない場合、IMDS はどの ID を規定値としますか?What identity will IMDS default to if don't specify the identity in the request?

  • システム割り当てマネージド ID が有効で、要求内で ID が指定されない場合、IMDS はシステム割り当てマネージド ID を規定値とします。If system assigned managed identity is enabled and no identity is specified in the request, IMDS will default to the system assigned managed identity.
  • システム割り当てマネージド ID が有効でなく、ユーザー割り当てマネージド ID が 1 つのみの場合、IMDS はその単一のユーザー割り当てマネージド ID を規定値とします。If system assigned managed identity is not enabled, and only one user assigned managed identity exists, IMDS will default to that single user assigned managed identity.
  • システム割り当てマネージド ID が有効でなく、複数のユーザー割り当てマネージド ID が存在する場合、要求内でのマネージド ID の指定が必要です。If system assigned managed identity is not enabled, and multiple user assigned managed identities exist, then specifying a managed identity in the request is required.

Azure リソース IMDS エンドポイントまたは VM 拡張エンドポイントのどちらのマネージド ID を使用すべきですか?Should I use the managed identities for Azure resources IMDS endpoint or the VM extension endpoint?

VM で Azure リソースのマネージド ID を使用する場合、IMDS エンドポイントを使用することをお勧めします。When using managed identities for Azure resources with VMs, we recommend using the IMDS endpoint. Azure Instance Metadata Service は、Azure Resource Manager を使用して作成されたすべての IaaS VM にアクセスできる REST エンドポイントです。The Azure Instance Metadata Service is a REST Endpoint accessible to all IaaS VMs created via the Azure Resource Manager.

Azure リソースのマネージド ID を IMDS 上で使用する場合、次のような利点があります:Some of the benefits of using managed identities for Azure resources over IMDS are:

  • すべての Azure IaaS でサポートされているオペレーティング システムは、IMDS 上で Azure リソースのマネージド ID を使用できます。All Azure IaaS supported operating systems can use managed identities for Azure resources over IMDS.
  • Azure リソースのマネージド ID を有効にするために、VM に拡張機能をインストールする必要はなくなりました。No longer need to install an extension on your VM to enable managed identities for Azure resources.
  • Azure リソースのマネージド ID によって使用される証明書は、VM に存在しなくなりました。The certificates used by managed identities for Azure resources are no longer present in the VM.
  • IMDS エンドポイントは、既知のルーティング不可能な IP アドレスです。VM 内でのみ使用できます。The IMDS endpoint is a well-known non-routable IP address, only available from within the VM.
  • 1000 個のユーザー割り当てマネージド ID を単一の VM に割り当てられます。1000 user-assigned managed identities can be assigned to a single VM.

Azure リソース VM 拡張のマネージド ID は引き続き使用可能です。ただし、それに対して新しい機能は開発されません。The managed identities for Azure resources VM extension is still available; however, we are no longer developing new functionality on it. IMDS エンドポイントを使用するように切り替えることをお勧めします。We recommend switching to use the IMDS endpoint.

VM 拡張エンドポイントを使用する場合のいくつかの制限事項を次に示します。Some of the limitations of using the VM extension endpoint are:

  • Linux ディストリビューションのサポートが次に制限されます。CoreOS Stable、CentOS 7.1、Red Hat 7.2、Ubuntu 15.04、Ubuntu 16.04Limited support for Linux distributions: CoreOS Stable, CentOS 7.1, Red Hat 7.2, Ubuntu 15.04, Ubuntu 16.04
  • VM に割り当てられるユーザー割り当てマネージド ID は32 個のみです。Only 32 user-assigned managed identities can be assigned to the VM.

注:Azure リソース VM 拡張機能のマネージド ID は、2019 年 1 月にサポート対象外になります。Note: The managed identities for Azure resources VM extension will be out of support in January 2019.

Azure Instance Metadata Service の詳細については、IMDS のドキュメントを参照してくださいFor more information on Azure Instance Metadata Service, see IMDS documentation

サブスクリプションを別のディレクトリに移動する場合、マネージド ID は自動的に再作成されますか?Will managed identities be recreated automatically if I move a subscription to another directory?

いいえ。No. サブスクリプションを別のディレクトリに移動する場合、お客様が手動でそれらを再作成し、再度 Azure RBAC ロールの割り当てを許可する必要があります。If you move a subscription to another directory, you will have to manually re-create them and grant Azure RBAC role assignments again.

  • システム割り当てマネージドID の場合、無効にしてから最有効化します。For system assigned managed identities: disable and re-enable.
  • ユーザー割り当てマネージド ID の場合、削除、再作成の後、必要なリソース (例: 仮想マシン) へ再度添付します。For user assigned managed identities: delete, re-create and attach them again to the necessary resources (e.g. virtual machines)

マネージド ID を使って違うディレクトリやテナント内のリソースへアクセスできますか?Can I use a managed identity to access a resource in a different directory/tenant?

いいえ。No. マネージド ID は現在、クロスディレクトリ シナリオをサポートしていません。Managed identities do not currently support cross-directory scenarios.

リソースのマネージド ID に必要な Azure RBAC アクセス許可は何ですか?What Azure RBAC permissions are required to managed identity on a resource?

  • システム割り当てマネージド ID:リソースに対する書き込みアクセス許可が必要です。System-assigned managed identity: You need write permissions over the resource. たとえば、仮想マシンには Microsoft.Compute/virtualMachines/write が必要です。For exampl, for virtual machines you need Microsoft.Compute/virtualMachines/write. このアクションは、Virtual Machine Contributor などのリソース固有の組み込みロールに含まれています。This action is included in resource specific built-in roles like Virtual Machine Contributor.
  • ユーザー割り当てマネージド ID:リソースに対する書き込みアクセス許可が必要です。User-assigned managed identity: You need write permissions over the resource. たとえば、仮想マシンには Microsoft.Compute/virtualMachines/write が必要です。For example, for virtual machines you need Microsoft.Compute/virtualMachines/write. さらにマネージド ID に対する Managed Identity Operator ロールの割り当て。In addition to Managed Identity Operator role assignment over the managed identity.

Azure リソース拡張機能のマネージド ID を再起動するにはどうすればよいですか?How do you restart the managed identities for Azure resources extension?

Windows と特定のバージョンの Linux で拡張機能が停止した場合は、次のコマンドレットを使用して手動で再起動できます。On Windows and certain versions of Linux, if the extension stops, the following cmdlet may be used to manually restart it:

Set-AzVMExtension -Name <extension name>  -Type <extension Type>  -Location <location> -Publisher Microsoft.ManagedIdentity -VMName <vm name> -ResourceGroupName <resource group name> -ForceRerun <Any string different from any last value used>

各値の説明:Where:

  • Windows の拡張機能の名前と種類:ManagedIdentityExtensionForWindowsExtension name and type for Windows is: ManagedIdentityExtensionForWindows
  • Linux の拡張機能の名前と種類:ManagedIdentityExtensionForLinuxExtension name and type for Linux is: ManagedIdentityExtensionForLinux

既知の問題Known issues

Azure リソース拡張機能のマネージド ID のスキーマ エクスポートを試行すると、"自動スクリプト" が失敗する"Automation script" fails when attempting schema export for managed identities for Azure resources extension

VM で Azure リソースのマネージド ID が有効になっている場合、その VM またはリソース グループに対して "自動スクリプト" 機能を使用しようとすると、次のエラーが表示されます:When managed identities for Azure resources is enabled on a VM, the following error is shown when attempting to use the “Automation script” feature for the VM, or its resource group:

Azure リソースのマネージド ID の自動スクリプトのエクスポート エラー

現時点では、Azure リソース VM 拡張機能のマネージド ID (2019 年 1 月に非推奨になる予定) は、そのスキーマをリソース グループ テンプレートにエクスポートする機能はサポートされていません。The managed identities for Azure resources VM extension (planned for deprecation in January 2019) does not currently support the ability to export its schema to a resource group template. その結果、生成されたテンプレートには、リソース上で Azure リソースのマネージド ID を有効にする構成パラメーターは表示されません。As a result, the generated template does not show configuration parameters to enable managed identities for Azure resources on the resource. これらのセクションは、テンプレート を使用して Azure VM 上で Azure リソースのマネージド ID を構成するの例に従って手動で追加できます。These sections can be added manually by following the examples in Configure managed identities for Azure resources on an Azure VM using a templates.

Azure リソース VM 拡張機能のマネージド ID (2019 年 1 月に非推奨になる予定) でスキーマのエクスポート機能が利用可能になると、VM 拡張機能を含むリソース グループのエクスポートの一覧に表示されます。When the schema export functionality becomes available for the managed identities for Azure resources VM extension (planned for deprecation in January 2019), it will be listed in Exporting Resource Groups that contain VM extensions.

リソース グループまたはサブスクリプションから移動した後に VM を開始できないVM fails to start after being moved from resource group or subscription

実行中の状態で VM を移動する場合、VM は移動中も実行し続けます。If you move a VM in the running state, it continues to run during the move. ただし、移動後に、VM を停止および再起動すると、VM を開始できなくなります。However, after the move, if the VM is stopped and restarted, it will fail to start. この問題は、VM が Azure リソースのマネージド ID への参照を更新できず、以前のリソース グループでポイントし続けるために発生します。This issue happens because the VM is not updating the reference to the managed identities for Azure resources identity and continues to point to it in the old resource group.

対処法Workaround

Azure リソースのマネージド ID の正しい値を取得できるように、VM 上で更新をトリガーします。Trigger an update on the VM so it can get correct values for the managed identities for Azure resources. VM プロパティの変更を行って、Azure リソース ID のマネージド ID への参照を更新できます。You can do a VM property change to update the reference to the managed identities for Azure resources identity. たとえば、次のコマンドを使用して、VM で新しいタグの値を設定できます。For example, you can set a new tag value on the VM with the following command:

 az  vm update -n <VM Name> -g <Resource Group> --set tags.fixVM=1

このコマンドは、新しいタグ "fixVM" を値 1 で VM に設定します。This command sets a new tag "fixVM" with a value of 1 on the VM.

このプロパティの設定によって、VM は Azure リソース URI の正しいマネージド ID で更新され、VM を開始できるようになります。By setting this property, the VM updates with the correct managed identities for Azure resources resource URI, and then you should be able to start the VM.

VM が開始されると、次のコマンドを使用してタグを削除できます。Once the VM is started, the tag can be removed by using following command:

az vm update -n <VM Name> -g <Resource Group> --remove tags.fixVM

VM 拡張機能のプロビジョニングが失敗するVM extension provisioning fails

VM 拡張機能のプロビジョニングは、DNS 検索エラーが原因で失敗することがあります。Provisioning of the VM extension might fail due to DNS lookup failures. VM を再起動して、もう一度やり直してください。Restart the VM, and try again.

注意

VM 拡張機能は、2019 年 1 月には非推奨となる予定です。The VM extension is planned for deprecation by January 2019. IMDS エンドポイントを使用するように移行することをお勧めします。We recommend you move to using the IMDS endpoint.

Azure AD ディレクトリ間のサブスクリプションの転送Transferring a subscription between Azure AD directories

マネージド ID は、サブスクリプションが別のディレクトリに移動/転送されたときに更新されません。Managed identities do not get updated when a subscription is moved/transferred to another directory. その結果、既存のシステム割り当てマネージド ID やユーザー割り当てマネージド ID は破損します。As a result, any existent system-assigned or user-assigned managed identities will be broken.

別のディレクトリに移動されたサブスクリプションのマネージド ID の回避策:Workaround for managed identities in a subscription that has been moved to another directory:

  • システム割り当てマネージドID の場合、無効にしてから最有効化します。For system assigned managed identities: disable and re-enable.
  • ユーザー割り当てマネージド ID の場合、削除、再作成の後、必要なリソース (例: 仮想マシン) へ再度添付します。For user assigned managed identities: delete, re-create and attach them again to the necessary resources (e.g. virtual machines)

ユーザー割り当てマネージド ID の異なるリソース グループ/サブスクリプションへの移動Moving a user-assigned managed identity to a different resource group/subscription

ユーザー割り当てマネージド ID を異なるリソース グループに移動すると、ID の破損が発生します。Moving a user-assigned managed identity to a different resource group will cause the identity to break. 結果として、その ID を使用するリソース (VM など) はトークンを要求できなくなります。As a result, resources (e.g. VM) using that identity will not be able to request tokens for it.