Azure Automation の実行アカウントを管理するManage an Azure Automation Run As account

Azure Automation の実行アカウントでは、Automation の Runbook やその他の自動化機能を使用し、Azure Resource Manager または Azure クラシック デプロイ モデルのリソースを管理する認証を提供します。Run As accounts in Azure Automation provide authentication for managing resources on the Azure Resource Manager or Azure Classic deployment model using Automation runbooks and other Automation features. この記事では、実行アカウントまたはクラシック実行アカウントを管理する方法について説明します。This article provides guidance on how to manage a Run As or Classic Run As account.

自動化シナリオの処理に関連する Azure Automation アカウントの認証と説明については、「Automation アカウントの認証の概要」を参照してください。To learn more about Azure Automation account authentication and guidance related to process automation scenarios, see Automation Account authentication overview.

実行アカウントのアクセス許可Run As account permissions

このセクションでは、通常の実行アカウントとクラシック実行アカウントの両方に対するアクセス許可を定義します。This section defines permissions for both regular Run As accounts and Classic Run As accounts.

実行アカウントを作成または更新するには、特定の特権およびアクセス許可が必要です。To create or update a Run As account, you must have specific privileges and permissions. Azure Active Directory のアプリケーション管理者とサブスクリプションの所有者は、すべてのタスクを完了できます。An Application administrator in Azure Active Directory and an Owner in a subscription can complete all the tasks. 職務が分離されている状況について、次の表にタスク、同等のコマンドレット、必要なアクセス許可の一覧を示します。In a situation where you have separation of duties, the following table shows a listing of the tasks, the equivalent cmdlet, and permissions needed:

タスクTask コマンドレットCmdlet 最小限のアクセス許可Minimum Permissions アクセス許可を設定する場所Where you set the permissions
Azure AD アプリケーションを作成するCreate Azure AD Application New-AzADApplicationNew-AzADApplication アプリケーション開発者ロール1Application Developer role1 Azure ADAzure AD
[ホーム] > [Azure AD] > [アプリの登録]Home > Azure AD > App Registrations
資格情報をアプリケーションに追加します。Add a credential to the application. New-AzADAppCredentialNew-AzADAppCredential アプリケーション管理者または全体管理者1Application Administrator or Global Administrator1 Azure ADAzure AD
[ホーム] > [Azure AD] > [アプリの登録]Home > Azure AD > App Registrations
Azure AD サービス プリンシパルを作成および取得するCreate and get an Azure AD service principal New-AzADServicePrincipalNew-AzADServicePrincipal
アプリケーション管理者または全体管理者1Application Administrator or Global Administrator1 Azure ADAzure AD
[ホーム] > [Azure AD] > [アプリの登録]Home > Azure AD > App Registrations
指定されたプリンシパルの Azure ロールを割り当てるまたは取得するAssign or get the Azure role for the specified principal New-AzRoleAssignmentNew-AzRoleAssignment
ユーザー アクセス管理者または所有者、あるいは次のアクセス許可がある:User Access Administrator or Owner, or have the following permissions:


[ホーム] > [サブスクリプション] > [<subscription name> - アクセス制御 (IAM)]Home > Subscriptions > <subscription name> - Access Control (IAM)
Automation の証明書を作成または削除するCreate or remove an Automation certificate New-AzAutomationCertificateNew-AzAutomationCertificate
リソース グループの共同作成者Contributor on resource group Automation アカウント リソース グループAutomation account resource group
Automation の接続を作成または削除するCreate or remove an Automation connection New-AzAutomationConnectionNew-AzAutomationConnection
リソース グループの共同作成者Contributor on resource group Automation アカウント リソース グループAutomation account resource group

1[ユーザー設定] ページで Azure AD テナントの [ユーザーはアプリケーションを登録できる] オプションが [はい] に設定されている場合は、Azure AD テナントの管理者以外のユーザーが AD アプリケーションを登録することができます。1 Non-administrator users in your Azure AD tenant can register AD applications if the Azure AD tenant's Users can register applications option on the User settings page is set to Yes. アプリケーション登録設定が [いいえ] の場合は、この操作を行うユーザーがこの表で定義されている必要があります。If the application registration setting is No, the user performing this action must be as defined in this table.

サブスクリプションの Active Directory インスタンスのメンバーになっていない状態で、サブスクリプションの全体管理者ロールに追加された場合は、ゲストとして追加されます。If you aren't a member of the subscription's Active Directory instance before you're added to the Global Administrator role of the subscription, you're added as a guest. このような状況では、You do not have permissions to create… 警告が [Add Automation Account](Automation アカウントの追加) ページに表示されます。In this situation, you receive a You do not have permissions to create… warning on the Add Automation Account page.

グローバル管理者ロールが割り当てられたサブスクリプションの Active Directory インスタンスのメンバーである場合でも、 [Automation アカウントの追加] ページに You do not have permissions to create… 警告が表示されます。If you are a member of the subscription's Active Directory instance where the Global Administrator role is assigned, you can also receive a You do not have permissions to create… warning on the Add Automation Account page. この場合は、サブスクリプションの Active Directory インスタンスからの削除を要求してから、再追加するように要求し、Active Directory で完全なユーザーになるようにすることができます。In this case, you can request removal from the subscription's Active Directory instance and then request to be re-added, so that you become a full user in Active Directory.

エラー メッセージが生成される状況が解決されたことを確認するには、次のようにします。To verify that the situation producing the error message has been remedied:

  1. Azure portal の Azure Active Directory ペインで、 [ユーザーとグループ] を選択します。From the Azure Active Directory pane in the Azure portal, select Users and groups.
  2. [すべてのユーザー] を選択します。Select All users.
  3. ご自分の名前を選んでから、 [プロファイル] を選択します。Choose your name, then select Profile.
  4. ユーザーのプロファイルの下にある [ユーザーの種類] 属性の値が、確実に [ゲスト] には設定されていないようにします。Ensure that the value of the User type attribute under your user's profile is not set to Guest.

クラシック実行アカウントの作成および構成に必要なアクセス許可Permissions required to create or manage Classic Run As accounts

クラシック実行アカウントを構成または更新するには、サブスクリプション レベルの共同管理者ロールが必要です。To configure or renew Classic Run As accounts, you must have the Co-administrator role at the subscription level. クラシック サブスクリプション アクセス許可の詳細については、「Azure の従来のサブスクリプション管理者」を参照してください。To learn more about classic subscription permissions, see Azure classic subscription administrators.

Azure portal で実行アカウントを作成するCreate a Run As account in Azure portal

以下の手順を行って、Azure portal で Azure Automation アカウントを更新します。Perform the following steps to update your Azure Automation account in the Azure portal. 実行およびクラシック実行アカウントを個別に作成します。Create the Run As and Classic Run As accounts individually. クラシック リソースを管理する必要がない場合は、Azure 実行アカウントのみを作成できます。If you don't need to manage classic resources, you can just create the Azure Run As account.

  1. サブスクリプション管理ロールのメンバーかつサブスクリプションの共同管理者であるアカウントを使用して、Azure ポータルにログインします。Log in to the Azure portal with an account that is a member of the Subscription Admins role and co-administrator of the subscription.

  2. Automation アカウントを検索して選択します。Search for and select Automation Accounts.

  3. [Automation アカウント] ページで、一覧から Automation アカウントを選択します。On the Automation Accounts page, select your Automation account from the list.

  4. 左側のウィンドウの [アカウント設定] から [実行アカウント] を選択します。In the left pane, select Run As Accounts in the Account Settings section.

    [実行アカウント] オプションを選択する。

  5. 必要なアカウントに応じて、 [+ Azure 実行アカウント] または [+ Azure クラシック実行アカウント] を使用します。Depending on the account you require, use the + Azure Run As Account or + Azure Classic Run As Account pane. 概要情報を確認した後、 [作成] クリックします。After reviewing the overview information, click Create.

    [実行アカウント] オプションを選択する。

  6. Azure によって実行アカウントが作成されている間、メニューの [通知] で進行状況を追跡できます。While Azure creates the Run As account, you can track the progress under Notifications from the menu. アカウントが作成されていることを示すバナーも表示されます。A banner is also displayed stating that the account is being created. プロセスが完了するまでに数分かかることがあります。The process can take a few minutes to complete.

PowerShell を使用して実行アカウントを作成するCreate a Run As account using PowerShell

提供されたスクリプトを使用して PowerShell で実行アカウントを作成する場合の要件一覧を次に示します。The following list provides the requirements to create a Run As account in PowerShell using a provided script. これらの要件は、両方の種類の実行アカウントに適用されます。These requirements apply to both types of Run As accounts.

  • Azure Resource Manager モジュール 3.4.1 以降がインストールされた Windows 10 または Windows Server 2016。Windows 10 or Windows Server 2016 with Azure Resource Manager modules 3.4.1 and later. PowerShell スクリプトでは、以前のバージョンの Windows はサポートされていません。The PowerShell script doesn't support earlier versions of Windows.
  • Azure PowerShell 6.2.4 以降。Azure PowerShell PowerShell 6.2.4 or later. 詳細については、Azure PowerShell のインストールと構成の方法に関するページを参照してください。For information, see How to install and configure Azure PowerShell.
  • Automation アカウント。AutomationAccountName および ApplicationDisplayName パラメーターの値として参照されます。An Automation account, which is referenced as the value for the AutomationAccountName and ApplicationDisplayName parameters.
  • 実行アカウントを構成するために必要なアクセス許可に関する記述で一覧表示されているものに相当するアクセス許可。Permissions equivalent to the ones listed in Required permissions to configure Run As accounts.

PowerShell スクリプトの必須パラメーターである AutomationAccountNameSubscriptionId および ResourceGroupNameを取得するには、次の手順を行います。To get the values for AutomationAccountName, SubscriptionId, and ResourceGroupName, which are required parameters for the PowerShell script, complete the following steps.

  1. Azure portal で、 [Automation アカウント] を選択します。In the Azure portal, select Automation Accounts.

  2. [Automation アカウント] ページで、ご自分の Automation アカウントを選択します。On the Automation Accounts page, select your Automation account.

  3. アカウント設定セクションで、 [プロパティ] を選択します。In the account settings section, select Properties.

  4. [プロパティ] ページの [名前][サブスクリプション ID] 、および [リソース グループ] の値をメモします。Note the values for Name, Subscription ID, and Resource Group on the Properties page.

    Automation アカウントの [プロパティ] ページ

実行アカウントを作成する PowerShell スクリプトPowerShell script to create a Run As account

PowerShell スクリプトでは、いくつかの構成をサポートしています。The PowerShell script includes support for several configurations.

  • 自己署名証明書を使用して実行アカウントを作成する。Create a Run As account by using a self-signed certificate.
  • 自己署名証明書を使用して実行アカウントとクラシック実行アカウントを作成する。Create a Run As account and a Classic Run As account by using a self-signed certificate.
  • エンタープライズ証明機関 (CA) によって発行された証明書を使用して実行アカウントとクラシック実行アカウントを作成する。Create a Run As account and a Classic Run As account by using a certificate issued by your enterprise certification authority (CA).
  • Azure Government クラウドで自己署名証明書を使用して実行アカウントとクラシック実行アカウントを作成する。Create a Run As account and a Classic Run As account by using a self-signed certificate in the Azure Government cloud.
  1. 次のコマンドを使用して、スクリプトをダウンロードし、ローカル フォルダーに保存します。Download and save the script to a local folder using the following command.

    wget -outfile Create-RunAsAccount.ps1
  2. 管理者特権で PowerShell を起動し、スクリプトが格納されているフォルダーに移動します。Start PowerShell with elevated user rights and navigate to the folder that contains the script.

  3. 次のいずれかのコマンドを実行して、自分の要件に基づいて実行アカウントまたはクラシック実行アカウントを作成します。Run one of the the following commands to create a Run As and/or Classic Run As account based on your requirements.

    • 自己署名証明書を使用して実行アカウントを作成する。Create a Run As account using a self-signed certificate.

      .\Create-RunAsAccount.ps1 -ResourceGroup <ResourceGroupName> -AutomationAccountName <NameofAutomationAccount> -SubscriptionId <SubscriptionId> -ApplicationDisplayName <DisplayNameofAADApplication> -SelfSignedCertPlainPassword <StrongPassword> -CreateClassicRunAsAccount $false
    • 自己署名証明書を使用して実行アカウントとクラシック実行アカウントを作成する。Create a Run As account and a Classic Run As account by using a self-signed certificate.

      .\Create-RunAsAccount.ps1 -ResourceGroup <ResourceGroupName> -AutomationAccountName <NameofAutomationAccount> -SubscriptionId <SubscriptionId> -ApplicationDisplayName <DisplayNameofAADApplication> -SelfSignedCertPlainPassword <StrongPassword> -CreateClassicRunAsAccount $true
    • エンタープライズ証明書を使用して実行アカウントとクラシック実行アカウントを作成する。Create a Run As account and a Classic Run As account by using an enterprise certificate.

      .\Create-RunAsAccount.ps1 -ResourceGroup <ResourceGroupName> -AutomationAccountName <NameofAutomationAccount> -SubscriptionId <SubscriptionId> -ApplicationDisplayName <DisplayNameofAADApplication>  -SelfSignedCertPlainPassword <StrongPassword> -CreateClassicRunAsAccount $true -EnterpriseCertPathForRunAsAccount <EnterpriseCertPfxPathForRunAsAccount> -EnterpriseCertPlainPasswordForRunAsAccount <StrongPassword> -EnterpriseCertPathForClassicRunAsAccount <EnterpriseCertPfxPathForClassicRunAsAccount> -EnterpriseCertPlainPasswordForClassicRunAsAccount <StrongPassword>

      エンタープライズ公開証明書 ( .cer ファイル) を使ってクラシック実行アカウントを作成した場合は、この証明書を使用します。If you've created a Classic Run As account with an enterprise public certificate (.cer file), use this certificate. このスクリプトでは、PowerShell セッションの実行に使用したお使いのコンピューターのユーザー プロファイルの一時ファイル フォルダー %USERPROFILE%\AppData\Local\Temp にそれを作成して保存します。The script creates and saves it to the temporary files folder on your computer, under the user profile %USERPROFILE%\AppData\Local\Temp you used to execute the PowerShell session. Azure portal への管理 API 証明書のアップロードに関するページを参照してください。See Uploading a management API certificate to the Azure portal.

    • Azure Government クラウドで自己署名証明書を使用して実行アカウントとクラシック実行アカウントを作成するCreate a Run As account and a Classic Run As account by using a self-signed certificate in the Azure Government cloud

      .\Create-RunAsAccount.ps1 -ResourceGroup <ResourceGroupName> -AutomationAccountName <NameofAutomationAccount> -SubscriptionId <SubscriptionId> -ApplicationDisplayName <DisplayNameofAADApplication> -SelfSignedCertPlainPassword <StrongPassword> -CreateClassicRunAsAccount $true -EnvironmentName AzureUSGovernment
  4. スクリプトの実行後に、Azure での認証が求められます。After the script has executed, you're prompted to authenticate with Azure. サブスクリプション管理者ロールのメンバーであるアカウントを使用して、サインインします。Sign in with an account that's a member of the subscription administrators role. クラシック実行アカウントを作成する場合、そのサブスクリプションの共同管理者のアカウントを使用する必要があります。If you are creating a Classic Run As account, your account must be a co-administrator of the subscription.

実行アカウントまたはクラシック実行アカウントの削除Delete a Run As or Classic Run As account

このセクションでは、実行またはクラシック実行アカウントを削除する方法について説明します。This section describes how to delete a Run As or Classic Run As account. この操作を実行するとき、Automation アカウントが保持されます。When you perform this action, the Automation account is retained. 実行アカウントを削除した場合、Azure portal または提供されている PowerShell スクリプトを使用してそれを再作成できます。After you delete the Run As account, you can re-create it in the Azure portal or with the provided PowerShell script.

  1. Azure Portal で Automation アカウントを開きます。In the Azure portal, open the Automation account.

  2. 左ペインで、アカウントの設定セクションの [実行アカウント] を選択します。In the left pane, select Run As Accounts in the account settings section.

  3. 実行アカウントのプロパティ ページで、削除する実行アカウントまたはクラシック実行アカウントを選択します。On the Run As Accounts properties page, select either the Run As account or Classic Run As account that you want to delete.

  4. 選択したアカウントの [プロパティ] ペインで、 [削除] をクリックします。On the Properties pane for the selected account, click Delete.

    Azure 実行アカウントを削除する

  5. アカウントが削除されている間、メニューの [通知] で進行状況を追跡できます。While the account is being deleted, you can track the progress under Notifications from the menu.

自己署名証明書を更新するRenew a self-signed certificate

実行アカウント用に作成した自己署名証明書は、作成日から 1 年後に有効期限が切れます。The self-signed certificate that you have created for the Run As account expires one year from the date of creation. 実行アカウントの有効期限が切れる前のある時点で、証明書を更新する必要があります。At some point before your Run As account expires, you must renew the certificate. 有効期限が切れる前にいつでも更新することができます。You can renew it any time before it expires.

自己署名証明書を更新するときに、現在有効な証明書は保持されます。これにより、キューに登録されているかアクティブに実行されていて、実行アカウントで認証される Runbook は確実に悪影響を受けることがなくなります。When you renew the self-signed certificate, the current valid certificate is retained to ensure that any runbooks that are queued up or actively running, and that authenticate with the Run As account, aren't negatively affected. 証明書は、有効期限日を迎えるまで存在し続けます。The certificate remains valid until its expiration date.


実行アカウントが侵害されていると思われる場合は、自己署名証明書を削除してから再作成することができます。If you think that the Run As account has been compromised, you can delete and re-create the self-signed certificate.


エンタープライズ証明機関によって発行された証明書を使用するように実行アカウントを構成している場合に、自己署名証明書を更新するオプションを使用すると、エンタープライズ証明書は自己署名証明書に置き換えられます。If you have configured your Run As account to use a certificate issued by your enterprise certificate authority and you use the option to renew a self-signed certificate option, the enterprise certificate is replaced by a self-signed certificate.

自己署名証明書を更新するには、次の手順を使用します。Use the following steps to renew the self-signed certificate.

  1. Azure Portal で Automation アカウントを開きます。In the Azure portal, open the Automation account.

  2. アカウントの設定セクションで、 [実行アカウント] を選択します。Select Run As Accounts in the account settings section.

    Automation アカウントのプロパティ ウィンドウ

  3. 実行アカウントのプロパティ ページで、証明書を更新する実行アカウントまたはクラシック実行アカウントを選択します。On the Run As Accounts properties page, select either the Run As account or the Classic Run As account for which to renew the certificate.

  4. 選択したアカウントのプロパティ ペインで、 [証明書の更新] をクリックします。On the properties pane for the selected account, click Renew certificate.


  5. 証明書が書き換えられている間、メニューの [通知] で進行状況を追跡できます。While the certificate is being renewed, you can track the progress under Notifications from the menu.

実行アカウントのアクセス許可を制限するLimit Run As account permissions

Azure のリソースに対する Automation のターゲット設定を制御するために、Update-AutomationRunAsAccountRoleAssignments.ps1 スクリプトを実行できます。To control the targeting of Automation against resources in Azure, you can run the Update-AutomationRunAsAccountRoleAssignments.ps1 script. このスクリプトでは、カスタム ロールの定義を作成して使用するために、既存の実行アカウント サービス プリンシパルを変更します。This script changes your existing Run As account service principal to create and use a custom role definition. このロールには、Key Vault を除くすべてのリソースへのアクセス許可があります。The role has permissions for all resources except Key Vault.


Update-AutomationRunAsAccountRoleAssignments.ps1 スクリプトを実行した後、実行アカウントを使用して Key Vault にアクセスする Runbook が動作しなくなります。After you run the Update-AutomationRunAsAccountRoleAssignments.ps1 script, runbooks that access Key Vault through the use of Run As accounts no longer work. スクリプトを実行する前に、アカウント内の Runbook で Azure Key Vault の呼び出しを確認する必要があります。Before running the script, you should review runbooks in your account for calls to Azure Key Vault. Azure Automation Runbook から Key Vault へのアクセスを有効にするには、実行アカウントを Key Vault のアクセス許可に追加する必要があります。To enable access to Key Vault from Azure Automation runbooks, you must add the Run As account to Key Vault's permissions.

実行サービス プリンシパルで実行できる内容をさらに制限する必要がある場合は、カスタム ロール定義の NotActions 要素に他のリソースの種類を追加できます。If you need to restrict, further what the Run As service principal can do, you can add other resource types to the NotActions element of the custom role definition. 次の例では、Microsoft.Compute/* へのアクセスが制限されます。The following example restricts access to Microsoft.Compute/*. このリソースの種類をロール定義の NotActions に追加すると、そのロールではどのコンピューティング リソースにもアクセスできなくなります。If you add this resource type to NotActions for the role definition, the role will not be able to access any Compute resource. ロール定義の詳細については、「Azure リソースのロール定義の概要」を参照してください。To learn more about role definitions, see Understand role definitions for Azure resources.

$roleDefinition = Get-AzRoleDefinition -Name 'Automation RunAs Contributor'
$roleDefinition | Set-AzRoleDefinition

実行アカウントで使用されるサービス プリンシパルが、共同作成者とカスタムのどちらのロールの定義にあるかを確認できます。You can determine if the service principal used by your Run As account is in the Contributor role definition or a custom one.

  1. Automation アカウントに移動し、アカウントの設定セクションで [実行アカウント] を選択します。Go to your Automation account and select Run As Accounts in the account settings section.
  2. [Azure 実行アカウント] を選択します。Select Azure Run As Account.
  3. [ロール] を選択し、使用されているロールの定義を見つけます。Select Role to locate the role definition that is being used.

[実行アカウント] オプションを選択する。

また、複数のサブスクリプションまたは Automation アカウントの実行アカウントで使用されるロールの定義を確認することができます。You can also determine the role definition used by the Run As accounts for multiple subscriptions or Automation accounts. これを行うには、PowerShell ギャラリーの Check-AutomationRunAsAccountRoleAssignments.ps1 スクリプトを使用します。Do this by using the Check-AutomationRunAsAccountRoleAssignments.ps1 script in the PowerShell Gallery.

Key Vault へのアクセス許可を追加するAdd permissions to Key Vault

Key Vault と実行アカウントのサービス プリンシパルでカスタム ロールの定義が使用されているかどうかを、Azure Automation で確認できるようにすることができます。You can allow Azure Automation to verify if Key Vault and your Run As account service principal are using a custom role definition. 次の手順が必要です。You must:

  • Key Vault にアクセス許可を付与します。Grant permissions to Key Vault.
  • アクセス ポリシーを設定します。Set the access policy.

PowerShell ギャラリーの Extend-AutomationRunAsAccountRoleAssignmentToKeyVault.ps1 スクリプトを使用して、実行アカウントに Key Vault へのアクセス許可を付与することができます。You can use the Extend-AutomationRunAsAccountRoleAssignmentToKeyVault.ps1 script in the PowerShell Gallery to give your Run As account permissions to Key Vault. Key Vault へのアクセス許可の設定について詳しくは、「Key Vault アクセス ポリシーを割り当てる」を参照してください。See Assign a Key Vault access policy for more details on setting permissions on Key Vault.

実行アカウントの間違った構成に関する問題を解決するResolve misconfiguration issues for Run As accounts

実行またはクラシック実行アカウントに必要な構成項目の一部が削除されたか、初期セットアップ中に正しく作成されなかった可能性があります。Some configuration items necessary for a Run As or Classic Run As account might have been deleted or created improperly during initial setup. 構成が間違っている可能性のあるインスタンスは、次のとおりです。Possible instances of misconfiguration include:

  • 証明書資産Certificate asset
  • 接続資産Connection asset
  • 共同作成者ロールから削除された実行アカウントRun As account removed from the Contributor role
  • Azure AD のサービス プリンシパルまたはアプリケーションService principal or application in Azure AD

このような構成が間違っているインスタンスについては、Automation アカウントによって変更が検出され、そのアカウントの実行アカウントのプロパティ ペインに [Incomplete](不完全) の状態が表示されます。For such misconfiguration instances, the Automation account detects the changes and displays a status of Incomplete on the Run As Accounts properties pane for the account.


実行アカウントを選択すると、アカウントのプロパティ ペインに次のエラー メッセージが表示されます。When you select the Run As account, the account properties pane displays the following error message:

The Run As account is incomplete. Either one of these was deleted or not created - Azure Active Directory Application, Service Principal, Role, Automation Certificate asset, Automation Connect asset - or the Thumbprint is not identical between Certificate and Connection. Please delete and then re-create the Run As Account.

こうした実行アカウントの問題は、実行アカウントを削除してから再作成すればすぐに解決できます。You can quickly resolve these Run As account issues by deleting and re-creating the Run As account.

次のステップNext steps