Azure Monitor SCOM Managed Instanceのユーザー割り当て ID を作成する

  • [アーティクル]

この記事では、ユーザー割り当て ID を作成し、Azure SQL Managed Instanceへの管理者アクセスを提供し、キー コンテナーに対する Get および List アクセスを付与する方法について説明します。

注意

Azure Monitor SCOM Managed Instance アーキテクチャの詳細については、「Azure Monitor SCOM Managed Instance」を参照してください。

マネージド サービス ID を作成する

マネージド サービス ID (MSI) は、アプリケーションがMicrosoft Entra ID認証をサポートするリソースに接続するときに使用する ID を提供します。 SCOM Managed Instanceの場合、マネージド ID は従来の 4 つの System Center Operations Manager サービス アカウントに代わるものです。 Azure SQL Managed Instance データベースにアクセスするために使用されます。 また、キー コンテナーへのアクセスにも使用されます。

注意

  • MSI を作成するサブスクリプションの共同作成者であることを確認します。
  • MSI には、SQL Managed Instanceに対する管理者アクセス許可と、ドメイン アカウントの資格情報の格納に使用するキー コンテナーに対する読み取りアクセス許可が必要です。

  1. Azure portal にサインインします。 [マネージド ID] をSearchし、 [マネージド ID] を選択します

    Azure portalのマネージド ID のアイコンを示すスクリーンショット。

  2. [ マネージド ID] ページで 、[ 作成] を選択します。

    マネージド ID を示すスクリーンショット。

    [ Create User Assigned Managed Identity]\(ユーザー割り当てマネージド ID の作成\ ) ペインが開きます。

  3. [ 基本] で、次の操作を行います。

    • プロジェクトの詳細:
      • サブスクリプション: SCOM Managed Instanceを作成する Azure サブスクリプションを選択します。
      • リソース グループ: SCOM Managed Instanceを作成するリソース グループを選択します。
    • インスタンスの詳細:
      • [リージョン]: SCOM Managed Instanceを作成するリージョンを選択します。
      • [名前]: インスタンスの名前を入力します。

    ユーザー割り当てマネージド ID のプロジェクトとインスタンスの詳細を示すスクリーンショット。

  4. タグを選択します。

  5. [ タグ ] タブで、[ 名前 ] の値を入力し、リソースを選択します。

    タグは、複数のリソースとリソース グループに同じタグを適用することで、リソースを分類し、統合請求を表示するのに役立ちます。 詳細については、「タグを使用して Azure リソースと整理階層を整理する」を参照してください。

  6. [次へ: 確認および作成] を選択します。

  7. [ 確認と作成 ] タブで、指定したすべての情報を確認し、[ 作成] を選択します。

    作成前にマネージド ID を確認するためのタブを示すスクリーンショット。

これで、デプロイが Azure に作成されました。 リソースにアクセスし、その詳細を表示できます。

SQL マネージド インスタンスでMicrosoft Entra管理者の値を設定する

手順 3 で作成した SQL マネージド インスタンスでMicrosoft Entra管理者の値を設定するには、次の手順に従います。

注意

次の操作を実行するには、サブスクリプションのグローバル管理者または特権ロール管理者のアクセス許可が必要です。

重要

Microsoft Entra管理者としてのグループの使用は現在サポートされていません。

  1. SQL マネージド インスタンスを開きます。 [設定] で、[管理者Microsoft Entra選択します

    Microsoft Entra管理者情報のペインのスクリーンショット。

  2. エラー ボックス メッセージを選択して、Microsoft Entra ID上の SQL マネージド インスタンスに対する読み取りアクセス許可を提供します。 [アクセス許可の付与 ] ウィンドウが開き、アクセス許可が付与されます。

    アクセス許可の付与のスクリーンショット。

  3. [アクセス許可の付与] を選択して操作を開始します。操作が完了すると、Microsoft Entra読み取りアクセス許可を正常に更新するための通知が表示されます。

    読み取りアクセス許可のスクリーンショット。

  4. [ 管理者の設定] を選択し、MSI を検索します。 この MSI は、SCOM Managed Instance作成フロー中に指定した MSI と同じです。 SQL マネージド インスタンスに追加された管理者が見つかります。

    Microsoft Entraの MSI 情報のスクリーンショット。

  5. マネージド ID アカウントを追加した後にエラーが発生した場合は、読み取りアクセス許可がまだ ID に提供されていないことを示します。 SCOM Managed Instanceを作成する前に、必要なアクセス許可を必ず指定してください。そうしないと、SCOM Managed Instanceの作成が失敗します。

    Microsoft Entra認証の成功を示すスクリーンショット。

アクセス許可の詳細については、「Azure SQLのMicrosoft Entra IDのディレクトリ閲覧者ロール」を参照してください。

キー コンテナーに対するアクセス許可を付与する

手順 4 で作成したキー コンテナーにアクセス許可を付与するには、次の手順に従います。

  1. 手順 4 で作成したキー コンテナー リソースに移動し、[アクセス ポリシー] を選択します。

  2. [アクセス ポリシー] ページで、[作成] を選択します。

    [アクセス ポリシー] ページを示すスクリーンショット。

  3. [ アクセス許可 ] タブで、[ 取得 ] オプションと [ 一覧 ] オプションを選択します。

    [アクセス ポリシーの作成] ページを示すスクリーンショット。

  4. [次へ] を選択します。

  5. [ プリンシパル ] タブで、作成した MSI の名前を入力します。

  6. [次へ] を選択します。 SQL Managed Instance管理者構成で使用したのと同じ MSI を選択します。

    [プリンシパル] タブを示すスクリーンショット。

  7. [次へ]>[作成] を選択します。

次の手順