Deep Security用のAzureアプリケーションの作成

ご使用の動作環境で、Microsoft Entra IDのグローバル管理者ロールとAzureサブスクリプションのサブスクリプション所有者ロールの両方が指定されたアカウントを使用して、Deep Security ManagerがAzureリソースにアクセスできるようにすることが適していない場合があります。代わりに、Azureリソースへの読み取り専用アクセスを提供するDeep Security Manager用のAzureアプリケーションを作成することができます。

Azureサブスクリプションが複数あり、すべてのサブスクリプションが同じActive Directoryに関連付けられている場合は、すべてのサブスクリプションで利用できる単一のDeep Security Azureアプリケーションを作成できます。

Azureアプリケーションを作成するには、次の手順を実行する必要があります:

  1. 適切な役割を割り当てる
  2. Azureアプリケーションを作成する
  3. AzureアプリケーションIDおよびActive Directory IDを記録する
  4. サブスクリプションIDを記録する
  5. Azureアプリケーションに役割とコネクタを割り当てる

適切な役割を割り当てる

Azureアプリケーションを作成するには、アカウントにMicrosoft Entra IDのユーザ管理者ロールとAzureサブスクリプションのユーザアクセス管理者ロールが必要です。これらのロールをAzureアカウントに割り当ててから進めてください。

Azureアプリケーションを作成する

  1. [Microsoft Entra ID ] ブレードで、[アプリの登録] をクリックします。
  2. [New registration] をクリックします。
  3. [Name] (Deep Security Azureコネクタなど) を入力します。
  4. [Supported account types] で、[Accounts in this organizational directory only] を選択します。
  5. [Register] をクリックします。

    [アプリ登録] リストに、指定したNameと共にAzureアプリケーションが表示されます。

AzureアプリIDとActive Directory IDを記録する

  1. [アプリ登録]リストで、Azureアプリケーションをクリックします。
  2. [Application (client) ID] を記録します。
  3. [Directory (tenant) ID] を記録します。

アプリケーションシークレットを作成するか、アプリケーション証明書をアップロードします。

  1. 証明書とシークレットタブで、使用するアプリケーション資格情報の種類を選択します。

    Azureでは複数のアプリケーション資格情報を作成できますが、 Deep Security Managerでは、Azureアカウントに1つの資格情報(アプリケーションシークレットまたはアプリケーション証明書)のみが必要でした。

  2. 使用する資格情報の種類に応じて、オプション1またはオプション2(下記)のいずれかの手順に従います。

オプション1:クライアントシークレットを作成する(アプリケーションパスワード)

  1. [New client secret] をクリックします。
  2. クライアントシークレットの[説明]を入力します。
  3. 適切な [Duration] を選択します。この時間が経過すると、クライアントシークレットが期限切れになります。
  4. [Add] をクリックします。

    クライアントシークレットの[Value]が表示されます。

  5. クライアントシークレットのを記録します。AzureアプリケーションをDeep Securityに登録する際に、アプリケーションパスワードとして使用する必要があります。

    クライアントシークレットのは一度しか表示されないため、この時点で必ず記録してください。ここで記録しておかないと、後でクライアントシークレットを再生成して新しいを取得することが必要になります。

    クライアントシークレットのが期限切れになった場合は、再生成して、古い値が関連付けられているAzureアカウントで値を更新する必要があります。

オプション2:アプリケーション証明書をアップロードする

  1. X.509 PEMテキスト形式の証明書を準備します。

    証明書は公開署名または自己署名のいずれかであり、有効期限が切れていない必要があります。秘密でプライベートキーが保護されている場合、Deep Security ManagerでAzureアカウントを設定する際に証明書のプライベートキーとオプションのパスフレーズまたは秘密が必要です。RSAキーのサイズは少なくとも2048ビットでなければなりません。

    Deep Security Managerは現在、バイナリ形式の証明書をサポートしていません。

  2. [Upload certificate]ボタンをクリックします。
  3. アップロードする証明書ファイルを選択してください。
  4. [Add] をクリックします。

無効な資格情報または構成 (例えば、RSAキーが短すぎる) を提供すると、Azureコネクタは「Azure Entra IDに認証できません。資格情報または構成が無効です」というエラーメッセージを表示します。

サブスクリプションIDを記録する

  1. 左側の [All Services] に移動し、[Subscriptions] をクリックします。

    サブスクリプションのリストが表示されます。

    サブスクリプション が左側に表示されない場合は、画面の上部にある検索ボックスを使用して検索します。

  2. 各サブスクリプションに関連付けたいAzureアプリケーションのサブスクリプションIDを記録してください。後でAzureアカウントをDeep Securityに追加する際にIDが必要になります。

Azureアプリケーションに役割とコネクタを割り当てる

  1. すべてのサービス > サブスクリプションの下で、Azureアプリケーションに関連付けたいサブスクリプションをクリックします。

    2. 必要な場合は、後で別のサブスクリプションをAzureアプリケーションに関連付けることもできます。

  2. [Access Control (IAM)] をクリックします。
  3. メイン画面で、[追加] をクリックし、メニューから [ロールの割り当てを追加] を選択します。
  4. [Role] で「Reader」と入力し、表示される [Reader] ロールをクリックします。
  5. [Assign access to] で、[User, user group, or service principal] を選択します。
  6. [メンバーを選択] で、Azureアプリケーションの[名前] (Deep Security Azure Connectorなど) を入力します。

    Azureアプリケーションを作成するの手順3で選択した[ 名前]と共に、Azureアプリケーションが表示されます。

  7. [Save] をクリックします。
  8. Azureアプリケーションを別のサブスクリプションに関連付ける場合は、そのサブスクリプションに対してこの手順 (Azureアプリケーションに役割とコネクタを割り当てる) を繰り返します。

この時点で、「Deep SecurityへのMicrosoft Azureアカウントの追加」の手順に従うことにより、Deep Securityを設定してAzure仮想マシンを追加できるようになります。