本ヘルプセンターは英語版を翻訳したものです。また、一部には翻訳ソフトウエアにより機械的に翻訳した内容が含まれます。翻訳については順次対応しておりますが、最新の情報になっていない場合があります。最新の情報は英語版のページでご確認ください。表示言語は、画面右上の言語名をクリックして切り替えられます。

本ヘルプセンターの一部の記事には外部リンクが含まれています。万一リンク切れなどお気づきの点がございましたら、お手数ですが弊社サポート窓口までご連絡ください。

Deep Security用のAzureアプリケーションの作成

運用環境によっては、Microsoft Entra IDのグローバル管理者の役割とAzureサブスクリプションのサブスクリプション所有者の役割の両方を持つアカウントを使用して、 Deep Security ManagerがAzureリソースにアクセスできるようにすることが望ましくない場合があります。別の方法として、Azureリソースへの読み取り専用アクセスを提供するDeep Security Manager用のAzureアプリケーションを作成できます。

Azureサブスクリプションが複数あり、すべてのサブスクリプションが同じActive Directoryに関連付けられている場合は、すべてのサブスクリプションで利用できる単一のDeep Security Azureアプリケーションを作成できます。詳細については、以下の手順を参照してください。

Azureアプリケーションを作成するには、次の手順を実行する必要があります。

  1. 適切な役割を割り当てる
  2. Azureアプリケーションを作成する
  3. AzureアプリIDとActive Directory IDを記録する
  4. サブスクリプションIDを記録する
  5. Azureアプリケーションに役割とコネクタを割り当てる

適切な役割を割り当てる

Azureアプリを作成するには、アカウントにMicrosoft Entra IDのユーザ管理者ロールと、Azureサブスクリプションのユーザアクセス管理者ロールが割り当てられている必要があります。続行する前に、これらのロールをAzureアカウントに割り当てます。

Azureアプリケーションを作成する

  1. [Microsoft Entra ID ] ブレードで、[アプリの登録] をクリックします。
  2. [New registration] をクリックします。
  3. [Name] (Deep Security Azureコネクタなど) を入力します。
  4. [Supported account types] で、[Accounts in this organizational directory only] を選択します。
  5. [Register] をクリックします。

    [App registrations] リストに、上記の手順3で選択した[Name]と共にAzureアプリケーションが表示されます。

AzureアプリIDとActive Directory IDを記録する

  1. [App registrations] リストで、Azureアプリケーションをクリックします。

    Azureアプリケーションを作成するの手順3で選択した[Name]と共に、Azureアプリケーションが表示されます。

  2. [Application (client) ID] を記録します。
  3. [Directory (tenant) ID] を記録します。

アプリケーションシークレットを作成するか、アプリケーション証明書をアップロードします。

  1. [証明書&シークレット]タブで、使用するアプリケーション資格情報の種類を選択します。
    • オプション1:クライアントシークレット(アプリケーションパスワード)
    • オプション2:証明書

    Azureでは複数のアプリケーション資格情報を作成できますが、 Deep Security Managerでは、Azureアカウントに1つの資格情報(アプリケーションシークレットまたはアプリケーション証明書)のみが必要でした。

  2. 使用する資格情報の種類に応じて、オプション1またはオプション2(下記)のいずれかの手順に従います。

オプション1:クライアントシークレットを作成する(アプリケーションパスワード)

  1. [New client secret] をクリックします。
  2. クライアントシークレットの[Description]を入力します。
  3. 適切な [Duration] を選択します。この時間が経過すると、クライアントシークレットが期限切れになります。
  4. [Add] をクリックします。

    クライアントシークレットの[Value]が表示されます。

  5. クライアントシークレットの[Value]を記録します。AzureアプリをDeep Securityに登録するときに、アプリケーションパスワードとして使用します。

    クライアントシークレットのは一度しか表示されないため、この時点で必ず記録してください。ここで記録しておかないと、後でクライアントシークレットを再生成して新しいを取得することが必要になります。

    クライアントシークレットのが期限切れになった場合は、再生成して、古い値が関連付けられているAzureアカウントで値を更新する必要があります。

オプション2:アプリケーション証明書をアップロードする

  1. X.509 PEMテキスト形式の証明書を準備します。

    証明書は公開署名または自己署名のいずれかであり、有効期限はありません。秘密鍵がシークレットで保護されている場合は、 Deep Security ManagerでAzureアカウントを設定するときに、証明書の秘密鍵とオプションのパスフレーズ/シークレットが必要になります。

    Deep Security Managerは現在、バイナリ形式の証明書をサポートしていません。

  2. [Upload certificate]ボタンをクリックします。
  3. アップロードする証明書ファイルを選択してください。
  4. [Add] をクリックします。

サブスクリプションIDを記録する

  1. 左側の [All Services] に移動し、[Subscriptions] をクリックします。

    サブスクリプション が左側に表示されない場合は、画面の上部にある検索ボックスを使用して検索します。

    サブスクリプションのリストが表示されます。

  2. Azureアプリケーションに関連付ける各サブスクリプションの [Subscription ID] を記録します。このIDは、後でAzureアカウントをDeep Securityに追加するときに必要になります。

Azureアプリケーションに役割とコネクタを割り当てる

  1. [All Services]→[Subscriptions] で、Azureアプリケーションに関連付けるサブスクリプションをクリックします。

    2. 必要な場合は、後で別のサブスクリプションをAzureアプリケーションに関連付けることもできます。

  2. [Access Control (IAM)] をクリックします。
  3. メイン画面で、[Add] をクリックし、ドロップダウンメニューから [Add Role Assignment] を選択します。
  4. [Role] で「Reader」と入力し、表示される [Reader] ロールをクリックします。
  5. [Assign access to] で、[User, user group, or service principal] を選択します。
  6. [Select members] で、Azureアプリケーションの[Name] (Deep Security Azure Connectorなど) を入力します。

    Azureアプリケーションを作成するの手順3で選択した[Name]と共に、Azureアプリケーションが表示されます。

  7. [Save] をクリックします。
  8. Azureアプリケーションを別のサブスクリプションに関連付ける場合は、そのサブスクリプションに対してこの手順 (Azureアプリケーションに役割とコネクタを割り当てる) を繰り返します。

この時点で、Deep SecurityへのMicrosoft Azureアカウントの追加の手順に従うことにより、Deep Securityを設定してAzure仮想マシンを追加できるようになります。