Azure Arc 対応サーバーの ID とアクセス管理

組織は、オンプレミスおよびクラウドベースの ID 管理システムを使用してハイブリッド環境をセキュリティで保護するための適切なアクセス制御を設計する必要があります。

これらの ID 管理システムは重要な役割を果たします。 Azure Arc 対応サーバー インフラストラクチャをセキュリティで保護するための信頼性の高いアクセス管理制御の設計と実装に役立ちます。

マネージド ID

作成時に、Microsoft Entra ID システム割り当て ID は、Azure Arc 対応サーバーの状態 ("最後に表示された" ハートビートなど) の更新にのみ使用できます。 Azure リソースへの ID アクセスを許可して、サーバー上のアプリケーションが Azure リソースにアクセスできるようにします。たとえば、Key Vault にシークレットを要求できます。 あなたは次のことを行うべきです。

• サーバー アプリケーションでアクセス トークンを取得し、Azure リソースにアクセスすると同時に、これらのリソースのアクセス制御も計画する、正当なユース ケースを検討します。
• Azure Arc 対応サーバーの特権ユーザー ロール (Windows 上のローカル管理者または Hybrid Agent Extensions Applications グループ および Linux 上の himds グループのメンバー) を制御して、システムマネージド ID が悪用されて Azure リソースに不正アクセスされないようにします。
• Azure RBAC を使用して、Azure Arc 対応サーバーのマネージド ID のアクセス許可を制御および管理し、これらの ID の定期的なアクセス レビューを実行します。

ロールベースのアクセス制御 (RBAC)

最小限の特権原則に従うと、"共同作成者" や "所有者" や "Azure Connected Machine Resource Administrator" などのロールが割り当てられたユーザー、グループ、またはアプリケーションは、拡張機能のデプロイなどの操作を実行でき、Azure Arc 対応サーバーでルートまたは管理者アクセスを効果的に委任できます。 これらのロールは、可能なブラスト半径を制限したり、最終的にカスタム ロールに置き換えたりするために、慎重に使用する必要があります。

ユーザーの特権を制限し、Azure へのサーバーのオンボードのみを許可するには、Azure Connected Machine Onboarding ロールが適しています。 このロールはサーバーのオンボードにのみ使用でき、サーバー リソースを再オンボードまたは削除することはできません。 アクセス制御の詳細については、Azure Arc 対応サーバーのセキュリティの概要 を確認してください。

また、Azure Monitor Log Analytics ワークスペースに送信される可能性がある機密データについても検討してください。データ自体にも同じ RBAC 原則を適用する必要があります。 Azure Arc 対応サーバーへの読み取りアクセスにより、Log Analytics エージェントによって収集されたログ データへのアクセスを、関連付けられた Log Analytics ワークスペースに格納できます。 Azure Monitor ログのデプロイ ドキュメントを設計する で、詳細な Log Analytics ワークスペース アクセスを実装する方法を確認します。

建築

次の図は、Azure Arc 対応サーバーのロール、アクセス許可、アクションのフローを示す参照アーキテクチャを示しています。

設計に関する考慮事項

• サーバーと Azure で必要なアクセス許可を設定するために、オンボード サーバーにアクセスできる組織のユーザーを決定します。
• Azure Arc 対応サーバーを管理するユーザーを決定します。 次に、Azure サービスやその他のクラウド環境からデータを表示できるユーザーを決定します。
• 必要な Arc 導入サービス プリンシパルの数を決定します。 これらの ID の複数を使用して、運用上の責任と所有権に基づく企業のさまざまなビジネス機能またはユニットが所有するサーバーをオンボードできます。
• エンタープライズ規模の Azure ランディング ゾーンの ID とアクセス管理の設計領域 を確認します。 この領域を確認して、Azure Arc 対応サーバーが ID とアクセス モデル全体に与える影響を評価します。

設計に関する推奨事項

• サーバーオンボーディングと管理
  • セキュリティ グループを使用して、Azure Arc に大規模にオンボードするために、サーバー上の識別されたユーザーまたはサービス アカウントにローカル管理者権限を割り当てます。
  • Microsoft Entra サービス プリンシパル 使用して、サーバーを Azure Arc にオンボードします。分散運用モデルで複数の Microsoft Entra サービス プリンシパルを使用することを検討してください。このモデルでは、サーバーは異なる IT チームによって管理されます。
  • 有効期間が短い Microsoft Entra サービス プリンシパル クライアント シークレット使用します。
  • Azure Connected Machine Onboarding ロールをリソース グループ レベルで割り当てます。
  • Microsoft Entra セキュリティ グループを使用し、ハイブリッド サーバー リソース管理者に ロールを付与します。 Azure で Azure Arc 対応サーバー リソースを管理するチームと個人にロールを付与します。
• Microsoft Entra ID で保護されたリソース アクセス
  • オンプレミス サーバー (およびその他のクラウド環境) で実行されているアプリケーションの マネージド ID を使用して、Microsoft Entra ID によって保護されたクラウド リソースへのアクセスを提供します。
  • マネージド ID へのアクセスを制限して、Microsoft Entra アプリケーションのアクセス許可を使って認可されたアプリケーションを許可します。
  • Windows Hybrid agent extension applications ローカル セキュリティ グループまたは Linux 上の himds グループを使用して、Azure Arc 対応サーバーから Azure リソース アクセス トークンを要求するアクセス権をユーザーに付与します。

次の手順

ハイブリッド クラウド導入体験の詳細なガイダンスについては、次のリソースを確認してください。

• Azure Arc Jumpstart シナリオ を確認します。
• Azure Arc 対応サーバーの 前提条件 を確認します。
• Azure Arc 対応サーバーの 大規模デプロイ を計画します。
• Azure Arc の詳細については、Azure Arc ラーニングパスからご確認ください。