実行アカウントからマネージド ID に移行する
重要
- Azure Automation 実行アカウントは 2023 年 9 月 30 日に廃止され、マネージド ID に置き換えられました。 マネージド ID を使用するように Runbook の移行を開始することをお勧めします。 詳細については、既存の実行アカウントからマネージド ID への移行に関する記事を参照してください。
- この機能の遅延は、モビリティ エージェントのアップグレードが失敗する原因となるので、Microsoft のサポートの負担に直接影響します。
この記事では、Azure Site Recovery のマネージド ID を使用するように Runbook を移行する方法について説明します。 Azure Automation アカウントは、保護された仮想マシンのエージェントを自動更新するために、Azure Site Recovery の顧客が使用します。 IaaS VM ブレードと Recovery Services コンテナーを使用してレプリケーションを有効にすると、Site Recovery で Azure Automation の実行アカウントが作成されます。
Azure のマネージド ID を使用すれば、開発者が資格情報を管理する必要がなくなります。Azure リソースの ID は Microsoft Entra ID から提供され、その ID を使用して Microsoft Entra トークンが取得されます。
前提条件
実行アカウントからマネージド ID に移行する前に、Automation アカウントのシステム割り当て ID を作成し、それに対して、対応する Recovery Services コンテナーの "所有者" ロールを割り当てるための適切なロールがあることを確認します。
Note
複数の Recovery Services コンテナーで同じ Automation アカウントを使用できますが、Automation アカウントと Recovery Services コンテナーの両方が同じリージョン内に存在する必要があります。
マネージド ID の利点
以下に、マネージド ID を使用するベネフィットをいくつか紹介します。
- 資格情報のアクセス - 資格情報 を管理する必要はありません。
- 認証の簡略化 - マネージド ID を使用すると、独自のアプリケーションを含む、Microsoft Entra 認証をサポートするあらゆるリソースに対して認証を行うことができます。
- コスト効率が高い - マネージド ID は追加コストなしで利用できます。
- 二重の暗号化 - マネージド ID は、Azure Key Vault に格納されているカスタマー マネージド キーを使用してデータやメタデータを暗号化/暗号化解除するためにも使用されるため、二重の暗号化が提供されます。
注意
Azure リソースのマネージド ID は、以前のマネージドサービス ID (MSI) の新しい名前です。
既存の実行アカウントからマネージド ID に移行する
マネージド ID の構成
マネージド ID は、次の方法で構成できます:
- Azure portal
- Azure CLI
- 自分の Azure Resource Manager (ARM) テンプレート
Note
移行の頻度と、実行アカウントの作成と証明書の更新のサポート タイムラインについて詳しくは、よく寄せられる質問に関する記事をご覧ください。
Azure Portal から
Azure Automation アカウントの認証の種類を実行アカウントからマネージド ID 認証に移行するには、次の手順に従います。
Azure portal で、Runbook を移行する Recovery Services コンテナーを選択します。
Recovery Services コンテナー ページのホームページで、次の操作を行います。
左側のペインで、[管理] の下から [Site Recovery インフラストラクチャ] を選択します。
[Azure 仮想マシンの場合] の下で、[拡張機能の更新の設定] を選択します。 このページでは、Site Recovery の拡張機能を管理するために使用されている Automation アカウントの認証の種類を詳しく設定します。
このページで、[移行] を選択して、マネージド ID を使用するように Automation アカウントの認証の種類を移行します。
注意
[移行] ボタンを表示するには、Automation アカウントのシステム割り当てマネージド ID がオフになっていることを確認してください。 アカウントを移行していない状態で [移行] ボタンが表示されない場合は、Automation アカウントのマネージド ID をオフにして、もう一度お試しください。
- Automation アカウントの移行が成功すると、[拡張機能の更新の設定] ページで、リンクされたアカウント詳細の認証の種類が更新されます。
- "移行" 操作が完了したら、[Site Recovery に管理を許可] ボタンをもう一度 "オン" に切り替えます。
実行アカウントからマネージド ID アカウントに正常に移行すると、Automation 実行アカウントに以下の変更が反映されます。
- アカウントに対してシステム割り当てマネージド ID が有効になります (まだ有効になっていない場合)。
- 共同作成者ロールのアクセス許可が Recovery Services コンテナーのサブスクリプションに割り当てられます。
- マネージド ID ベースの認証を使用するようにモビリティ エージェントを更新するスクリプトが更新されます。
既存のマネージド ID アカウントをコンテナーにリンクする
既存のマネージド ID Automation アカウントを Recovery Services コンテナーにリンクするには。 次の手順に従います。
コンテナーのマネージド ID を有効にする
選択した Automation アカウントに移動します。 [アカウント設定] で、[ID] を選択します。
[システム割り当て済み] の下で、[状態] を [オン] に切り替えて、[保存] を選択します。
オブジェクト ID が生成されます。 これで、コンテナーが Azure Active Directory に登録されました。
Recovery Services コンテナーに戻ります。 左側のペインで、[アクセス制御 (IAM)] オプションを選択します。
[追加]>[ロールの割り当ての追加]>[共同作成者] の順に選択して、[ロールの割り当ての追加] ページを開きます。
Note
Automation アカウントが設定されている場合、アカウントのロールを "共同作成者" から "サイトの回復共同作成者" に変更できます。
[ロールの割り当ての追加] ページで、必ず [マネージド ID] を選択します。
[メンバーの選択] を選択します。 [マネージド ID の選択] ペインで、次の操作を行います。
- [選択] フィールドに、マネージド ID Automation アカウントの名前を入力します。
- [マネージド ID] フィールドで、[すべてのシステム割り当てマネージド ID] を選択します。
- [選択] オプションを選びます。
[レビューと割り当て] を選択します。
Recovery Services コンテナーの下にある[拡張機能の更新の設定] に移動し、[Site Recovery に管理を許可] ボタンをもう一度 "オン" に切り替えます。
次のステップ
各項目の詳細情報