Azure 統合の構成
Windows Admin Center では、Azure サービスと統合されるいくつかのオプション機能がサポートされています。 Windows Admin Center で利用できる Azure 統合オプションについて説明します。
Windows Admin Center ゲートウェイが Azure と通信して、ゲートウェイ アクセスに Microsoft Entra 認証を利用したり、代わりに Azure リソースを作成したり (たとえば、Azure Site Recovery を使用して Windows Admin Center で管理されている VM を保護したりするには)、まず Windows Admin Center ゲートウェイを Azure に登録する必要があります。 この操作は、Windows Admin Center ゲートウェイに対して 1 回だけ実行する必要があります。この設定は、ゲートウェイを新しいバージョンに更新するときに保持されます。
Azure にゲートウェイを登録する
Windows Admin Center で Azure 統合機能を初めて使用しようとすると、Azure にゲートウェイを登録するように求められます。 Windows Admin Center 設定の [Azure] タブに移動して、ゲートウェイを登録することもできます。 Windows Admin Center ゲートウェイ管理者のみが Windows Admin Center ゲートウェイを Azure に登録できます。 Windows Admin Center のユーザーと管理者のアクセス許可の詳細については、こちらを参照してください。
ガイド付き製品内の手順では、ディレクトリに Microsoft Entra アプリを作成します。これにより、Windows Admin Center が Azure と通信できるようになります。 自動的に作成された Microsoft Entra アプリを表示するには、Windows Admin Center 設定の [Azure] タブにアクセスします。 [View in Azure](Azure で表示) ハイパーリンクを使用すると、Azure portal で Microsoft Entra アプリを表示できます。
作成された Microsoft Entra アプリは、ゲートウェイへの Microsoft Entra 認証を含む、Windows Admin Center での Azure 統合のすべてのポイントに使用されます。 Windows Admin Center では、ユーザーの代わりに Azure リソースを作成および管理するために必要なアクセス許可が自動的に構成されます。
- Microsoft Graph
- Application.Read.All
- Application.ReadWrite.All
- Directory.AccessAsUser.All
- Directory.Read.All
- Directory.ReadWrite.All
- User.Read
- Azure Service Management
- user_impersonation
Microsoft Entra アプリの手動構成
ゲートウェイ登録プロセス中に Windows Admin Center によって自動的に作成された Microsoft Entra アプリを使用するのではなく、Microsoft Entra アプリを手動で構成する場合は、次の手順に従います。
Microsoft Entra アプリに、上記の必要な API アクセス許可を付与します。 そのためには、Azure portal で Microsoft Entra アプリに移動します。 Azure portal >Microsoft Entra ID>アプリ登録>に移動し、使用する Microsoft Entra アプリを選択します。 次に、[API のアクセス許可] タブにアクセスし、上に示した API のアクセス許可を追加します。
Windows Admin Center ゲートウェイの URL を応答 URL (リダイレクト URL とも呼ばれます) に追加します。 Microsoft Entra アプリに移動し、[マニフェスト] にアクセスします。 マニフェストで "replyUrlsWithType" キーを検索します。 キー内に、"url" と "type" の 2 つのキーを含むオブジェクトを追加します。キー "url" には、Windows Admin Center ゲートウェイ URL の値を指定し、末尾にワイルドカードを追加する必要があります。 キー "type" キーの値は "Web" である必要があります。例えば:
"replyUrlsWithType": [ { "url": "http://localhost:6516/*", "type": "Single-Page Application" } ],
Note
お使いのブラウザーで Microsoft Defender Application Guard が有効になっている場合、Windows Admin Center を Azure に登録したり、Azure にサインインしたりすることはできません。
Azure サインイン エラーのトラブルシューティング
リダイレクト URI が、このアプリケーション用に構成された URI と一致しません
以前のバージョンの Windows Admin Center から Windows Admin Center バージョン 2410 にデータを最近移行した場合、リダイレクト URI が正しく構成されていない可能性があります。 これは、移行ウィザードで Azure 登録手順を完了していない場合に発生する可能性があります。 この構成の誤りは、 一般的な Microsoft ガイダンスに基づいて Windows Admin Center が認証の実行方法を変更したため。 以前は暗黙的な許可フローを使用していましたが、現在は認可コード フローを使用しています。
シングルページ アプリケーション (SPA) プラットフォームに追加する必要があるリダイレクト URI は 2 つあります。 これらのリダイレクト URI の例を次に示します。
https://myMachineName.domain.com:6600
https://myMachineName.domain.com:6600/signin-oidc
この例では、数値は Windows Admin Center のインストールで参照されるポートを参照します。
Windows Admin Center のすべてのリダイレクト URI には、次のものが含まれている必要があります。
- ゲートウェイ マシンの完全修飾ドメイン名 (FQDN) またはホスト名 (localhost の言及なし)
- HTTP ではなく HTTPS プレフィックス
適切なリダイレクト URI を追加した後は、古い未使用のリダイレクト URI をクリーンアップすることをお勧めします。
シングルページ アプリケーションに対してのみ許可されるクロスオリジン トークンの引き換え
最近 Windows Admin Center インスタンスを新しいバージョンに更新し、ゲートウェイが以前に Azure に登録されている場合は、Azure へのサインイン時に"クロスオリジン トークンの利用は 'シングルページ アプリケーション' クライアントの種類でのみ許可されます" という内容のエラーが発生する可能性があります。 これは、 一般的な Microsoft ガイダンスに基づいて Windows Admin Center が認証の実行方法変更されたために表示されます。 以前は暗黙的な許可フローを使用していましたが、現在は認可コード フローを使用しています。
Windows Admin Center アプリケーションに既存のアプリ登録を引き続き使用したい場合は、Microsoft Entra 管理センター を使用し、登録のリダイレクト URI をシングル ページ アプリケーション (SPA) プラットフォームに更新します。 これにより、Proof Key for Code Exchange (PKCE) とクロスオリジン リソース共有 (CORS) を使用して、その登録を使用するアプリケーションの承認コード フローが有効になります。
Web プラットフォーム リダイレクト URI で現在構成されているアプリケーションの登録には、以下の手順に従います。
- Microsoft Entra 管理センターにサインインします。
- [ID]>[アプリケーション]>[アプリの登録] に移動して、アプリケーションを選択してから [認証] を選択します。
- [Web] プラットフォーム タイルの [リダイレクト URI] で、URI を移行する必要があることを示す警告バナーを選択します。
- アプリケーションのリダイレクト URI を選択してから、[構成] を選択します。 これらのリダイレクト URI が [シングルページ アプリケーション] プラットフォーム タイルに表示され、承認コード フローで CORS がサポートされ、これらの URI で PKCE が有効になっていることが示されるはずです。
既存の URI を更新する代わりに、ゲートウェイで新しいアプリケーションの登録を作成することもできます。 ゲートウェイ登録フローを通じて Windows Admin Center 用に新しく作成されたアプリの登録により、シングルページ アプリケーション プラットフォームのリダイレクト URI を作成します。
認証コード フローを使用するようにアプリケーションの登録のリダイレクト URI を移行できない場合は、既存のアプリケーション登録をそのまま引き続き使用できます。 そのためには、Windows Admin Center ゲートウェイの登録を解除し、同じアプリケーション登録 ID で再登録する必要があります。