Azure Active Directory アプリ登録の構成

このドキュメントでは、Microsoft Azure Active Directory (AAD) インスタンス上にアプリケーション登録を作成し、User Workspace Manager のコンソールおよびエージェントの AAD インスタンスへの接続を許可する手順を説明します。

手順

エンドポイントとコンソールは、AAD ドメイン内にアプリケーション登録が設定されていることを必要とします。このアプリケーションは、クライアント証明書を使用して、エンドポイントがユーザ操作なしで AAD にアクセスできるようにします。アプリケーション登録を作成する手順は、適切な権限を持つアカウントを使用して、AAD ポータル内で次のように実行します。

  1. テナントの [Azure Active Directory] ページに移動します。左ペインで [アプリの登録] をクリックした後、右ペインで [新しい登録] をクリックします。

  2. 登録名を入力し、アカウント タイプで [シングル テナント] を選択します。この段階では、リダイレクト URI は必要ありません。[登録] をクリックします。

  3. 左ペインで [認証] をクリックします。右ペインで、[プラットフォームの追加] をクリックした後、[モバイル アプリケーションとデスクトップ アプリケーション] をクリックします。次に示す、最初のリダイレクト URL をオンにします。

    https://login.microsoftonline.com/common/oauth2/nativeclient

  4. エンドポイントが使用する証明書を作成または取得します。ポータル上のアプリケーション登録に必要なのは、公開鍵のみです。各エンドポイントには、ローカル コンピュータの個人ストアにインストールされている、秘密鍵を含んだ証明書が必要です。この証明書は、必要に応じて自己署名でかまいません。この証明書を簡単に作成する方法として、PowerShell で「New-SelfSignedCertificate」コマンドレット (後述) を使用する方法があります。

  5. [概要] ページに移動して、[証明書またはシークレットを追加] をクリックし、.cer ファイルをアップロードすることにより、証明書をアプリケーションに追加します。ポータルには、AAD 条件を追加する際にコンソール側で必要になる証明書の拇印が表示されます。

  6. [API のアクセス許可] をクリックし、以下に詳述するアクセス許可を追加します。必要に応じて、管理者の同意も付与してください。

  • Device.Readall

  • Group.Readall

  • User.Readall

  • Offline_access
    (openid)

  • Openid
    (openid)

  • プロファイル
    (openid)

  • グループ
    Readall

  • ユーザ
    readall

自己署名証明書の作成

管理者特権の PowerShell プロンプトから、次のように入力します。

$certname = "My UWM Certificate"

$cert = New-SelfSignedCertificate -Subject "CN=$certname"

-CertStoreLocation "Cert:\CurrentUser\My"

-KeyExportPolicy Exportable -KeySpec Signature -KeyLength 2048

-KeyAlgorithm RSA -HashAlgorithm SHA256

これで、現行ユーザの個人ストアに、エクスポート可能な秘密鍵を含む証明書が作成されます。この証明書は、certmgr.msc を使用するか、または次の PowerShell コマンドを使用して (上記手順で取得した $cert 変数を使用して) エクスポートできます。

Export-Certificate -Cert $cert -FilePath "$certname.cer"

  • ポータルにアップロードするための .cer ファイルがエクスポートされます

$pwd = ConvertTo-SecureString -String "myPassword" -Force -AsPlainText

Export-PfxCertificate -Cert $cert -FilePath "$certname.pfx"

-Password $pwd

  • 指定したパスワードで保護された .pfx ファイルがエクスポートされますこれには、エンドポイント側で必要になる秘密鍵が含まれています。

証明書は、.pfx ファイルと .cer ファイルを生成後に、現行ユーザの個人ストアから削除される場合があります。

コンソール AAD 条件のサポート

構成には、エンドポイント用の接続情報を提供する、Azure AD テナントの詳細が含まれています。この情報は、Environment Manager の場合は [管理] タブを通じて、Application Control の場合は [グローバル設定] タブを通じて、Performance Manager の場合は [リソースの設定] を通じて入力できます。以下のリンクは、各製品の特定の AAD 機能に関するものです。

Application Control:

Azure Active Directory への接続の作成

グループ ルール

ユーザ ルール

Environment Manager:

Azure Active Directory への接続の作成

Performance Manager:

Azure Active Directory への接続の作成