Azure Automation アカウントの認証の概要

重要

Azure Automation 実行アカウント (クラシック実行アカウントを含む) は 2023 年 9 月 30 日に廃止され、マネージド ID に置き換えられました。 Azure portal を通じて実行アカウントを作成または更新することはできなくなります。 詳細については、既存の実行アカウントからマネージド ID への移行に関する記事を参照してください。

Azure Automation を使用すると、Azure 内のリソース、オンプレミスのリソース、Amazon Web Services (AWS) などの他のクラウド プロバイダーのリソースに対するタスクを自動化できます。 タスクの自動化には Runbook を使用できるほか、Azure 以外で管理する必要があるビジネスや運用プロセスがあれば Hybrid Runbook Worker を使用することもできます。 どの環境においても、必要な最低限の権限だけで操作対象のリソースに安全にアクセスするためのアクセス許可が必要です。

この記事では、Azure Automation でサポートされる認証シナリオを紹介すると共に、基本的な取り組み方を管理対象の環境ごとに説明します。

Automation アカウント

Azure Automation を初めて開始するときに、少なくとも 1 つの Automation アカウントを作成する必要があります。 Automation アカウントを使用すると、他のアカウントのリソースから Automation のリソース、Runbook、資産、構成を分離できます。 Automation アカウントを使用して、リソースを個別の論理環境または委任された役割に分けることができます。 たとえば、開発環境用、本番環境用、オンプレミス環境用に、それぞれ異なるアカウントを使用できます。 または、Update Management を使用して、すべてのコンピューターでオペレーティング システムの更新プログラムを管理するように 1 つの Automation アカウントを専用にすることもできます。

Azure Automation アカウントは、Microsoft アカウントや、Azure サブスクリプションで作成されたアカウントとは異なります。 Automation アカウントの作成の概要については、「Automation アカウントを作成する」を参照してください。

Automation リソース

各 Automation アカウントの Automation リソースは単一の Azure リージョンと関連付けられていますが、Azure サブスクリプション内のリソースはすべて Automation アカウントで管理することができます。 異なるリージョンで Automation アカウントを作成する主な理由としては、特定のリージョンに分離しなければならないデータやリソースを必要とするポリシーがある場合が挙げられます。

Azure Automation で Azure Resource Manager と PowerShell コマンドレットを使用してリソースに対して作成するすべてのタスクは、Microsoft Entra の組織 ID 資格情報に基づく認証を使用して、Azure に対する認証を行う必要があります。

マネージド ID

Microsoft Entra ID のマネージド ID により、Runbook は、Microsoft Entra で保護された他のリソースに簡単にアクセスすることができます。 ID は Azure プラットフォームによって管理され、シークレットをプロビジョニングまたはローテーションする必要はありません。 Microsoft Entra ID のマネージド ID の詳細については、「Azure リソースのマネージド ID」を参照してください。

マネージド ID は、Runbook で認証を行うための推奨される方法であり、Automation アカウントの既定の認証方法です。

以下に、マネージド ID を使用するベネフィットをいくつか紹介します。

• Automation 実行アカウントの代わりにマネージド ID を使用すると、管理が簡単になる。

• マネージド ID の使用に関して追加コストは一切かからない。

• Runbook コードで実行接続オブジェクトを指定する必要がない。 証明書や接続などを作成せずに、Runbook から Automation アカウントのマネージド ID を使用してリソースにアクセスできます。

Automation アカウントは、次の 2 種類のマネージド ID を使用して認証できます。

• システム割り当て ID はアプリケーションに関連付けられているため、アプリが削除されると削除されます。 アプリは 1 つのシステム割り当て ID しか持つことはできません。

• ユーザー割り当て ID は、アプリに割り当てることができるスタンドアロン Azure リソースです。 アプリは複数のユーザー割り当て ID を持つことができます。

Note

ユーザー割り当て ID がサポートされているのはクラウド ジョブの場合だけです。 さまざまなマネージド ID の詳細については、「ID の種類の管理」を参照してください。

マネージド ID の使用の詳細については、Azure Automation のマネージド ID の有効化に関するページを参照してください。

サブスクリプションのアクセス許可

Microsoft.Authorization/*/Write アクセス許可が必要です。 このアクセス許可は、次のいずれかの Azure に搭載されたロールのメンバーシップを通じて取得されます。

• 所有者
• User Access Administrator

クラシック サブスクリプション アクセス許可の詳細については、「Azure の従来のサブスクリプション管理者」を参照してください。

Microsoft Entra アクセス許可

サービス プリンシパルを更新するには、次のいずれかの Microsoft Entra 組み込みロールのメンバーになる必要があります。

• アプリケーション管理者
• アプリケーション開発者

メンバーシップは、テナント内のすべてのユーザーにディレクトリ レベルで割り当てることができます。これが既定の動作です。 メンバーシップをどちらのロールにも、ディレクトリ レベルで付与できます。 詳細については、「Microsoft Entra インスタンスにアプリケーションを追加する権限のあるユーザー」を参照してください。

Automation アカウントのアクセス許可

Automation アカウントを更新するには、次のいずれかの Automation アカウント ロールのメンバーになる必要があります。

• [所有者]
• Contributor

Azure Resource Manager とクラシック デプロイ モデルの詳細については、Azure Resource Manager とクラシック デプロイの比較に関するページを参照してください。

Note

Azure Cloud Solution Provider (CSP) サブスクリプションでは、Azure Resource Manager モデルのみがサポートされます。 Azure Resource Manager 以外のサービスは、プログラムでは使用できません。 CSP サブスクリプションを使用する場合、Azure クラシック実行アカウントは作成されませんが、Azure 実行アカウントは作成されます。 CSP サブスクリプションの詳細については、CSP サブスクリプションで利用可能なサービスに関するページを参照してください。

ロールベースのアクセス制御

ロールベースのアクセス制御は、Microsoft Entra ユーザー アカウントおよび実行アカウントに対して許可されたアクションを付与し、そのサービス プリンシパルを認証するために、Azure Resource Manager で使用できます。 Automation アクセス許可を管理するためのモデルの開発に役立つ詳細については、「Azure Automation におけるロールベースのアクセス制御」を参照してください。

リソース グループのアクセス許可の割り当てに対して厳密なセキュリティ制御がある場合は、実行アカウントのメンバーシップをリソース グループの共同作成者ロールに割り当てる必要があります。

Note

Log Analytics 共同作成者ロールを利用して Automation ジョブを実行しないことをお勧めします。 代わりに、Azure Automation 共同作成者カスタム ロールを作成し、Automation アカウント関連のアクションに利用してください。

Hybrid Runbook Worker を使用した Runbook の認証

データセンター内の Hybrid Runbook Worker で、または AWS などの他のクラウド環境内にあるコンピューティング サービスに対して実行される Runbook は、Runbook が Azure のリソースを認証するために通常使用される方法と同じものを使用することはできません。 これは、これらのリソースは Azure の外部で実行しており、そのため、ローカルにアクセスするリソースに対する認証を行うには Automation で定義されている個別のセキュリティ資格情報を必要とするためです。 runbook worker を使用した Runbook の認証について詳しくは、「Hybrid Runbook Worker での Runbook の実行」を参照してください。

Azure VM 上で Hybrid Runbook Worker を使用する Runbook の場合は、実行アカウントの代わりにマネージド ID による Runbook の認証を使用して Azure リソースに対して認証できます。

次のステップ

• Azure portal からの Automation アカウントの作成については、「スタンドアロン Azure Automation アカウントを作成する」を参照してください。
• テンプレートを使用してアカウントを作成したい場合は、「Azure Resource Manager テンプレートを使用して Automation アカウントを作成する」を参照してください。
• アマゾン ウェブ サービスを使用した認証については、アマゾン ウェブ サービスによる Runbook の認証に関するページを参照してください。
• Azure リソースのマネージド ID 機能をサポートする Azure サービスの一覧については、「Services that support managed identities for Azure resources (Azure リソースのマネージド ID をサポートするサービス)」を参照してください。