マシンを登録し、Azure Local バージョン 23H2 デプロイのアクセス許可を割り当てる
適用対象: Azure Local バージョン 23H2
この記事では、Azure Local マシンを登録し、Azure Local バージョン 23H2 をデプロイするために必要なアクセス許可を設定する方法について説明します。
前提条件
開始する前に、次の前提条件を満たしていることを確認してください。
Active Directory 環境を準備します。
各マシンに Azure Stack HCI オペレーティング システムバージョン 23H2 をインストールします。
サブスクリプションを必要なリソース プロバイダー (RP) に登録します。 Azure ポータルまたは Azure PowerShell を使用して登録できます。 次のリソース RP を登録するには、サブスクリプションの所有者または共同作成者である必要があります。
- Microsoft.HybridCompute
- Microsoft.GuestConfiguration
- Microsoft.HybridConnectivity
- Microsoft.AzureStackHCI
Note
Azure サブスクリプションをリソース プロバイダーに登録するユーザーが、Azure Local マシンを Arc に登録しているユーザーとは異なる人物であることが前提です。
マシンを Arc リソースとして登録する場合は、マシンがプロビジョニングされたリソース グループに対して次のアクセス許可があることを確認します。
- Azure Connected Machine のオンボード
- Azure Connected Machine のリソース管理者
これらのロールがあることを確認するには、Azure portal で次の手順を実行します。
- Azure ローカル デプロイに使用するサブスクリプションに移動します。
- マシンの登録を計画しているリソース グループに移動します。
- 左側のウィンドウで、 Access Control (IAM) に移動します。
- 右側のウィンドウで、 ロールの割り当てに移動します。 Azure Connected Machine Onboarding azure Connected Machine Resource Administrator ロールが割り当てられていることを確認します。
Azure ポリシーを確認します。 次のことを確認してください。
- Azure ポリシーによって拡張機能のインストールがブロックされることはありません。
- Azure ポリシーは、リソース グループ内の特定のリソースの種類の作成を妨げているわけではありません。
- Azure ポリシーは、特定の場所でのリソースのデプロイをブロックしていません。
マシンを Azure Arc に登録する
重要
クラスター化するすべての Azure ローカル コンピューターで、次の手順を実行します。
パラメーターを設定します。 スクリプトは次のパラメーターを受け取ります。
パラメーター 説明 SubscriptionID
マシンを Azure Arc に登録するために使用するサブスクリプションの ID。 TenantID
マシンを Azure Arc に登録するために使用されるテナント ID。Microsoft Entra ID に移動し、テナント ID プロパティをコピーします。 ResourceGroup
マシンの Arc 登録用に事前に作成されたリソース グループ。 リソース グループが存在しない場合は作成されます。 Region
登録に使用される Azure リージョン。 使用できる サポートされているリージョン を参照してください。 AccountID
インスタンスを登録してデプロイするユーザー。 ProxyServer
省略可能な 型のパラメーターです。 送信接続に必要な場合のプロキシ サーバー アドレス。 DeviceCode
https://microsoft.com/devicelogin
コンソールに表示され、デバイスへのサインインに使用されるデバイス コード。#Define the subscription where you want to register your machine as Arc device $Subscription = "YourSubscriptionID" #Define the resource group where you want to register your machine as Arc device $RG = "YourResourceGroupName" #Define the region to use to register your server as Arc device #Do not use spaces or capital letters when defining region $Region = "eastus" #Define the tenant you will use to register your machine as Arc device $Tenant = "YourTenantID" #Define the proxy address if your Azure Local deployment accesses the internet via proxy $ProxyServer = "http://proxyaddress:port"
Azure アカウントに接続し、サブスクリプションを設定します。 コンピューターへの接続に使用しているクライアントでブラウザーを開き、このページを開く必要があります。
https://microsoft.com/devicelogin
し、Azure CLI 出力に指定されたコードを入力して認証します。 登録のアクセス トークンとアカウント ID を取得します。#Connect to your Azure account and Subscription Connect-AzAccount -SubscriptionId $Subscription -TenantId $Tenant -DeviceCode #Get the Access Token for the registration $ARMtoken = (Get-AzAccessToken).Token #Get the Account ID for the registration $id = (Get-AzContext).Account.Id
最後に、Arc 登録スクリプトを実行します。 スクリプトの実行には数分かかります。
#Invoke the registration script. Use a supported region. Invoke-AzStackHciArcInitialization -SubscriptionID $Subscription -ResourceGroup $RG -TenantID $Tenant -Region $Region -Cloud "AzureCloud" -ArmAccessToken $ARMtoken -AccountID $id -Proxy $ProxyServer
プロキシ サーバー経由でインターネットにアクセスする場合は、
-proxy
パラメーターを渡し、スクリプトの実行時にプロキシ サーバーをhttp://<Proxy server FQDN or IP address>:Port
として指定する必要があります。サポートされている Azure リージョンの一覧については、 Azure の要件を参照してください。
すべてのマシンでスクリプトが正常に完了したら、次のことを確認します。
デプロイに必要なアクセス許可を割り当てる
このセクションでは、Azure portal からデプロイするための Azure アクセス許可を割り当てる方法について説明します。
azure portal で、マシンの登録に使用するサブスクリプションに移動します。 左側のウィンドウで [アクセス制御 (IAM)] を選択します。 右側のウィンドウで + 追加 を選択し、ドロップダウン リストから [ロールの割り当ての追加 選択。
タブを表示し、インスタンスをデプロイするユーザーに次のロールのアクセス許可を割り当てます。
- Azure Stack HCI 管理者
- Reader
Azure portal で、サブスクリプションにマシンを登録するために使用するリソース グループに移動します。 左側のウィンドウで [アクセス制御 (IAM)] を選択します。 右側のウィンドウで + 追加 を選択し、ドロップダウン リストから [ロールの割り当ての追加 選択。
タブを表示し、インスタンスをデプロイするユーザーに次のアクセス許可を割り当てます。
- Key Vault データ アクセス管理者: このアクセス許可は、デプロイに使用されるキー コンテナーに対するデータ プレーンのアクセス許可を管理するために必要です。
- Key Vault シークレット責任者: このアクセス許可は、デプロイに使用されるキー コンテナー内のシークレットの読み取りと書き込みに必要です。
- Key Vault 共同作成者: このアクセス許可は、デプロイに使用するキー コンテナーを作成するために必要です。
- ストレージ アカウント共同作成者: このアクセス許可は、デプロイに使用するストレージ アカウントを作成するために必要です。
右側のウィンドウで、 Role の割り当てに移動します。 デプロイ ユーザーに構成されているすべてのロールがあることを確認します。
Azure portal で Microsoft Entra Roles and Administrators に移動し Microsoft Entra テナント レベルで Cloud アプリケーション管理者 ロールのアクセス許可を割り当てます。
Note
サービス プリンシパルを作成するには、クラウド アプリケーション管理者のアクセス許可が一時的に必要です。 デプロイ後に、このアクセス許可を削除できます。
次のステップ
インスタンスの最初のマシンを設定したら、Azure portal を使用してデプロイする準備ができました。