マシンを登録し、Azure ローカルデプロイのアクセス許可を割り当てる

[アーティクル]
2025-05-06

適用対象: Azure Local 2311.2 以降

この記事では、Azure ローカルマシンを登録し、Azure ローカルをデプロイするために必要なアクセス許可を設定する方法について説明します。

前提条件

開始する前に、次の前提条件を満たしていることを確認してください。

Azure ローカルコンピューターの前提条件

お使いの環境の前提条件と完全なデプロイチェックリストを完了します。
Active Directory 環境を準備します。
ソフトウェアをダウンロードし、各マシンに Azure Stack HCI オペレーティングシステムバージョン 23H2 をインストールします。

Azure の前提条件

必要なリソースプロバイダーを登録します。 必要なリソースプロバイダーに対して Azure サブスクリプションが登録されていることを確認します。登録するには、サブスクリプションの所有者または共同作成者である必要があります。管理者に登録を依頼することもできます。

次の PowerShell コマンドを実行して登録します。

Register-AzResourceProvider -ProviderNamespace "Microsoft.HybridCompute" 
Register-AzResourceProvider -ProviderNamespace "Microsoft.GuestConfiguration" 
Register-AzResourceProvider -ProviderNamespace "Microsoft.HybridConnectivity" 
Register-AzResourceProvider -ProviderNamespace "Microsoft.AzureStackHCI" 
Register-AzResourceProvider -ProviderNamespace "Microsoft.Kubernetes" 
Register-AzResourceProvider -ProviderNamespace "Microsoft.KubernetesConfiguration" 
Register-AzResourceProvider -ProviderNamespace "Microsoft.ExtendedLocation" 
Register-AzResourceProvider -ProviderNamespace "Microsoft.ResourceConnector" 
Register-AzResourceProvider -ProviderNamespace "Microsoft.HybridContainerService"
Register-AzResourceProvider -ProviderNamespace "Microsoft.Attestation"
Register-AzResourceProvider -ProviderNamespace "Microsoft.Storage"

注

リソースプロバイダーに Azure サブスクリプションを登録するユーザーと、Arc に Azure ローカルマシンを登録するユーザーは異なることが前提となります。

リソースグループを作成します。手順に従って、マシンを登録するリソースグループを作成します。リソースグループ名と関連付けられているサブスクリプション ID を書き留めます。
テナント ID を取得します。「Azure portal を使用して Microsoft Entra テナントのテナント ID を取得する」の手順に従います。
1. Azure portal で、 Microsoft Entra ID>Properties に移動します。
2. [テナント ID] セクションまで下にスクロールし、後で使用するために テナント ID の 値をコピーします。
アクセス許可を確認します。マシンを Arc リソースとして登録するときは、自分がリソースグループの所有者であるか、マシンがプロビジョニングされているリソースグループに対して次のアクセス許可を持っていることを確認します。
- Azure Connected Machine Onboarding。
- Azure Connected Machine Resource Administrator。
これらのロールがあることを確認するには、Azure portal で次の手順に従います。
1. Azure ローカルデプロイに使用したサブスクリプションに移動します。
2. マシンを登録する予定のリソースグループに移動します。
3. 左側のウィンドウで、 アクセス制御 (IAM) に移動します。
4. 右側のウィンドウで、[ ロールの割り当て] に移動します。 Azure Connected Machine OnboardingロールとAzure Connected Machine Resource Administratorロールが割り当てられていることを確認します。
Azure ポリシーを確認します。次のことを確認してください。
- Azure ポリシーは拡張機能のインストールをブロックしていません。
- Azure ポリシーでは、リソースグループ内の特定のリソースタイプの作成がブロックされません。
- Azure ポリシーにより、特定の場所でのリソースのデプロイがブロックされていません。

Azure Arc にマシンを登録する

重要

クラスター化するすべての Azure ローカルコンピューターで、ローカル管理者としてこれらの手順を実行します。

パラメーターを設定します。スクリプトは次のパラメーターを受け取ります。

パラメーター	説明
`SubscriptionID`	Azure Arc にマシンを登録するために使用されるサブスクリプションの ID。
`TenantID`	Azure Arc にマシンを登録するために使用されるテナント ID。Microsoft Entra ID に移動し、テナント ID プロパティをコピーします。
`ResourceGroup`	マシンの Arc 登録用に事前に作成されたリソースグループ。リソースグループが存在しない場合は作成されます。
`Region`	登録に使用される Azure リージョン。使用できるサポートされているリージョンを参照してください。
`AccountID`	インスタンスを登録してデプロイするユーザー。
`ProxyServer`	省略可能なパラメーター。送信接続に必要な場合のプロキシサーバーアドレス。
`DeviceCode`	`https://microsoft.com/devicelogin` のコンソールに表示されるデバイスコードで、デバイスにサインインするために使用されます。

PowerShell
アウトプット

#Define the subscription where you want to register your machine as Arc device
$Subscription = "YourSubscriptionID"

#Define the resource group where you want to register your machine as Arc device
$RG = "YourResourceGroupName"

#Define the region to use to register your server as Arc device
#Do not use spaces or capital letters when defining region
$Region = "eastus"

#Define the tenant you will use to register your machine as Arc device
$Tenant = "YourTenantID"

#Define the proxy address if your Azure Local deployment accesses the internet via proxy
$ProxyServer = "http://proxyaddress:port"

パラメーターの出力例を次に示します。

PS C:\Users\SetupUser> $Subscription = "<Subscription ID>"
PS C:\Users\SetupUser> $RG = "myashcirg"
PS C:\Users\SetupUser> $Tenant = "<Tenant ID>"
PS C:\Users\SetupUser> $Region = "eastus"
PS C:\Users\SetupUser> $ProxyServer = "<http://proxyserver:tcpPort>"

Azure アカウントに接続し、サブスクリプションを設定します。コンピューターへの接続に使用しているクライアントでブラウザーを開き、次のページを開きます。 https://microsoft.com/devicelogin し、Azure CLI 出力に指定されたコードを入力して認証します。登録用のアクセストークンとアカウント ID を取得します。

PowerShell
アウトプット

#Connect to your Azure account and Subscription
Connect-AzAccount -SubscriptionId $Subscription -TenantId $Tenant -DeviceCode

#Get the Access Token for the registration
$ARMtoken = (Get-AzAccessToken -WarningAction SilentlyContinue).Token

#Get the Account ID for the registration
$id = (Get-AzContext).Account.Id

サブスクリプションと認証を設定するサンプル出力を次に示します。

PS C:\Users\SetupUser> Connect-AzAccount -SubscriptionId $Subscription -TenantId $Tenant -DeviceCode
WARNING: To sign in, use a web browser to open the page https://microsoft.com/devicelogin and enter the code A44KHK5B5
to authenticate.

Account               SubscriptionName      TenantId                Environment
-------               ----------------      --------                ----------- 
guspinto@contoso.com AzureStackHCI_Content  <Tenant ID>             AzureCloud

PS C:\Users\SetupUser> $ARMtoken = (Get-AzAccessToken).Token
PS C:\Users\SetupUser> $id = (Get-AzContext).Account.Id

最後に、Arc 登録スクリプトを実行します。スクリプトの実行には数分かかります。

PowerShell
アウトプット

#Invoke the registration script. Use a supported region.
Invoke-AzStackHciArcInitialization -SubscriptionID $Subscription -ResourceGroup $RG -TenantID $Tenant -Region $Region -Cloud "AzureCloud" -ArmAccessToken $ARMtoken -AccountID $id

プロキシサーバーを使用してインターネットにアクセスする場合は、 -Proxy パラメーターを追加し、スクリプトの実行時に http://<Proxy server FQDN or IP address>:Port 形式でプロキシサーバーを指定する必要があります。

サポートされている Azure リージョンの一覧については、 Azure の要件に関するページを参照してください。

マシンの登録が成功した場合の出力例を次に示します。

PS C:\Users\Administrator> Invoke-AzStackHciArcInitialization -SubscriptionID $Subscription -ResourceGroup $RG -TenantID $Tenant -Region $Region -Cloud "AzureCloud" -ArmAccessToken $ARMtoken -AccountID $id
>>
Configuration saved to: C:\Users\ADMINI~1\AppData\Local\Temp\bootstrap.json
Triggering bootstrap on the device...
Waiting for bootstrap to complete... Current Status: InProgress
=========SNIPPED=========SNIPPED=============
Waiting for bootstrap to complete... Current Status: InProgress
Waiting for bootstrap to complete... Current Status: Succeeded
Bootstrap succeeded.

Triggering bootstrap log collection as a best effort.
Version Response                                                    
------- --------                                                    
V1      Microsoft.Azure.Edge.Bootstrap.ServiceContract.Data.Response
V1      Microsoft.Azure.Edge.Bootstrap.ServiceContract.Data.Response


PS C:\Users\Administrator>

すべてのマシンでスクリプトが正常に完了したら、次の点を確認します。
1. マシンは Arc に登録されています。Azure ポータルに移動し、登録に関連付けられているリソースグループに移動します。マシンは、指定されたリソースグループ内に マシン ( Azure Arc タイプのリソース) として表示されます。

注

Azure ローカルマシンが Azure Arc に登録されると、登録を取り消す唯一の方法は、マシンにオペレーティングシステムを再度インストールすることです。

デプロイに必要なアクセス許可を割り当てる

このセクションでは、Azure portal からデプロイするための Azure アクセス許可を割り当てる方法について説明します。

Azure portal で、マシンの登録に使用するサブスクリプションに移動します。左側のウィンドウで、[ アクセス制御 (IAM)] を選択します。右側のウィンドウで [ + 追加] を選択し、ドロップダウンリストから [ ロールの割り当ての追加] を選択します。
タブを移動して、インスタンスをデプロイするユーザーに次のロールアクセス許可を割り当てます。
- Azure Stack HCI 管理者
- リーダー
Azure portal で、サブスクリプションにマシンを登録するのに使用したリソースグループに移動します。左側のウィンドウで、[ アクセス制御 (IAM)] を選択します。右側のウィンドウで [ + 追加] を選択し、ドロップダウンリストから [ ロールの割り当ての追加] を選択します。
タブを移動して、インスタンスをデプロイするユーザーに次のアクセス許可を割り当てます。
- Key Vault データアクセス管理者: このアクセス許可は、デプロイに使用されるキーコンテナーに対するデータプレーンのアクセス許可を管理するために必要です。
- Key Vault シークレット責任者: このアクセス許可は、デプロイに使用されるキーコンテナー内のシークレットの読み取りと書き込みに必要です。
- Key Vault 共同作成者: このアクセス許可は、デプロイに使用されるキーコンテナーを作成するために必要です。
- ストレージアカウント共同作成者: このアクセス許可は、デプロイに使用されるストレージアカウントを作成するために必要です。
右側のウィンドウで、[ロールの 割り当て] に移動します。デプロイユーザーに構成されたすべてのロールがあることを確認します。
Azure portal で Microsoft Entra ロールと管理者 に移動し、Microsoft Entra テナントレベルで クラウドアプリケーション管理者 ロールのアクセス許可を割り当てます。

注

サービスプリンシパルを作成するには、一時的にクラウドアプリケーション管理者のアクセス許可が必要です。デプロイ後にこのアクセス許可は削除できます。