EntraとAzureの各々における組み込みロール

都度探してしまうので、EntraとAzureの各々における組み込みロールの一覧をメモしておきます。

• Microsoft Entra ビルトイン ロール
  これ以外にも下記のようなカットでロールを見ていくことができます。
• Microsoft Entra ID のタスク別の最小特権ロール
• Azure 組み込みロール
  上記リンクは、もろもろのメニュー的なページになっています。具体的には下記のリストがあります。
• 一般向けの Azure 組み込みロール / 全般
• Compute
• ネットワーク
• Storage
• Web and Mobile
• Containers
• データベース
• 分析
• AI + 機械学習
• モノのインターネット (IoT)
• 複合現実
• 統合
• ID
• セキュリティ
• DevOps
• モニター
• 管理とガバナンス
• ハイブリッドとマルチクラウド

Windows Admin CenterをAzure ADの「アプリの登録」に登録した時の「APIのアクセス許可」が、変わりました。その2

Windows Admin CenterをAzure ADの「アプリの登録」に登録した時の「APIのアクセス許可」が、変わりました。　の続き。

Windows Admin CenterをAzure ADの「アプリの登録」に登録した時の「APIのアクセス許可」が、変わりました。　で確認した時は、Azure Active Directory GraphのAPI許可が存在していました。

Azure Active Directory Graph APIが2023年6月30日に廃止となりましたので、API許可が変化したかを見てみます。

同じ画面を表示してみました。Azure Active Directory GraphのAPI許可はまだあります。

引き続き経過を見ていこうと思います。

Windows Admin Center version 2306のAAD Authentication for Azure Stack HCI

Windows Admin Center version 2306 is now generally available! の AAD Authentication for Azure Stack HCI についてみてみました。でもSSO自体は以前からもできてますけどね。。。

• Windows Admin Center in Azureの有効化（拡張機能の有効化） 

が済んでいる前提で改めて確認しています。

そのうえで、Windows Admin Center Administrator Loginへメンバー追加すれば、Azure Active Directoryのユーザーでも管理できます。このロール割り当ては、Windows Admin Center 2208 PreviewのWindows Admin Center in Azureから、必要になっていました。

ということで、Windows Admin Center version 2306 is now generally available! の AAD Authentication for Azure Stack HCI でリマインドされた、と理解するのが良さそうです。

Windows Server ＆ Cloud User Group Japan 第35回 勉強会セッション動画「Windows Admin Center 2306 Preview：Azureへの登録が正常に行えます」を公開します

セッション動画冒頭へ、Windows Admin Center 2306の一般提供にともなう補足を追加しました。

Windows Server ＆ Cloud User Group Japan 第35回 勉強会資料「Windows Admin Center 2306 Preview：Azureへの登録が正常に行えます」を公開します

Windows Admin Center 2306 Preview：Azureへの登録が正常に行えます

2023/06/25追記　冒頭へ、Windows Admin Center 2306の一般提供にともなう補足を追加しました。

Windows Admin CenterをAzure ADの「アプリの登録」に登録した時の「APIのアクセス許可」が、変わりました。

以前、Windows Admin CenterをAzureに登録していました。その際、Azure ADの「アプリの登録」の「APIのアクセス許可」は、下記の通りでした。

先日リリースされた、Windows Admin Center 2306 Previewから、Windows Admin Centerの登録を行いました。その結果、Windows Admin CenterをAzure ADの「アプリの登録」に登録した際の「APIのアクセス許可」は、下記の通りでした。

以前に作成したアプリの「APIのアクセス許可」と異なり、Azure Active Directory Graphが無くなっています。Azure Active Directory Graph APIが2023年6月30日に廃止予定による変化と考えられます。

Azure Active Directory Graph APIが2023年6月30日に廃止予定による影響が、今後どのようになるのか興味深いです。つまり、以前にAzureへ登録したWACにが、2023年7月になってどういう挙動になるか認したいですね。

• 「APIのアクセス許可」の継続性、すなわちWindows Admin CenterをAzureに登録し続けていられるのか

Windows Admin Centerを登録すると、Azureの「アプリの登録」に出てこない

補足）Windows Admin Center 2306 Previewで、Azureへの登録ができるように治りました。　において、Windows Admin Center 2306 Previewを使うと本事象が解消することを確認しています。

Windows Admin Center含めた手元の環境だけかもしれませんが、表記の事象が出ています。

4月末から本日の6月3日まで試行錯誤した結果として、Windows Admin CenterをAzureに登録すると、「すべてのアプリケーション」に表示されました。

Windows Admin Centerでは、一見、登録が成功したように見えるのですが、Azure ADのアプリケーションとしては存在しない（リンク切れ）といった感じになります。

エンタープライズアプリケーションに表示されているアプリIDのGUIDは、エンタープライズアプリケーションのアプリIdと異なりました。

あとアプリの登録には、存在しませんでした。

Windows Admin Center in Azureの拡張は、リソースグループからも確認できます

通常、Windows Admin Center in Azureの拡張は、リソースグループから見えていません。

「非表示の方の表示」をチェックすると、Windows Admin Center in Azureの拡張は、リソースグループからも確認できますね。

Azure Stack HCIの登録先として、東日本が増えました

登録方法自体は変わりませんが、登録の流れを見てみます。
※再登録するなかで確認しました。

登録を進めます。

登録先リージョンとして、東日本が増えています。

ちなみに、

https://learn.microsoft.com/en-us/windows-server/manage/windows-admin-center/azure/manage-hci-clusters#azure-region-availability

では、カナダ中央、東日本がまだ追記されていません。（本稿は、2023/04/01に書きました）
おってドキュメントも更新されると思われるので、待ちましょう。

追加先のリースグループ（新規作成を選びました）を指定して、登録を開始します。

しばらく待つと完了しました。

Azure Portalからも登録を確認できました。

Windows Admin Center in AzureのAAD認証を試してみます。

Azure AD authentication for Windows Admin Center in Azure is now generally available

AAD認証で、WAC in Azureを開けるようになったということです。

“Windows Admin Center Administrator Login”の役割が割り当てられているのが大前提です。

もう一つ前提があるのですが、後述します。

“Windows Admin Center Administrator Login”の役割が割り当てられているAzure IaaSに対して、つないでみました。

繋がりません。

なぜつながらないのか、Azure Vnetへのルーティングがないからです。
※パブリックIPアドレスで6516ポートが開いている場合（非推奨なポートの開け方ですよ）は、問題無いです。

今回のケースでは、パブリックIPアドレスの6516ポートを開けていないため、Azure Vnet側からWAC in Azureにつなぐ必要がありました。

ということで、Azure Vnetへのルーティングをもっている/Azure VPNのオンプレミス側からつないでみます。

はい、問題無くWAC in Azureにつながりましたね。

Windows Admin Center 2009における「Azure に登録する」

Windows Admin CenterとAzureの連携、すなわちハイブリッドクラウドの管理をWindows Admin Centerから行う際、こちらの方法を真っ先に行う必要があります。

ご注意
Windows Admin Center 2009にて確認しています。Windows Admin Centerが今後バージョンアップされた場合や、Azure PortalのUIが変更された場合は、手順変更となるかもしれませんのでご了承ください。

事前にご用意いただくもの

• Azureサブスクリプション
• Azure Active Directory
  Azure Active DirectoryのテナントIDを事前にご確認いただくと、スムーズに作業できます。
• Azure Active Directoryのアプリ登録権限
  こちらの方法で、Azure Active Directoryへアプリ登録を行います。
  Azure サブスクリプション、Azure Active Directoryの管理特権があるとベストです。
  既定では、一般ユーザーでもAzure Active Directoryへアプリ登録できます。しかしながら、組織の方針によりこちらが無効化されているケースも想定されます。Azure Active Directory内の[ユーザー設定]にある[ユーザーはアプリケーションを登録できる]の設定を事前にご確認ください。

Azure に Windows Admin Center を登録

Windows Admin Centerで、右上の歯車アイコンをクリックし、[Azure]をクリックします。

[登録]をクリックします。

コード欄の文字列をコピーし、[コピー]をクリックします。

※画面例のコード欄とは異なる文字列が表示されます。ご注意ください！

[コードを入力します]をクリックします。
※コードは、毎回変更されます。下記の例で示したコードとは、異なりますのでご注意ください。

先ほどコピーしたコードをコード欄に転記し、[次へ]をクリックします。

Azureにサインイン可能なメールアドレスを入力し、[次へ]をクリックします。

この後、パスワード入力画面に遷移しますので、ご入力をお願いします。

※お使いの認証方法によっては、二要素認証の画面になることもあります。

下記の画面が表示されましたら、ブラウザーのタブを閉じます。

Azure Active DirectoryのテナントIDを選択します。

※Azure PortalのAzure Active Directory画面より、テナントIDを事前にご確認ください。

Azure Active Directory アプリケーションは、[新規作成]を選択し、[接続]をクリックします。

Azure ADに接続できましたら、[サインイン]をクリックします。

Azureに再度サインインします。

[承諾]をクリックします。

Windows Admin Center上で登録できたことを確認します。

[Azureで表示]をクリックします。

[既定のディレクトリに管理者の同意を与えます]をクリックします。
※ここで、[既定のディレクトリに管理者の同意を与えます]がクリックできない場合は、権限不足です。

[はい]をクリックします。

処理が完了したことを確認します。

以上で、Windows Admin CenterをAzureに登録できました。この後、Azure Backupなどを個別に設定できます。