証明書を利用してConnect-AzureADコマンドレットを実行

皆さんこんにちは。国井です。
以前、PowerShellでAzure ADを使うときにセキュリティの面から

のようなことはやるべきでないと紹介しました。
もし、Connect-AzureADコマンドレットの認証を自動化させたいのであれば
証明書を利用して認証するように構成すると認証プロセスの自動化ができるので
このやり方を今日は紹介します。

アプリの登録の作成

証明書を利用してConnect-AzureADコマンドレットを実行するときに最初にやることは
[アプリの登録]を作成し、サービスプリンシパルをAzure ADの中に作っておくことです。

Azure AD管理センターから[アプリの登録]を新規作成します。Webアプリケーションではないので、名前だけ入力すればOKです(リダイレクトURIの指定は不要です)。
ここでは、アプリの登録の名前を「Graph API」としておきました。
続いてアプリの登録を利用するための証明書を登録します。
(Connect-AzureADコマンドレットではクライアントシークレットは使えません!)
証明書はコマンドレットを実行する予定のコンピューターで以下のコマンドレットを実行し、作成しておいてください。

以上により出来上がったSelfSignedCert.cerファイルを開き、拇印の値を[アプリの登録]-[証明書とシークレット]の[証明書のアップロード]をクリックして、登録してください。

image

サービスプリンシパルの確認

[アプリの登録]から作成したサービスプリンシパルの実体はエンタープライズアプリケーションに作られます。
Azure AD管理センターの[エンタープライズアプリケーション]からGraph APIの名前を付けたエンタープライズアプリケーションにアクセスし、
オブジェクトIDとアプリケーション IDを確認しておいてください。

サービスプリンシパルにユーザー管理者ロールの割り当て

サービスプリンシパルを使ってConnect-AzureADコマンドレットの認証を行った場合、サービスプリンシパルの権限でPowerShellを操作することになるので、
サービスプリンシパルにユーザー管理者ロールを割り当てておく必要があります。ただし、ロールの割り当て画面からはサービスプリンシパルに割り当てができないのでPowerShellから割り当てを行う必要があります。
グローバル管理者で一度、Connect-AzureADコマンドレットで接続し、

以上を実行すれば、サービスプリンシパルにユーザー管理者のロールを割り当てできます。
(※私のテナントではグローバル管理者をユーザー管理者ロールに入れないとコマンドレットが実行できない現象がありました)

いよいよ接続

ここまでで準備は完了です。実行してみましょう。

これでPowerShellでAzure ADを操作できるようになりました。
アプリの登録を使ってAPIアクセスするときはAPIアクセス許可を割り当てて運用しますが、
Connect-AzureADコマンドレットの場合はロールとして何が割り当てられているかでPowerShell内でできることが決まります。
そのため、サービスプリンシパルをロールに割り当てるという作業が必要になるのです。

次回、PowerShellでちょっとしたことを行うのですが、そのときに必要になるテクニックなので、覚えておいてください。

  • このエントリーをはてなブックマークに追加
  • Evernoteに保存Evernoteに保存

コメントをどうぞ

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です

*

このサイトはスパムを低減するために Akismet を使っています。コメントデータの処理方法の詳細はこちらをご覧ください