次の方法で共有

Azure 統合の構成

  • 適用対象: ✅ Windows Admin Center, ✅ Windows Admin Center Preview

Windows Admin Center では、Azure サービスと統合されるいくつかのオプション機能がサポートされています。 Windows Admin Center で使用できる Azure 統合オプションについて説明します。

Windows Admin Center ゲートウェイが Azure と通信して、ゲートウェイ アクセスに Microsoft Entra 認証を利用したり、代わりに Azure リソースを作成したり (たとえば、Azure Site Recovery を使用して Windows Admin Center で管理されている VM を保護したりするには)、まず Windows Admin Center ゲートウェイを Azure に登録する必要があります。 この操作は、Windows Admin Center ゲートウェイに対して 1 回だけ実行する必要があります。この設定は、ゲートウェイを新しいバージョンに更新するときに保持されます。

Azure にゲートウェイを登録する

Windows Admin Center で Azure 統合機能を初めて使用しようとすると、Azure にゲートウェイを登録するように求められます。 Windows Admin Center の [設定] の [ Azure ] タブに移動して、ゲートウェイを登録することもできます。 Windows Admin Center ゲートウェイ管理者のみが Windows Admin Center ゲートウェイを Azure に登録できます。 Windows Admin Center のユーザーと管理者のアクセス許可の詳細について説明します。

ガイド付き製品内の手順では、ディレクトリに Microsoft Entra アプリを作成します。これにより、Windows Admin Center が Azure と通信できるようになります。 自動的に作成された Microsoft Entra アプリを表示するには、Windows Admin Center の設定の [Azure ] タブに移動します。 [Azure での表示] ハイパーリンクを使用すると、Azure portal で Microsoft Entra アプリを表示できます。

作成された Microsoft Entra アプリは、 ゲートウェイへの Microsoft Entra 認証を含む、Windows Admin Center での Azure 統合のすべてのポイントに使用されます。 Windows Admin Center では、ユーザーの代わりに Azure リソースを作成および管理するために必要なアクセス許可が自動的に構成されます。

  • Microsoft Graph
    • Application.Read.All (アプリケーションの全ての読み取り権限)
    • Application.ReadWrite.All
    • Directory.AccessAsUser.All (ディレクトリ.AccessAsUser.All)
    • Directory.Read.All (ディレクトリのすべてを読む)
    • Directory.ReadWrite.All
    • ユーザー.読み取り
  • Azure サービス管理
    • ユーザーなりすまし

Microsoft Entra アプリの手動構成

ゲートウェイ登録プロセス中に Windows Admin Center によって自動的に作成された Microsoft Entra アプリを使用するのではなく、Microsoft Entra アプリを手動で構成する場合は、次の手順に従います。

  1. Microsoft Entra アプリに、上記の必要な API アクセス許可を付与します。 そのためには、Azure portal で Microsoft Entra アプリに移動します。 Azure portal >Microsoft Entra ID>App registrations に移動し>使用する Microsoft Entra アプリを選択します。 次に、[ API のアクセス許可 ] タブに、上記の API アクセス許可を追加します。

  2. Windows Admin Center ゲートウェイの URL を応答 URL (リダイレクト URL とも呼ばれます) に追加します。 Microsoft Entra アプリに移動し、[マニフェスト] に移動 します。 マニフェストで "replyUrlsWithType" キーを検索します。 キー内に、"url" と "type" の 2 つのキーを含むオブジェクトを追加します。キー "url" には、Windows Admin Center ゲートウェイ URL の値を指定し、末尾にワイルドカードを追加する必要があります。 キー "type" キーの値は "Web" である必要があります。例えば:

    "replyUrlsWithType": [
        {
                "url": "http://localhost:6516/*",
                "type": "Single-Page Application"
        }
],

注記

お使いのブラウザーで Microsoft Defender Application Guard が有効になっている場合、Windows Admin Center を Azure に登録したり、Azure にサインインしたりすることはできません。

Azure サインイン エラーのトラブルシューティング

リダイレクト URI が、このアプリケーション用に構成された URI と一致しません

以前のバージョンの Windows Admin Center から Windows Admin Center バージョン 2410 にデータを最近移行した場合、リダイレクト URI が正しく構成されていない可能性があります。 これは、移行ウィザードで Azure 登録手順を完了していない場合に発生する可能性があります。 この構成の誤りは、Windows Admin Center が 一般的な Microsoft ガイダンスに基づいて認証の実行方法を変更したためです。 以前は暗黙的な許可フローを使用していましたが、現在は認可コード フローを使用しています。

シングルページ アプリケーション (SPA) プラットフォームに追加する必要があるリダイレクト URI は 2 つあります。 これらのリダイレクト URI の例を次に示します。

https://myMachineName.___domain.com:6600
https://myMachineName.___domain.com:6600/signin-oidc

この例では、数値は Windows Admin Center のインストールで参照されるポートを参照します。

Windows Admin Center のすべてのリダイレクト URI には、次のものが含まれている必要があります。

  • ゲートウェイ マシンの完全修飾ドメイン名 (FQDN) またはホスト名 (localhost の言及なし)
  • HTTP ではなく HTTPS プレフィックス

リダイレクト URI を再構成する方法について説明します

適切なリダイレクト URI を追加した後は、古い未使用のリダイレクト URI をクリーンアップすることをお勧めします。

シングルページ アプリケーションに対してのみ許可されるクロスオリジン トークンの引き換え

最近 Windows Admin Center インスタンスを新しいバージョンに更新し、ゲートウェイが以前に Azure に登録されている場合は、Azure へのサインイン時に"クロスオリジン トークンの利用は 'シングルページ アプリケーション' クライアントの種類でのみ許可されます" という内容のエラーが発生する可能性があります。 これは、Windows Admin Center が 一般的な Microsoft ガイダンスに基づいて認証の実行方法を変更したために表示されます。 以前は暗黙的な許可フローを使用していましたが、現在は認可コード フローを使用しています。

Windows Admin Center アプリケーションの既存のアプリ登録を引き続き使用する場合は、 Microsoft Entra 管理センター を使用して、登録のリダイレクト URI を Single-Page アプリケーション (SPA) プラットフォームに更新します。 これにより、Proof Key for Code Exchange (PKCE) とクロスオリジン リソース共有 (CORS) を使用して、その登録を使用するアプリケーションの承認コード フローが有効になります。

Web プラットフォーム リダイレクト URI で現在構成されているアプリケーション登録については、次の手順に従います。

  1. Microsoft Entra 管理センターにサインインします。
  2. [Identity > Applications > App registrations] に移動し、アプリケーションを選択し、[認証] を選択します。
  3. [リダイレクト URI] の [Web プラットフォーム] タイルで、URI を移行する必要があることを示す警告バナーを選択します。 URI の移行を示す Web プラットフォーム タイルの下の警告バナーのスクリーンショット。
  4. アプリケーションのリダイレクト URI を選択し、[ 構成] を選択します。 これらのリダイレクト URI が シングルページ アプリケーション プラットフォーム タイルに表示され、承認コード フローでの CORS のサポートと、これらの URI に対する PKCE が有効であることが示されます。 [移行 URI] の選択ページのスクリーンショット。

既存の URI を更新する代わりに、ゲートウェイで新しいアプリケーションの登録を作成することもできます。 ゲートウェイ登録フローを通じて Windows Admin Center 用に新しく作成されたアプリの登録により、シングルページ アプリケーション プラットフォームのリダイレクト URI を作成します。

認証コード フローを使用するようにアプリケーションの登録のリダイレクト URI を移行できない場合は、既存のアプリケーション登録をそのまま引き続き使用できます。 そのためには、Windows Admin Center ゲートウェイの登録を解除し、同じアプリケーション登録 ID で再登録する必要があります。

更新情報

Twitter でフォローする

ブログを読む