Azure VMにはAzure ADアカウントでログイン出来る機能があります。
わざわざローカルアカウントを管理しなくて済むので運用が楽になります。
また、VMに対してログイン出来るAzure ADアカウントも制御出来るます。
今回はWindows OSのVMにAzure ADアカウントでログインする方法を紹介します。
1.前提条件
VMの設定で、下記の値を有効にします。
- ID
- Azure AD
VM作成については下記をご参照ください。
AzureでWindows 10のVMを作成する
ただ、上記の設定を有効にするだけでは下記のエラーが出てログイン出来ません。
使用しようとしているサインイン方法は許可されていません。別のサインイン方法を試すか、システム管理者に連絡してください。
日本語化してない英語OSの場合は下記のメッセージが表示されます。
The sign-in method you’re trying to use isn’t allowed. Try a different sign-in method or contact your system administrator.
2.VMログインのロール割り当て
VM設定の「Azure AD」の項目に記載されている通り、Azure ADアカウントでログインするにはVMに対してRBACロールの割り当てが必要です。
1.対象VMの「アクセス制御(IAM)」-「追加」-「ロールの割り当ての追加」をクリックします。
2下記の通り設定し、ロールを割り当てるユーザーを選択し、「保存」をクリックします。
| 項目 | 値 |
|---|---|
| 役割 | 仮想マシンのユーザーログイン or 仮想マシンの管理者ログイン |
| アクセスの割り当て先 | ユーザー、グループ、またはサービスプリンシパル |
3.ロールが割り当てられたことを確認します。
4.Azure ADアカウントを下記の通り指定し、VMに接続出来ることを確認します。
azuread\xxxxx@xxxxx.com
3.MFAの無効化
もしVMにロールを割り当てた後も接続出来ない場合、MFAによって接続出来ない可能性があるため、VM接続時にMFAが求められないようにします。
Azure Active Directory 認証を使用して Azure 内の Windows 仮想マシンにログインする
https://docs.microsoft.com/ja-jp/azure/active-directory/devices/howto-vm-sign-in-azure-ad-windows#troubleshoot
例として、条件付きアクセスでMFAを構成している場合は、「Azure Windows VM Sign-In」アプリをポリシーの対象外にします。
Azure VMにAzure ADアカウントでログインする方法は以上です。
コメント