アクティブなAzureアカウントおよび1つ以上のAzureテナントを使用して、DRAを構成することでAzure Active Directoryと連携し、ユーザオブジェクトとグループオブジェクトを管理できます。これらのオブジェクトには、Azureで作成されたユーザおよびグループ、DRA管理対象ドメインからのAzureテナントと同期されたユーザおよびグループなどが含まれます。
Azureタスクを管理するには、Azure PowerShellモジュール、Azure Active Directory、およびAzure Resource Manager Profile (Azureリソースマネージャプロファイル)が必要です。Azure Active Directoryのアカウントも必要です。Azureテナントアクセスアカウントの許可の詳細については、「最小特権DRAアクセスアカウント」を参照してください。
重要:[作成]、[変更]、[削除]、[無効化]、[有効化]などのAzureオブジェクトの操作は、Delegation and Configuration Console (委任および環境設定コンソール)ではサポートされません。
DRA管理者または委任された役割[Configure Servers and Domains]を持つアシスタント管理者を使用してAzureテナントを管理でき、Azureオブジェクトを管理するには、Azureビルトインの役割が必要です。
Azureオブジェクトを委任するには、次のAzureの役割を割り当てます。
Azure Group Administration (Azureグループ管理): AzureグループおよびAzureグループのメンバーシップを管理するために必要なすべての権限を提供します。
Azure User Administration (Azureユーザ管理): Azureユーザを管理するために必要な権限がすべて用意されています。
次の権限を使用して、Azureユーザおよびグループの作成および管理を委任します。
Azure User Account Powers (Azureユーザアカウント権限):
Azureユーザの作成およびすべてのプロパティの変更
Azureユーザアカウントの完全削除
Azureユーザのサインインの管理
Azureテナントと同期されるAzureユーザのサインインの管理
すべてのAzureユーザプロパティの変更
Azureユーザアカウントのパスワードのリセット
すべてのAzureユーザプロパティの表示
Azure Group Powers (Azureグループの権限):
Azureグループへのオブジェクトの追加
Azureグループの作成およびすべてのプロパティの変更
Azureグループアカウントの削除
すべてのAzureグループのプロパティの変更
Azureグループからオブジェクトの削除
すべてのAzureグループプロパティの表示
Azureユーザまたはグループの詳細なレベルのプロパティを管理するには、特定のオブジェクト属性を選択することでカスタム権限を作成します。
次のAzureグループタイプがサポートされています。
配布リスト
メールが有効なセキュリティ
Office 365
セキュリティ
メモ:Azureで作成されたゲストユーザはサポートされません。
新規のAzureテナントを管理するには、Delegation and Configuration Console (委任および環境設定コンソール)でAzureアプリケーションを完了して新しいテナントを追加します。DRAは、オンラインとオフラインの両方でのAzureアプリケーションの作成をサポートしています。また、テナント内のオブジェクトを管理するために、次の権限を持つAzureアプリケーションが必要です。
すべてのユーザのフルプロファイルの読み込みおよび書き込み
すべてのグループの読み取りおよび書き込み
ディレクトリデータの読み込み
これらの許可は、オンラインとオフラインのどちらの方法でも、Azureアプリケーションに自動的に付与されます。
オンラインでAzureアプリケーションを作成し、テナントを追加するには、次のようにします。
Delegation and Configuration Console (委任および環境設定コンソール)で、[Configuration Management (環境設定管理)] > [Azureテナント]に移動します。
[Azureテナント]を右クリックして、[New Azure Tenant (新しいAzureテナント)]を選択します。
(オプション)同期時にActive DirectoryオブジェクトをAzureにマッピングするために使用するソースアンカー属性を指定します。
Azureテナントへのアクセスに使用するアカウントを指定し、資格情報を検証します。
Azureテナントアクセスアカウントの許可の詳細については、「最小特権DRAアクセスアカウント」を参照してください。
[Allow DRA to create the Azure application (DRAにAzureアプリケーションの作成を許可する)]オプションを選択します。
Azure AD Company Administrator (Azure AD会社の管理者)の役割を持つユーザアカウントのl資格情報を指定し、資格情報を検証します。
[完了]をクリックします。
Azureテナントを追加するには数分かかることがあります。テナントが正常に追加されると、DRAはテナントに対する完全なアカウントキャッシュの更新を実行し、追加されたテナントは[Azureテナントビュー]ペインに表示されます。
DRA用にオフラインでAzureアプリケーションを作成して、テナントを追加するには、次のようにします。
Delegation and Configuration Console (委任および環境設定コンソール)で、[Configuration Management (環境設定管理)] > [Azureテナント]に移動します。
[Azureテナント]を右クリックして、[New Azure Tenant (新しいAzureテナント)]を選択します。
(オプション)同期時にActive DirectoryオブジェクトをAzureにマッピングするために使用するソースアンカー属性を指定します。
Azureテナントへのアクセスに使用するアカウントを指定し、資格情報を検証します。
[Create the Azure application offline (オフラインでAzureアプリケーションを作成)]オプションを選択します。
DRA管理サーバでPowerShellセッションを起動し、[C:\Program Files (x86)\NetIQ\DRA\SupportingFiles]に移動します。
. .\NewDraAzureApplication.ps1を実行し、PowerShellをロードします。
New-DRAAzureApplicationcmdletを実行して、パラメータを要求するプロンプトを表示します。
New-DraAzureApplicationについて、次のパラメータを指定します。
<name>-テナントウィザードのアプリケーション名。
重要:Micro Focusでは、DRAコンソールで指定された名前を使用することをお勧めします。
(オプション)<environment>-使用しているテナントに応じて、AzureCloud、AzureChinaCloud、AzureGermanyCloud、またはAzureUSGovernmentを指定します。
[資格情報]ダイアログでは、会社の管理者の資格情報を指定します。
AzureアプリケーションIDとパスワードが生成されます。
アプリケーションIDとパスワードをDRAコンソール(テナントウィザードのDRA Azure Application Credentials (DRA Azureアプリケーションの資格情報))にコピーして、資格情報を検証します。
[完了]をクリックします。
Azureテナントを追加するには数分かかることがあります。テナントが正常に追加されると、DRAはテナントに対する完全なアカウントキャッシュの更新を実行し、次に[Azureテナントビュー]ペインに追加されたテナントが表示されます。
オンラインまたはオフラインのいずれでも、必要に応じてAzureパスワードをリセットする必要がある場合は、次の手順に従います。
Azure資格情報を使用してDRAのAzureアプリケーションパスワードをリセットするには、次のようにします。
Delegation and Configuration Console (委任および環境設定コンソール)で、[Configuration Management (環境設定管理)] > [Azureテナント]に移動します。
管理対象のAzureテナントを右クリックして、[プロパティ]を選択します。
[プロパティ]ページで[Azure Application (Azureアプリケーション)]をクリックします。
[Allow DRA to reset the password using your Azure Credentials (DRAにAzure資格情報を使用してパスワードをリセットすることを許可する)]オプションを選択して、Azure資格情報を指定します。
変更を適用します。
DRAオフラインのAzureアプリケーションパスワードをリセットするには、次のようにします。
DRA管理サーバでPowerShellセッションを起動し、C:\Program Files (x86)\NetIQ\DRA\SupportingFilesに移動します。
. .\ResetDraAzureApplicationPassword.ps1を実行し、PowerShellをロードします。
. .\ResetDraAzureApplicationPassword cmdletを実行し、パラメータをプロンプトします。
Reset-DRAAzureApplicationPasswordに次のパラメータを指定します。
<name>-テナントウィザードのアプリケーション名。
重要:Micro Focusでは、DRAコンソールで指定された名前を使用することをお勧めします。
(オプション)<environment>-使用しているテナントに応じて、AzureCloud、AzureChinaCloud、AzureGermanyCloud、またはAzureUSGovernmentを指定します。
[資格情報]ダイアログボックスで、会社の管理者の資格情報を指定します。
AzureアプリケーションIDとパスワードが生成されます。
アプリケーションIDとパスワードをDRAコンソール(テナントウィザードのDRA Azure Application Credentials (DRA Azureアプリケーションの資格情報))にコピーして、資格情報を検証します。
Delegation and Configuration Console (委任および環境設定コンソール)を開き、[Configuration Management (環境設定管理)] > [Azureテナント]に移動します。
Azureテナントを右クリックし、[プロパティ] > [Azureアプリケーション]の順にクリックします。
与えられたスクリプトのオプションを使用して[Reset the password offline (オフラインでパスワードをリセットする)]を選択し、スクリプトから生成されたAzureアプリケーションのパスワードを貼り付けます。
変更を適用します