ラボ 10 - Windows および Linux Virtual Machines に対する Microsoft Entra 認証

- このラボでは Azure Pass が必要です。 手順については、ラボ 00 を参照してください。

ラボのシナリオ

会社は、リモート アクセス用の仮想マシンへのログインに Microsoft Entra ID を使用することを決定しました。 このラボでは、Windows および Linux 仮想マシンに対してこれをセットアップする方法について示します。

予想所要時間: 30 分

演習 1 - Microsoft Entra ID を使用して Azure の Windows Virtual Machines にログインする

タスク 1 - Microsoft Entra ID ログインを有効にして Windows 仮想マシンを作成する

  1. https://portal.azure.com を参照します

  2. [+ リソースの作成] を選択します。

  3. [Marketplace を検索] 検索バーに「Windows 11」と入力して、Enter キーを押します。

  4. [Windows 11] ボックスで、[VM の作成] を選択し、開いたメニューから [Windows 11 Enterprise バージョン 22H2] を選択します。

  5. [基本] タブで次の値を使用して VM を作成します。 | フィールド | 使用する値 | | :– | :– | | サブスクリプション | Azure Pass - スポンサー | | リソース グループ | 新規作成 - rgEntraLogin | | 仮想マシン名 | vmEntraLogin | | リージョン | default | | 可用性のオプション | インフラストラクチャ冗長は必要ありません | | 証券の種類 | Standard | | サイズ | Standard DC1s_v3 - 1 vCPU、8 GiB メモリ | | 管理ユーザー名 | vmEntraAdmin | | 管理者パスワード | ラボ環境から提供されるパスワードを使用するか、覚えておくことができる安全なパスワードを作成します | | ライセンス | ライセンスがあることを確認する |

  6. [ディスク] または [ネットワーク] タブでは何も変更する必要はなく、値を確認できます。

  7. [管理] タブで、[Microsoft Entra ID] セクションの [Microsoft Entra ID でログイン] のチェック ボックスをオンにします。

     NOTE: You will notice that the **System assigned managed identity** under the Identity section is automatically checked and turned grey. This action should happen automatically once you enable Login with Microsoft Entra ID.

  8. [確認と作成] を選択します

  9. [作成] を選択します。

タスク 2 - 既存の Azure Virtual Machines に対して Microsoft Entra ID でログインする

  1. https://portal.azure.com[Virtual Machines] を参照します。

  2. タスク 1 から新しく作成した仮想マシンを選びます。

  3. [アクセス制御 (IAM)] を選択します。

  4. [+ 追加][ロールの割り当ての追加] の順に選択して、[ロールの割り当ての追加] ページを開きます。

  5. 次の設定を割り当てます。
    • 割り当ての種類: 職務権限ロール
    • ロール: 仮想マシンの管理者ログイン
    • メンバー: ユーザー、グループ、またはサービス プリンシパルを選びます。 その後、 [+ メンバーの選択] を使用して、Joni Sherman を VM の特定のユーザーとして追加します。
  6. [確認と割り当て] を選択して、プロセスを完了します

タスク 3 - Microsoft Entra ID ログインをサポートするようにサーバー VM を更新する

  1. [接続] メニューで、[接続] 項目を選択します。

  2. [RDP] タブで、 [RDP ファイルのダウンロード] を選択します。 メッセージが表示されたら、ファイルの [保持] オプションを選びます。 ダウンロード フォルダーに保存されます。

  3. ファイル マネージャーで [ダウンロード] フォルダーを開きます。

  4. RDP を開きます。

  5. 代替ユーザーとしてログインすることを選びます。

  6. 仮想マシンの設定時に作成する管理ユーザー名とパスワードを使用します。
    • メッセージが表示されたら、[はい] と答え、仮想マシンまたは RDP セッションへのアクセスを許可します。

  7. VM が開き、すべてのソフトウェアが読み込まれるのを待ちます。

  8. 仮想マシンで [スタート] ボタンを選択します。

  9. コントロール パネル」と入力し、コントロール パネル アプリを起動します。

  10. 設定のリストから [システムとセキュリティ] を選択します。

  11. [システム] 設定で、 [リモート アクセスの許可] オプションを選択します。

注: [システム] サブメニューを開く必要はありません。 このオプションは、システム ヘッダーの下にあります。

  1. 開いたダイアログ ボックスの下部に、 [リモート デスクトップ] セクションが表示されます。

  2. [ネットワーク レベル認証でリモート デスクトップを実行しているコンピューターからのみ接続を許可する] というラベルのチェックボックスをオフにします。

  3. Apply[OK] の順に選択します。

  4. 仮想マシンの RDP セッションを終了します。

タスク 4 - Microsoft Entra ID ログインをサポートするように RDP ファイルを変更する

  1. ファイル マネージャーで [ダウンロード] フォルダーを開きます。

  2. RDP ファイルのコピーを作成し、ファイル名の末尾に -EntraID を追加します。

  3. メモ帳を使用して、先ほどコピーした RDP ファイルの新しいバージョンを編集します。 これらの 2 行のテキストをファイルの下部に追加します。 
         enablecredsspsupport:i:0
     authentication level:i:2
  4. RDP ファイルを保存します。 これで、次の 2 つのバージョンのファイルが表示されるはずです。
    • «virtual machine name».RDP
    • «virtual machine name»-EntraID.RDP

タスク 5 - Microsoft Entra ID ログインを使って Windows 仮想マシンに接続する

  1. **«virtual machine name»-EntraID.RDP を開きます

  2. ダイアログが開いたら、 [接続] を選択します。

  3. ログインに使用するユーザー アカウントの確認を求めるメッセージではなく、リモート コンピューターに接続するかどうかを確認するメッセージが表示されるはずです。

  4. 画面の下部で、 [はい] を選択します。

  5. リモート デスクトップ セッションが開くはずです。Windows Server ログイン画面が表示されます。 [OK] ボタンがある [その他のユーザー] が表示されるはずです。

  6. [OK] を選択します。

  7. ログイン ダイアログで、次の情報を入力します。
    • ユーザー名 = AzureAD\JoniS@ your domain name
    • パスワード = ラボ プロバイダーによって提供されるパスワードを入力します

    注: JoniS は、タスク 1 で管理者としてログインするアクセス権を付与したユーザーです。

  8. Windows はログインを確認し、通常の画面に開く必要があります。

タスク 6 – Microsoft Entra ID ログインを確認するための省略可能なテスト

  1. JoniS が Administrators グループに追加された唯一のユーザーであることを確認します。

  2. [スタート] ボタンを右クリックし、ポップアップ メニューで [コンピューターの管理] を選びます。

  3. [ローカル ユーザーとグループ] を開いてから、 [グループ]、[Administrators] の順に移動します。

  4. リストに [Azure\JoniSherman….] が表示されるはずです。

  5. 他の Microsoft Entra ID メンバーがログインできるかどうかを確認します。

  6. リモート デスクトップ セッションを終了します。

  7. «server name»-EntraID.RDP ファイルをもう一度起動します。

  8. AdeleV や AlexW、DiegoS などの他の Microsoft Entra ユーザーとしてログインしてみてください。

  9. これらの各ユーザーのアクセスが拒否されていることがわかるはずです。

省略可能な演習 2 - Microsoft Entra ID を使用して Azure の Linux Virtual Machines にログインする

タスク 1 - システム割り当てマネージド ID を使用して Linux VM を作成する

  1. https://portal.azure.com を参照します

  2. [+ リソースの作成] を選択します。

  3. Ubuntu」を検索します。

  4. [Ubuntu Server 22.04 LTS][作成] を選びます。 このテスト ラボには他の Linux サーバーを使うこともできます。

  5. [管理] タブで、チェックボックスをオンにして、[Microsoft Entra ID でログインする] を有効にします。

  6. システム割り当てマネージド ID がオンにされていることを確認します。

  7. 仮想マシンの作成エクスペリエンスの残りの部分に移動します。 このプレビュー期間中は、ユーザー名とパスワードまたは SSH 公開キーで管理者アカウントを作成する必要があります。

タスク 2 - 既存の Azure Virtual Machines に対して Microsoft Entra ID でログインする

  1. https://portal.azure.com[Virtual Machines] を参照します。

  2. [アクセス制御 (IAM)] を選択します。

  3. [追加] > [ロール割り当ての追加] を選択して、[ロール割り当ての追加] ページを開きます。

  4. 次のロールを割り当てます。
    • ロール:仮想マシンの管理者ログインまたは仮想マシンのユーザー ログイン
    • アクセスの割り当て先:ユーザー、グループ、サービス プリンシパル、またはマネージド ID
  5. 詳細な手順については、「Azure portal を使用して Azure ロールを割り当てる」を参照してください。