circle-info
この記事は自動的に翻訳されています。翻訳には不正確な表現が含まれる場合があります。
英語の原文はこちらをご覧ください。chevron-right
search

Key VaultのRBAC移行

Microsoft は、API バージョン 2026‑02‑01から、新しい Key Vault すべての既定のアクセス制御モデルとして Azure RBAC に移行しています。詳細は こちらarrow-up-right.

RBAC が厳密に必須というわけではなく、 既存のアクセス ポリシーを使用している Key Vault は従来どおり動作し続けることができますが、 新しい API にアップグレードした後に新しい Key Vault を作成するテナントは、アクセス ポリシーが明示的に構成されていない限り、既定で RBAC を使用するようになります。

Microsoft が Key Vault のアクセス ポリシーを廃止した場合に備えて設定を将来対応させるためにも、Microsoft Entra ID と整合したより統一的でスケーラブルな権限モデルを提供する RBAC へ移行することを検討するのは良い考えです。

hashtag
移行ガイド

circle-exclamation

続行する前にダウンタイムを考慮してください。権限が正常に移行されるまで、SCEPman は証明書の発行や検証ができなくなります。

1

hashtag
SCEPman の Key Vault に移動します

Azure > Key Vaults > に移動します あなたの SCEPman Key Vault

2

hashtag
既存のアクセス ポリシーを確認します

に移動します アクセス ポリシー そして、下の SCEPman のアクセス ポリシーを記録します アプリケーション. SCEPman のアクセス ポリシーは、SCEPman App Service(およびジオ冗長化された SCEPman App Service)が持つのと同じ名前であるべきです。

ユーザー ユーザーのアクセス ポリシーは SCEPman の機能に影響しないため移行する必要はありません。引き続きアクセスが必要なユーザーについては、アクセス ポリシーを確認し、次の表に基づいて Azure ロールへ移行してください: https://learn.microsoft.com/en-us/azure/key-vault/general/rbac-migration?tabs=cli#access-policy-templates-to-azure-roles-mappingarrow-up-right

3

hashtag
権限モデルを変更する

権限モデルを次から変更します Vault のアクセス ポリシーAzure のロールベースのアクセス制御

を押すと 適用 SCEPman インスタンスは Azure ロールが割り当てられるまで Key Vault から切断されます。以前のアクセス ポリシーも削除されます。

4

hashtag
Azure ロールを割り当てる

アクセス制御 (IAM) に移動し、次のロールを SCEPman の マネージド ID (およびジオ冗長化された SCEPman App Service)のために割り当てます:

  • Key Vault Certificates Officer

  • Key Vault Crypto Officer

  • Key Vault Secrets User

ロールは 1 回に 1 つずつ割り当てる必要がありますが、複数の ID を 1 つのロールに割り当てることは可能です。

Certificate Master のマネージド ID(名前に -cm が含まれるもの) Key Vault へのアクセスを必要としません。

5

hashtag
Key Vault の接続を確認する

SCEPman App Service を再起動し、SCEPman ホームページに移動して Key Vault が接続されていることを確認してください。

最終更新

役に立ちましたか?