Azure

Shisho Cloud と Azure を連携することで、Entra ID テナント及び Azure サブスクリプションのセキュリティスキャンが実施できます。 この連携は以下の 5 ステップで行えます:

1. 対象の Entra ID に Shisho Cloud が利用できる App Registration を作成する。
2. API の許可を追加する。
3. 関連する Federated Credential を作成する。
4. 登録した App Registration に、Azure のサブスクリプションの権限を付与する。
5. 作成した App Registration 等の情報を Shisho Cloud に登録する。

info

Shisho Cloud は Azure アプリケーションの静的なキーを使用しません。 その代わりに、Federated Credentials により、短命の認証情報を適宜発行しながら Azure にアクセスします。

App Registration の作成

以下の手順を実行してください。

1. Azure Portal 内「Microsoft Entra ID」 を開く。
2. アプリの登録 をクリックする。
3. 新規登録 をクリックする。
4. 任意のアプリケーション名（例: shisho-cloud）を入力する。
5. サポートされているアカウントの種類 に この組織ディレクトリのみに含まれるアカウント を選択する。
6. 「登録」をクリックする。

API の許可

以下の手順を実行してください。

1. 作成したアプリケーションのページで、API の許可 をクリックする。
2. アクセス許可の追加 から、以下の要領で API の許可を追加する。
   • アクセス許可の種類: アプリケーションの許可
   • アクセス許可する API（Microsoft Graph）
     • Directory.Read.All
     • Group.Read.All
     • Policy.Read.All
     • User.Read.All
3. （テナント名）に管理者の同意を与えます を押下し、API 利用に管理者として同意を与える。
4. 上述の各 API の状態が 承認済み になっていることを確認する。

Federated Credential の作成

以下の手順を実行してください。

1. 作成したアプリケーションのページで、証明書とシークレット をクリックする。
2. フェデレーション資格情報 をクリックする。
3. 資格情報の追加 をクリックする。
4. フェデレーション資格情報のシナリオ に その他の発行者 を選択する。
5. 以下の要領で資格情報を作成する。
   • 発行者: https://tokens.cloud.shisho.dev
   • Type: Explicit subject identifier
   • 値: job:<Shisho Cloud 組織名>:default (例: job:your-organization-id:default)
   • 名前: 任意（例: shisho-cloud）
   • 説明: 任意
6. 作成した資格情報を選択する。
7. 資格情報の追加 をクリックする。

サブスクリプションへの権限の付与

Shisho Cloud で検査したいサブスクリプションや、それを含むリソースグループ、管理グループ等に対して、以下のロールを割り当ててください。

• セキュリティ閲覧者

割当方法は Azure 公式ドキュメント で確認できます。

Shisho Cloud は、自身がアプリケーションを通して閲覧できる全てのサブスクリプションに対して、設定データの取得・評価を実行します。

連携の登録

「歯車マーク ⚙ > 連携（Integrations）」画面に表示されているカード「Azure」の「設定」ボタンを押下し、画面の指示に従いながら情報を入力してください。

必要な情報は作成したアプリケーションのページ内に表示されています。