要は自分で構築したVMに、会社MSアカウントでログインできるようにする、ということです。
結論としては公式の手順通りでOKでした。
Azure AD を使用して Azure の Windows 仮想マシンにログインする - Microsoft Entra | Microsoft Learn
情シスなどへの相談も不要で、自分のアカウントで閉じて設定できました。 自身の作業メモです。
背景
Windows VMはRDPを直接パブリックIPに開放する必要があり、結構抵抗があります。 Bastionという選択肢もありますがちょっとVM借りたいくらいで導入するのは、どうしても割高だと感じています。
前提
- Azureのアカウントは会社のアカウントで会社のディレクトリに所属している。(大企業はだいたいそうなっている気がする。)
- ログイン元のPCは、同じADに所属している。
手順
AzureのVirtual Machinesで、[Azure AD でログインする]にチェックを入れてWindows VMを構築する。
Azure Cloud Shellを使って、Azure AD ログイン VM 拡張機能をインストールする。インストールは以下でOK。shellはBashでもPowershellでもよさそう。
az vm extension set \ --publisher Microsoft.Azure.ActiveDirectory \ --name AADLoginForWindows \ --resource-group <myResourceGroup> \ --vm-name <myVM>
<myResourceGroup>と<myVM>はインストールしたいVMのものを指定する。
- Azure portalで対象VMを開き、[アクセス制御(IAM)]から、[ロールの割り当ての追加]を選択。ロールの一覧から[仮想マシンの管理者ログイン]または[仮想マシンのユーザー ログイン]を用途に応じて選択して[次へ]移動する。アクセスの割り当て先は[ユーザ、グループ、サービスプリンシパル]のままにして、[+ メンバーを選択する]からAzure ADでのログインを許可したいメンバーを選択する。誤って選択しないように注意。 選択したら割り当てまで済ませる。
ロールは、割り当てるユーザ(Azure ADでのログインを許可する人)によってによって分けることもできそう。
自分の場合は、以上の設定でOKでした。環境によっては異なる可能性もあります。
