# Azure VMユーザーアカウント

<figure><img src="https://859776093-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FPL6k1aGsLiFiiJ3Y7zCl%2Fuploads%2FhvDYVZX0EasHe8MyMK2Q%2Fimage.png?alt=media&#x26;token=3a30bb20-d883-4070-bda3-673e6cc06618" alt=""><figcaption></figcaption></figure>

## 概要

本ページでは、KeeperPAMを使用してAzure環境内でAzure仮想マシンのローカルユーザーアカウントとリモートユーザーアカウントをローテーションする方法について取り扱います。Azureの概要については、[こちらのページ](/keeperpam/jp/privileged-access-manager/password-rotation/rotation-use-cases/azure/azure-vm-user-accounts.md)をご参照ください。

## 要件

* [ローテーションのポリシー](/keeperpam/jp/privileged-access-manager/getting-started/enforcement-policies.md)がご利用のロールに対して有効になっていること
* Keeperシークレットマネージャー[アプリケーション](/keeperpam/jp/privileged-access-manager/references/creating-ksm-app-for-rotation.md)が作成済みであること
* [Azure環境](/keeperpam/jp/privileged-access-manager/getting-started/pam-configuration/azure-environment-setup.md)がKeeperのドキュメントに従って設定されていること
* Keeperローテーション[ゲートウェイ](/keeperpam/jp/privileged-access-manager/getting-started/gateways.md)がすでにインストール済みであること
* ゲートウェイが[SSH](/keeperpam/jp/privileged-access-manager/references/setting-up-ssh.md)か[WinRM](/keeperpam/jp/privileged-access-manager/references/setting-up-winrm.md)を使用して対象のAzure仮想マシンと通信できること
* すべてのWindowsマシンで`PowerShell`が、すべてのLinuxマシンで`bash`で利用できること

## 1. PAMマシンレコードのセットアップ

Keeperでは、ゲートウェイマシンまたはネットワーク上の他のマシン上の任意のローカルユーザーアカウントをローテーションできます。PAMマシンレコードは、すべてのマシンに対して作成する必要があります。このPAMマシンレコードには、マシン上のユーザーのパスワードを変更する権限を持つ管理用クレデンシャルが含まれている必要があります。

すべてのマシンに対して**PAMマシン**レコードが作成されたら、ローテーション対象のユーザーアカウントごとに**PAMユーザー**レコードを作成する必要があります。

以下は、PAMマシンレコードの必須フィールドです。

<table><thead><tr><th width="272.0662251655629">フィールド</th><th>説明</th></tr></thead><tbody><tr><td><strong>タイトル</strong></td><td>レコードの名前 (<code>Windows Machine 1</code>など)</td></tr><tr><td><strong>ホスト名またはIPアドレス</strong></td><td>ゲートウェイがアクセスするマシンのホスト名またはIP (例: 10.0.1.4)</td></tr><tr><td><strong>ポート</strong></td><td>通常、WinRMは5985または5986、SSHは22</td></tr><tr><td><strong>PEM秘密鍵</strong></td><td>パスワードを使用しない場合、SSHでは必須</td></tr><tr><td><strong>オペレーティングシステム</strong></td><td>仮想マシンのオペレーティングシステム:<code>Windows</code>または<code>Linux</code></td></tr><tr><td><strong>SSL検証</strong></td><td>WinRMの場合、選択すると、SSLモードポート5986が使用されます。SSHでは無視されます。</td></tr></tbody></table>

## 2. PAM構成を設定 <a href="#managed-directory-services" id="managed-directory-services"></a>

注: 環境に対して既にPAM構成を設定済みの場合は、この手順を省略できます。

最初に以下の項目が完了していることを確認します。

* Keeperシークレットマネージャー[アプリケーション](/keeperpam/jp/secrets-manager/quick-start-guide.md#create-a-secrets-manager-application)が作成済みであること
* Keeperローテーション[ゲートウェイ](/keeperpam/jp/privileged-access-manager/getting-started/gateways.md)がすでにインストールされて動作しており、作成したKeeperシークレットマネージャーアプリケーションにプロビジョニングされていること
* ターゲットマシンごとにPAMマシンレコードが作成されていること

新しいPAM構成を作成する場合は、Keeperボルトにログインし、ボルトの左側のメニューから **\[Secrets Manager]**、**\[PAM構成]** タブの順に選択して、**\[新規構成]** をクリックします。\
\
以下は、**PAM構成**で入力が必要なフィールドとなります。

<table><thead><tr><th width="307.0415473918575">フィールド</th><th>説明</th><th data-hidden></th></tr></thead><tbody><tr><td><strong>タイトル</strong></td><td>設定名 (<code>Azure Demo</code>など)</td><td></td></tr><tr><td><strong>環境</strong></td><td><code>Azure Network</code>を選択</td><td></td></tr><tr><td><strong>ゲートウェイ</strong></td><td>Keeperシークレットマネージャーアプリケーションで構成され、手順1で設定したマシンにネットワークでアクセスできるゲートウェイを選択します。</td><td></td></tr><tr><td><strong>アプリケーションフォルダ</strong></td><td>PAMマシンレコードを含む共有フォルダを選択します。</td><td></td></tr><tr><td><strong>Azure ID</strong></td><td>このAzureインスタンスの固有のID。参考用のため任意のIDを指定できますが、短くすることをお勧めします。<br>例:<code>Azure-prod</code></td><td></td></tr><tr><td><strong>クライアントID</strong></td><td>アプリケーションの登録時にAzure ADによってアプリに割り当てられた固有のアプリケーション (クライアント) ID</td><td></td></tr><tr><td><strong>クライアントシークレット</strong></td><td>Azureアプリケーションのクライアントのクレデンシャルシークレット</td><td></td></tr><tr><td><strong>サブスクリプションID</strong></td><td>Azureサービスを使用するためのサブスクリプション (従量課金制) を識別するUUID</td><td></td></tr><tr><td><strong>テナントID</strong></td><td>Azure Active DirectoryのUUID</td><td></td></tr></tbody></table>

{% hint style="info" %}
PAMネットワーク設定レコードで設定できるフィールドの詳細については、[こちらのページ](/keeperpam/jp/privileged-access-manager/getting-started/pam-configuration.md)をご参照ください。
{% endhint %}

## 3. PAMユーザーレコードを設定

Keeperローテーションは、**PAMマシン**レコードのクレデンシャルを使用して、**PAMユーザー**レコードによって参照されるアカウントのクレデンシャルをローテーションします。

以下の表に、**PAMユーザー**レコードで入力が必要な必須フィールドをすべて一覧で表示します。

<table><thead><tr><th width="221.99493029150824">フィールド</th><th>説明</th></tr></thead><tbody><tr><td><strong>タイトル</strong></td><td>Keeperのレコードタイトル (<code>Local User1)</code></td></tr><tr><td><strong>ログイン</strong></td><td>ローテーションするアカウントの大文字と小文字の区別があるユーザー名。ユーザー名は、次のいずれかの形式にする必要があります。<br><code>domain\username</code> <code>username@domain</code></td></tr><tr><td><strong>パスワード</strong></td><td>アカウントパスワードはオプションです。空白の場合はローテーションで設定されます</td></tr></tbody></table>

## 4. レコードのローテーションを設定

手順3で設定したPAMユーザーのレコードを選択し、そのレコードを編集して **\[パスワードローテーション設定]** を開きます。を開きます。

* 適切なスケジュールとパスワードの複雑さを選択します。
* **\[ローテーション設定]** では、以前に設定した**PAM構成**を使用する必要があります。
* **\[リソースクレデンシャル]** フィールドで、このユーザーのマシン固有の**PAMマシン**管理者のクレデンシャルを選択する必要があります。
* 保存すると、ローテーションボタンが有効になり、必要に応じて、または選択したスケジュールでローテーションできるようになります。

**PAMユーザー**レコードに対する`edit`権限を持つユーザーならだれでも、そのレコードのローテーションを設定できます。

### 参考資料

* [Azure VMでのWinRMの設定](/keeperpam/jp/privileged-access-manager/references/setting-up-winrm.md)

## サービス管理

PAMユーザーとして実行されているWindowsサービスの「log on as」認証情報を自動的に更新し、サービスを再起動することができます。さらに、対象マシン上でそのユーザーとして実行されているスケジュールタスクの認証情報も更新します。

詳しくは、[サービス管理](/keeperpam/jp/privileged-access-manager/password-rotation/service-management.md)のページをご参照ください。


---

# Agent Instructions: Querying This Documentation

If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question.

Perform an HTTP GET request on the current page URL with the `ask` query parameter:

```
GET https://docs.keeper.io/keeperpam/jp/privileged-access-manager/password-rotation/rotation-use-cases/azure/azure-vm-user-accounts.md?ask=<question>
```

The question should be specific, self-contained, and written in natural language.
The response will contain a direct answer to the question and relevant excerpts and sources from the documentation.

Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.