Azure リソースは、ユーザー割り当てマネージド ID を使用してクラウド サービスに対して認証できます。 このプロセスは Azure Key Vault の使用に似ていますが、資格情報をコードに格納する必要はありません。 これらの種類のマネージド ID はスタンドアロンの Azure リソースとして作成でき、独自のライフサイクルがあります。 仮想マシン (VM) などの 1 つのリソースは、複数のユーザー割り当てマネージド ID を利用できます。 同様に、複数のリソースで 1 つのユーザー割り当てマネージド ID を共有できます。
ID を作成し、マネージド DevOps プールに登録する
マネージド ID は、Azure DevOps 組織と同じ Microsoft Entra ディレクトリに存在する必要があります。
- Azure portal で現在のディレクトリを表示します。
-
Azure DevOps 組織のディレクトリを表示します。 Azure DevOps ポータルでこのページに直接移動するには、独自の情報 (
https://dev.azure.com/<your-organization>/_settings/organizationAad) を使用してこのサンプル URL を変更します。
2 つのディレクトリが一致しない場合、または Azure DevOps 組織が Microsoft Entra に接続されていない場合は、「 組織を Microsoft Entra ID に接続する」の手順に従います。 Azure サブスクリプションで使用されているのと同じディレクトリに接続します。
Azure portal でマネージド ID を検索します。 使用可能なオプションから [マネージド ID] を 選択し、[ 作成] を選択します。 前のセクションで指定したテナントにログインしていることを確認します。 そうでない場合は、そのテナントにアクセスできる Azure アカウントに切り替えるか、Azure DevOps 組織のテナントを切り替える必要があります。 検索バーで Microsoft Entra ID を検索することで、現在のテナント ID を表示できます。 Azure portal の左上にあるポータル メニューを使用して、Microsoft Entra ID オプションに移動することもできます。
![マネージド ID の [作成] ボタンを示すスクリーンショット。](media/prerequisites/create-identity-button.png?view=azure-devops)
[サブスクリプション]、[リソース グループ]、[リージョン]、[名前] で必要なオプションを選択し、[確認と作成] を選択します。
![[ユーザー割り当てマネージド ID の作成] ウィンドウを示すスクリーンショット。](media/prerequisites/create-identity.png?view=azure-devops)
確認ウィンドウで、[作成] を選択して ID を 作成します。
Azure portal でプールに移動し、 設定>Identity>Add を選択します。
サブスクリプションを選択します。 一覧からマネージド ID を選択し、[ 追加] を選択します。
![[ID の追加] ウィンドウを示すスクリーンショット。](media/configure-identity/add-identity.png?view=azure-devops)
Azure Key Vault との統合
マネージド DevOps プールを使用して、エージェントのプロビジョニング中に Azure Key Vault インスタンスから証明書をフェッチできます。 証明書は、Azure DevOps パイプラインを実行する時点までにマシンに既に存在します。 この機能を使用するには、前の例に示すように ID をプールに追加し、その ID に Key Vault シークレット ユーザー ロールを割り当てます。
Azure Key Vault の統合は、Settings>Security で構成されます。 詳細については、「セキュリティの 構成: Azure Key Vault 統合」を参照してください。
