Azure Key Vault ストレージの管理

適用先
Dynamics 365 for Finance and Operations Microsoft Dynamics 365 for Financials

概要

通常、ビジネスに依存するデータは、セキュリティで保護された方法で使用されます。 つまり、このデータを操作する機能またはアプリケーションでは、データ暗号化、証明書の操作などをサポートする必要があります。Finance and Operations 用Microsoft Dynamics 365のクラウド バージョンでは証明書のローカル ストレージがサポートされていないため、この場合はキー コンテナー ストレージを使用する必要があります。 Azure Key Vaultは、暗号化キー、証明書をAzureにインポートし、それらを管理する機会を提供します。 Azure Key Vaultに関する追加情報: Azure Key Vaultとは

Finance and Operations と Azure Key Vault のMicrosoft Dynamics 365の統合を定義するには、次のデータが必要です。

  • Key Vault URL (DNS 名)
  • クライアント ID (アプリケーション識別子)
  • 証明書の名前の一覧
  • シークレット キー (キー値)。

以下に、セットアップ手順の詳細な説明を示します。

Key Vault ストレージを作成する

  1. [https://ms.portal.azure.com/] リンクを使用して Microsoft Azure portalを開きます。
  2. 左側のパネルの [リソースの作成] ボタンをクリックして、新しいリソースを作成します。 [セキュリティと ID] グループと [Key Vault] リソースの種類を選択します。
  3. [キー コンテナーの作成] ページが開きます。 ここでは、キー コンテナーのストレージ パラメーターを定義し、[作成] ボタンをクリックする必要があります。
  • キー コンテナーの "名前" を指定します。 このパラメーターは、"Azure Key Vault クライアントのセットアップ" で <KeyVaultName> と呼ばれます。
  • サブスクリプションを選択します。
  • リソース グループを選択します。 これは、キー コンテナー ストレージ内の内部ディレクトリのようなものです。 既存のリソース グループを使用することも、新しいリソース グループを作成することもできます。
  • 場所を選択します。
  • 価格レベルを選択します。
  • [作成] をクリックします。
  • 作成したキー コンテナーをダッシュボードにピン留めします。

証明書をアップロードする

キー コンテナー ストレージへのアップロード手順は、証明書の種類によって異なります。

*.pfx 証明書のインポート

  1. 拡張機能 *.pfx を持つ証明書は、PowerShell スクリプトを使用してAzure Key Vaultにアップロードできます。

Connect-AzAccount

$pfxFilePath = '<Localpath>'

$pwd = ''

$secretName = '<name>'

$keyVaultName = '<keyvault>'

$collection = New-ObjectSystem.Security.Encryptiony.X509Certificates.X509Certificate2Collection

$collection。Import($pfxFilePath, $pwd,[System.Security.Cryptography.X509Certificates.X509KeyStorageFlags]::Exportable)

$pkcs 12ContentType =[System.Security.Cryptography.X509Certificates.X509ContentType]::P kcs12

$clearBytes = $collection。Export($pkcs 12ContentType)

$fileContentEncoded = [System.Convert]::ToBase64String($clearBytes)

$secret = ConvertTo-SecureString -String $fileContentEncoded -AsPlainText –Force

$secretContentType = 'application/x-pkcs12'

Set-AzKeyVaultSecret -VaultName $keyVaultName -Name $secretName -SecretValue $Secret -ContentType $secretContentType

ここで、

<Localpath> - C:\<smth>.pfx など、certicate を使用したファイルへのローカル パス

<name> - 証明書の名前 (例: <smth)>

<keyvault> - Key Vault ストレージの名前

パスワードが必要な場合は、タグ $pwdに追加します

  1. Azure Key Vault にアップロードされた証明書のタグを設定します。
  • Microsoft Azure portalで、[ダッシュボード] * ボタンをクリックし、適切なキー コンテナーを選択して開きます。
  • [シークレット] タイルクリックします。
  • 証明書名で適切なシークレットを見つけて開きます。
  • [タグ] タブを開きます。
  • タグ名 = "type" と Tag 値 = "certificate" を設定します。

注: タグ名とタグ値は、引用符なしで小文字で入力する必要があります。

  • [OK] ボタンをクリックし、更新されたシークレットを保存します。

他の証明書のインポート

  1. 左側のパネルの [ダッシュボード] ボタンをクリックすると、先ほど作成したキー コンテナーが表示されます。
  2. 適切なキー コンテナーを選択して開きます。 [概要] タブには、"DNS 名" を含むキー コンテナー ストレージの重要なパラメーターが表示されます。

注: DNS 名はキー コンテナーとの統合に必須のパラメーターであるため、アプリケーションで指定し、「<Key Vault URL> パラメーターとして「Azure Key Vault クライアントを設定する」で参照する必要があります。

  1. [シークレット] タイルクリックします。
  2. [シークレット] ページの [生成/インポート] ボタンをクリックして、キー コンテナー ストレージに新しい証明書を追加します。 ページの右側で、証明書パラメーターを定義する必要があります。
  • [アップロード オプション] フィールドで [手動] の値を選択します。
  • [名前] フィールドに証明書を入力します。

注: シークレット名 は、キー コンテナーとの統合に必須のパラメーターであるため、アプリケーションで指定する必要があります。 "Azure Key Vault クライアントのセットアップ" では、<SecretName> パラメーターと呼ばれます。

  • 編集用の証明書を開き、開始タグと終了タグを含むすべてのコンテンツをコピーします。
  • コピーしたコンテンツを [] フィールドに貼り付けます。
  • 証明書を有効にします。
  • [作成] ボタンを押します。
  1. 複数のバージョンの証明書をアップロードし、キー コンテナー ストレージで管理できます。 既存の証明書の新しいバージョンをアップロードする必要がある場合は、適切な証明書を選択し、[新しいバージョン] ボタンをクリックします。

注: 現在のバージョンは、アプリケーションのセットアップで定義する必要があり、「クライアントAzure Key Vaultセットアップ」で<SecretVersion> パラメーターと呼ばれます。

アプリケーションのエントリ ポイントを作成する

キー コンテナー ストレージを使用するアプリケーションのエントリ ポイントを作成します。

  1. レガシ ポータル https://manage.windowsazure.com/ を開きます。
  2. 左側のパネルから [Azure Active Directory] をクリックし、自分を選択します。
  3. 開いた Active Directory で、[アプリの登録] タブを選択します。
  4. 下部のパネルの [新しいアプリケーションの登録] ボタンをクリックして、新しいアプリケーション エントリを作成します。
  5. アプリケーションの "名前" を指定し、適切な種類を選択します。

注: このページでは、<AppName> は前のページで指定したアプリケーション名 http://<AppName>の形式にする必要がある "サインオン URL" を定義することもできます。  <AppName> は、キー コンテナー ストレージのアクセス ポリシーで定義する必要があります。

  1. [作成] ボタンをクリックします。

アプリケーションを構成する

  1. [アプリの登録] タブを開きます。
  2. 適切なアプリケーションを見つけます。 "アプリケーション ID" フィールドの値は、<Key Vault Client> のパラメーターと同じです。
  3. [設定] ボタンをクリックし、[キー] タブを開きます。
  4. キーを生成します。 これは、アプリケーションからのキー コンテナー ストレージへのセキュリティで保護されたアクセスに使用されます。
  • [説明] フィールドに入力します。
  • 期間が 1 年または 2 年と等しいキーを作成できます。 ページの下部にある [保存] ボタンをクリックすると、 キー値 が表示されます。

注: キー値 は、キー コンテナーとの統合に必須のパラメーターです。 コピーしてから、アプリケーションで指定する必要があります。 "Azure Key Vault クライアントのセットアップ" では、<Key Vault秘密鍵>パラメーターと呼ばれます。

  1. 構成から "クライアント ID" の値をコピーします。 これはアプリケーションで指定し、「クライアントAzure Key Vaultクライアントの設定」で client> パラメーターとして<Key Vault参照する必要があります。

キー コンテナー ストレージにアプリケーションを追加する

前に作成したキー コンテナー ストレージにアプリケーションを追加します。

  1. Microsoft Azure portal (https://ms.portal.azure.com/) に戻るします。
  2. キー コンテナー ストレージを開き、タイル "アクセス ポリシー" をクリックします。
  3. [新しい追加] ボタンをクリックし、[プリンシパルの選択] オプションを選択します。 その後、その名前でアプリケーションを見つける必要があります。 アプリケーションが見つかったら、[選択] ボタンをクリックします。
  4. [テンプレートから構成する] フィールドに入力し、[OK] ボタンをクリックします。

注: このページでは、必要に応じてキーのアクセス許可を設定することもできます。