この記事には、Azure Automation環境でのデータの保護方法とセキュリティ保護方法について説明するいくつかのトピックが含まれています。
Azure Automationの TLS
Azure Automationに転送中のデータのセキュリティを確保するために、トランスポート層セキュリティ (TLS) の使用を構成することを強くお勧めします。 次に示すのは、HTTPS で Automation サービスと通信するメソッドまたはクライアントの一覧です。
Webhook 呼び出し
ユーザーハイブリッドランブックワーカー(拡張機能ベースおよびエージェントベース)
Azure Automation更新管理とAzure Automation変更の追跡とインベントリによって管理されるマシン
Azure Automation DSC ノード
以前のバージョンの TLS/SSL (Secure Sockets Layer) は脆弱であることが確認されています。現在、これらは下位互換性を維持するために使用可能ですが、推奨されていません。 エージェントで TLS 1.2 のみを使用するように明示的に設定することは、必要な場合を除いてお勧めしません。なぜなら、そうすることで、TLS 1.3 など、より新しく、より安全なプロトコルを自動的に検出して利用できるようにするプラットフォーム レベルのセキュリティ機能が無効になる可能性があるためです。
Hybrid Runbook Worker ロールの依存関係である Windows および Linux のLog Analytics エージェントでの TLS サポートについては、「Log Analytics エージェントの概要 - TLS」を参照してください。
ハイブリッド worker と Webhook の呼び出し用に TLS プロトコルをアップグレードする
2025年3月1日から、トランスポート層セキュリティ (TLS) 1.0 および 1.1 プロトコルを使用するエージェントベースおよび拡張機能ベースのすべてのユーザーハイブリッドランブックワーカー、Webhook、DSC ノード、Azure Automation Update Management および Change Tracking 管理マシンは、Azure Automation に接続できなくなります。 TLS 1.0 および 1.1 プロトコルを使用し、ハイブリッド worker で実行中またはスケジュールされているジョブはすべて失敗します。
Runbook をトリガーする Webhook の呼び出しが、TLS 1.2 以降で転送されるように設定します。 Windows Hybrid Worker で TLS 1.0/1.1 プロトコルを無効化し、Windows コンピューターで TLS 1.2 以降を有効にする方法について説明します。
Linux ハイブリッド Worker の場合は、次の Python スクリプトを実行して、最新の TLS プロトコルにアップグレードします。
import os
# Path to the OpenSSL configuration file as per Linux distro
openssl_conf_path = "/etc/ssl/openssl.cnf"
# Open the configuration file for reading
with open(openssl_conf_path, "r") as f:
openssl_conf = f.read()
# Check if a default TLS version is already defined
if "DEFAULT@SECLEVEL" in openssl_conf:
# Update the default TLS version to TLS 1.2
openssl_conf = openssl_conf.replace("CipherString = DEFAULT@SECLEVEL", "CipherString = DEFAULT@SECLEVEL:TLSv1.2")
# Open the configuration file for writing and write the updated version
with open(openssl_conf_path, "w") as f:
f.write(openssl_conf)
# Restart any services that use OpenSSL to ensure that the new settings are applied
os.system("systemctl restart apache2")
print("Default TLS version has been updated to TLS 1.2.")
else:
# Add the default TLS version to the configuration file
openssl_conf += """
Options = PrioritizeChaCha,EnableMiddleboxCompat
CipherString = DEFAULT@SECLEVEL:TLSv1.2
MinProtocol = TLSv1.2
"""
# Open the configuration file for writing and write the updated version
with open(openssl_conf_path, "w") as f:
f.write(openssl_conf)
# Restart any services that use OpenSSL to ensure that the new settings are applied
os.system("systemctl restart apache2")
print("Default TLS version has been added as TLS 1.2.")
プラットフォーム固有のガイダンス
注
Windows Server 2008 および Windows Server 2008 R2 はサポート終了 (EOS) に達しました。 詳細については、「Windows Server 2008 および Windows Server 2008 R2 のサポート終了 および Windows Server 2016、2019、2022、または 2025 へのインプレース アップグレードの実行」を参照してください。 使用状況を確認し、それに応じて OS のアップグレードと移行を計画します。
| プラットフォーム/言語 | サポート | 詳細情報 |
|---|---|---|
| Linux | Linux ディストリビューションでは、TLS 1.2 のサポートに関して OpenSSL に依存する傾向があります。 | OpenSSL の Changelog を参照して、使用している OpenSSL のバージョンがサポートされていることを確認してください。 |
| Windows 8.0 - 10 | サポートされています。既定で有効になっています。 | 既定の設定を使用していることを確認するには。 |
| Windows Server 2012 - 2016 | サポートされています。既定で有効になっています。 | 既定の設定を使用していることを確認するには |
| Windows 7 SP1 および Windows Server 2008 R2 SP1 | サポートされていますが、既定では有効になっていません。 | 有効にする方法の詳細については、「トランスポート層セキュリティ (TLS) のレジストリ設定」を参照してください。 |
データの保持
Azure Automationでリソースを削除すると、完全に削除される前に、監査目的で何日間も保持されます。 この期間にリソースを表示または使用することはできません。 このポリシーは、削除された Automation アカウントに属するリソースにも適用されます。 保持ポリシーはすべてのユーザーに適用され、現在カスタマイズすることはできません。 ただし、データを長期間保持する必要がある場合は、Azure Automationジョブ データをAzure Monitorのログに転送することができます。
次の表は、さまざまなリソースの保持ポリシーをまとめたものです。
| データ | Policy |
|---|---|
| アカウント | アカウントは、ユーザーによって削除された日から 30 日後に完全に消去されます。 |
| アセット | アセットは、ユーザーによって削除された日から 30 日後、またはアセットを保持するアカウントがユーザーによって削除された日から 30 日後に、完全に消去されます。 アセットには、変数、スケジュール、資格情報、証明書、Python 2 つのパッケージ、接続が含まれます。 |
| DSC ノード | dsc ノードは、Azure ポータルまたは PowerShell の Unregister-AzAutomationDscNode コマンドレットを使用して Automation アカウントから登録解除されてから 30 日後Windows完全に削除されます。 また、ノードは、ノードを保持するアカウントがユーザーによって削除されてから 30 日後に、完全に消去されます。 |
| 仕事 | ジョブは、変更 (ジョブの完了など) が停止または中断された日から 30 日後に、削除されて完全に消去されます。 |
| モジュール | モジュールは、ユーザーによって削除された日から 30 日後、またはモジュールを保持するアカウントがユーザーによって削除された日から 30 日後に、完全に消去されます。 |
| ノード構成/MOF ファイル | 古いノード構成は、新しいノード構成が生成された日から 30 日後に、完全に消去されます。 |
| ノード レポート | ノード レポートは、そのノードの新しいレポートが生成されてから 90 日後に、完全に消去されます。 |
| ランブック | Runbook は、ユーザーによってリソースが削除された日から 30 日後、またはリソースを保持するアカウントがユーザーによって削除された日から 30 日後に、完全に消去されます1。 |
1 Runbook は、Microsoft Azure サポートにAzureサポートインシデントを提出することで、30日以内に復旧できます。 Azure サポート サイトに移動し、サポートリクエストを送信を選択します。
[データ バックアップ]
Azureで Automation アカウントを削除すると、そのアカウント内のすべてのオブジェクトが削除されます。 オブジェクトには、Runbook、モジュール、構成、設定、ジョブ、アセットが含まれます。 削除された Automation アカウントは、30 日以内であれば復旧できます。 削除する前に、以下の情報を使って Automation アカウントの内容をバックアップすることもできます。
ランブック
Azure ポータルまたは Windows PowerShell の Get-AzAutomationRunbookContent コマンドレットを使用して、Runbook をスクリプト ファイルとしてエクスポートできます。 これらのスクリプト ファイルは、Azure Automation の
統合モジュール
Azure Automationから統合モジュールをエクスポートすることはできません。Automation アカウントの外部で使用できるようにする必要があります。
アセット
Azure Automation資産 (証明書、接続、資格情報、スケジュール、変数) をエクスポートすることはできません。 代わりに、Azure ポータルとAzureコマンドレットを使用して、これらの資産の詳細をメモできます。 その後、これらの詳細を使用して、Runbook で使用されるアセットを作成し、別の Automation アカウントにインポートします。
暗号化されている変数または資格情報のパスワード フィールドの値を、コマンドレットを使用して取得することはできません。 これらの値がわからない場合は、Runbook で取得できます。 変数値の取得については、Azure Automationの
DSC の構成
Azure ポータルまたは Windows PowerShell の Export-AzAutomationDscConfiguration コマンドレットを使用して、DSC 構成をスクリプト ファイルにエクスポートできます。 これらの構成を別の Automation アカウントにインポートして使用できます。
データの保存場所
Azure Automation アカウントの作成時にリージョンを指定します。 資産、構成、ログなどのサービス データは、そのリージョンに格納され、同じ地域内の他のリージョンで転送または処理される可能性があります。 これらのグローバル エンドポイントは、場所に関係なく高パフォーマンスで低遅延のエクスペリエンスをエンド ユーザーに提供するために必要です。 ブラジル南部 (サンパウロ州) リージョン (ブラジル地域)、東南アジアリージョン (シンガポール)、アジア太平洋地域の東アジア地域 (香港) に対してのみ、これらのリージョンのデータ所在地要件に対応するために、同じリージョンにAzure Automationデータが格納されます。
次のステップ
- セキュリティ ガイドラインについては、Azure Automation の
セキュリティのベスト プラクティスに関するページを参照してください。 - Azure Automationのセキュリティで保護された資産の詳細については、Azure Automation のセキュリティで保護された資産の
の暗号化に関するページを参照してください。 - geo レプリケーションの詳細については、「アクティブ geo レプリケーションの作成と使用」を参照してください。