ユーザー ベースの認証
Microsoft Dynamics 365 財務と運用アプリに対する証明書ベースの認証を削除する計画があります。 Microsoft Dynamics Lifecycle Services に代わる管理センターには、証明書をダウンロードするオプションが含まれなくなりました。 Regression Suite Automation Tool (RSAT) の使用は、証明書をユーザーベースの認証に置き換えるように移行する必要があります。 財務と運用アプリは、アプリ登録などのサービス プリンシパルやマネージド ID による認証をサポートしていません。 したがって、ユーザーベースの認証が唯一のオプションです。
可能な限り、ユーザーベースの認証を使用することをお勧めします。 ただし、状況によっては、このアプローチは不可能です。 ユーザーベースの認証では、標準の Microsoft オンライン ID プロバイダー (https://login.microsoftonline.com) を使用してユーザー アカウントを検証する必要があります。 また、財務と運用アプリのテスト環境への接続に使用されるアカウントに対して、多要素認証 (MFA) を使用せずにユーザー認証を構成することも必要です。 MFA が有効になっているユーザー アカウントを使用してログインしようとすると、ユーザー アカウント認証がタイムアウトして失敗します。
また、財務と運用アプリ環境へのアクセスにはMFAが必要であることをお勧めします。 MFA は、RSAT が財務と運用アプリのテスト環境に使用するテスト アカウントに対してのみ無効にする必要があります。 条件付きアクセス ポリシーを使用して、Microsoft Entra ID でこのアプローチを構成できます。 この構成についての詳細情報は、オンライン説明書をご覧ください。 条件付きアクセス ポリシーの使用は、購読する必要があるプレミアム機能です。
財務と運用アプリのオンプレミスでホストされている環境は、Active Directory フェデレーション サービス (AD FS) ユーザー アカウント ID ではサポートされていません。 したがって、ローカル ビジネス データ (LBD) 環境として展開されるこのタイプの環境では、ユーザーベースの認証を使用できません。
ユーザー ベースの認証のセットアップ
ユーザーベースの認証のセットアップには、いくつかの追加手順が必要です。 ただし、一元的に構成すると、個々の RSAT クライアント環境のセットアップがよりシームレスになり、テスト環境へのアクセスを許可される証明書のインストールについて心配する必要がなくなります。
このセットアップが完了すると、通常のユーザーがログインする場合と同様に、ユーザー アカウント名とパスワードで識別されるユーザーがサインインすると、財務と運用アプリのテスト環境にアクセスできるようになります。
テストの実行時、RSAT はパラメーター ファイルからのテスト ユーザー アカウントのパスワードを要求します。 パラメーター ファイルにテスト ユーザー アカウントがないテスト ケースは、RSAT 設定の管理ユーザーを使用して実行されます。 RSAT では、そのユーザーのパスワードも必要になります。
パスワードを安全に管理するには、Azure Key Vault を使用する必要があります。 各企業は、RSAT で使用されるキー コンテナーを作成し、アクセス権を付与する必要があります。
Key Vault は、Azure portal のサブスクリプションの下にリソースとして作成されます。 組織内で技術的な経験があり、必要なアクセス権を持つユーザーがキー コンテナーを作成する必要があります。 キー コンテナーは一度集中的に作成され、RSAT クライアント インストールによって共有されます。
Key Vault を使用して、テスト アカウントの名前を使用するシークレットを追加します。 ただし、許可されていない文字は削除してください。 たとえば、frontname_surname@mydomain.com
という名前のアカウントをシークレット名として使用するには、無効な文字を削除して、frontnamesurnamemydomaincom に変更する必要があります。
シークレット値は、パスワードが指定される場所です。 サインイン時に入力する必要があるパスワードを正確に入力してください。 パスワードをシークレット値として保存する場合は、パスワードを変更しないでください。
ベスト プラクティスに従って、テスト アカウントのパスワードを定期的に更新してください。 新しいパスワードを設定するときは、キー コンテナー内の一致するシークレット値を忘れずに更新してください。
重要
サンドボックス、ユーザー受け入れテスト (UAT)、または DevBox 環境でのテストに使用されるテスト アカウントのみを含めます。 これらのアカウントを介した意図しないアクセスによりビジネス データへのアクセスが公開される可能性があるため、実際のユーザー アカウントをテスト アカウントとして使用しないことを強くお勧めします。 さらに、テスト アカウントには、サンドボックス、UAT、または DevBox 環境でホストされている財務および運用アプリにログインするためのアクセスのみを付与します。 実稼働環境へのアクセスには潜在的なリスクがあるため、それらのユーザーに実稼働環境へのアクセスを許可しないでください。
RSAT は、パスワードを検索するときにテスト ユーザー アカウントを自動的に変換し、不正な文字を削除します。 パラメーター ファイルと RSAT 設定でテスト ユーザー アカウントを指定するには、引き続き完全なアカウント名を使用します。
RSAT は Key Vault へのアクセス許可付与する必要があります。 このアクセスを許可するには、 キー コンテナーが作成されたのと同じテナントで Microsoft Entra ID でアプリ登録を作成します。 このアプリの登録は、キー コンテナーと RSAT によって使用される共有IDです。
作成したアプリ登録は、アプリケーション (クライアント ID シークレット) を持っています。 このシークレットはシークレット ID によって識別され、接続のパスワードとして機能するシークレット値を持ちます。
このアプリ登録は Key Vault へのアクセス許可付与する必要があります。 Azure portal で、Key Vault リソースを検索し、アクセス ポリシーを使用して、選択したプリンシパルとして、アプリ登録に対して 取得 と リスト のシークレット許可を交付する新しいポリシーを作成します。
RSAT でのセットアップを完了するには、Key Vault とアプリの登録をセットアップするときに収集した情報が必要です。 まず、認証方法として ユーザーベース を選択します。 次に、次の図に示す通り、設定の新しいフィールドが利用可能になります。 以前に収集したテナント ID、Key Vault URL、クライアント ID、シークレット ID、シークレット値を指定します。
証明書には拇印を選択する必要があることに注意してください。 ただし、この証明書はローカルでのみ使用されます。 アクセスを取得するためには使用されません。 フィールドの横にある 新規 を選択して、ローカルにインストールされる新しい証明書を作成できます。 証明書をホスト名環境にインストールする必要はありません。
アプリ登録またはクライアント ID のシークレットには有効期限があり、Microsoft Entra ID で定期的に更新する必要があります。 したがって、シークレット ID とシークレット値は定期的に更新する必要があります。 この情報を管理する社内の担当者から最新の値を入手してください。
RSAT 設定から保存およびロードされる設定ファイルには、クライアント シークレットは含まれません。 このシークレットは、セキュリティ上の予防措置として除外されます。 クライアント シークレットは手動で入力する必要があり、資格情報マネージャーで Windows コンテナーとして使用する保存ストレージにのみ保存されます。 コマンドライン インターフェイス (CLI) を使用して (たとえば、パイプラインを使用して) RSAT を実行する環境を構成するときは、この事実に留意してください。 RSAT を起動するユーザー アカウントを使用して環境にログインする必要があります。 次に、RSAT 設定でクライアント シークレット値を手動で指定してボールトに保存し、再生時に使用できるようにします。
テストアカウントの MFA を無効にする
前述したように、MFA が有効になっているアカウントではユーザーベースの認証は機能しません。
Microsoft Entra ID でテナントを構成してセキュリティの規定値群を無効にして MFA を無効にできますが、この方法はお勧めしません。なぜなら 全 アカウントに対して MFA が無効化されるからです。
安全なアプローチは、RSAT がテスト ケースの実行に使用するテスト アカウント、およびテスト中に使用される環境に対してのみ MFA を無効にすることです。 条件付きアクセス ポリシーを使用して、このアプローチを構成できます。 詳細については、条件付きアクセスの構成 をご覧ください。