Azure への Cloud Discovery 設定手順
概要
ServiceNow ITOM Visibility の Cloud Discovery を Microsoft Azure に対して実施した際の、準備から運用までの手順をまとめました。
ServiceNow 公式ドキュメントには具体的な手順が不足しているため、詳細な粒度で記載しています。
参考資料
全体フロー
- Azure アプリケーション登録
- Azure サブスクリプション IAM 設定
- ServiceNow Cloud Account 作成
- Discovery 実行
1. Azure アプリケーション登録
ServiceNow は Azure Subscription 単位で検出を実行します。Azure へのアクセスには、登録したアプリケーションを経由します。
1-1. 必要な情報
以下の情報を Azure から取得します:
項目 | 説明 | 取得場所 |
Tenant ID | Azure Directory ID | Azure Portal > Microsoft Entra ID |
Client ID | アプリケーション ID | アプリ登録 > 概要 |
Client Secret | アプリケーションキー | アプリ登録 > 証明書とシークレット |
Subscription ID | 対象サブスクリプション ID | サブスクリプション > 概要 |
1-2. アプリケーション登録手順
組織のポリシーに従い、IT 管理部門にアプリケーション登録を依頼します。
手順
- Azure Portal に管理者権限でログイン
- Azure Portal
- Microsoft Entra ID > アプリの登録 > 新規登録
- アプリ登録
- アプリケーション名: ServiceNow Cloud Discovery
- 必要なアクセス許可:
- DeviceManagementConfiguration.ReadWrite.All
- AuditLog.Read.All
1-3. クライアントシークレットの作成
- 登録したアプリケーションのブレードを開く
- 左ペイン [証明書とシークレット] をクリック
- [新しいクライアント シークレット] をクリック
- クライアントシークレット
- 有効期限: 24か月 を選択
- 有効期限設定
- [追加] をクリック
- [値] をコピーしてメモ(画面遷移後は確認不可)
⚠️ 注意: 以下の情報は機密情報として厳重に管理してください。
- アプリケーション (クライアント) ID
- ディレクトリ (テナント) ID
- クライアント シークレット
- Azure サブスクリプション IAM 設定
作成したアプリケーションに対し、検出対象サブスクリプションへの読み取り権限を付与します。
2-1. 権限付与の申請
組織の承認プロセスに従い、サブスクリプション管理者に以下を申請します:
申請内容例: 【申請内容】 対象サブスクリプションに対して、以下のアプリケーションに読み取り権限を付与してください。
【対象サブスクリプション】
サブスクリプション名: [本番環境/検証環境] Subscription ID: [サブスクリプション ID] 【ロール】 - Reader または Sites Reader
【アプリケーション】
- 名前: ServiceNow Cloud Discovery
- Application ID: [手順2で取得した Client ID]
【目的】 ServiceNow の Cloud Discovery 機能で Azure リソース情報を収集し、CMDB として管理するため。 Azure 上のロードバランサーや SQL Database などの PaaS リソースを ServiceNow で一元管理します。
2-2. Azure 側での作業
手順
- Azure Portal にサブスクリプション管理者権限でログイン
- サブスクリプション選択
- 対象サブスクリプションを選択
- サブスクリプション詳細
- アクセス制御 (IAM) > ロールの割り当て > 追加
- IAM 設定
- 以下を設定:
- ロール: Sites Reader または Reader
- メンバー: ServiceNow Cloud Discovery
これで Azure 側の設定は完了です。
- ServiceNow 側の設定
3-1. Cloud Account の作成
- Discovery Schedules を開く
- 右上の [Cloud Discovery] ボタンをクリック
- Discovery Schedules
- Cloud Discovery 設定画面 で以下を入力:
- Cloud Discovery 設定
項目 | 値 |
Subscription ID | 手順2で取得した Subscription ID |
Tenant ID | 手順2で取得した Tenant ID |
Client ID | 手順2で取得した Client ID |
Client Secret | 手順2で取得した Client Secret |
- [Credentials] の [+] ボタンをクリックし、資格情報を登録
- Credentials 登録
3-2. 接続テスト
- 入力後、[Test Account] ボタンをクリック
- 接続成功を確認
エラー発生時の対処
私の環境では接続テストで以下のエラーが発生。
エラー例: Cloud authorization failed. Check access rights and proper permissions for requested resource. Status: 403 Forbidden ErrorCode: AuthorizationFailed Response: The client does not have authorization to perform action ‘Microsoft.Management/managementGroups/read’
原因:
赤字箇所から、手順3の IAM 設定が未完了、またはロールが正しく付与されていないと判断できました。
対処方法:
- Azure Portal でサブスクリプションの IAM 設定を確認
- ServiceNow Cloud Discovery に Reader または Sites Reader ロールが付与されているか確認
- ロール付与後、5〜10分待ってから再テスト
- Discovery 実行
接続テストが成功したら、Discovery を実行できます。
- [Run Discovery] または [Save and Run] をクリック
- Discovery 状況を Discovery Status で確認
- 検出されたリソースは CMDB の Azure セクションに格納されます
まとめ
Azure Cloud Discovery の設定には以下が必要です:
- Azure 設定: アプリケーション登録とクライアントシークレット作成
- IAM 設定: サブスクリプションへの読み取り権限付与
- ServiceNow 設定: Cloud Account 作成と接続テスト
- Discovery 実行: リソース情報の収集と CMDB 登録
これにより、Azure 上の PaaS リソース(SQL Database、Load Balancer など)を ServiceNow のCIとして登録できます。ただ、回収した情報はAzureのメタデータレベルのため情報量は多いとは言えませんでした。
注意事項
- Client Secret は定期的に更新してください(推奨: 6ヶ月ごと)
- 最小権限の原則に従い、必要最低限の権限のみを付与
- 機密情報(Client Secret など)は暗号化して保管
- 組織のセキュリティポリシーに従った運用を徹底
- 回収したCI情報は、質・量的に乏しい。
