519 Views
October 26, 24
スライド概要
.NETラボ 勉強会 2024年10月の飛び入りLT で発表した資料です。
都内で働いているインフラエンジニアです。Azure を含むMicrosoft 製品、インフラ、開発周りに興味があります。
Azure Windows Virtual Machine の Reset password の挙動を確認してみる 2024/10/26 .NETラボ 勉強会 2024年10月 Kazuki Yamabe
アジェンダ • 自己紹介 • Azure VM のRDP でログインできないケース • Azure VM のReset password、Reset configuration only • Reset password、Reset configuration only 前の対策 • まとめ • 参考資料 2
自己紹介 名前:Kazuki Yamabe 職種:インフラエンジニア 得意分野:Azure、Microsoft 製品、サーバーを含めたインフラ全般、 IaC、CI/CD、など ◼ ブログ・SNS • ブログ:https://www.kdkwakaba.com/ • X:@kdk_wakaba • Linkedin:kdk-wakaba 3
Azure VM のRDP でログインできないケース • ログインアカウントのパスワード、アカウント情報が不明 - 引き継がれたパスワードが古い - サーバー情報のみでそもそもログインアカウントすらわからない • ログイン可能なユーザーのロックアウト - 複数回パスワードを間違えてしまった - 不正アクセス疑い、など • オペレーションミスなどによるRDP 設定もミス、Firewall 設定の不備 4
Azure VM のReset password、Reset configuration only Azure Portal からローカルアカウントのユーザーパスワード、RDP 設定をリセットできる機能。 5
Azure VM のReset password、Reset configuration only • Reset password はパスワードリセットだけでなく新規管理者アカウントの作成も可能 - 存在するユーザーはパスワードリセット、存在しないユーザーは新規作成する - 新規作成アカウントはAdministrators グループに所属する • Reset configuration only はRDP の以下設定を再設定する - RDP の有効化 - Windows ファイアウォールの3389 ポートの通信許可設定追加 • 更新すると裏側でARM Template が更新され実行される - 設定にはVirtual Machine Contributor ロールが必要 - Azure Portal から作成していないユーザーのパスワード変更はエラーとなる • Virtual Machine が起動していない場合、リセットはできない 6
参考:ARM Template の更新例 7
Reset password、Reset configuration only 前の対策 • Azure Windows VM のActive Directory、Entra ID への参加 - ドメイン、Entra ID ユーザーでログインできるため、ローカルアカウントを使わなくて済む • Windows Admin Center など一元管理できるツールの利用 - 1台1台RDP するのではなく、まとめて管理できるような仕組みを準備する • 緊急用アカウントの準備 - サーバーの要件上、ドメインに参加できない (参加したくない) 場合は緊急用ユーザーを準備する - 緊急用のため、強固なパスワード設定やサインイン監視はちゃんと準備する 8
まとめ • Azure VM にはログイン不可時のパスワードリセットやRDP 設定の再設定の機能がある • パスワードリセットはローカルアカウントのみ設定が可能 • ドメインやEntra ID への参加、ツールでの一元管理、緊急用アカウントなどで事前の対策をする 9
参考資料 • Windows VM でリモート デスクトップ サービスまたはその管理者パスワードをリセットする • Microsoft Entra ID で緊急アクセス用管アカウントを管理する 10
ご清聴ありがとうございました。 11