Entra ID (Azure AD) でのサービスプリンシパルアプリの作成

Note：Microsoft はAzure AD をEntra ID にリブランドしました。ユーザーがEntra ID 管理サイトを操作する必要があるトピックでは、Microsoft が使用している名称と同じものを使用します。ただし、名前または値が"Azure AD" を参照しているCData 接続プロパティは、依然として存在します。

Azure サービスプリンシパルを使用して認証する場合は、カスタムAzureAD アプリケーションと必要なリソースにアクセスできるサービスプリンシパル両方の作成が必要です。

手順

以下のステップでは、ほとんどのサポート対象エディションのカスタムAzure AD サービスプリンシパルアプリケーションを作成し、Azure サービスプリンシパル認証の接続プロパティを取得した上で、Power Platform（Azure サービスプリンシパル）環境のアプリケーションユーザーを設定します。

FinOps Online 用のカスタムAzure ADサービスプリンシパルアプリの作成方法については、以下のFinOps Online を参照してください。

カスタムAzure AD サービスプリンシパルアプリケーションの作成

1. https://portal.azure.com にログインします。
2. 左側のナビゲーションペインでAzure Active Directory -> 管理 -> アプリの登録を選択して、新規登録をクリックします。アプリの登録ページが表示されます。
3. アプリケーション名を入力します。
4. 新しいアプリケーションが、この組織ディレクトリのみに含まれるアカウントで使用できるように指定します。
5. 登録をクリックします。ポータルには、新しいアプリケーションの概要ページが表示されます。
6. 管理 -> アプリの登録に移動します。
7. 「API のアクセス許可」ダイアログで、Dynamics CRM のアクセス許可を選択します。ポータルにDynamics CRM メニューが表示されます。
8. 委任されたアクセス許可を選択し、User_impersonation を選択してアクセス許可の追加をクリックします。
9. はいをクリックします。
10. ポータルのPower Platform Service Principal セクションで、Certificates & secrets -> + New Client Secret をクリックします。ポータルに、クライアントシークレットの追加フォームが表示されます。
11. クライアントシークレットの説明を入力し（通常、これはカスタムアプリケーションに付けた名前と同じです）、シークレットのExpires date を選択します。
12. Add をクリックします。
13. ポータルは、Secret ID（一意の識別子）とValue（パスワード）を生成します。これらは一度しか表示されないので、後で使用するために記録しておきます。（キーを紛失した場合は、シークレットを削除して新しいものを作成する必要があります。）

アプリケーションユーザーの作成

1. https://admin.powerplatform.microsoft.com/home にログインします。
2. 左側のナビゲーションパネルで、「環境」タブをクリックします。
3. D365 環境を選択します。
4. 設定 -> ユーザーとアクセス許可に移動します。
5. アプリケーションユーザーを選択します。
6. 新しいアプリユーザー -> アプリを追加をクリックします。
7. 先ほど作成したカスタムサービスプリンシパルアプリケーションを選択します。
8. システム管理者のセキュリティロールを追加します。
9. 作成をクリックします。
10. ビジネスユニットを割り当てます。
11. 作成をクリックします。

FinOps Online の手順

Microsoft Dynamics 365 FinOps Online で使用するカスタムAzure AD サービスプリンシパルアプリケーションを作成するには、アプリケーションをMicrosoft Dynamics 365 に登録し、カスタムアプリケーション用のクライアントシークレットを生成して、アプリケーションを使用するために必要な権限を構成してから、Finance and Operations 用にアプリケーションを登録します。

Note： Finance and Operations 用Microsoft Dynamics 365 の登録時に、実行する必要があるすべての必須権限を持つ専用のサービスアカウントを用意することをお勧めします。 該当するアカウントが存在しない場合は、以下の手順を開始する前にアカウントを作成してください。

Azure AD ポータルにアプリケーションを登録

1. https://portal.azure.com にログインします。
2. アプリケーションを登録するテナントに切り替えます。
3. 左側のナビゲーションペインでAzure Active Directory -> アプリの登録を選択して、新規登録をクリックします。アプリの登録ページが表示されます。
4. アプリケーション名を入力します。
5. アカウントの種類は、任意の組織ディレクトリ内のアカウント（任意のAzure AD ディレクトリ - マルチテナント）を指定します。
6. 残りのフィールドはデフォルト値のままにします。
7. 登録をクリックします。ポータルには、新しいアプリケーションの概要ページが表示され、重要な項目が表示されます。
8. アプリケーション（クライアント）ID の値を、今後の使用のために記録しておきます。

クライアントシークレットの生成

1. Client credentials の隣にある、Add a certificate or secret をクリックします。ポータルに証明書とシークレットページが表示されます。
2. 新しいクライアントシークレットをクリックします。ポータルに、クライアントシークレットの追加パネルが表示されます。
3. シークレットの説明（"App Connect secret" など）を指定し、有効期限を選択します。
4. 追加をクリックします。
5. ポータルはクライアントシークレットを生成し、証明書とシークレットページに表示します。
6. シークレットは一度しか全文表示されないため、今後の使用のためにシークレットの値を記録しておきます。

必要なアクセス許可の設定

1. 左のナビゲーションバーで、API のアクセス許可をクリックします。
2. アクセス許可の追加 -> Dynamics ERP -> アプリケーションの許可に移動します。
3. Connector.FullAccess を選択し、アクセス許可の追加をクリックして追加します。
4. アクセス許可の追加 -> Dynamics ERP -> 委任されたアクセス許可に移動します。
5. AX.FullAccess、CustomService.FullAccess、およびOData.FullAccess を選択し、アクセス許可の追加をクリックして追加します。
6. 今追加したアクセス許可のいずれかが自身のドメインに付与されていない場合、yourdomain に管理者の同意を与えますをクリックします。 はいをクリックして確定します。すべてのアクセス許可のステータスが付与されましたに更新されます。

アプリケーションをMicrosoft Dynamics 365 Finance and Operations に登録

1. Microsoft Dynamics 365 Finance and Operations アカウントを開きます。
2. Modules -> System administration -> Setup -> Azure Active Directory applications に移動します。 ポータルにAzure Active Directory applications ページが表示されます。
3. New をクリックします。
4. Client Id フィールドに、Azure AD に登録したアプリケーション（クライアント）ID を入力します。
5. Name フィールドに、カスタムアプリケーションの名前を入力します。
6. User ID フィールドに、このセクションの冒頭で説明したとおり、適切なサービスアカウントユーザーID を選択します。
7. Save をクリックします。