Übersicht über die Azure Automation-Kontoauthentifizierung

Wichtig

Ausführende Azure Automation-Konten, einschließlich der klassischen ausführenden Konten, wurden am 30. September 2023 außer Betrieb genommen und durch verwaltete Identitäten ersetzt. Sie können keine ausführenden Konten mehr über das Azure-Portal erstellen oder verlängern. Weitere Informationen finden Sie unter Migration von vorhandenen ausführenden Konten zur verwalteten Identität.

Mit Azure Automation können Sie Aufgaben für Ressourcen in Azure, lokal und mit anderen Cloudanbietern, z.B. Amazon Web Services (AWS), automatisieren. Mit Runbooks können Sie Ihre Aufgaben automatisieren. Wenn Sie Geschäfts- oder Betriebsprozesse außerhalb von Azure verwalten müssen, verwenden Sie einen Hybrid Runbook Worker. In beiden Umgebungen werden Berechtigungen benötigt, um mit minimalen Rechten sicher auf die Ressourcen zugreifen zu können.

In diesem Artikel werden von Azure Automation unterstützte Authentifizierungsszenarien beschrieben. Außerdem werden die ersten Schritte für die Umgebungen erläutert, die Sie verwalten müssen.

Automation-Konto

Wenn Sie das erste Mal mit Azure Automation arbeiten, müssen Sie zunächst mindestens ein Automation-Konto erstellen. Mithilfe von Automation-Konten können Sie Ihre Automation-Ressourcen, Runbooks, Objekte und Konfigurationen von den Ressourcen anderer Konten isolieren. Sie können Automation-Konten dazu verwenden, Ressourcen in separate logische Umgebungen oder delegierte Verantwortlichkeiten zu trennen. Beispielsweise können Sie ein Konto für die Entwicklung, ein Konto für die Produktion und ein Konto für Ihre lokale Umgebung nutzen. Sie können auch ein Automation-Konto zum Verwalten von Betriebssystemupdates auf allen Computern mit Updateverwaltung festlegen.

Ein Azure Automation-Konto unterscheidet sich von einem Microsoft-Konto, das unter Ihrem Azure-Abonnement erstellt wird. Eine Einführung in die Erstellung eines Automation-Kontos finden Sie unter Erstellen eines Azure Automation-Kontos.

Automation-Ressourcen

Die Automation-Ressourcen für jedes Automation-Konto sind zwar mit einer einzelnen Azure-Region verknüpft, mit dem Konto können jedoch alle Ressourcen in Ihrem Azure-Abonnement verwaltet werden. Automation-Konten werden in erster Linie dann in unterschiedlichen Regionen erstellt, wenn Sie über Richtlinien verfügen, die eine Isolierung von Daten und Ressourcen innerhalb einer spezifischen Region erfordern.

Alle Aufgaben, die Sie für Ressourcen mit Azure Resource Manager und den PowerShell-Cmdlets in Azure Automation erstellen, müssen gegenüber Azure mit Microsoft Entra basierend auf den Anmeldeinformationen für die Organisationsidentität authentifiziert werden.

Verwaltete Identitäten

Eine verwaltete Identität von Microsoft Entra ID ermöglicht Ihrem Runbook, einfach auf andere durch Microsoft Entra geschützte Ressourcen zuzugreifen. Da die Identität von der Azure-Plattform verwaltet wird, müssen Sie keine Geheimnisse bereitstellen oder rotieren. Weitere Informationen zu verwalteten Identitäten in Microsoft Entra ID finden Sie unter Verwaltete Identitäten für Azure-Ressourcen.

Verwaltete Identitäten werden zur Authentifizierung in Ihren Runbooks empfohlen und als Standardauthentifizierungsmethode für Ihr Automation-Konto eingesetzt.

Nachstehend sind einige Vorteile der Verwendung von verwalteten Identitäten beschrieben:

• Die Verwendung einer verwalteten Identität anstelle des ausführenden Automation-Kontos vereinfacht die Verwaltung.

• Die Nutzung von verwalteten Identitäten verursacht keine zusätzlichen Kosten.

• Sie müssen das Verbindungsobjekt „Ausführen als“ nicht in Ihrem Runbook-Code angeben. Sie können mithilfe der verwalteten Identität Ihres Automation-Kontos über ein Runbook auf Ressourcen zugreifen, ohne Zertifikate, Verbindungen usw. zu erstellen.

Ein Automation-Konto kann sich mit zwei Arten von verwalteten Identitäten authentifizieren:

• Eine systemseitig zugewiesene Identität ist an Ihre Anwendung gebunden und wird gelöscht, wenn Ihre App gelöscht wird. Eine App kann nur über eine systemseitig zugewiesene Identität verfügen.

• Eine benutzerseitig zugewiesene Identität ist eine eigenständige Azure-Ressource, die Ihrer App zugewiesen werden kann. Eine App kann über mehrere benutzerseitig zugewiesene Identitäten verfügen.

Hinweis

Benutzerseitig zugewiesene Identitäten werden nur für Cloudaufträge unterstützt. Weitere Informationen zu den verschiedenen verwalteten Identitäten finden Sie unter Verwalten von Identitätstypen.

Weitere Informationen zur Verwendung verwalteter Identitäten finden Sie unter Aktivieren der verwalteten Identität für Azure Automation.

Abonnementberechtigungen

Sie benötigen die Berechtigung Microsoft.Authorization/*/Write. Diese Berechtigung erhalten Sie durch Mitgliedschaft bei einer der folgenden integrierten Azure-Rollen:

• Besitzer
• Benutzerzugriffsadministrator

Weitere Informationen zu klassischen Abonnementberechtigungen finden Sie unter Administratoren für klassische Azure-Abonnements.

Microsoft Entra-Berechtigungen

Um den Dienstprinzipal verlängern zu können, müssen Sie Mitglied einer der folgenden integrierten Microsoft Entra-Rollen sein:

• Anwendungsadministrator
• Anwendungsentwickler

Die Mitgliedschaft kann ALLEN Benutzern im Mandanten auf Verzeichnisebene zugewiesen werden, wobei es sich um das Standardverhalten handelt. Sie können die Mitgliedschaft bei jeder Rolle auf Verzeichnisebene gewähren. Weitere Informationen finden Sie unter Wer hat die Berechtigung zum Hinzufügen von Anwendungen zu meiner Microsoft Entra-Instanz?

Berechtigungen für das Automation-Konto

Um das Automation-Konto aktualisieren zu können, müssen Sie Mitglied einer der folgenden Automation-Kontorollen sein:

• Besitzer
• Mitwirkender

Weitere Informationen zum Resource Manager-Bereitstellungsmodell und zum klassischen Bereitstellungsmodell finden Sie unter Azure Resource Manager-Bereitstellung im Vergleich zur klassischen Bereitstellung.

Hinweis

Azure Cloud Solution Provider-Abonnements (Azure CSP) unterstützen nur das Azure Resource Manager-Modell. Dienste, die nicht auf Azure Resource Manager basieren, sind in diesem Programm nicht verfügbar. Wenn Sie ein CSP-Abonnement verwenden, wird kein klassisches ausführendes Azure-Konto erstellt, sondern das ausführende Azure-Konto. Weitere Informationen zu CSP-Abonnements finden Sie unter Verfügbare Dienste in CSP-Abonnements.

Rollenbasierte Zugriffssteuerung

Die rollenbasierte Zugriffssteuerung ist für Azure Resource Manager verfügbar, um einem Microsoft Entra-Benutzerkonto und ausführenden Konto zulässige Aktionen zu gewähren und den Dienstprinzipal zu authentifizieren. Weitere Informationen zur Entwicklung Ihres Modells zum Verwalten von Automation-Berechtigungen finden Sie im Artikel Rollenbasierte Zugriffssteuerung in Azure Automation .

Wenn Sie über strikte Sicherheitskontrollen für die Zuweisung von Berechtigungen in Ressourcengruppen verfügen, müssen Sie der Rolle Mitwirkender in der Ressourcengruppe die Mitgliedschaft beim ausführenden Konto zuweisen.

Hinweis

Wir empfehlen, die Rolle Log Analytics-Mitwirkender nicht zum Ausführen von Automation-Aufträgen zu verwenden. Erstellen Sie stattdessen die benutzerdefinierte Rolle „Azure Automation-Mitwirkender“, und verwenden Sie diese für Aktionen im Zusammenhang mit dem Automation-Konto.

Runbookauthentifizierung mit Hybrid Runbook Worker

Für Runbooks, die in Ihrem Rechenzentrum über einen Hybrid Runbook Worker oder für Computingdienste in anderen Cloudumgebungen wie AWS ausgeführt werden, kann nicht das gleiche Verfahren verwendet werden, das normalerweise für die Authentifizierung von Runbooks bei Azure-Ressourcen genutzt wird. Der Grund: Diese Ressourcen werden außerhalb von Azure ausgeführt, weshalb für die Authentifizierung bei Ressourcen, auf die lokal zugegriffen wird, ihre in Automation definierten Sicherheitsanmeldeinformationen verwendet werden müssen. Weitere Informationen zur Runbookauthentifizierung mit Runbook Workern finden Sie unter Ausführen von Runbooks auf einem Hybrid Runbook Worker.

Für Runbooks, die Hybrid Runbook Worker auf virtuellen Azure-Computern nutzen, können Sie anstelle von ausführenden Konten die Authentifizierung von Runbooks mit verwalteten Identitäten für die Authentifizierung bei Ihren Azure-Ressourcen verwenden.

Nächste Schritte

• Informationen zum Erstellen eines Automation-Kontos über das Azure-Portal finden Sie unter Erstellen eines eigenständigen Azure Automation-Kontos.
• Wenn Sie Ihr Konto lieber mithilfe einer Vorlage erstellen möchten, finden Sie weitere Informationen unter Erstellen eines Automation-Kontos mithilfe einer Azure Resource Manager-Vorlage.
• Informationen zur Authentifizierung mithilfe von Amazon Web Services finden Sie unter Authentifizieren von Azure Automation-Runbooks mit Amazon Web Services.
• Eine Liste der Azure-Dienste, die die Funktion für verwaltete Identitäten für Azure-Ressourcen unterstützen, finden Sie unter Services that support managed identities for Azure resources (Dienste, die verwaltete Identitäten für Azure-Ressourcen unterstützen).