Overzicht van Azure Automation-accountverificatie

  • Artikel

Belangrijk

Azure Automation Uitvoeren als-accounts, waaronder klassieke Uitvoeren als-accounts, zijn op 30 september 2023 buiten gebruik gesteld en vervangen door beheerde identiteiten. U kunt Uitvoeren als-accounts niet meer maken of vernieuwen via Azure Portal. Raadpleeg Migratie van een bestaand Run As-account naar beheerde identiteit voor meer informatie.

Met Azure Automation kunt u taken automatiseren voor bronnen in Azure, on-premises en bij andere cloudproviders zoals Amazon Web Services (AWS). U kunt runbooks gebruiken om uw taken te automatiseren of een Hybrid Runbook Worker als u zakelijke of operationele processen hebt om buiten Azure te beheren. Voor het werken in een van deze omgevingen zijn machtigingen vereist om veilig toegang te krijgen tot de resources met de minimale vereiste rechten.

In dit artikel worden verificatiescenario's beschreven die worden ondersteund door Azure Automation en wordt uitgelegd hoe u aan de slag kunt gaan op basis van de omgevingen of omgevingen die u moet beheren.

Automation-account

Wanneer u Azure Automation voor het eerst start, moet u ten minste één Automation-account maken. Met Automation-accounts kunt u uw Automation-resources, runbooks, assets en configuraties isoleren van de resources van andere accounts. U kunt Automation-accounts gebruiken om resources te scheiden in afzonderlijke logische omgevingen of gedelegeerde verantwoordelijkheden. U kunt bijvoorbeeld één account maken voor ontwikkeling, één voor productie, en één voor uw on-premises omgeving. Of u kunt een Automation-account toewijzen voor het beheren van updates van het besturingssysteem op al uw computers met Updatebeheer.

Een Azure Automation-account verschilt van uw Microsoft-account of de accounts die zijn gemaakt in uw Azure-abonnement. Zie Een Automation-account maken voor een inleiding tot het maken van een Automation-account.

Automation-resources

De Automation-resources voor elk Automation-account zijn gekoppeld aan één Azure-regio, maar het account kan alle resources in uw Azure-abonnement beheren. De belangrijkste reden voor het maken van Automation-accounts in verschillende regio's is als u beleidsregels hebt waarvoor gegevens en resources moeten worden geïsoleerd voor een specifieke regio.

Alle taken die u maakt op basis van resources met behulp van Azure Resource Manager en de PowerShell-cmdlets in Azure Automation, moeten worden geverifieerd bij Azure met behulp van verificatie op basis van referenties voor de organisatie van Microsoft Entra.

Beheerde identiteiten

Met een beheerde identiteit van Microsoft Entra ID heeft uw runbook eenvoudig toegang tot andere met Microsoft Entra beveiligde resources. De identiteit wordt beheerd door het Azure-platform en u hoeft geen geheimen in te richten of te laten rouleren. Zie Beheerde identiteiten voor Azure-resources voor meer informatie over beheerde identiteiten in Microsoft Entra ID.

Beheerde identiteiten zijn de aanbevolen manier om te verifiëren in uw runbooks en is de standaardverificatiemethode voor uw Automation-account.

Hier ziet u een paar voordelen van het gebruik van beheerde identiteiten:

  • Het gebruik van een beheerde identiteit in plaats van het Automation Uitvoeren als-account vereenvoudigt het beheer.

  • Beheerde identiteiten kunnen worden gebruikt zonder extra kosten.

  • U hoeft het Run As-verbindingsobject niet op te geven in uw runbookcode. U hebt toegang tot resources met behulp van de beheerde identiteit van uw Automation-account vanuit een runbook zonder certificaten, verbindingen, enzovoort te maken.

Een Automation-account kan worden geverifieerd met behulp van twee typen beheerde identiteiten:

  • Een door het systeem toegewezen identiteit is gekoppeld aan uw toepassing en wordt verwijderd als uw app wordt verwijderd. Een app kan slechts één door het systeem toegewezen identiteit hebben.

  • Een door de gebruiker toegewezen identiteit is een autonome Azure-resource die kan worden toegewezen aan uw app. Een app kan meerdere door de gebruiker toegewezen identiteiten hebben.

Notitie

Door de gebruiker toegewezen identiteiten worden alleen ondersteund voor cloudtaken. Zie Identiteitstypen beheren voor meer informatie over de verschillende beheerde identiteiten.

Zie Beheerde identiteit inschakelen voor Azure Automation voor meer informatie over het gebruik van beheerde identiteiten.

Abonnementsmachtigingen

U hebt de machtiging Microsoft.Authorization/*/Write nodig. Deze machtiging wordt verkregen via het lidmaatschap van een van de volgende ingebouwde Azure-rollen:

Zie Klassieke Azure-abonnementsbeheerders voor meer informatie over machtigingen voor klassieke abonnementsmachtigingen.

Microsoft Entra-machtigingen

Als u de service-principal wilt vernieuwen, moet u lid zijn van een van de volgende ingebouwde Microsoft Entra-rollen:

Lidmaatschap kan worden toegewezen aan ALLE gebruikers in de tenant op directoryniveau, wat het standaardgedrag is. U kunt een lidmaatschap verlenen aan een van beide rollen op directoryniveau. Zie Wie is gemachtigd om toepassingen toe te voegen aan mijn Microsoft Entra-instance? voor meer informatie.

Machtigingen voor Automation-account

Als je het Automation-account wilt bijwerken, moet je lid zijn van een van de volgende Automation-accountrollen:

Zie Resource Manager- en klassieke implementatie voor meer informatie over de Azure Resource Manager- en klassieke implementatiemodellen.

Notitie

Azure Cloud Solution Provider-abonnementen (CSP) ondersteunen alleen het Azure Resource Manager-model. Niet-Azure Resource Manager-services zijn niet beschikbaar in het programma. Wanneer je een CSP-abonnement gebruikt, wordt het klassieke Uitvoeren als-account van Azure niet gemaakt, maar wel het Azure Uitvoeren als-account. Zie Beschikbare services in CSP-abonnementen voor meer informatie over CSP-abonnementen.

Op rollen gebaseerd toegangsbeheer

Op rollen gebaseerd toegangsbeheer is beschikbaar met Azure Resource Manager om toegestane acties toe te kennen aan een Microsoft Entra-gebruikersaccount en Uitvoeren als-account en om de service-principal te verifiëren. Lees het artikel Op rollen gebaseerd toegangsbeheer in Azure Automation voor meer informatie die u helpt bij het ontwikkelen van een model voor het beheren van machtigingen in Automation.

Als u strikte beveiligingscontroles voor machtigingstoewijzing in resourcegroepen hebt, moet u het Uitvoeren als-accountlidmaatschap toewijzen aan de rol Inzender in de resourcegroep.

Notitie

U wordt aangeraden de rol Log Analytics-inzender niet te gebruiken om Automation-taken uit te voeren. Maak in plaats daarvan de aangepaste rol Azure Automation-inzender en gebruik deze voor acties die betrekking hebben op het Automation-account.

Runbookverificatie met Hybrid Runbook Worker

Runbooks die worden uitgevoerd op een Hybrid Runbook Worker in uw datacenter of op basis van computingservices in andere cloudomgevingen, zoals AWS, kunnen niet dezelfde methode gebruiken die doorgaans wordt gebruikt voor runbooks die worden geverifieerd bij Azure-resources. Dit is omdat deze resources buiten Azure worden uitgevoerd en er daarom voor deze resources eigen beveiligingsreferenties moeten worden gedefinieerd in Automation, zodat ze kunnen worden geverifieerd voor resources waartoe ze lokaal toegang hebben. Zie Runbooks uitvoeren op een Hybrid Runbook Worker voor meer informatie over runbookverificatie met runbook workers.

Voor runbooks die gebruikmaken van Hybrid Runbook Workers op Azure-VM's, kunt u runbookverificatie met beheerde identiteiten gebruiken in plaats van Uitvoeren als-accounts om te verifiëren bij uw Azure-resources.

Volgende stappen