Häufig gestellte Fragen zur Migration von einem ausführenden Konto zu einer verwalteten Identität
Die folgenden häufig gestellten Fragen können Ihnen bei der Migration von einem ausführenden Konto zu einer verwalteten Identität in Azure Automation helfen. Wenn Sie weitere Fragen zu den Funktionen haben, posten Sie sie im Diskussionsforum. Wenn eine Frage häufiger gestellt wird, fügen wir sie diesem Artikel hinzu, damit alle davon profitieren.
Wie lange werden ausführende Konten unterstützt?
Ausführende Azure Automation-Konten werden bis zum 30. September 2023 unterstützt. Zudem ist ab dem 01. April 2023 die Erstellung von neuen ausführenden Konten in Azure Automation nicht mehr möglich. Die Verlängerung von Zertifikaten für vorhandene ausführende Konten ist nur bis zum Ende des Supports möglich.
Können sich vorhandene Runbooks, die ausführende Konten verwenden, authentifizieren?
Ja, sie können sich authentifizieren. Es gibt keine Auswirkungen auf vorhandene Runbooks, die ein ausführendes Konto verwenden. Nach dem 30. September 2023 werden alle Runbook-Ausführungen mit ausführenden Konten, einschließlich klassischer ausführender Konten, nicht mehr unterstützt. Daher müssen Sie alle Runbooks migrieren, um verwaltete Identitäten vor diesem Datum zu verwenden.
Meine ausführendes Konto läuft bald ab, wie kann ich es verlängern?
Wenn Ihr Zertifikat für das ausführende Konto bald abläuft, ist es ein guter Zeitpunkt, mit der Verwendung verwalteter Identitäten für die Authentifizierung zu beginnen, anstatt das Zertifikat zu verlängern. Wenn Sie es jedoch noch verlängern möchten, können Sie es nur bis zum 30. September 2023 über das Portal erledigen.
Kann ich neue ausführende Konten erstellen?
Ab dem 1. April 2023 ist es nicht möglich, neue ausführende Konten zu erstellen. Es wird dringend empfohlen, dass Sie mit der Verwendung von verwalteten Identitäten für die Authentifizierung beginnen, anstatt neue ausführende Konten zu erstellen.
Können Runbooks, die weiterhin das ausführende Konto verwenden, sich nach dem 30. September 2023 authentifizieren?
Ja, die Runbooks können sich authentifizieren, bis das Zertifikat des ausführenden Kontos abläuft. Nach dem 30. September 2023 werden alle Runbookausführungen mit ausführenden Konten nicht mehr unterstützt.
Werden Verbindungs- und Anmeldeinformationsressourcen am 30. September 2023 eingestellt?
Automatisierungsausführungskonten werden nach dem 30. September 2023 nicht mehr unterstützt. Verbindungs- und Anmeldeinformationsressourcen fallen nicht in den Bereich dieser Einstellung. Um die Authentifizierung sicherer zu gestalten, empfehlen wir Ihnen, verwaltete Identitäten zu verwenden.
Was ist eine verwaltete Identität?
Anwendungen verwenden verwaltete Identitäten in Microsoft Entra ID, wenn sie eine Verbindung mit Ressourcen herstellen, welche die Microsoft Entra-Authentifizierung unterstützen. Anwendungen können verwaltete Identitäten verwenden, um Microsoft Entra-Token zu erhalten, ohne Anmeldeinformationen, Geheimnisse, Zertifikate oder Schlüssel zu verwalten.
Weitere Informationen zu verwalteten Identitäten in Microsoft Entra ID finden Sie unter Verwaltete Identitäten für Azure-Ressourcen.
Wozu kann ich eine verwaltete Identität in Automation-Konten verwenden?
Eine durch Azure Automation verwaltete Identität von Microsoft Entra ID ermöglicht Ihrem Runbook, einfach auf andere durch Microsoft Entra geschützte Ressourcen zuzugreifen. Da diese Identität von der Azure-Plattform verwaltet wird, müssen Sie keine Geheimnisse bereitstellen oder rotieren.
Die Hauptvorteile sind:
- Mit verwalteten Identitäten kann die Authentifizierung bei jedem Azure-Dienst erfolgen, der die Microsoft Entra-Authentifizierung unterstützt.
- Verwaltete Identitäten machen den Mehraufwand überflüssig, der mit der Verwaltung von ausführenden Konten in Ihrem Runbookcode verbunden ist. Sie können über eine verwaltete Identität eines Automation-Kontos aus einem Runbook auf Ressourcen zugreifen, ohne sich um die Erstellung eines Dienstprinzipals, eines Zertifikats für das ausführende Konto, einer Verbindung für das ausführende Konto usw. kümmern zu müssen.
- Sie müssen das vom ausführenden Azure Automation-Konto verwendete Zertifikat nicht erneuern.
Sind verwaltete Identitäten sicherer als ein ausführendes Konto?
Ein ausführendes Konto erstellt eine Microsoft Entra-App, die verwendet wird, um die Ressourcen innerhalb des Abonnements über ein Zertifikat zu verwalten, das standardmäßig über Zugriff als Mitwirkender auf Abonnementebene verfügt. Ein böswilliger Benutzer könnte dieses Zertifikat verwenden, um einen privilegierten Vorgang für Ressourcen im Abonnement durchzuführen, was zu potenziellen Sicherheitsrisiken führt.
Ausführende Konten verursachen zudem einen Mehraufwand, der die Erstellung eines Dienstprinzipals, eines Zertifikats für das ausführende Konto, einer Verbindung für das ausführende Konto, einer Zertifikatserneuerung usw. umfasst. Bei verwalteten Identitäten entfällt dieser Mehraufwand, weil sie Benutzern eine sichere Methode zum Authentifizieren und für den Zugriff auf Ressourcen bieten, die Microsoft Entra-Authentifizierung unterstützen, ohne sich um die Verwaltung von Zertifikaten oder Anmeldeinformationen kümmern zu müssen.
Kann eine verwaltete Identität sowohl für Cloudaufträge als auch für hybride Aufträge verwendet werden?
Azure Automation unterstützt systemseitig zugewiesene verwaltete Identitäten sowohl für Cloudaufträge als auch für hybride Aufträge. Derzeit können benutzerseitig zugewiesene verwalteten Identitäten in Azure Automation nur für Cloudaufträge verwendet werden und nicht für Aufträge, die auf einem Hybrid Worker ausgeführt werden.
Wie kann ich von einem vorhandenen ausführenden Konto zu einer verwalteten Identität migrieren?
Führen Sie die Schritte unter Migrieren eines vorhandenen ausführenden Kontos zu einer verwalteten Identität aus.
Wie kann ich die Runbooks anzeigen, die ein ausführendes Konto verwenden, und erfahren, welche Berechtigungen diesem Konto zugewiesen sind?
Verwenden Sie dieses Skript, um herauszufinden, welche Automation-Konten ein ausführendes Konto verwenden. Wenn Ihre Azure Automation-Konten ein ausführendes Konto enthalten, ist diesem standardmäßig die integrierte Rolle „Mitwirkender“ zugewiesen. Sie können das Skript verwenden, um die ausführenden Azure Automation-Konten zu überprüfen und festzustellen, ob ihre Rollenzuweisung der Standardeinstellung entspricht oder ob eine andere Rollendefinition verwendet wird.
Nächste Schritte
Wenn Ihre Frage hier nicht beantwortet wurde, finden Sie in den folgenden Quellen weitere Fragen und Antworten: