Vue d’ensemble de l’authentification de compte Azure Automation

  • Article

Important

Les comptes Azure Automation Run as, y compris les comptes Classic Run as, ont été retirés le 30 septembre 2023 et remplacés par des identités managées. Vous ne pourrez plus créer ou renouveler des comptes d’exécution via le portail Microsoft Azure. Pour plus d’informations, consultez Migration à partir de comptes d’identification existants vers une identité managée.

Azure Automation vous permet d’automatiser des tâches sur des ressources dans Azure, en local et avec d’autres fournisseurs de cloud comme Amazon Web Services (AWS). Vous pouvez utiliser des runbooks pour automatiser vos tâches, ou un Runbook Worker hybride si vous avez des processus métier ou opérationnels à gérer en dehors d’Azure. Travailler dans l’un de ces environnements nécessite des autorisations pour accéder de manière sécurisée aux ressources avec les droits minimaux requis.

Cet article couvre différents scénarios d’authentification pris en charge par le service Azure Automation, et montre comment prendre celui-ci en main en fonction des environnements que vous devez gérer.

Compte Automation

Lorsque vous démarrez Azure Automation pour la première fois, vous devez créer au moins un compte Automation. Les comptes Automation vous permettent d’isoler vos ressources, runbooks, et configurations Automation des ressources d’autres comptes. Vous pouvez utiliser des comptes Automation pour séparer les ressources dans des environnements logiques distincts ou dans des responsabilités déléguées. Par exemple, vous pouvez utiliser un compte pour le développement, un autre pour la production et un autre pour l’environnement local. Vous pouvez également dédier un compte Automation à la gestion des mises à jour du système d’exploitation sur l’ensemble de vos ordinateurs grâce à Update Management.

Un compte Azure Automation est différent de votre compte Microsoft ou des comptes créés dans votre abonnement Azure. Pour obtenir une présentation de la création d’un compte Automation, consultez Créer un compte Automation.

Ressources Automation

Les ressources Automation de chaque compte Automation sont associées à une seule région Azure, mais chaque compte peut gérer toutes les ressources dans votre abonnement Azure. L’existence de stratégies qui requièrent l’isolation des données et des ressources dans une région spécifique constitue la raison principale de création de comptes Automation dans différentes régions.

Toutes les tâches que vous créez sur des ressources à l’aide d’Azure Resource Manager et des applets de commande PowerShell dans Azure Automation doivent s’authentifier auprès d’Azure à l’aide de l’authentification basée sur les informations d’identification de l’identité organisationnelle Microsoft Entra.

Identités managées

Une identité managée depuis Microsoft Entra ID permettant à votre runbook d’accéder facilement à d’autres ressources protégées par Microsoft Entra. Managée par la plateforme Azure, l’identité ne nécessite pas que vous approvisionniez ou permutiez de secrets. Pour plus d’informations sur les identités managées dans Microsoft Entra ID, consultez Identités managées pour les ressources Azure.

Les identités managées sont la méthode recommandée pour s’authentifier dans vos runbooks. Il s’agit de la méthode d’authentification par défaut pour votre compte Automation.

Voici quelques-uns des avantages de l’utilisation des identités managées :

  • L’utilisation d’une identité managée au lieu du compte d’identification Automation simplifie la gestion.

  • Les identités managées peuvent être utilisées sans coût supplémentaire.

  • Vous n’avez pas besoin de spécifier l’objet de connexion d’identification dans le code de votre runbook. Vous pouvez accéder aux ressources à l'aide de l'identité gérée de votre compte Automation à partir d'un runbook sans créer de certificats, de connexions, etc.

Un compte Automation peut s’authentifier à l’aide de deux types d’identités managées :

  • Une identité attribuée par le système est liée à votre application et est supprimée si votre application est supprimée. Une application ne peut avoir qu’une seule identité attribuée par le système.

  • Une identité attribuée par l’utilisateur est une ressource Azure autonome qui peut être assignée à votre application. Une application peut avoir plusieurs identités attribuées par l’utilisateur.

Remarque

Les identités affectées par l’utilisateur sont uniquement prises en charge pour les tâches cloud. Pour en savoir plus sur les différentes identités managées, consultez Gérer les types d’identité.

Pour plus d’informations sur l’utilisation des identités managées, consultez Activer une identité managée pour Azure Automation.

Autorisations d’abonnement

Vous devez avoir l’Microsoft.Authorization/*/Writeautorisation. Cette autorisation est obtenue via l’appartenance à l’un des rôles intégrés Azure suivants :

Pour en savoir plus sur les autorisations d’abonnement Classic, consultez Administrateurs d’abonnement Azure Classic.

Permissions de Microsoft Entra

Pour renouveler le principal du service, vous devez être membre de l’un des rôles intégrés Microsoft Entra suivants :

L’appartenance peut être attribuée à TOUS les utilisateurs dans le locataire au niveau du répertoire, ce qui est le comportement par défaut. Vous pouvez accorder l’appartenance à l’un des rôles au niveau du répertoire. Pour plus d’informations, consultez Qui a l'autorisation d'ajouter des applications à mon instance Microsoft Entra ?.

Autorisations du compte Automation

Pour mettre à jour le compte Automation, vous devez être membre de l’un des rôles de compte Automation suivants :

Pour en savoir plus sur les modèles de déploiement Azure Resource Manager et Classic, consultez Déploiement Resource Manager et déploiement classique.

Remarque

Les abonnements Fournisseur de solutions Azure Cloud (CSP) prennent uniquement en charge le modèle Azure Resource Manager. Les services non-Azure Resource Manager ne sont pas disponibles dans le programme. Lorsque vous utilisez un abonnement CSP, le compte d’identification Azure Classic n’est pas créé, c’est le compte d’identification Azure qui l’est. Pour en savoir plus sur les abonnements CSP, consultez Services disponibles dans les abonnements CSP.

Contrôle d’accès en fonction du rôle

Le contrôle d'accès basé sur les rôles est disponible avec Azure Resource Manager pour accorder des actions autorisées à un compte utilisateur Microsoft Entra et à un compte Exécuter en tant que, et authentifier le principal du service. Pour obtenir plus d’informations susceptibles de vous aider à développer votre modèle de gestion des autorisations Automation, consultez l’article Contrôle d’accès en fonction du rôle dans Azure Automation.

Si vous avez des contrôles de sécurité stricts pour l’attribution d’autorisations dans des groupes de ressources, vous devez affecter l’appartenance au compte d’identification au rôle Contributeur dans le groupe de ressources.

Remarque

Nous vous recommandons de ne pas utiliser le rôle Contributeur Log Analytics pour exécuter des tâches Automation. Créez plutôt le rôle personnalisé Contributeur Azure Automation et utilisez-le pour les actions associées au compte Automation.

Authentification des runbooks avec Runbook Worker hybride

Les runbooks exécutés sur un Runbook Worker hybride dans votre centre de données ou sur des services informatiques dans d’autres environnements cloud tels qu’AWS ne peuvent pas utiliser la même méthode que celle généralement utilisée pour l’authentification des runbooks auprès des ressources Azure. Cela est dû au fait que ces ressources sont en cours d’exécution en dehors d’Azure et, par conséquent, elles nécessitent leurs propres informations d’identification de sécurité définies dans Automation pour s’authentifier auprès des ressources auxquelles elles accèdent localement. Pour plus d’informations sur l’authentification des runbooks auprès des Runbook Workers, consultez Exécuter des runbooks sur un Runbook Worker hybride.

Pour les runbooks qui utilisent des Runbook Workers hybrides sur des machines virtuelles Azure, vous pouvez utiliser l’authentification des runbooks avec les identités managées plutôt que des comptes d’identification pour l’authentification auprès de vos ressources Azure.

Étapes suivantes