Modifica

Gestione del ciclo di vita dei certificati in Azure

Automazione di Azure
Griglia di eventi di Azure
Insieme di credenziali chiave di Azure

Nella cybersecurity, la configurazione del rinnovo automatico dei certificati è importante per mantenere un ambiente sicuro e affidabile. L'impossibilità di aggiornare o rinnovare i certificati in modo tempestivo espone i sistemi alle vulnerabilità. Le aree potenzialmente vulnerabili includono:

  • Certificati SSL/TLS scaduti.
  • Reti soggette a potenziali violazioni.
  • Dati sensibili non protetti.
  • Servizi inattivo per i processi business-to-business.
  • Perdita di reputazione del marchio che compromette l'integrità e la riservatezza delle transazioni digitali.

Azure Key Vault supporta il rinnovo automatico dei certificati rilasciato da un'autorità di certificazione integrata , ad esempio DigiCert o GlobalSign. Per una CA non integrata, è necessario un approccio manuale .

Questo articolo consente di colmare il divario fornendo un processo di rinnovo automatico su misura per i certificati di ca non integrato. Questo processo archivia facilmente i nuovi certificati in Key Vault, migliora l'efficienza, migliora la sicurezza e semplifica la distribuzione grazie all'integrazione con varie risorse di Azure.

Un processo di rinnovo automatico riduce l'errore umano e riduce al minimo le interruzioni del servizio. Quando si automatizza il rinnovo del certificato, non solo accelera il processo di rinnovo, ma riduce la probabilità che si verifichino errori durante la gestione manuale. Quando si usano le funzionalità di Key Vault e le relative estensioni, è possibile creare un processo automatico efficiente per ottimizzare operazioni e affidabilità.

Anche se il rinnovo automatico dei certificati è l'obiettivo iniziale, un obiettivo più ampio consiste nel migliorare la sicurezza in tutte le aree del processo. Questo sforzo include come implementare il principio dei privilegi minimi (PoLP) o controlli di accesso simili usando Key Vault. Sottolinea anche l'importanza di procedure di registrazione e monitoraggio affidabili per Key Vault. Questo articolo evidenzia l'importanza dell'uso di Key Vault per rafforzare l'intero ciclo di vita della gestione dei certificati e dimostra che i vantaggi della sicurezza non sono limitati all'archiviazione dei certificati.

È possibile usare Key Vault e il relativo processo di rinnovo automatico per aggiornare continuamente i certificati. Il rinnovo automatico svolge un ruolo importante nel processo di distribuzione e aiuta i servizi di Azure che si integrano con Key Vault traggono vantaggio dai certificati aggiornati. Questo articolo fornisce informazioni dettagliate sul modo in cui il rinnovo continuo e l'accessibilità contribuiscono all'efficienza complessiva della distribuzione e all'affidabilità dei servizi di Azure.

Architettura

Ecco una breve panoramica dell'architettura sottostante che supporta questa soluzione.

Diagramma dell'architettura di gestione del ciclo di vita dei certificati.

Scaricare un file di Visio di questa architettura.

L'ambiente Azure include le risorse PaaS (Platform as a Service) seguenti: un insieme di credenziali delle chiavi dedicato all'archiviazione dei certificati rilasciati solo dalla stessa CA non integrata, un argomento di sistema Griglia di eventi di Azure, una coda di account di archiviazione e un account Automazione di Azure che espone un webhook di destinazione di Griglia di eventi.

Questo scenario presuppone che sia già presente un'infrastruttura a chiave pubblica (PKI) esistente ed è costituita da una CA Microsoft Enterprise aggiunta a un dominio in Microsoft Entra ID. Sia l'infrastruttura a chiave pubblica che il dominio di Active Directory possono risiedere in Azure o in locale e i server che devono essere configurati per il rinnovo del certificato.

Le macchine virtuali con certificati per monitorare il rinnovo non devono essere aggiunte ad Active Directory o a Microsoft Entra ID. L'unico requisito è che l'autorità di certificazione e il ruolo di lavoro ibrido, se si trova in una macchina virtuale diversa dalla CA, da aggiungere ad Active Directory.

Le sezioni seguenti forniscono informazioni dettagliate sul processo di rinnovo automatico.

Workflow

Questa immagine mostra il flusso di lavoro automatico per il rinnovo del certificato nell'ecosistema di Azure.

Diagramma del flusso di lavoro automatico per il rinnovo del certificato nell'ecosistema di Azure.

  1. Configurazione di Key Vault: la fase iniziale del processo di rinnovo comporta l'archiviazione dell'oggetto certificato nella sezione Certificati designata dell'insieme di credenziali delle chiavi.

    Anche se non obbligatorio, è possibile configurare notifiche di posta elettronica personalizzate contrassegnando il certificato con l'indirizzo di posta elettronica del destinatario. L'assegnazione di tag al certificato garantisce notifiche tempestive al completamento del processo di rinnovo. Se sono necessari più destinatari, separare gli indirizzi di posta elettronica con una virgola o un punto e virgola. Il nome del tag per questo scopo è Recipient e il relativo valore è uno o più indirizzi di posta elettronica degli amministratori designati.

    Quando si usano tag anziché le notifiche predefinite dei certificati, è possibile applicare notifiche a un certificato specifico con un destinatario designato. Le notifiche predefinite dei certificati si applicano in modo indiscriminato a tutti i certificati all'interno dell'insieme di credenziali delle chiavi e usano lo stesso destinatario per tutti.

    È possibile integrare le notifiche predefinite con la soluzione, ma usare un approccio diverso. Anche se le notifiche predefinite possono notificare solo una scadenza imminente del certificato, i tag possono inviare notifiche quando il certificato viene rinnovato nella CA interna e quando è disponibile in Key Vault.

  2. Configurazione dell'estensione Key Vault: è necessario equipaggiare i server che devono usare i certificati con l'estensione Key Vault, uno strumento versatile compatibile con i sistemi Windows e Linux . Sono supportati i server IaaS (Infrastructure as a Service) di Azure e server locali o altri server cloud che si integrano tramite Azure Arc . Configurare l'estensione Key Vault per eseguire periodicamente il polling di Key Vault per tutti i certificati aggiornati. L'intervallo di polling è personalizzabile e flessibile in modo che possa essere allineato a requisiti operativi specifici.

  3. Integrazione di Griglia di eventi: quando un certificato si avvicina alla scadenza, due sottoscrizioni di Griglia di eventi intercettano questo importante evento di durata dall'insieme di credenziali delle chiavi.

  4. Trigger di Griglia di eventi: una sottoscrizione di Griglia di eventi invia le informazioni di rinnovo del certificato a una coda dell'account di archiviazione. L'altra sottoscrizione attiva l'avvio di un runbook tramite il webhook configurato nell'account di Automazione. Se il runbook non rinnova il certificato o se la CA non è disponibile, un processo pianificato ritenta il rinnovo del runbook da quel punto fino a quando la coda non viene cancellata. Questo processo rende affidabile la soluzione.

    Per migliorare la resilienza della soluzione, configurare un meccanismo di posizione dei messaggi non recapitabili. Gestisce potenziali errori che possono verificarsi durante il transito dei messaggi da Griglia di eventi alle destinazioni della sottoscrizione, alla coda di archiviazione e al webhook.

  5. Archiviazione coda dell'account: Il runbook viene avviato all'interno del server CA configurato come ruolo di lavoro ibrido per runbook di Automazione. Riceve tutti i messaggi nella coda dell'account di archiviazione che contengono il nome del certificato in scadenza e l'insieme di credenziali delle chiavi che ospita il runbook. I passaggi seguenti si verificano per ogni messaggio nella coda.

  6. Rinnovo del certificato: lo script nel runbook si connette ad Azure per recuperare il nome del modello del certificato configurato durante la generazione. Il modello è il componente di configurazione dell'autorità di certificazione che definisce gli attributi e lo scopo dei certificati da generare.

    Dopo che gli script si interfacciano con Key Vault, avvia una richiesta di rinnovo del certificato. Questa richiesta attiva Key Vault per generare una richiesta di firma del certificato (CSR) e applica lo stesso modello che ha generato il certificato originale. Questo processo garantisce che il certificato rinnovato sia allineato ai criteri di sicurezza predefiniti. Per altre informazioni sulla sicurezza nel processo di autenticazione e autorizzazione, vedere la sezione Sicurezza .

    Lo script scarica la richiesta di firma del certificato e la invia alla CA.

    La CA genera un nuovo certificato x509 basato sul modello corretto e lo invia allo script. Questo passaggio garantisce che il certificato rinnovato sia allineato ai criteri di sicurezza predefiniti.

  7. Unione di certificati e aggiornamento dell'insieme di credenziali delle chiavi: lo script unisce nuovamente il certificato rinnovato nell'insieme di credenziali delle chiavi, finalizzando il processo di aggiornamento e rimuovendo il messaggio dalla coda. Durante l'intero processo, la chiave privata del certificato non viene mai estratta dall'insieme di credenziali delle chiavi.

  8. Monitoraggio e notifica tramite posta elettronica: tutte le operazioni eseguite da vari componenti di Azure, ad esempio un account di Automazione, Key Vault, una coda di account di archiviazione e Griglia di eventi, vengono registrate all'interno dell'area di lavoro Log di Monitoraggio di Azure per abilitare il monitoraggio. Dopo l'unione del certificato nell'insieme di credenziali delle chiavi, lo script invia un messaggio di posta elettronica agli amministratori per notificarli al risultato.

  9. Recupero certificati: l'estensione Key Vault nel server svolge un ruolo importante durante questa fase. Scarica automaticamente la versione più recente del certificato dall'insieme di credenziali delle chiavi nell'archivio locale del server che usa il certificato. È possibile configurare più server con l'estensione Key Vault per recuperare lo stesso certificato (carattere jolly o con più certificati SAN) dell'insieme di credenziali delle chiavi.

Componenti

La soluzione usa vari componenti per gestire il rinnovo automatico dei certificati in Azure. Le sezioni seguenti descrivono ogni componente e il relativo scopo specifico.

Estensione Key Vault

L'estensione Key Vault svolge un ruolo fondamentale nell'automazione del rinnovo dei certificati e deve essere installata nei server che richiedono l'automazione. Per altre informazioni sulle procedure di installazione nei server Windows, vedere Estensione Key Vault per Windows. Per altre informazioni sui passaggi di installazione per i server Linux, vedere Estensione Key Vault per Linux. Per altre informazioni sui server abilitati per Azure Arc, vedere Estensione Key Vault per i server abilitati per Arc.

Nota

Di seguito sono riportati gli script di esempio che è possibile eseguire da Azure Cloud Shell per configurare l'estensione Key Vault:

I parametri di configurazione dell'estensione Key Vault includono:

  • Nome dell'insieme di credenziali delle chiavi: insieme di credenziali delle chiavi che contiene il certificato per il rinnovo.
  • Nome certificato: nome del certificato da rinnovare.
  • Archivio certificati, Nome e Percorso: archivio certificati in cui è archiviato il certificato. Nei server Windows il valore predefinito per Name è e Location è MyLocalMachine, ovvero l'archivio certificati personale del computer. Nei server Linux è possibile specificare un percorso del file system, presupponendo che il valore predefinito sia AzureKeyVault, ovvero l'archivio certificati per Key Vault.
  • linkOnRenewal: flag che indica se il certificato deve essere collegato al server al rinnovo. Se impostata true su in computer Windows, copia il nuovo certificato nell'archivio e lo collega al certificato precedente, che riassocia effettivamente il certificato. Il valore predefinito significa false che è necessaria un'associazione esplicita.
  • pollingIntervalInS: intervallo di polling per l'estensione Key Vault per verificare la disponibilità di aggiornamenti dei certificati. Il valore predefinito è 3600 secondi (1 ora).
  • authenticationSetting: impostazione di autenticazione per l'estensione Key Vault. Per i server di Azure, è possibile omettere questa impostazione, ovvero l'identità gestita assegnata dal sistema della macchina virtuale viene usata nell'insieme di credenziali delle chiavi. Per i server locali, specificando l'impostazione msiEndpoint = "http://localhost:40342/metadata/identity" , l'utilizzo dell'entità servizio associata all'oggetto computer creato durante l'onboarding di Azure Arc.

Nota

Specificare i parametri dell'estensione Key Vault solo durante la configurazione iniziale. In questo modo non subiranno modifiche durante il processo di rinnovo.

Account di Automazione

L'account di Automazione gestisce il processo di rinnovo del certificato. È necessario configurare l'account con un runbook usando lo script di PowerShell.

È anche necessario creare un gruppo di ruoli di lavoro ibridi. Associare il gruppo di lavoro ibrido a un membro di Windows Server dello stesso dominio di Active Directory della CA, idealmente la CA stessa, per l'avvio di runbook.

Il runbook deve avere un webhook associato avviato dal ruolo di lavoro ibrido per runbook. Configurare l'URL del webhook nella sottoscrizione di eventi dell'argomento di sistema di Griglia di eventi.

Archiviazione coda dell'account

La coda dell'account di archiviazione archivia i messaggi che contengono il nome del certificato da rinnovare e l'insieme di credenziali delle chiavi che contiene il certificato. Configurare la coda dell'account di archiviazione nella sottoscrizione di eventi dell'argomento di sistema di Griglia di eventi. La coda gestisce la separazione dello script dall'evento di notifica di scadenza del certificato. Supporta la persistenza dell'evento all'interno di un messaggio della coda. Questo approccio consente di garantire che il processo di rinnovo per i certificati venga ripetuto tramite processi pianificati anche se si verificano problemi durante l'esecuzione dello script.

Ruolo di lavoro ibrido per runbook

Il ruolo di lavoro ibrido per runbook svolge un ruolo fondamentale nell'uso dei runbook. È necessario installare il ruolo di lavoro ibrido per runbook con il metodo di estensione ruolo di lavoro ibrido di Azure, ovvero la modalità supportata per una nuova installazione. È possibile crearlo e associarlo a un membro di Windows Server nello stesso dominio di Active Directory della CA, idealmente la CA stessa.

Key Vault

Key Vault è il repository sicuro per i certificati. Nella sezione evento dell'insieme di credenziali delle chiavi associare l'argomento del sistema griglia di eventi al webhook dell'account di Automazione e a una sottoscrizione.

Griglia di eventi

Griglia di eventi gestisce le comunicazioni guidate dagli eventi all'interno di Azure. Configurare Griglia di eventi configurando l'argomento di sistema e la sottoscrizione di eventi per monitorare gli eventi pertinenti. Gli eventi rilevanti includono gli avvisi di scadenza del certificato, l'attivazione di azioni all'interno del flusso di lavoro di automazione e la pubblicazione di messaggi nella coda dell'account di archiviazione. Configurare l'argomento di sistema di Griglia di eventi con i parametri seguenti:

  • Origine: nome dell'insieme di credenziali delle chiavi contenente i certificati.
  • Tipo di origine: tipo dell'origine. Ad esempio, il tipo di origine per questa soluzione è Azure Key Vault.
  • Tipi di evento: tipo di evento da monitorare. Ad esempio, il tipo di evento per questa soluzione è Microsoft.KeyVault.CertificateNearExpiry. Questo evento si attiva quando un certificato è vicino alla scadenza.
  • Sottoscrizione per webhook:
    • Nome sottoscrizione: nome della sottoscrizione di eventi.
    • Tipo di endpoint: tipo di endpoint da usare. Ad esempio, il tipo di endpoint per questa soluzione è Webhook.
    • Endpoint: URL del webhook associato al runbook dell'account di Automazione. Per altre informazioni, vedere la sezione Account di Automazione.
  • Sottoscrizione per Archiviazione Queue:
    • Nome sottoscrizione: nome della sottoscrizione di eventi.
    • Tipo di endpoint: tipo di endpoint da usare. Ad esempio, il tipo di endpoint per questa soluzione è StorageQueue.
    • Endpoint: coda dell'account di archiviazione.

Alternative

Questa soluzione usa un account di Automazione per orchestrare il processo di rinnovo del certificato e usa il ruolo di lavoro ibrido per runbook per offrire la flessibilità necessaria per l'integrazione con una CA locale o in altri cloud.

Un approccio alternativo consiste nell'usare App per la logica. La differenza principale tra i due approcci è che l'account di Automazione è una soluzione PaaS (Platform as a Service), mentre App per la logica è una soluzione SaaS (Software as a Service).

Il vantaggio principale di App per la logica è che si tratta di un servizio completamente gestito. Non è necessario preoccuparsi dell'infrastruttura sottostante. Inoltre, App per la logica può facilmente integrarsi con connettori esterni, espandendo la gamma di possibilità di notifica, ad esempio l'interazione con Microsoft Teams o Microsoft 365.

App per la logica non dispone di una funzionalità simile al ruolo di lavoro ibrido per runbook, che comporta un'integrazione meno flessibile con la CA, quindi un account di Automazione è l'approccio preferito.

Dettagli dello scenario

Ogni organizzazione richiede una gestione sicura ed efficiente del ciclo di vita dei certificati. Se non si aggiorna un certificato prima della scadenza, possono verificarsi interruzioni del servizio e comportare costi significativi per l'azienda.

Le aziende in genere gestiscono infrastrutture IT complesse che coinvolgono più team responsabili del ciclo di vita dei certificati. La natura manuale del processo di rinnovo del certificato spesso introduce errori e consuma tempo prezioso.

Questa soluzione risolve i problemi automatizzando il rinnovo del certificato rilasciato dal servizio certificati Microsoft. Il servizio è ampiamente usato per varie applicazioni server, ad esempio server Web, SQL Server e per la crittografia, la nonpudiazione, la firma e garantire aggiornamenti tempestivi e archiviazione sicura dei certificati all'interno di Key Vault. La compatibilità del servizio con i server di Azure e i server locali supporta la distribuzione flessibile.

Potenziali casi d'uso

Questa soluzione è adatta alle organizzazioni in diversi settori che:

  • Usare il servizio certificati Microsoft per la generazione di certificati server.
  • Richiedere l'automazione nel processo di rinnovo dei certificati per accelerare le operazioni e ridurre al minimo gli errori, evitando perdite aziendali e violazioni del contratto di servizio.
  • Richiedere l'archiviazione sicura dei certificati in repository come Key Vault.

Questa architettura funge da approccio di distribuzione fondamentale nelle sottoscrizioni dell'area di destinazione dell'applicazione.

Considerazioni

Queste considerazioni implementano i pilastri di Azure Well-Architected Framework, che è un set di set di principi guida che è possibile usare per migliorare la qualità di un carico di lavoro. Per altre informazioni, vedere Framework ben progettato di Microsoft Azure.

Sicurezza

La sicurezza offre garanzie contro attacchi intenzionali e l'abuso di dati e sistemi preziosi. Per altre informazioni, vedere Panoramica del pilastro della sicurezza.

All'interno del sistema dell'insieme di credenziali delle chiavi, i certificati vengono archiviati in modo sicuro come segreti crittografati, protetti dal controllo degli accessi in base al ruolo di Azure.

Durante il processo di rinnovo del certificato, i componenti che usano le identità sono:

  • L'account di sistema del ruolo di lavoro ibrido per runbook, che opera con l'account della macchina virtuale.
  • L'estensione Key Vault, che usa l'identità gestita associata alla macchina virtuale.
  • L'account di Automazione, che usa l'identità gestita designata.

Il principio dei privilegi minimi viene applicato rigorosamente in tutte le identità coinvolte nella procedura di rinnovo del certificato.

L'account di sistema del server di lavoro ibrido per runbook deve avere il diritto di registrare i certificati in uno o più modelli di certificato che generano nuovi certificati.

Nell'insieme di credenziali delle chiavi contenente i certificati, l'identità dell'account di Automazione deve avere il Key Vault Certificate Officer ruolo . Inoltre, i server che richiedono l'accesso ai certificati devono avere Get autorizzazioni e List all'interno dell'archivio certificati dell'insieme di credenziali delle chiavi.

Nella coda dell'account di archiviazione l'identità dell'account di Automazione deve avere i Storage Queue Data Contributorruoli , Reader and Data Accesse Reader .

Negli scenari in cui l'estensione Key Vault viene distribuita in una macchina virtuale di Azure, l'autenticazione avviene tramite l'identità gestita della macchina virtuale. Tuttavia, quando viene distribuita in un server abilitato per Azure Arc, l'autenticazione viene gestita usando un'entità servizio. Sia l'identità gestita che l'entità servizio devono essere assegnati al ruolo utente segreto dell'insieme di credenziali delle chiavi all'interno dell'insieme di credenziali delle chiavi in cui è archiviato il certificato. È necessario usare un ruolo segreto perché il certificato viene archiviato nell'insieme di credenziali delle chiavi come segreto.

Ottimizzazione dei costi

L'ottimizzazione dei costi riguarda l'analisi dei modi per ridurre le spese non necessarie e migliorare l'efficienza operativa. Per altre informazioni, vedere Elenco di controllo per la revisione della progettazione per Ottimizzazione costi.

Questa soluzione usa soluzioni PaaS di Azure che operano con un framework con pagamento in base al consumo per ottimizzare i costi. Le spese dipendono dal numero di certificati che richiedono il rinnovo e dal numero di server dotati dell'estensione Key Vault, con un sovraccarico ridotto.

Le spese derivanti dall'estensione Key Vault e dal ruolo di lavoro ibrido per runbook dipendono dalle scelte di installazione e dagli intervalli di polling. Il costo di Griglia di eventi corrisponde al volume di eventi generati da Key Vault. Allo stesso tempo, il costo dell'account di Automazione è correlato al numero di runbook usati.

Il costo di Key Vault dipende da vari fattori, tra cui lo SKU scelto (Standard o Premium), la quantità di certificati archiviati e la frequenza delle operazioni eseguite sui certificati.

Considerazioni simili alle configurazioni descritte per Key Vault si applicano allo stesso modo all'account di archiviazione. In questo scenario, uno SKU standard con replica di archiviazione con ridondanza locale è sufficiente per l'account di archiviazione. In genere, il costo della coda dell'account di archiviazione è minimo.

Per stimare il costo di implementazione di questa soluzione, usare il calcolatore prezzi di Azure, immettendo i servizi descritti in questo articolo.

Eccellenza operativa

L'eccellenza operativa copre i processi operativi che distribuiscono un'applicazione e la mantengono in esecuzione nell'ambiente di produzione. Per altre informazioni, vedere Elenco di controllo per la revisione della progettazione per l'eccellenza operativa.

La procedura di rinnovo automatico dei certificati archivia in modo sicuro i certificati tramite processi standardizzati applicabili a tutti i certificati all'interno dell'insieme di credenziali delle chiavi.

L'integrazione con Griglia di eventi attiva azioni supplementari, ad esempio la notifica a Microsoft Teams o Microsoft 365 e la semplificazione del processo di rinnovo. Questa integrazione riduce significativamente il tempo di rinnovo dei certificati e riduce il rischio di errori che potrebbero causare interruzioni e violazioni dei contratti di servizio aziendali.

Inoltre, l'integrazione senza problemi con Monitoraggio di Azure, Microsoft Sentinel, Microsoft Copilot for Security e Centro sicurezza di Azure facilita il monitoraggio continuo del processo di rinnovo dei certificati. Supporta il rilevamento anomalie e garantisce che vengano mantenute misure di sicurezza affidabili.

Distribuire lo scenario

Selezionare il pulsante seguente per distribuire l'ambiente descritto in questo articolo. Il completamento della distribuzione richiede circa due minuti e crea un insieme di credenziali delle chiavi, un argomento di sistema di Griglia di eventi configurato con le due sottoscrizioni, un account di archiviazione contenente la coda certlc e un account di Automazione contenente il runbook e il webhook collegato a Griglia di eventi.

Distribuzione in Azure

Informazioni dettagliate sui parametri necessari per la distribuzione sono disponibili nel portale di esempio di codice.

Importante

È possibile distribuire un ambiente lab completo per illustrare l'intero flusso di lavoro di rinnovo automatico dei certificati. Usare l'esempio di codice per distribuire le risorse seguenti:

  • Dominio di Active Directory Services (AD DS) all'interno di una macchina virtuale del controller di dominio.
  • Servizi certificati Active Directory (AD CS) all'interno di una macchina virtuale ca aggiunta al dominio, configurata con un modello, WebServerShort, per la registrazione dei certificati da rinnovare.
  • Un server SMTP Windows installato nella stessa macchina virtuale della CA per l'invio di notifiche tramite posta elettronica. MailViewer installa anche per verificare le notifiche di posta elettronica inviate.
  • L'estensione Key Vault installata nella macchina virtuale del controller di dominio per recuperare i certificati rinnovati dall'estensione Key Vault.

Distribuzione in Azure

Collaboratori

Questo articolo viene gestito da Microsoft. Originariamente è stato scritto dai seguenti contributori.

Autori principali:

Per visualizzare i profili LinkedIn non pubblici, accedere a LinkedIn.

Estensione Key Vault
dell'insieme di credenziali delle chiavi di Key Vault per Windows
per Linux
Che cos'è Automazione di Azure?
Automazione di Azure ruolo di lavoro
ibrido per runbookGriglia di eventi di Azure