Domande frequenti sulla migrazione da un account RunAs a identità gestite
Le domande frequenti seguenti consentono di eseguire la migrazione da un account RunAs a un'identità gestita in Automazione di Azure. In caso di altre domande sulle funzionalità, pubblicarle nel forum di discussione. Quando viene spesso posta una domanda, la si aggiunge a questo articolo in modo che possa essere vantaggiosa per tutti.
Per quanto tempo si supporterà un account RunAs?
Gli account RunAs di Automazione saranno supportati fino al 30 settembre 2023. Inoltre, a partire dal 01 aprile 2023, la creazione di nuovi account RunAs in Automazione di Azure non sarà possibile. Il rinnovo dei certificati per gli account RunAs esistenti sarebbe possibile solo fino alla fine del supporto.
I runbook esistenti che usano l'account RunAs saranno in grado di eseguire l'autenticazione?
Sì, saranno in grado di eseguire l'autenticazione. Non ci sarà alcun impatto per i runbook esistenti che usano un account RunAs. Dopo il 30 settembre 2023, tutte le esecuzioni di runbook che usano account RunAs, inclusi gli account RunAs classici, non sarebbero supportate. Di conseguenza, è necessario eseguire la migrazione di tutti i runbook per usare identità gestite prima di tale data.
L'account Runas scade presto, come posso rinnovarlo?
Se il certificato dell'account RunAs scade presto, è consigliabile iniziare a usare le identità gestite per l'autenticazione anziché rinnovare il certificato. Tuttavia, se si vuole ancora rinnovarlo, sarà possibile farlo tramite il portale solo fino al 30 settembre 2023.
È possibile creare nuovi account RunAs?
Dal 1° aprile 2023, la creazione di nuovi account RunAs non sarebbe possibile. È consigliabile iniziare a usare le identità gestite per l'autenticazione anziché creare nuovi account RunAs.
I runbook che usano ancora l'account RunAs potranno eseguire l'autenticazione dopo il 30 settembre 2023?
Sì, i runbook saranno in grado di eseguire l'autenticazione fino alla scadenza del certificato dell'account RunAs. Dopo il 30 settembre 2023, tutte le esecuzioni di runbook che usano account RunAs non sarebbero supportate.
Le Connessione e gli asset delle credenziali vengono ritirati il 30 settembre 2023?
Gli account RunAs di Automazione non saranno supportati dopo il 30 settembre 2023. Connessione e gli asset delle credenziali non sono sotto la vista di questo ritiro. Per un modo più sicuro di autenticazione, è consigliabile usare identità gestite.
Che cos'è un'identità gestita?
Le applicazioni usano identità gestite in Microsoft Entra ID quando si connettono alle risorse che supportano l'autenticazione di Microsoft Entra. Le applicazioni possono usare identità gestite per ottenere token Microsoft Entra senza gestire credenziali, segreti, certificati o chiavi.
Per altre informazioni sulle identità gestite in Microsoft Entra ID, vedere Identità gestite per le risorse di Azure.
Cosa è possibile fare con un'identità gestita negli account di Automazione?
Un'identità gestita Automazione di Azure da Microsoft Entra ID consente al runbook di accedere facilmente ad altre risorse protette di Microsoft Entra. Questa identità viene gestita dalla piattaforma Azure e non richiede il provisioning o la rotazione di segreti.
I vantaggi principali sono:
- È possibile usare le identità gestite per eseguire l'autenticazione a qualsiasi servizio di Azure che supporti l'autenticazione di Microsoft Entra.
- Le identità gestite eliminano il sovraccarico associato alla gestione degli account RunAs nel codice del runbook. È possibile accedere alle risorse tramite un'identità gestita di un account di Automazione da un runbook senza doversi preoccupare della creazione dell'entità servizio, del certificato RunAs, della connessione RunAs e così via.
- Non è necessario rinnovare il certificato usato dall'account RunAs di Automazione.
Le identità gestite sono più sicure di un account RunAs?
Un account RunAs crea un'app Microsoft Entra usata per gestire le risorse all'interno della sottoscrizione tramite un certificato con accesso collaboratore a livello di sottoscrizione per impostazione predefinita. Un utente malintenzionato potrebbe usare questo certificato per eseguire un'operazione con privilegi sulle risorse nella sottoscrizione, causando potenziali vulnerabilità.
Gli account RunAs comportano anche un sovraccarico di gestione che comporta la creazione di un'entità servizio, un certificato RunAs, una connessione RunAs, un rinnovo del certificato e così via. Le identità gestite eliminano questo sovraccarico fornendo agli utenti un metodo sicuro per autenticare e accedere alle risorse che supportano l'autenticazione di Microsoft Entra senza doversi preoccupare di alcun certificato o gestione delle credenziali.
È possibile usare un'identità gestita sia per i processi cloud che per i processi ibridi?
Automazione di Azure supporta le identità gestite assegnate dal sistema sia per i processi cloud che ibridi. Attualmente, Automazione di Azure le identità gestite assegnate dall'utente possono essere usate solo per i processi cloud e non possono essere usate per i processi eseguiti in un ruolo di lavoro ibrido.
Come è possibile eseguire la migrazione da un account RunAs esistente a un'identità gestita?
Seguire la procedura descritta in Eseguire la migrazione di un account RunAs esistente a un'identità gestita.
Ricerca per categorie visualizzare i runbook che usano un account RunAs e sapere quali autorizzazioni sono assegnate a tale account?
Usare questo script per scoprire quali account di Automazione usano un account RunAs. Se gli account Automazione di Azure contengono un account RunAs, il ruolo di collaboratore predefinito sarà assegnato per impostazione predefinita. È possibile usare lo script per controllare gli account RunAs Automazione di Azure e determinare se l'assegnazione di ruolo è quella predefinita o se è stata modificata in una definizione di ruolo diversa.
Passaggi successivi
Se la domanda non viene risposta qui, è possibile fare riferimento alle origini seguenti per altre domande e risposte: