Panoramica dell'autenticazione di account con Automazione di Azure

  • Articolo

Importante

Automazione di Azure account Runas, inclusi gli account Runas classici, sono stati ritirati il 30 settembre 2023 e sostituiti con identità gestite. Non sarà più possibile creare o rinnovare gli account Runas tramite il portale di Azure. Per altre informazioni, vedere Eseguire la migrazione da un account RunAs esistente a Identità gestita.

Automazione di Azure consente di automatizzare le attività sulle risorse in Azure, in locale e con altri provider di servizi cloud, ad esempio Amazon Web Services (AWS). È possibile usare i runbook per automatizzare le attività o un ruolo di lavoro ibrido per runbook se si dispone di processi aziendali o operativi da gestire all'esterno di Azure. L'uso di uno di questi ambienti richiede autorizzazioni per accedere in modo sicuro alle risorse con i diritti minimi necessari.

Questo articolo illustra i diversi scenari di autenticazione supportati da Automazione di Azure e descrive come iniziare partendo da uno o più ambienti che è necessario gestire.

Account di Automazione

Al primo avvio di Automazione di Azure sarà necessario creare almeno un account di Automazione. Gli account di automazione consentono di isolare le risorse di Automazione, i runbook, gli asset e le configurazioni dalle risorse di altri account. È possibile usare gli account di Automazione per separare le risorse in ambienti logici separati o responsabilità delegate. Ad esempio, è possibile usare un account per lo sviluppo, uno per la produzione e un altro per l'ambiente locale. In alternativa, è possibile dedicare un account di Automazione per gestire gli aggiornamenti del sistema operativo in tutti i computer con Gestione aggiornamenti.

Un account di Automazione di Azure è diverso dagli account Microsoft creati nella sottoscrizione di Azure. Per un'introduzione alla creazione di un account di Automazione, vedere Creare un account di Automazione.

Risorse di Automazione

Le risorse di Automazione per ogni account di Automazione sono associate a una singola area di Azure, ma l'account può gestire tutte le risorse nella sottoscrizione di Azure. Il motivo principale per cui creare gli account di Automazione in aree diverse è la presenza di criteri che richiedono che dati e risorse siano isolati in un'area specifica.

Tutte le attività create in base alle risorse usando Azure Resource Manager e i cmdlet di PowerShell in Automazione di Azure devono eseguire l'autenticazione in Azure usando l'autenticazione basata sulle credenziali dell'identità aziendale di Microsoft Entra.

Identità gestite

Un'identità gestita da Microsoft Entra ID consente al runbook di accedere facilmente ad altre risorse protette di Microsoft Entra. L'identità viene gestita dalla piattaforma Azure e non è necessario eseguire il provisioning o ruotare alcun segreto. Per altre informazioni sulle identità gestite in Microsoft Entra ID, vedere Identità gestite per le risorse di Azure.

Le identità gestite sono il modo consigliato per eseguire l'autenticazione nei runbook ed è il metodo di autenticazione predefinito per l'account di Automazione.

Ecco alcuni dei vantaggi dell'uso delle identità gestite:

  • L'uso di un'identità gestita anziché dell'account RunAs di Automazione semplifica la gestione.

  • Le identità gestite possono essere usate senza costi aggiuntivi.

  • Non è necessario specificare l'oggetto connessione RunAs nel codice del runbook. È possibile accedere alle risorse usando l'identità gestita dell'account di Automazione da un runbook senza creare certificati, connessioni e così via.

Un account di Automazione può eseguire l'autenticazione usando due tipi di identità gestite:

  • Un'identità assegnata dal sistema viene associata all'applicazione e viene eliminata in caso di eliminazione dell'app. A un'app può essere associata una sola identità assegnata dal sistema.

  • Un'identità assegnata dall'utente è una risorsa di Azure autonoma che può essere assegnata all'app. Un'app può avere più identità assegnate dall'utente.

Nota

Le identità assegnate dall'utente sono supportate solo per i processi cloud. Per altre informazioni sulle diverse identità gestite, vedere Gestire i tipi di identità.

Per informazioni dettagliate sull'uso delle identità gestite, vedere Abilitare l'identità gestita per Automazione di Azure.

Autorizzazioni per la sottoscrizione

È necessaria l'autorizzazione Microsoft.Authorization/*/Write. Questa autorizzazione viene ottenuta tramite l'appartenenza a uno dei ruoli predefiniti di Azure seguenti:

Per altre informazioni sulle autorizzazioni della sottoscrizione classica, vedere Amministratori della sottoscrizione classica di Azure.

Problema relativo alle autorizzazioni di Microsoft Entra

Per rinnovare l'entità servizio, è necessario essere membri di uno dei ruoli predefiniti di Microsoft Entra seguenti:

L'appartenenza può essere assegnata a TUTTI gli utenti nel tenant a livello di directory, ovvero il comportamento predefinito. È possibile concedere l'appartenenza a entrambi i ruoli a livello di directory. Per maggiori informazioni, consultare la sezione Chi è autorizzato ad aggiungere applicazioni alla mia istanza di Microsoft Entra?.

Autorizzazioni per l'account di Automazione

Per aggiornare l'account di Automazione, è necessario essere membri di uno dei ruoli dell'account di Automazione seguenti:

Per altre informazioni sui modelli di distribuzione classica e con Azure Resource Manager, vedere Azure Resource Manager e distribuzione classica.

Nota

Le sottoscrizioni Azure Cloud Solution Provider (CSP) supportano solo il modello di Azure Resource Manager. I servi diversi da Azure Resource Manager non sono disponibili nel programma. Quando si usa una sottoscrizione CSP, non viene creato l'account RunAs classico di Azure, ma l'account RunAs di Azure. Per altre informazioni sulle sottoscrizioni CSP, vedere Servizi disponibili nelle sottoscrizioni CSP.

Controllo degli accessi in base al ruolo

Il controllo degli accessi in base al ruolo è disponibile con Azure Resource Manager per concedere le azioni consentite a un account utente Microsoft Entra e a un account RunAs e autenticare l'entità servizio. Per altre informazioni utili per sviluppare il modello per la gestione delle autorizzazioni di Automazione, vedere Controllo degli accessi in base al ruolo in Automazione di Azure.

Se sono presenti controlli di sicurezza rigorosi per l'assegnazione di autorizzazioni nei gruppi di risorse, è necessario assegnare l'appartenenza dell'account RunAs al ruolo Collaboratore nel gruppo di risorse.

Nota

È consigliabile non usare il ruolo Collaboratore Log Analytics per eseguire processi di automazione. Creare invece il ruolo personalizzato collaboratore Automazione di Azure e usarlo per le azioni correlate all'account di Automazione.

Autenticazione dei runbook con ruolo di lavoro ibrido per runbook

I runbook in esecuzione in un ruolo di lavoro ibrido per runbook nel data center o nei servizi di calcolo in altri ambienti cloud come AWS, non possono usare lo stesso metodo usato in genere per l'autenticazione dei runbook nelle risorse di Azure. Il motivo è che queste risorse vengono eseguite all'esterno di Azure e di conseguenza devono usare le proprie credenziali di sicurezza definite in Automazione per autenticare le risorse cui accedono in locale. Per altre informazioni sull'autenticazione di runbook con i ruoli di lavoro per runbook, vedere Eseguire runbook in un ruolo di lavoro ibrido per runbook.

Per i runbook che usano i ruoli di lavoro ibridi per runbook nelle macchine virtuali di Azure, è possibile usare l'autenticazione dei runbook con identità gestite invece degli account RunAs per l'autenticazione con le risorse di Azure.

Passaggi successivi