Automation でローカル認証を無効にする
重要
- ローカル認証が無効になっていると、Update Management の修正プログラム適用は機能しません。
- ローカル認証を無効にすると、Webhook、Automation Desired State Configuration、エージェントベースの Hybrid Runbook Worker を使用した Runbook の開始に影響します。 詳細については、使用可能な代替手段を参照してください。
Azure Automation では、すべての Automation サービス パブリック エンドポイントでの Microsoft Entra 認証のサポートが提供されます。 この重要なセキュリティ強化によって、証明書の依存関係がなくなり、組織はローカル認証方法の無効化を制御できるようになります。 この機能により、ID の集中管理された制御および管理と Microsoft Entra ID 経由のリソース資格情報が必要な場合のシームレスな統合が可能になります。
Azure Automation では、ローカル認証を無効にするように Azure Automation アカウントを構成するという Azure ポリシーを使用して Automation アカウント レベルで "ローカル認証を無効にする" ためのオプション機能が提供されます。 既定では、このフラグはアカウントで false に設定されているため、ローカル認証と Microsoft Entra 認証の両方を使用できます。 ローカル認証を無効にすることを選択した場合、Automation サービスでは Microsoft Entra ID ベースの認証のみを受け入れます。
Azure portal では、認証が無効になっていると、選択された Automation アカウントのランディング ページに警告メッセージが表示されることがあります。 ローカル認証ポリシーが有効になっているかどうかを確認するには、PowerShell コマンドレット Get-AzAutomationAccount を使用し、プロパティ DisableLocalAuth を確認します。 true の値は、ローカル認証が無効になっていることを示します。
ローカル認証を無効にしても、すぐに効果が現れるわけではありません。 このサービスによって将来の認証要求がブロックされるようになるまで数分かかります。
Note
- 現在、PowerShell では、新しい API バージョン (2021-06-22) またはフラグ –
DisableLocalAuthはサポートされていません。 ただし、Rest-API でこの API バージョンを使用してフラグを更新できます。
ローカル認証を再び有効にする
ローカル認証を再び有効にするには、パラメーター -DisableLocalAuth false を指定して PowerShell コマンドレット Set-AzAutomationAccount を実行します。 このサービスによってローカル認証要求を許可する変更が受け入れられるまで数分かかります。
互換性
次の表では、ローカル認証を無効にすることによって機能しなくなる動作または機能について説明します。
| シナリオ | 代替手段 |
|---|---|
| webhook を使用した Runbook の起動。 | Microsoft Entra 認証を使用する Azure Resource Manager テンプレートを使用して Runbook ジョブを起動します。 |
| Automation Desired State Configuration の使用。 | Azure Policy のゲスト構成を使用します。 |
| エージェント ベースの Hybrid Runbook Worker の使用。 | 拡張機能ベースの Hybrid Runbook Worker を使用します。 |
| Azure Update Manager の使用 | Azure Update Manager の使用 |