你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
在自动化中禁用本地身份验证
重要
- 禁用本地身份验证后,更新管理修补将无法正常工作。
- 禁用本地身份验证时,它会影响使用 Webhook 启动 Runbook、自动化所需状态配置和基于代理的混合 Runbook 辅助角色。 有关详细信息,请参阅可用替代方案。
Azure 自动化为所有自动化服务公共终结点提供 Microsoft Entra 身份验证支持。 此项关键安全增强消除了证书依赖关系,使组织可以通过控制措施来禁用本地身份验证方法。 需要通过 Microsoft Entra ID 集中控制和管理标识与资源凭据时,此功能可为你提供无缝集成。
Azure 自动化通过 Azure 策略配置 Azure 自动化帐户以禁用本地身份验证在自动化帐户级别提供“禁用本地身份验证”可选功能。 默认情况下,此标志在帐户级别设置为 false,因此你既可以使用本地身份验证,也可以使用 Microsoft Entra 身份验证。 如果你选择禁用本地身份验证,则自动化服务仅接受基于 Microsoft Entra ID 的身份验证。
如果已禁用身份验证,你可能会在 Azure 门户中的登陆页上收到一条针对所选自动化帐户的警告消息。 若要确认是否已启用本地身份验证策略,请使用 PowerShell cmdlet Get-AzAutomationAccount 并检查属性 DisableLocalAuth。 值为 true 表示已禁用本地身份验证。
禁用本地身份验证的操作不会立即生效。 请等待几分钟,使服务阻止将来的身份验证请求。
注意
- 当前,PowerShell 尚不支持新的 API 版本 (2021-06-22),或者说
DisableLocalAuth标志尚不可用。 不过,你可以将 Rest-API 与此 API 版本一起使用来更新该标志。
重新启用本地身份验证
若要重新启用本地身份验证,请结合 -DisableLocalAuth false 参数执行 PowerShell cmdlet Set-AzAutomationAccount。 等待几分钟,使服务接受更改以允许本地身份验证请求。
兼容性
下表描述了通过禁用本地身份验证阻止其工作的行为或功能。
| 方案 | 替代项 |
|---|---|
| 使用 Webhook 启动 Runbook。 | 通过 Azure 资源管理器模板启动使用 Microsoft Entra 身份验证的 Runbook 作业。 |
| 使用自动化 Desired State Configuration。 | 使用 Azure Policy 来宾配置。 |
| 使用基于代理的混合 Runbook 辅助角色。 | 使用基于扩展的混合 Runbook 辅助角色。 |
| 使用 Azure 更新管理器 | 使用 Azure 更新管理器 |