從執行身分帳戶移轉到受控識別的常見問題集

下列常見問題集可協助您從執行身分帳戶移轉至 Azure 自動化中的受控識別。如果您有任何其他有關功能的問題，請在討論論壇上張貼這些問題。當問題常被提出時，我們會將其新增至此文章，以便每個人都可以從中獲益。

您將支援執行身分帳戶多久時間？

自動化執行身分帳戶將支援到「2023 年 9 月 30 日」為止。此外，從 2023 年 4 月 1 日開始，將無法在 Azure 自動化中建立新的執行身分帳戶。只有在支援結束時，才可更新現有執行身分帳戶的憑證。

是，其可以進行驗證。對使用執行身分帳戶的現有 Runbook 不會有任何影響。 2023 年 9 月 30 日之後，所有使用執行身分帳戶 (包括傳統的執行身分帳戶) 的 Runbook 執行動作將不再受到支援。因此，您必須在該日期之前移轉所有 Runbook，才能使用受控識別。

如果您的執行身分帳戶即將到期，建議您開始使用受控識別進行驗證，而不是更新憑證。不過，如果您仍要更新，只能在 2023 年 9 月 30 日之前透過入口網站進行。

從 2023 年 4 月 1 日開始，便無法建立新的執行身分帳戶。強烈建議您開始使用受控識別進行驗證，而不是建立新的執行身分帳戶。

是，Runbook 將能夠進行驗證，直到執行身分帳戶憑證到期為止。在 2023 年 9 月 30 日之後，不支援使用執行身分帳戶的所有 Runbook 執行。

自動化執行身分帳戶將支援到「2023 年 9 月 30 日」為止。連線和認證資產不在此淘汰的範圍。如需更安全的驗證方式，建議您使用受控識別。

應用程式會在連線到支援 Microsoft Entra 驗證的資源時，於 Microsoft Entra ID 中使用受控識別。應用程式可以使用受控識別來取得 Microsoft Entra 權杖，而不需管理認證、秘密、憑證或金鑰。

如需有關 Microsoft Entra ID 中受控識別的詳細資訊，請參閱適用於 Azure 資源的受控識別。

Microsoft Entra ID 的 Azure 自動化受控識別，可讓 Runbook 輕鬆存取其他受到 Microsoft Entra 保護的資源。此身分識別由 Azure 平台負責管理，因此您不需要佈建或輪替任何祕密。

優勢如下：

您可以使用受控識別，對支援 Microsoft Entra 驗證的任何 Azure 服務進行驗證。
受控識別可消除與在 Runbook 程式碼中管理執行身分帳戶相關聯的額外負荷。您可以從 Runbook 透過自動化帳戶的受控識別來存取資源，而不必擔心如何建立服務主體、執行身分憑證、執行身分連線等等。
您不必更新自動化執行身分帳戶使用的憑證。

執行身分帳戶會建立 Microsoft Entra 應用程式，其用來透過預設在訂用帳戶層級具有參與者存取權的憑證來管理訂用帳戶內的資源。惡意使用者可以使用此憑證，針對訂用帳戶中的資源執行特殊權限作業，進而造成潛在的弱點。

執行身分帳戶也有管理額外負荷，其涉及建立服務主體、執行身分憑證、執行身分連線、憑證更新等等。受控識別可消除此額外負荷，方法是提供安全的方法，讓使用者驗證和存取支援 Microsoft Entra 驗證的資源，而不需要擔心任何憑證或認證管理。

對於雲端和混合式作業兩者，Azure 自動化支援系統指派的受控識別。目前，Azure 自動化使用者指派的受控識別只能用於雲端作業，而且無法用於在混合式背景工作角色上執行的作業。

使用此指令碼來找出哪些自動化帳戶正在使用執行身分帳戶。如果您的 Azure 自動化帳戶包含執行身分帳戶，則預設會為其指派內建參與者角色。您可以使用指令碼來檢查 Azure 自動化執行身分帳戶，並判斷其角色指派是否為預設角色，或者是否已變更為不同的角色定義。

如果您的問題並未在此獲得解答，您可以參考下列資源以取得更多問題和答案：