Sdílet prostřednictvím


Zakázání místního ověřování ve službě Automation

Důležité

  • Opravy řešení Update Management nebudou fungovat, pokud je místní ověřování zakázané.
  • Když zakážete místní ověřování, ovlivní spuštění runbooku pomocí webhooku, služby Automation Desired State Configuration a hybrid Runbook Worker založeného na agentech. Další informace najdete v dostupných alternativách.

Azure Automation poskytuje podporu ověřování Microsoft Entra pro všechny veřejné koncové body služby Automation. Toto důležité vylepšení zabezpečení odebere závislosti certifikátů a dává organizacím kontrolu za účelem zakázání místních metod ověřování. Tato funkce poskytuje bezproblémovou integraci, když se vyžaduje centralizovaná kontrola a správa identit a přihlašovacích údajů k prostředkům prostřednictvím Microsoft Entra ID.

Azure Automation nabízí volitelnou funkci zakázání místního ověřování na úrovni účtu Automation pomocí zásad Azure Nakonfigurujte účet Azure Automation tak, aby se zakázalo místní ověřování. Ve výchozím nastavení je tento příznak u účtu nastavený na false, takže můžete použít místní ověřování i ověřování Microsoft Entra. Pokud se rozhodnete zakázat místní ověřování, služba Automation přijímá pouze ověřování založené na Id Microsoftu.

Na webu Azure Portal se může na cílové stránce vybraného účtu Automation zobrazit zpráva s upozorněním, pokud je ověřování zakázané. Pokud chcete ověřit, jestli jsou povolené místní zásady ověřování, použijte rutinu PowerShellu Get-AzAutomationAccount a zkontrolujte vlastnost DisableLocalAuth. Hodnota true znamená, že místní ověřování je zakázané.

Zakázání místního ověřování se neprojeví okamžitě. Počkejte několik minut, než služba zablokuje budoucí žádosti o ověření.

Poznámka:

  • V současné době není k dispozici podpora PowerShellu pro novou verzi rozhraní API (2021-06-22) nebo příznak. DisableLocalAuth K aktualizaci příznaku ale můžete použít rozhraní REST API s touto verzí rozhraní API.

Opětovné povolení místního ověřování

Pokud chcete znovu povolit místní ověřování, spusťte rutinu Set-AzAutomationAccount PowerShellu s parametrem -DisableLocalAuth false.  Počkejte několik minut, než služba přijme změnu, aby umožňovala místní žádosti o ověření.

Kompatibilita

Následující tabulka popisuje chování nebo funkce, které brání v práci zakázáním místního ověřování.

Scénář Alternativa
Spuštění runbooku pomocí webhooku Spusťte úlohu runbooku pomocí šablony Azure Resource Manageru, která používá ověřování Microsoft Entra.
Použití služby Automation Desired State Configuration Použijte konfiguraci hosta služby Azure Policy.  
Použití funkcí Hybrid Runbook Worker založených na agentech Použití funkcí Hybrid Runbook Worker založených na rozšířeních
Použití služby Automation Update Management Použití Azure Update Manageru

Další kroky