Delen via

Migreren van een Uitvoeren als-account naar beheerde identiteiten

  • Artikel

Belangrijk

  • Het Uitvoeren als-account van Azure Automation is op 30 september 2023 buiten gebruik gesteld en wordt vervangen door beheerde identiteiten. We raden u aan om te beginnen met het migreren van uw runbooks voor het gebruik van beheerde identiteiten. Raadpleeg Migratie van een bestaand Run As-account naar beheerde identiteit voor meer informatie.
  • Het vertragen van de functie heeft directe invloed op onze ondersteuningslast, omdat upgrades van de mobility-agent mislukken.

In dit artikel leest u hoe u uw runbooks migreert voor het gebruik van beheerde identiteiten voor Azure Site Recovery. Azure Automation-accounts worden door Azure Site Recovery-klanten gebruikt om de agents van hun beveiligde virtuele machines automatisch bij te werken. Site Recovery maakt Uitvoeren als-accounts voor Azure Automation wanneer u replicatie inschakelt via de IaaS VM-blade en Recovery Services-kluis.

In Azure elimineren beheerde identiteiten de noodzaak voor ontwikkelaars om referenties te beheren door een identiteit voor de Azure-resource in Microsoft Entra ID op te geven en deze te gebruiken voor het verkrijgen van Microsoft Entra-tokens.

Vereisten

Voordat u migreert van een Uitvoeren als-account naar een beheerde identiteit, moet u ervoor zorgen dat u over de juiste rollen beschikt om een door het systeem toegewezen identiteit voor uw Automation-account te maken en om deze toe te wijzen aan de rol Eigenaar in de bijbehorende Recovery Services-kluis.

Notitie

U kunt hetzelfde Automation-account gebruiken voor meerdere Recovery Services-kluizen, maar zowel het Automation-account als de Recovery Services-kluis moeten zich in dezelfde regio bevinden.

Voordelen van beheerde identiteiten

Hier ziet u een paar voordelen van het gebruik van beheerde identiteiten:

  • Toegang tot referenties: u hoeft geen referenties te beheren.
  • Vereenvoudigde verificatie : u kunt beheerde identiteiten gebruiken om te verifiëren bij elke resource die ondersteuning biedt voor Microsoft Entra-verificatie, inclusief uw eigen toepassingen.
  • Kosteneffectief : beheerde identiteiten kunnen zonder extra kosten worden gebruikt.
  • Dubbele versleuteling: beheerde identiteit wordt ook gebruikt voor het versleutelen /ontsleutelen van gegevens en metagegevens met behulp van de door de klant beheerde sleutel die is opgeslagen in Azure Key Vault, waardoor dubbele versleuteling wordt geboden.

Notitie

Beheerde identiteiten voor Azure-resources is de nieuwe naam voor de service die eerder de naam Managed Service Identity (MSI) had.

Migreren van een bestaand Uitvoeren als-account naar een beheerde identiteit

Beheerde identiteiten configureren

U kunt uw beheerde identiteiten configureren via:

  • Azure Portal
  • Azure-CLI
  • uw ARM-sjabloon (Azure Resource Manager)

Notitie

Zie de veelgestelde vragen voor meer informatie over migratiefrequentie en de ondersteuningstijdlijn voor het maken en vernieuwen van een Uitvoeren als-account.

Vanuit Azure Portal

Voer de volgende stappen uit om uw verificatietype van uw Azure Automation-account te migreren van een Uitvoeren als naar een beheerde identiteitsverificatie:

  1. Selecteer in Azure Portal de Recovery Services-kluis waarvoor u de runbooks wilt migreren.

  2. Ga als volgt te werk op de startpagina van uw Recovery Services-kluispagina:

    1. Selecteer in het linkerdeelvenster onder Beheren de Site Recovery-infrastructuur. Schermopname van de pagina **Site Recovery-infrastructuur**.

    2. Selecteer bijwerken van extensies onder Voor virtuele Azure-machines. Op deze pagina wordt het verificatietype beschreven voor het Automation-account dat wordt gebruikt voor het beheren van de Site Recovery-extensies.

    3. Selecteer op deze pagina Migreren om het verificatietype voor uw Automation-accounts te migreren voor het gebruik van beheerde identiteiten.

      Schermopname van de pagina Een Recovery Services-kluis maken.

Notitie

Zorg ervoor dat de door het systeem toegewezen beheerde identiteit is uitgeschakeld voor het Automation-account, zodat de knop Migreren wordt weergegeven. Als het account niet is gemigreerd en de knop Migreren niet wordt weergegeven, schakelt u de beheerde identiteit voor het Automation-account uit en probeert u het opnieuw.

  1. Na de geslaagde migratie van uw Automation-account wordt het verificatietype voor de details van het gekoppelde account op de pagina Instellingen voor extensie-updates bijgewerkt.
  2. Zodra de migratiebewerking is voltooid, schakelt u de knop Site Recovery in om deze opnieuw in te schakelen.

Wanneer u een Uitvoeren als-account naar een account voor beheerde identiteiten migreert, worden de volgende wijzigingen doorgevoerd in de Uitvoeren als-accounts van Automation:

  • Door het systeem toegewezen beheerde identiteit is ingeschakeld voor het account (als dit nog niet is ingeschakeld).
  • De rolmachtiging Inzender wordt toegewezen aan het abonnement van de Recovery Services-kluis.
  • Het script waarmee de Mobility-agent wordt bijgewerkt voor het gebruik van verificatie op basis van beheerde identiteit, wordt bijgewerkt.

Een bestaand Automation-account voor beheerde identiteit koppelen aan uw Recovery Services-kluis. Volg vervolgens deze stappen:

De beheerde identiteit voor de kluis inschakelen

  1. Ga naar het automation-account dat u hebt geselecteerd. Selecteer de optie Identiteit bij Accountinstellingen.

    Schermopname van de pagina identiteitsinstellingen.

  2. Wijzig onder Het toegewezen systeem de status in Aan en selecteer Opslaan.

    Er wordt een object-id gegenereerd. De kluis is nu geregistreerd bij Azure Active Directory. Schermopname van de pagina met instellingen voor systeemidentiteit.

  3. Ga terug naar uw Recovery Services-kluis. Selecteer in het linkerdeelvenster de optie Toegangsbeheer (IAM). Schermopname van de pagina IAM-instellingen.

  4. Selecteer Inzender voor roltoewijzing>toevoegen>om de pagina Roltoewijzing toevoegen te openen.

    Notitie

    Zodra het Automation-account is ingesteld, kunt u de rol van het account wijzigen van Inzender in Inzender voor Site Recovery.

  5. Zorg ervoor dat u beheerde identiteit selecteert op de pagina Roltoewijzing toevoegen.

  6. Selecteer de leden selecteren. Ga als volgt te werk in het deelvenster Beheerde identiteiten selecteren:

    1. Voer in het veld Selecteren de naam in van het automation-account voor beheerde identiteiten.
    2. Selecteer in het veld Beheerde identiteit alle door het systeem toegewezen beheerde identiteiten.
    3. Selecteer de optie Selecteren . Schermopname van de pagina beheerde identiteitsinstellingen selecteren.

  7. Selecteer Controleren + toewijzen.

  8. Ga naar de instellingen voor extensie-updates onder de Recovery Services-kluis en schakel de knop Site Recovery in om deze opnieuw in te schakelen.

Volgende stappen

Meer informatie over: