Wyłączanie uwierzytelniania lokalnego w usłudze Automation
Ważne
- Stosowanie poprawek rozwiązania Update Management nie będzie działać, gdy uwierzytelnianie lokalne jest wyłączone.
- Wyłączenie uwierzytelniania lokalnego ma wpływ na uruchamianie elementu Runbook przy użyciu elementu webhook, usługi Automation Desired State Configuration i hybrydowych procesów roboczych elementu Runbook opartych na agencie. Aby uzyskać więcej informacji, zobacz dostępne alternatywy.
Usługa Azure Automation zapewnia obsługę uwierzytelniania entra firmy Microsoft dla wszystkich publicznych punktów końcowych usługi Automation. To krytyczne ulepszenie zabezpieczeń usuwa zależności certyfikatów i zapewnia organizacjom kontrolę w celu wyłączenia lokalnych metod uwierzytelniania. Ta funkcja zapewnia bezproblemową integrację, gdy wymagana jest scentralizowana kontrola tożsamości i poświadczenia zasobów oraz zarządzanie nimi za pośrednictwem identyfikatora Entra firmy Microsoft.
Usługa Azure Automation udostępnia opcjonalną funkcję "Wyłącz uwierzytelnianie lokalne" na poziomie konta usługi Automation przy użyciu zasad platformy Azure Konfigurowanie konta usługi Azure Automation w celu wyłączenia uwierzytelniania lokalnego. Domyślnie ta flaga jest ustawiona na wartość false na koncie, więc można użyć uwierzytelniania lokalnego i uwierzytelniania Microsoft Entra. Jeśli zdecydujesz się wyłączyć uwierzytelnianie lokalne, usługa Automation akceptuje tylko uwierzytelnianie oparte na identyfikatorze Entra firmy Microsoft.
W witrynie Azure Portal może zostać wyświetlony komunikat ostrzegawczy na stronie docelowej wybranego konta usługi Automation, jeśli uwierzytelnianie jest wyłączone. Aby sprawdzić, czy lokalne zasady uwierzytelniania są włączone, użyj polecenia cmdlet programu PowerShell Get-AzAutomationAccount i sprawdź właściwość DisableLocalAuth. Wartość oznacza, true że uwierzytelnianie lokalne jest wyłączone.
Wyłączenie uwierzytelniania lokalnego nie powoduje natychmiastowego zastosowania. Poczekaj kilka minut na zablokowanie przyszłych żądań uwierzytelniania przez usługę.
Uwaga
- Obecnie obsługa programu PowerShell dla nowej wersji interfejsu API (2021-06-22) lub flagi —
DisableLocalAuthjest niedostępna. Można jednak użyć interfejsu API REST z tą wersją interfejsu API, aby zaktualizować flagę.
Ponowne włączanie uwierzytelniania lokalnego
Aby ponownie włączyć uwierzytelnianie lokalne, wykonaj polecenie cmdlet Set-AzAutomationAccount programu PowerShell przy użyciu parametru -DisableLocalAuth false. Poczekaj kilka minut na zaakceptowanie zmiany w celu zezwolenia na lokalne żądania uwierzytelniania.
Zgodność
W poniższej tabeli opisano zachowania lub funkcje, które nie mogą działać przez wyłączenie uwierzytelniania lokalnego.
| Scenariusz | Alternatywne rozwiązanie |
|---|---|
| Uruchamianie elementu Runbook przy użyciu elementu webhook. | Uruchom zadanie elementu runbook przy użyciu szablonu usługi Azure Resource Manager, który używa uwierzytelniania Entra firmy Microsoft. |
| Korzystanie z konfiguracji żądanego stanu automatyzacji. | Użyj konfiguracji gościa usługi Azure Policy. |
| Używanie hybrydowych procesów roboczych elementów Runbook opartych na agencie. | Użyj hybrydowych procesów roboczych runbook opartych na rozszerzeniach. |
| Korzystanie z rozwiązania Automation Update Management | Korzystanie z usługi Azure Update Manager |