Отключение локальной проверки подлинности в службе автоматизации

Внимание

• Исправление управления обновлениями не будет работать, если локальная проверка подлинности отключена.
• При отключении локальной проверки подлинности он влияет на начальный модуль Runbook с помощью веб-перехватчика, конфигурации требуемого состояния службы автоматизации и гибридных рабочих ролей Runbook на основе агента. Дополнительные сведения см. в доступных альтернативах.

служба автоматизации Azure обеспечивает поддержку проверки подлинности Microsoft Entra для всех общедоступных конечных точек службы автоматизации. Это критическое улучшение безопасности удаляет зависимости сертификатов и позволяет организациям управлять отключением локальных методов проверки подлинности. Эта функция обеспечивает простую интеграцию, если требуется централизованный контроль и управление удостоверениями и учетными данными ресурсов с помощью идентификатора Microsoft Entra.

служба автоматизации Azure предоставляет необязательную функцию "Отключить локальную проверку подлинности" на уровне учетной записи службы автоматизации с помощью политики AzureНастройте учетную запись служба автоматизации Azure, чтобы отключить локальную проверку подлинности. По умолчанию этот флаг имеет значение false в учетной записи, поэтому вы можете использовать как локальную проверку подлинности, так и проверку подлинности Microsoft Entra. Если вы решили отключить локальную проверку подлинности, служба автоматизации принимает проверку подлинности только на основе идентификатора Microsoft Entra.

В портал Azure может появиться предупреждение на целевой странице выбранной учетной записи службы автоматизации, если проверка подлинности отключена. Чтобы проверить, включена ли локальная политика проверки подлинности, используйте командлет PowerShell Get-AzAutomationAccount и проверьте свойство DisableLocalAuth. Значение true означает, что локальная проверка подлинности отключена.

Отключение локальной проверки подлинности не вступает в силу немедленно. Подождите несколько минут, пока служба не начнет блокировать будущие запросы проверки подлинности.

Примечание.

• В настоящее время поддержка PowerShell для новой версии API (2021-06-22) или флага DisableLocalAuth недоступна. Однако для обновления флага можно использовать Rest API с этой версией API.

Повторное включение локальной проверки подлинности

Чтобы повторно включить локальную проверку подлинности, выполните командлет Set-AzAutomationAccount PowerShell с параметром -DisableLocalAuth false.  Разрешите службе несколько минут принять изменение, чтобы разрешить локальные запросы проверки подлинности.

Совместимость

В следующей таблице описаны поведение или функции, которые не могут работать, отключив локальную проверку подлинности.

Сценарий	Альтернатива
Запуск модуля Runbook с помощью веб-перехватчика.	Запустите задание Runbook с помощью шаблона Azure Resource Manager, который использует проверку подлинности Microsoft Entra.
Использование требуемой конфигурации состояния службы автоматизации.	Используйте Политика Azure гостевой конфигурации.
Использование гибридных рабочих ролей Runbook на основе агента.	Используйте гибридные рабочие роли Runbook на основе расширений.
Использование управления обновлениями службы автоматизации	Использование Диспетчера обновлений Azure

Следующие шаги

• Общие сведения о проверке подлинности учетной записи службы автоматизации Azure