有关从运行方式帐户迁移到托管标识的常见问题解答

以下常见问题解答可帮助你在 Azure 自动化中从运行方式帐户迁移到托管标识。如果对功能有其他任何疑问，请将其发布到讨论论坛上。如果某个问题经常被问到，我们会将其添加到本文中，以便惠及每个人。

将支持运行方式帐户到什么时候？

对自动化运行方式帐户的支持将持续到 2023 年 9 月 30 日为止。此外，从 2023 年 4 月 1 日开始，无法在 Azure 自动化中创建新的运行方式帐户。只能在支持结束之前续订现有运行方式帐户的证书。

是的，它们将能够进行身份验证。不会对使用运行方式帐户的现有 Runbook 产生任何影响。 2023 年 9 月 30 日之后，不支持所有使用运行方式帐户（包括经典运行方式帐户）的 Runbook 执行。因此，必须在该日期之前迁移所有 Runbook 才能使用托管标识。

如果你的运行方式帐户证书即将过期，建议开始使用托管标识进行身份验证，而不要续订证书。但是，如果你仍然想要续订，你只能在 2023 年 9 月 30 日之前通过门户续订。

从 2023 年 4 月 1 日开始，将无法创建新的运行方式帐户。强烈建议开始使用托管标识进行身份验证，而不要创建新的运行方式帐户。

是的，Runbook 将能够进行身份验证，直到运行方式帐户证书过期。 2023 年 9 月 30 日之后，不支持所有使用运行方式帐户的 Runbook 执行。

对自动化运行方式帐户的支持将持续到 2023 年 9 月 30 日为止。连接和凭据资产不在此次停用的范围内。为了更安全地进行身份验证，建议使用托管标识。

应用程序在连接到支持 Microsoft Entra 身份验证的资源时使用 Microsoft Entra ID 中的托管标识。应用程序可以使用托管标识来获取 Microsoft Entra 令牌，而无需管理凭据、机密、证书或密钥。

有关 Microsoft Entra ID 中的托管标识的详细信息，请参阅 Azure 资源的托管标识。

Microsoft Entra ID 的 Azure 自动化托管标识让你的 runbook 可以轻松访问其他受 Microsoft Entra 保护的资源。标识由 Azure 平台托管，无需预配或轮换任何机密。

主要优点如下：

可以使用托管标识对支持 Microsoft Entra 身份验证的任何 Azure 服务进行身份验证。
托管标识消除了与在 Runbook 代码中管理运行方式帐户相关的开销。可以通过 Runbook 中的自动化帐户的托管标识访问资源，而无需担心创建服务主体、运行方式证书、运行方式连接等。
你不需要续订自动化运行方式帐户所使用的证书。

运行方式帐户会创建一个 Microsoft Entra 应用，用于通过一个证书来管理订阅中的资源（该证书默认在订阅级别拥有参与者权限）。恶意用户可以使用此证书针对订阅中的资源执行特权操作，从而导致潜在的漏洞。

运行方式帐户还具有管理开销，涉及创建服务主体、运行方式证书、运行方式连接、证书续订等。托管标识消除了这种开销，因为它为用户提供了一种安全的方法来访问支持 Microsoft Entra 身份验证的资源并对其进行身份验证，而无需管理证书或凭据。

Azure 自动化支持云和混合作业的系统分配的托管标识。目前，Azure 自动化用户分配的托管标识只能用于云作业，不能用于在混合辅助角色上运行的作业。

使用此脚本可找出哪些自动化帐户正在使用运行方式帐户。如果 Azure 自动化帐户包含运行方式帐户，则默认情况下会为其分配内置参与者角色。可以使用脚本检查 Azure 自动化运行方式帐户，并确定其角色分配是否为默认角色或是否已更改为其他角色定义。

如果未在此处找到问题的答案，则可以参考下方针对更多问题和答案的源：