有关从运行方式帐户迁移到托管标识的常见问题解答

以下常见问题解答可帮助你在 Azure 自动化中从运行方式帐户迁移到托管标识。 如果对功能有其他任何疑问,请将其发布到讨论论坛上。 如果某个问题经常被问到,我们会将其添加到本文中,以便惠及每个人。

将支持运行方式帐户到什么时候?

对自动化运行方式帐户的支持将持续到 2023 年 9 月 30 日为止。 此外,从 2023 年 4 月 1 日开始,无法在 Azure 自动化中创建新的 运行方式帐户。 只能在支持结束之前续订现有运行方式帐户的证书。

使用运行方式帐户的现有 Runbook 能否进行身份验证?

是的,它们将能够进行身份验证。 不会对使用运行方式帐户的现有 Runbook 产生任何影响。 2023 年 9 月 30 日之后,不支持所有使用运行方式帐户(包括经典运行方式帐户)的 Runbook 执行。 因此,必须在该日期之前迁移所有 Runbook 才能使用托管标识。

我的运行方式帐户即将过期,如何续订?

如果你的运行方式帐户证书即将过期,建议开始使用托管标识进行身份验证,而不要续订证书。 但是,如果你仍然想要续订,你只能在 2023 年 9 月 30 日之前通过门户续订。

是否可以创建新的运行方式帐户?

从 2023 年 4 月 1 日开始,将无法创建新的运行方式帐户。 强烈建议开始使用托管标识进行身份验证,而不要创建新的运行方式帐户。

2023 年 9 月 30 日之后,使用运行方式帐户的 Runbook 是否仍然能够进行身份验证?

是的,Runbook 将能够进行身份验证,直到运行方式帐户证书过期。 2023 年 9 月 30 日之后,不支持所有使用运行方式帐户的 Runbook 执行。

连接和凭据资产是否将于 2023 年 9 月 30 日停用?

对自动化运行方式帐户的支持将持续到 2023 年 9 月 30 日为止。 连接和凭据资产不在此次停用的范围内。 为了更安全地进行身份验证,建议使用托管标识

什么是托管标识?

应用程序在连接到支持 Microsoft Entra 身份验证的资源时使用 Microsoft Entra ID 中的托管标识。 应用程序可以使用托管标识来获取 Microsoft Entra 令牌,而无需管理凭据、机密、证书或密钥。

有关 Microsoft Entra ID 中的托管标识的详细信息,请参阅 Azure 资源的托管标识

如何在自动化帐户中使用托管标识?

Microsoft Entra ID 的 Azure 自动化托管标识让你的 runbook 可以轻松访问其他受 Microsoft Entra 保护的资源。 标识由 Azure 平台托管,无需预配或轮换任何机密。

主要优点如下:

  • 可以使用托管标识对支持 Microsoft Entra 身份验证的任何 Azure 服务进行身份验证。
  • 托管标识消除了与在 Runbook 代码中管理运行方式帐户相关的开销。 可以通过 Runbook 中的自动化帐户的托管标识访问资源,而无需担心创建服务主体、运行方式证书、运行方式连接等。
  • 你不需要续订自动化运行方式帐户所使用的证书。

托管标识是否比运行方式帐户更安全?

运行方式帐户会创建一个 Microsoft Entra 应用,用于通过一个证书来管理订阅中的资源(该证书默认在订阅级别拥有参与者权限)。 恶意用户可以使用此证书针对订阅中的资源执行特权操作,从而导致潜在的漏洞。

运行方式帐户还具有管理开销,涉及创建服务主体、运行方式证书、运行方式连接、证书续订等。 托管标识消除了这种开销,因为它为用户提供了一种安全的方法来访问支持 Microsoft Entra 身份验证的资源并对其进行身份验证,而无需管理证书或凭据。

托管标识是否可以用于云和混合作业?

Azure 自动化支持云和混合作业的系统分配的托管标识。 目前,Azure 自动化用户分配的托管标识只能用于云作业,不能用于在混合辅助角色上运行的作业。

如何从现有运行方式帐户迁移到托管标识?

按照将现有运行方式帐户迁移到托管标识中的步骤执行操作。

如何实现查看使用运行方式帐户的 Runbook 并了解分配给该帐户的权限?

使用此脚本可找出哪些自动化帐户正在使用运行方式帐户。 如果 Azure 自动化帐户包含运行方式帐户,则默认情况下会为其分配内置参与者角色。 可以使用脚本检查 Azure 自动化运行方式帐户,并确定其角色分配是否为默认角色或是否已更改为其他角色定义。

后续步骤

如果未在此处找到问题的答案,则可以参考下方针对更多问题和答案的源: