نظرة عامة على مصادقة حساب التنفيذ التلقائي في Azure

هام

تم إيقاف تشغيل Azure Automation كحسابات، بما في ذلك Classic Run كحسابات في 30 سبتمبر 2023 واستبدالها بالهويات المدارة. لن تتمكن بعد الآن من إنشاء حسابات Run as أو تجديدها من خلال مدخل Microsoft Azure. لمزيد من المعلومات، راجع الترحيل من حسابات Run As الموجودة إلى الهوية المدارة.

يسمح لك Azure Automation بأتمتة المهام مقابل الموارد في Azure، ومع موفري السحابة المحليين والآخرين مثل Amazon Web Services (AWS). يمكنك استخدام دفاتر التشغيل لأتمتة مهامك، أو استخدام Hybrid Runbook Worker إذا كان لديك أعمال أو عمليات تنفيذية لإدارتها خارج Azure. يتطلب العمل في أي من هذه البيئات أذونات للوصول إلى الموارد بأمان مع الحد الأدنى من الحقوق المطلوبة.

تتناول هذه المقالة سيناريوهات المصادقة التي يدعمها Azure Automation وتوضح كيفية البدء استنادًا إلى البيئة أو البيئات التي تحتاج إلى إدارتها.

حساب التشغيل التلقائي

عند بدء تشغيل Azure Automation للمرة الأولى، يجب عليك إنشاء حساب واحد للتشغيل التلقائي على الأقل. تسمح لك حسابات التشغيل التلقائي بعزل موارد التشغيل التلقائي وسجلات التشغيل والأصول والتكوينات عن موارد الحسابات الأخرى. يمكنك استخدام حسابات التشغيل التلقائي لفصل الموارد إلى بيئات منطقية منفصلة أو تفويض المسؤوليات. على سبيل المثال، قد تستخدم حساباً للتطوير وحساباً آخر للإنتاج وحساباً آخر للبيئة المحلية. أو يمكنك تخصيص حساب التشغيل التلقائي لإدارة تحديثات نظام التشغيل عبر جميع أجهزتك باستخدام إدارة التحديث.

يختلف حساب Azure Automation عن حساب Microsoft أو الحسابات التي تم إنشاؤها في اشتراك Azure. للحصول على مقدمة لإنشاء حساب التشغيل التلقائي، راجع إنشاء حساب التشغيل التلقائي.

موارد التشغيل التلقائي

ترتبط موارد التشغيل التلقائي لكل حساب التنفيذ التلقائي المقترنة منطقة Azure واحدة ولكن الحساب يمكن إدارة كافة الموارد في اشتراك Azure. السبب الرئيسي لإنشاء حسابات التشغيل التلقائي في مناطق مختلفة هو وجود نهج تتطلب عزل البيانات والموارد في منطقة معينة.

يجب مصادقة جميع المهام التي تقوم بإنشائها مقابل الموارد باستخدام Azure Resource Manager وPowerShell cmdlets في Azure Automation إلى Azure باستخدام المصادقة المستندة إلى بيانات اعتماد هوية المؤسسة من Microsoft Entra.

الهويات المُدارة

تسمح الهوية المدارة من معرف Microsoft Entra لدفتر التشغيل الخاص بك بالوصول بسهولة إلى موارد Microsoft Entra الأخرى المحمية. تتم إدارة الهوية بواسطة النظام الأساسي Azure ولا يتطلب منك توفير أي أسرار أو تدويرها. لمزيد من المعلومات حول الهويات المدارة في معرف Microsoft Entra، راجع الهويات المدارة لموارد Azure.

الهويات المُدارة هي الطريقة الموصى بها للمصادقة في دفاتر التشغيل الخاصة بك، وهي أسلوب المصادقة الافتراضي لحسابك للتشغيل التلقائي.

فيما يلي بعض فوائد استخدام الهويات المُدارة:

  • يؤدي استخدام هوية مُدارة بدلاً من حساب "تشغيل باسم" التلقائي إلى تبسيط الإدارة.

  • يمكن استخدام الهويات المدارة بدون أي تكلفة إضافية.

  • لا يتعين عليك تحديد كائن الاتصال "تشغيل باسم" في التعليمات البرمجية لدفتر التشغيل. يمكنك الوصول إلى الموارد باستخدام الهوية المدارة لحساب التنفيذ التلقائي الخاص بك من دفتر تشغيل دون إنشاء شهادات واتصالات وما إلى ذلك.

يمكن مصادقة حساب التشغيل التلقائي باستخدام نوعين من الهويات المُدارة:

  • ترتبط الهوية التي يعيّنها النظام بالتطبيق الخاص بك ويتم حذفها إذا تم حذف التطبيق الخاص بك. يمكن أن يكون للتطبيق هوية واحدة معينة من قبل النظام.

  • الهوية التي يعيّنها المستخدم هي مورد Azure مستقل يمكن تعيينه لتطبيقك. يمكن أن يكون للتطبيق هويات متعددة مخصصة للمستخدم.

إشعار

يتم دعم الهويات التي يعينها المستخدم للوظائف السحابية فقط. لمعرفة المزيد حول الهويات المُدارة المختلفة، راجع إدارة أنواع الهوية.

للحصول على تفاصيل حول استخدام الهويات المُدارة، راجع تمكين الهوية المُدارة راجع تمكين الهوية المُدارة لـ Azure Automation.

أذونات الاشتراك

تحتاج إلى Microsoft.Authorization/*/Write إذن. يتم الحصول على هذا الإذن من خلال عضوية أحد أدوار Azure المضمنة التالية:

لمعرفة المزيد حول أذونات الاشتراك الكلاسيكية، راجع مسؤولي الاشتراك الكلاسيكي في Azure.

أذونات Microsoft Entra

لتجديد كيان الخدمة، يجب أن تكون عضوا في أحد الأدوار المضمنة التالية في Microsoft Entra:

يمكن تعيين العضوية ALL المستخدمين في المستأجر على مستوى الدليل، وهو السلوك الافتراضي. يمكنك منح العضوية إلى أي دور على مستوى الدليل. لمزيد من المعلومات، راجع روبوت Who لديه إذن لإضافة تطبيقات إلى مثيل Microsoft Entra الخاص بي؟.

أذونات حساب التشغيل التلقائي

لتحديث حساب التنفيذ التلقائي، يجب أن تكون عضوا في أحد أدوار حساب التنفيذ التلقائي التالية:

لمعرفة المزيد حول Azure Resource Manager و نماذج التوزيع الكلاسيكية، راجع إدارة الموارد والتوزيع الكلاسيكي.

إشعار

تدعم اشتراكات Azure Cloud Solution Provider (CSP) نموذج Azure Resource Manager فقط. لا تتوفر خدمات إدارة الموارد غير الموجودة في Azure في البرنامج. عند استخدام اشتراك CSP، لا يتم إنشاء حساب Azure Classic Run As، ولكن يتم إنشاء حساب Azure Run As. لمعرفة المزيد حول اشتراكات CSP، راجع الخدمات المتوفرة في اشتراكات CSP.

التحكم في الوصول استناداً إلى الدور

يتوفر التحكم في الوصول المستند إلى الدور مع Azure Resource Manager لمنح الإجراءات المسموح بها لحساب مستخدم Microsoft Entra وحساب تشغيل باسم، ومصادقة كيان الخدمة. اقرأ التحكم في الوصول المستند إلى الدور في مقالة Azure Automation للحصول على مزيد من المعلومات للمساعدة في تطوير النموذج الخاص بك لإدارة أذونات التشغيل التلقائي.

إذا كان لديك ضوابط أمان صارمة لتعيين الأذونات في مجموعات الموارد، فستحتاج إلى تعيين عضوية حساب التشغيل باسم إلى دور المساهم في مجموعة الموارد.

إشعار

نوصي بعدم استخدام دور Log Analytics Contributor لتنفيذ مهام التشغيل التلقائي. بدلاً من ذلك، إنشاء دور مخصص "المساهم Azure Automation" واستخدامه للإجراءات المتعلقة بحساب الأتمتة.

مصادقة Runbook مع Hybrid Runbook Worker

لا يمكن لأجهزة Runbooks التي تعمل على Hybrid Runbook Worker في مركز البيانات الخاص بك أو ضد خدمات الحوسبة في بيئات سحابية أخرى مثل AWS، استخدام نفس الطريقة التي تُستخدم عادةً لسجلات التشغيل المصادقة على موارد Azure. وذلك لأن هذه الموارد قيد التشغيل خارج Azure، ولذلك تتطلب بيانات اعتماد الأمان الخاصة بهم المحددة في التنفيذ التلقائي للمصادقة على الموارد التي يصلون إليها محلياً. للحصول على مزيد من المعلومات حول مصادقة كتيبات التشغيل مع العاملين في دفتر التشغيل، راجع تشغيل كتيبات التشغيل عن Hybrid Runbook Worker.

بالنسبة لكتب التشغيل التي تستخدم Hybrid Runbook Workers على Azure و VMs، يمكنك استخدام مصادقة دفتر التشغيل مع الهويات المُدارة بدلاً من حسابات التشغيل للمصادقة على موارد Azure.

الخطوات التالية