Deaktivieren der lokalen Authentifizierung in Automation
Wichtig
- Wenn die lokale Authentifizierung deaktiviert ist, funktioniert das Patchen der Updateverwaltung nicht.
- Wenn Sie die lokale Authentifizierung deaktivieren, wirkt sich dies auf das Starten von Runbooks mit einem Webhook, mit Automation Desired State Configuration (DSC) und mit Agent-basierten Hybrid Runbook Workern aus. Weitere Informationen finden Sie in den verfügbaren Alternativen.
Azure Automation bietet Microsoft Entra-Authentifizierungsunterstützung für alle öffentlichen Endpunkte des Automation-Diensts. Durch diese wichtige Sicherheitserweiterung werden Zertifikatabhängigkeiten aufgehoben, und Organisationen erhalten die Möglichkeit, lokale Authentifizierungsmethoden zu deaktivieren. Dieses Feature ermöglicht eine nahtlose Integration, wenn eine zentralisierte Steuerung und Verwaltung von Identitäten und Ressourcenanmeldeinformationen über Microsoft Entra ID erforderlich ist.
Azure Automation bietet ein optionales Feature zum Deaktivieren der lokalen Authentifizierung auf Automation-Kontoebene mithilfe der Azure-Richtlinie Das Azure Automation-Konto konfigurieren, um die lokale Authentifizierung zu deaktivieren. Standardmäßig ist dieses Flag für das Konto auf FALSE festgelegt, sodass Sie sowohl die lokale Authentifizierung als auch die Microsoft Entra-Authentifizierung verwenden können. Wenn Sie die lokale Authentifizierung deaktivieren, akzeptiert der Automation-Dienst nur die Microsoft Entra-basierte Authentifizierung.
Im Azure-Portal wird möglicherweise eine Warnmeldung auf der Landing Page für das ausgewählte Automation-Konto angezeigt, wenn die Authentifizierung deaktiviert ist. Wenn Sie überprüfen möchten, ob die lokale Authentifizierungsrichtlinie aktiviert ist, verwenden Sie das PowerShell-Cmdlet Get-AzAutomationAccount, und überprüfen Sie die DisableLocalAuth-Eigenschaft. Der Wert true bedeutet, dass die lokale Authentifizierung deaktiviert ist.
Das Deaktivieren der lokalen Authentifizierung tritt nicht sofort in Kraft. Warten Sie einige Minuten, bis der Dienst zukünftige Authentifizierungsanforderungen blockiert.
Hinweis
- Derzeit ist PowerShell-Unterstützung für die neue API-Version (2021-06-22) oder das Flag
DisableLocalAuthnicht verfügbar. Sie können jedoch die REST-API mit dieser API-Version verwenden, um das Flag zu aktualisieren.
Erneutes Aktivieren der lokalen Authentifizierung
Zum erneuten Aktivieren der lokalen Authentifizierung führen Sie das PowerShell-Cmdlet Set-AzAutomationAccount mit dem Parameter -DisableLocalAuth false aus. Warten Sie einige Minuten, bis der Dienst die Änderung akzeptiert hat und lokale Authentifizierungsanforderungen zulässt.
Kompatibilität
In der folgenden Tabelle werden die Verhaltensweisen oder Features beschrieben, die bei Deaktivieren der lokalen Authentifizierung nicht mehr funktionieren.
| Szenario | Alternative |
|---|---|
| Starten eines Runbooks über einen Webhook | Starten Sie einen Runbookauftrag mithilfe einer Azure Resource Manager-Vorlage, die Microsoft Entra-Authentifizierung verwendet. |
| Verwenden der Automation-Konfiguration für den gewünschten Zustand | Verwenden der Azure Policy-Gastkonfiguration |
| Verwenden von Agent-basierten Hybrid Runbook Workern | Verwenden des erweiterungsbasierten Hybrid Runbook Workern |
| Verwenden der Automation-Updateverwaltung | Verwenden von Azure Update Manager |