Deshabilitación de la autenticación local en Automation
Importante
- La aplicación de revisiones de Update Management no funcionará cuando se deshabilite la autenticación local.
- La deshabilitación de la autenticación local afecta al inicio de un runbook mediante un webhook, Desired State Configuration de Automation e Hybrid Runbook Worker basado en agentes. Para obtener más información, vea Alternativas disponibles.
Azure Automation proporciona compatibilidad con la autenticación de Microsoft Entra para todos los puntos de conexión públicos del servicio Automation. Esta mejora de seguridad crítica quita las dependencias de certificado y proporciona a las organizaciones el control para deshabilitar los métodos de autenticación local. Esta característica proporciona una integración fluida cuando se requiere un control centralizado y la administración de identidades y credenciales de recursos mediante Microsoft Entra ID.
Azure Automation proporciona una característica opcional para "Deshabilitar la autenticación local" en el nivel de cuenta de Automation mediante la directiva de Azure Configurar la cuenta de Azure Automation para deshabilitar la autenticación local. De forma predeterminada, esta marca se establece en false en la cuenta, por lo que puede usar la autenticación local y la autenticación de Microsoft Entra. Si decide deshabilitar la autenticación local, el servicio Automation solo acepta la autenticación basada en Microsoft Entra ID.
En Azure Portal, puede recibir un mensaje de advertencia en la página de aterrizaje de la cuenta de Automation seleccionada si la autenticación está deshabilitada. Para confirmar si la directiva de autenticación local está habilitada, use el cmdlet de PowerShell Get-AzAutomationAccount y compruebe la propiedad DisableLocalAuth. Un valor de true significa que la autenticación local está deshabilitada.
La deshabilitación de la autenticación local no tiene efecto inmediato. Espere unos minutos para que el servicio bloquee las solicitudes de autenticación futuras.
Nota:
- Actualmente, la compatibilidad de PowerShell con la nueva versión de API (22-06-2021) o la marca –
DisableLocalAuthno está disponible. Aun así, puede usar la API Rest con esta versión de API para actualizar la marca.
Nueva habilitación de la autenticación local
Para volver a habilitar la autenticación local, ejecute el cmdlet Set-AzAutomationAccount de PowerShell con el parámetro -DisableLocalAuth false. Espere unos minutos para que el servicio acepte el cambio para permitir solicitudes de autenticación local.
Compatibilidad
En la tabla siguiente se describen los comportamientos o características cuyo funcionamiento se impide al deshabilitar la autenticación local.
| Escenario | Alternativa |
|---|---|
| Llamada a un runbook con un webhook. | Inicie un trabajo de runbook mediante una plantilla de Azure Resource Manager, que usa autenticación de Microsoft Entra. |
| Uso de Desired State Configuration de Automation. | Use la configuración de invitado de Azure Policy. |
| Uso de instancias de Hybrid Runbook Worker basadas en agente. | Use Hybrid Runbook Worker basado en extensión. |
| Uso de Azure Update Manager | Usar Administrador de actualizaciones de Azure |