Migrer d’un compte d’identification vers des identités managées
Important
- Azure Automation Run As Account a été supprimé le 30 septembre 2023 et est remplacé par Identités managées. Nous vous recommandons de commencer à migrer vos runbooks pour utiliser des identités managées. Pour plus d’informations, consultez Migration à partir de comptes d’identification existants vers une identité managée.
- Le retard de la fonctionnalité affecte directement notre charge de support, car il entraîne l’échec des mises à niveau de l’agent de mobilité.
Cet article vous montre comment migrer vos runbooks afin d’utiliser des identités managées pour Azure Site Recovery. Les comptes Azure Automation sont utilisés par les clients Azure Site Recovery pour mettre à jour automatiquement les agents de leurs machines virtuelles protégées. Site Recovery crée des comptes d’identification Azure Automation lorsque vous activez une réplication via le panneau de machine virtuelle IaaS et le coffre Recovery Services.
Sur Azure, les identités managées évitent aux développeurs d’avoir à gérer les informations d’identification en fournissant une identité pour la ressource Azure dans Microsoft Entra ID et en l’utilisant pour obtenir des jetons Microsoft Entra.
Prérequis
Avant votre migration d’un compte d’identification vers une identité managée, vérifiez que vous disposez des rôles appropriés pour créer une identité attribuée par le système pour votre compte Automation et lui attribuer le rôle Propriétaire dans le coffre Recovery Services correspondant.
Remarque
Vous pouvez utiliser le même compte d’automatisation pour plusieurs espaces de stockage des services de récupération, mais le compte d’automatisation et l’espace de stockage des services de récupération doivent se trouver dans la même région.
Avantages des identités managées
Voici quelques-uns des avantages de l’utilisation des identités managées :
- Accès aux informations d’identification : vous n’avez pas besoin de gérer des informations d’identification.
- Authentification simplifiée : vous pouvez utiliser des identités managées pour vous authentifier auprès de ressources qui prennent en charge l’authentification Microsoft Entra, notamment vos propres applications.
- Économique : les identités managées peuvent être utilisées sans aucun coût supplémentaire.
- Chiffrement double : l’identité managée est également utilisée pour chiffrer/déchiffrer des données et des métadonnées au moyen de la clé gérée par le client qui est stockée dans Azure Key Vault, offrant ainsi un chiffrement double.
Notes
Identités managées pour les ressources Azure est le nouveau nom du service anciennement nommé Managed Service Identity (MSI).
Migrez d’un compte d’identification existant vers une identité managée
Configurer des identités managées
Vous pouvez configurer vos identités managées via :
- Portail Azure
- Azure CLI
- votre modèle Azure Resource Manager (ARM)
Notes
Pour plus d’informations sur la cadence de migration et la chronologie de prise en charge de la création de compte d’identification et du renouvellement de certificat, consultez les questions fréquemment posées.
À partir du portail Azure
Pour migrer votre type d’authentification de compte Azure Automation d’une authentification d’identification vers une authentification d’identité managée, procédez comme suit :
Dans le Portail Azure, sélectionnez le coffre Recovery Services vers lequel vous souhaitez migrer les runbooks.
Sur la page d’accueil de votre coffre Recovery Services, procédez comme suit :
Dans le volet gauche, sous Gérer, sélectionnez Infrastructure Site Recovery.
Sous Pour des machines virtuelles Azure, sélectionnez Paramètres de mise à jour de l’extension. Cette page détaille le type d’authentification du compte Automation utilisé pour gérer les extensions Site Recovery.
Dans cette page, sélectionnez Migrer pour migrer le type d’authentification de vos comptes Automation afin d’utiliser des identités managées.
Notes
Assurez-vous que l’Identité managée affectée par le système est désactivée pour le compte Automation afin que le bouton « Migrer » s’affiche. Si le compte n’est pas transféré et que le bouton « Migrer » ne s’affiche pas, désactivez l’Identité managée pour le compte Automation, puis réessayez.
- Une fois la migration réussie de votre compte Automation, le type d’authentification pour les détails du compte lié dans la page Paramètres de mise à jour de l’extension est mis à jour.
- Une fois l’opération Migrer terminée, activez le bouton Site Recovery à gérer pour le réactiver.
Lorsque vous effectuez la migration d’un compte d’identification vers un compte d’identités managées, les modifications suivantes sont répercutées sur les comptes d’identification Automation :
- L’identité managée affectée par le système est activée pour le compte (si elle n’est pas déjà activée).
- L’autorisation de rôle Contributeur est affectée à l’abonnement du coffre Recovery Services.
- Le script qui met à jour l’agent mobilité pour utiliser l’authentification basée sur une identité managée est mis à jour.
Lier un compte d’identité managée existant au coffre
Pour lier un compte Automation d’identité managée existant à votre coffre Recovery Services. Procédez comme suit :
Activer l’identité managée pour le coffre
Accédez au compte Automation sélectionné. Sous Paramètres du compte, sélectionnez Identité.
Sous Affecté(e) par le système, définissez État sur Activé, puis sélectionnez Enregistrer.
Un ID d’objet est généré. Le coffre est à présent inscrit auprès d’Azure Active Directory
Revenez à votre coffre Recovery Services. Dans le volet gauche, sélectionnez l’option Contrôle d’accès (IAM).
Sélectionnez Ajouter>Ajouter une attribution de rôle>Contributeur pour ouvrir la page Ajouter une attribution de rôle.
Remarque
Une fois le compte Automation défini, vous pouvez modifier le rôle du compte de Contributeur vers Contributeur Site Recovery.
Dans la page Ajouter une attribution de rôle, veillez à sélectionner Identité managée.
Sélectionnez Sélectionner des membres. Dans le volet Sélectionner des identités managées, procédez comme suit :
- Dans le champ Sélectionner, entrez le nom du compte d’automatisation de l’identité managée.
- Dans le champ Identité managée, sélectionnez Toutes les identités managées affectées par le système.
- Sélectionnez l’option Sélectionner.
Sélectionnez Vérifier + attribuer.
Accédez aux paramètres de mise à jour de l’extension sous le coffre Recovery Services, activez le bouton Site Recovery à gérer pour le réactiver.
Étapes suivantes
Pour en savoir plus :