FAQ pour la migration d'un compte d'identification vers des identités managées
La FAQ suivante peut vous aider à migrer d’un compte Exécuter en tant que vers une identité managée dans Azure Automation. Si vous avez d’autres questions sur les fonctionnalités, postez-les sur le forum de discussion. Lorsqu’une question est fréquemment posée, nous l’ajoutons à cet article pour qu’elle bénéficie à tous.
Combien de temps prendrez-vous en charge un compte d’identification ?
Les comptes Automation Run As seront pris en charge jusqu'au 30 septembre 2023. De plus, à partir du 1er avril 2023, la création de nouveaux comptes Run As dans Azure Automation ne sera plus possible. Le renouvellement des certificats pour les comptes Run As existants ne serait possible que jusqu'à la fin du support.
Les runbooks existants qui utilisent le compte d’identification pourront-ils s’authentifier ?
Oui, ils pourront s’authentifier. Il n’y aura aucun impact sur les runbooks existants qui utilisent un compte d’identification. Après le 30 septembre 2023, toutes les exécutions de runbooks utilisant des comptes RunAs, y compris les comptes RunAs classiques, ne seront plus prises en charge. Par conséquent, vous devez migrer tous les runbooks pour utiliser les identités gérées avant cette date.
Mon compte Run as va bientôt expirer, comment puis-je le renouveler ?
Si le certificat de votre compte d'identification va bientôt expirer, c'est le bon moment pour commencer à utiliser les identités gérées pour l'authentification au lieu de renouveler le certificat. Toutefois, si vous souhaitez toujours le renouveler, vous ne pourrez le faire via le portail que jusqu'au 30 septembre 2023.
Puis-je créer de nouveaux comptes d'identification ?
À partir du 1er avril 2023, la création de nouveaux comptes Run As ne sera plus possible. Nous vous recommandons fortement de commencer à utiliser des identités gérées pour l'authentification au lieu de créer de nouveaux comptes d'identification.
Les runbooks qui utilisent toujours le compte d’identification pourront-ils s’authentifier après le 30 septembre 2023 ?
Oui, les runbooks pourront s’authentifier jusqu’à ce que le certificat de compte d’identification expire. Après le 30 septembre 2023, toutes les exécutions de runbooks utilisant des comptes RunAs ne seront plus prises en charge.
Les actifs Connections et Credentials seront-ils retirés le 30 septembre 2023 ?
Les comptes d’identification Automation ne seront pas pris en charge après 30 septembre 2023. Les actifs de connexions et d’informations d’identification ne relèvent pas de cette retraite. Pour une méthode d’authentification plus sécurisée, nous vous recommandons d’utiliser Identités managées.
Qu’est-ce qu’une identité managée ?
Les applications utilisent des identités managées dans Microsoft Entra ID lorsqu'elles se connectent à des ressources prenant en charge l'authentification Microsoft Entra. Les applications peuvent utiliser des identités gérées pour obtenir des jetons Microsoft Entra sans gérer les informations d'identification, les secrets, les certificats ou les clés.
Pour plus d’informations sur les identités managées dans Microsoft Entra ID, consultez Identités managées pour les ressources Azure.
Que puis-je faire avec une identité managée dans des comptes Automation ?
Une identité managée Azure Automation à partir de Microsoft Entra ID permet à votre runbook d’accéder facilement à d’autres ressources protégées par Microsoft Entra. Managée par la plateforme Azure, cette identité ne nécessite pas que vous provisionniez ou permutiez des secrets.
Les principaux avantages sont les suivants :
- Vous pouvez utiliser des identités managées pour vous authentifier auprès de n’importe quel service Azure prenant en charge l’authentification Microsoft Entra.
- Les identités managées éliminent la surcharge associée à la gestion des comptes d’identification dans votre code de runbook. Vous pouvez accéder aux ressources via une identité managée d’un compte Automation à partir d’un runbook sans vous soucier de la création du principal de service, du certificat d’identification, de la connexion d’identification, etc.
- Vous n’avez pas besoin de renouveler le certificat que le compte d’identification Automation utilise.
Les identités managées sont-elles plus sécurisées qu’un compte d’identification ?
Un compte Exécuter en tant que crée une application Microsoft Entra utilisée pour gérer les ressources au sein de l'abonnement via un certificat disposant par défaut d'un accès contributeur au niveau de l'abonnement. Un utilisateur malveillant peut utiliser ce certificat pour effectuer une opération privilégiée sur les ressources de l’abonnement, ce qui entraîne des vulnérabilités potentielles.
Les comptes d’identification présentent également une surcharge de gestion qui implique la création d’un principal de service, un certificat d’identification, une connexion d’identification, le renouvellement du certificat, etc. Les identités gérées éliminent cette surcharge en fournissant aux utilisateurs une méthode sécurisée pour s'authentifier et accéder aux ressources prenant en charge l'authentification Microsoft Entra sans se soucier de la gestion des certificats ou des informations d'identification.
Une identité managée peut-elle être utilisée à la fois pour les tâches cloud et pour les tâches hybrides ?
Azure Automation prend en charge les identités managées affectées par le système aussi bien pour les tâches cloud que pour les tâches hybrides. Actuellement, les identités managées affectées par l’utilisateur Azure Automation peuvent être utilisées uniquement pour les tâches cloud et ne peuvent pas être utilisées pour les tâches qui s’exécutent sur un worker hybride.
Comment puis-je effectuer une migration d’un compte d’identification existant vers une identité managée ?
Effectuez les étapes indiquées dans Migrer un compte d’identification existant vers une identité managée.
Comment voir les runbooks qui utilisent un compte d’identification et savoir quelles autorisations sont attribuées à ce compte ?
Utilisez ce script pour savoir quels comptes Automation utilisent un compte d’identification. Si vos comptes Azure Automation contiennent un compte d’identification, le rôle Contributeur intégré lui est attribué par défaut. Vous pouvez utiliser le script pour vérifier les comptes d’identification Azure Automation et déterminer si leur attribution de rôle est celle par défaut ou si elle a été remplacée par une définition de rôle différente.
Étapes suivantes
Si vous ne trouvez pas de réponse à votre question ici, vous pouvez consulter les sources suivantes pour voir plus de questions et de réponses :