Désactiver l’authentification locale dans Automation
Important
- La mise à jour corrective Update Management ne fonctionne pas lorsque l’authentification locale est désactivée.
- Lorsque vous désactivez l’authentification locale, cela a un impact sur le démarrage d’un runbook à l’aide d’un webhook, d’Automation Desired State Configuration et de Runbook Workers hybrides basés sur un agent. Pour plus d’informations, consultez les alternatives disponibles.
Azure Automation fournit la prise en charge de l’authentification Microsoft Entra pour tous les points de terminaison publics du service Automation. Cette amélioration critique de la sécurité supprime les dépendances de certificat et offre aux organisations le contrôle de la désactivation des méthodes d’authentification locales. Cette fonctionnalité vous offre une intégration transparente lorsqu'un contrôle et une gestion centralisés des identités et des informations d'identification des ressources via Microsoft Entra ID sont requis.
Azure Automation fournit une fonctionnalité facultative pour « désactiver l’authentification locale » au niveau du compte Automation à l’aide de la stratégie Azure Configurer le compte Azure Automation pour désactiver l’authentification locale. Par défaut, cet indicateur est défini sur false au niveau du compte, vous pouvez donc utiliser à la fois l'authentification locale et l'authentification Microsoft Entra. Si vous choisissez de désactiver l'authentification locale, le service Automation accepte uniquement l'authentification basée sur Microsoft Entra ID.
Dans le portail Azure, vous pouvez recevoir un message d’avertissement sur la page d’accueil du compte Automation sélectionné si l’authentification est désactivée. Pour confirmer l’activation de la stratégie d’authentification locale, utilisez la cmdlet PowerShell Get-AzAutomationAccount et vérifiez la propriété DisableLocalAuth. La valeur true indique que l’authentification locale est désactivée.
La désactivation de l’authentification locale ne prend pas effet immédiatement. Patientez quelques minutes avant que le service bloque les demandes d’authentification ultérieures.
Remarque
- Actuellement, la prise en charge par PowerShell de la nouvelle version de l’API (2021-06-22) ou de l’indicateur –
DisableLocalAuthn’est pas disponible. Toutefois, vous pouvez utiliser l’API REST avec cette version de l’API pour mettre à jour l’indicateur.
Réactiver l’authentification locale
Pour réactiver l’authentification locale, exécutez la cmdlet PowerShell Set-AzAutomationAccount avec le paramètre -DisableLocalAuth false. Patientez quelques minutes avant que le service accepte la modification afin d’autoriser les demandes d’authentification locales.
Compatibilité
Le tableau suivant décrit les comportements ou les fonctionnalités qui ne peuvent pas fonctionner si l’authentification locale est désactivée.
| Scénario | Alternative |
|---|---|
| Démarrage d’un runbook à l’aide d’un webhook. | Démarrez une tâche Runbook à l’aide du modèle Azure Resource Manager, qui utilise l’authentification Microsoft Entra. |
| Utilisation d’Automation Desired State Configuration. | Utilisez configuration d’invité Azure Policy. |
| Utilisation de Runbook Workers hybrides basés sur des agents. | Utilisez Runbook Workers hybrides basés sur l’extension. |
| Utilisation d’Azure Update Manager | Utiliser Azure Update Manager |