実行アカウントからマネージド ID への移行に関する FAQ
次の FAQ は、Azure Automation で実行アカウントからマネージド ID に移行する際に役立ちます。 機能について他の質問がある場合は、ディスカッション フォーラムに投稿してください。 よく寄せられる質問については、この記事に追加し、皆様の役に立つようにします。
実行アカウントはいつまでサポートされる予定ですか?
Automation の実行アカウントは、2023 年 9 月 30 日までサポートされる予定です。 さらに、2023 年 4 月 1 日以降、Azure Automation で新しい実行アカウントは作成できなくなります。 既存の実行アカウント用証明書の更新は、サポート終了まで可能です。
実行アカウントを使う既存の Runbook は認証できますか?
はい。認証できます。 実行アカウントを使っている既存の Runbook への影響はありません。 2023 年 9 月 30 日以降、クラシック RunAs アカウントを含め、RunAs アカウントを使うすべての Runbook 実行はサポートされなくなります。 したがって、その日までにすべての Runbook をマネージド ID を使用するように移行する必要があります。
実行アカウントの有効期限がもうすぐ切れます。どうすれば更新できますか?
実行アカウント証明書の有効期限が間もなく切れる場合は、証明書を更新する代わりに、認証にマネージド ID を使用し始める良い機会です。 ただし、更新を希望される場合は、2023 年 9 月 30 日まで、ポータルを通じてのみ更新できます。
新しい実行アカウントを作成できますか?
2023 年 4 月 1 日以降、実行アカウントの新規作成はできなくなります。 新しい実行アカウントを作成する代わりに、認証にマネージド ID の使用を開始することを強くお勧めします。
2023 年 9 月 30 日の後も実行アカウントを使っている Runbook を認証できますか?
はい。実行アカウント証明書の有効期限が切れるまで、Runbook は認証できます。 2023 年 9 月 30 日以降、実行アカウントを使うすべての Runbook 実行はサポートされなくなります。
接続資産と資格情報資産は 2023 年 9 月 30 日に廃止されますか?
Automation の実行アカウントは、2023 年 9 月 30 日以降はサポートされなくなる予定です。 接続資産と資格情報資産は、この廃止の管轄下にはありません。 より安全な認証方法として、マネージド ID を使用することをお勧めします。
マネージド ID とは何ですか?
アプリケーションは、Microsoft Entra 認証をサポートするリソースに接続するときに Microsoft Entra ID のマネージド ID を使います。 アプリケーションでマネージド ID を使うと、資格情報、シークレット、証明書、またはキーを管理することなく、Microsoft Entra トークンを取得できます。
Microsoft Entra ID のマネージド ID の詳細については、「Azure リソースのマネージド ID」を参照してください。
Automation アカウントでマネージド ID を使うと何ができますか?
Microsoft Entra ID の Azure Automation マネージド ID により、Runbook は、Microsoft Entra で保護された他のリソースに簡単にアクセスすることができます。 ID は Azure プラットフォームによって管理され、シークレットをプロビジョニングまたはローテーションする必要はありません。
主な利点は以下のとおりです。
- マネージド ID を使用すると、Microsoft Entra 認証をサポートするあらゆる Azure サービスに対して認証を行うことができる。
- マネージド ID を使うと、Runbook コードでの実行アカウントの管理に関するオーバーヘッドがなくなります。 サービス プリンシパル、実行証明書、実行接続などの作成を気にすることなく、Runbook から Automation アカウントのマネージド ID を介してリソースにアクセスできます。
- Automation 実行アカウントに使われる証明書を更新する必要がありません。
マネージド ID は実行アカウントよりも安全ですか?
実行アカウントにより、Microsoft Entra アプリが作成されます。これは、既定でサブスクリプション レベルで共同作成者アクセスを持つ証明書を介して、サブスクリプション内のリソースを管理するために使われます。 悪意のあるユーザーは、この証明書を使って、サブスクリプション内のリソースに対して特権操作を実行する可能性があります。これは、潜在的な脆弱性につながります。
実行アカウントには、サービス プリンシパルの作成、実行証明書、実行接続、証明書の更新などに関する管理オーバーヘッドもあります。 マネージド ID によって、証明書や資格情報の管理を気にすることなく、Microsoft Entra 認証をサポートするリソースに対してユーザーが認証を受け、アクセスするための安全な方法を実現することで、このオーバーヘッドがなくなります。
マネージド ID はクラウドとハイブリッドの両方のジョブに使用できますか?
Azure Automation は、クラウドとハイブリッドの両方のジョブに対してシステム割り当てマネージド ID をサポートしています。 現在、Azure Automation のユーザー割り当てマネージド ID は、クラウド ジョブのみに使用できます。ハイブリッド worker 上で動作するジョブには使用できません。
既存の実行アカウントからマネージド ID に移行するにはどうすればよいですか?
「既存の実行アカウントからマネージド ID に移行する」の手順に従ってください。
実行アカウントを使っている Runbook を表示し、そのアカウントに割り当てられているアクセス許可を確認するにはどうすればよいですか?
どの Automation アカウントが実行アカウントを使っているかを調べるには、このスクリプトを使います。 Azure Automation アカウントに実行アカウントが含まれている場合、既定で組み込みの共同作成者ロールが割り当てられます。 このスクリプトを使うと、Azure Automation 実行アカウントを確認し、そのロールの割り当てが既定のものかどうか、別のロール定義に変更されているかどうかを判断できます。
次のステップ
こちらでご質問の回答が見つからない場合は、次のソースでさらに質問と回答を参照できます。