Veelgestelde vragen over het migreren van een Uitvoeren als-account naar beheerde identiteiten
De volgende veelgestelde vragen kunnen u helpen bij het migreren van een Uitvoeren als-account naar een beheerde identiteit in Azure Automation. Als u andere vragen hebt over de mogelijkheden, plaatst u deze op het discussieforum. Wanneer een vraag vaak wordt gesteld, voegen we deze toe aan dit artikel, zodat iedereen er baat bij heeft.
Hoe lang ondersteunt u een Uitvoeren als-account?
Automation Uitvoeren als-accounts worden ondersteund tot 30 september 2023. Bovendien is het maken van nieuwe Uitvoeren als-accounts in Azure Automation vanaf 01 april 2023 niet mogelijk. Het vernieuwen van certificaten voor bestaande Uitvoeren als-accounts is alleen mogelijk tot het einde van de ondersteuning.
Kunnen bestaande runbooks die gebruikmaken van het Uitvoeren als-account worden geverifieerd?
Ja, ze kunnen zich verifiëren. Er zijn geen gevolgen voor bestaande runbooks die gebruikmaken van een Uitvoeren als-account. Na 30 september 2023 worden alle runbookuitvoeringen met RunAs-accounts, inclusief klassieke Uitvoeren als-accounts, niet ondersteund. Daarom moet u alle runbooks migreren om beheerde identiteiten vóór die datum te gebruiken.
Hoe kan ik mijn Uitvoeren als-account binnenkort verlengen?
Als uw Uitvoeren als-accountcertificaat binnenkort verloopt, is het een goed moment om beheerde identiteiten te gaan gebruiken voor verificatie in plaats van het certificaat te vernieuwen. Als u deze echter nog steeds wilt verlengen, kunt u dit doen via de portal tot en met 30 september 2023.
Kan ik nieuwe Uitvoeren als-accounts maken?
Vanaf 1 april 2023 zou het maken van nieuwe Uitvoeren als-accounts niet mogelijk zijn. We raden u ten zeerste aan om beheerde identiteiten te gebruiken voor verificatie in plaats van nieuwe Uitvoeren als-accounts te maken.
Kunnen runbooks die nog steeds gebruikmaken van het Uitvoeren als-account zich verifiëren na 30 september 2023?
Ja, de runbooks kunnen worden geverifieerd totdat het Uitvoeren als-accountcertificaat verloopt. Na 30 september 2023 worden alle runbookuitvoeringen met RunAs-accounts niet ondersteund.
Worden Verbinding maken ions en Referenties-assets op 30 september 2023 buiten gebruik gesteld?
Automation Uitvoeren als-accounts worden na 30 september 2023 niet ondersteund. Verbinding maken ionen en referentieassets vallen niet onder het overzicht van deze buitengebruikstelling. Voor een veiligere verificatiemethode raden we u aan beheerde identiteiten te gebruiken.
Wat is een beheerde identiteit?
Toepassingen gebruiken beheerde identiteiten in Microsoft Entra-id wanneer ze verbinding maken met resources die ondersteuning bieden voor Microsoft Entra-verificatie. Toepassingen kunnen beheerde identiteiten gebruiken om Microsoft Entra-tokens te verkrijgen zonder referenties, geheimen, certificaten of sleutels te beheren.
Zie Beheerde identiteiten voor Azure-resources voor meer informatie over beheerde identiteiten in Microsoft Entra ID.
Wat kan ik doen met een beheerde identiteit in Automation-accounts?
Met een door Azure Automation beheerde identiteit van Microsoft Entra ID heeft uw runbook eenvoudig toegang tot andere met Microsoft Entra beveiligde resources. Deze identiteit wordt beheerd door het Azure-platform en vereist niet dat u geheimen inricht of roteert.
Belangrijke voordelen zijn:
- U kunt beheerde identiteiten gebruiken om te verifiëren bij elke Azure-service die ondersteuning biedt voor Microsoft Entra-verificatie.
- Beheerde identiteiten elimineren de overhead die is gekoppeld aan het beheren van Run As-accounts in uw runbookcode. U hebt toegang tot resources via een beheerde identiteit van een Automation-account vanuit een runbook zonder dat u zich zorgen hoeft te maken over het maken van de service-principal, uitvoeren als-certificaat, Uitvoeren als-verbinding, enzovoort.
- U hoeft het certificaat dat door het Uitvoeren als-account van Automation wordt gebruikt, niet te vernieuwen.
Zijn beheerde identiteiten veiliger dan een Uitvoeren als-account?
Een Uitvoeren als-account maakt een Microsoft Entra-app die wordt gebruikt om de resources binnen het abonnement te beheren via een certificaat dat standaard inzendertoegang heeft op abonnementsniveau. Een kwaadwillende gebruiker kan dit certificaat gebruiken om een bevoegde bewerking uit te voeren op resources in het abonnement, wat leidt tot potentiële beveiligingsproblemen.
Uitvoeren als-accounts hebben ook een beheeroverhead waarbij u een service-principal, Uitvoeren als-certificaat, Uitvoeren als-verbinding, certificaatvernieuwing enzovoort maakt. Beheerde identiteiten elimineren deze overhead door gebruikers een veilige methode te bieden voor verificatie en toegang tot resources die ondersteuning bieden voor Microsoft Entra-verificatie zonder dat u zich zorgen hoeft te maken over certificaat- of referentiebeheer.
Kan een beheerde identiteit worden gebruikt voor zowel cloud- als hybride taken?
Azure Automation ondersteunt door het systeem toegewezen beheerde identiteiten voor zowel cloud- als hybride taken. Op dit moment kunnen door de gebruiker toegewezen beheerde identiteiten van Azure Automation alleen worden gebruikt voor cloudtaken en kunnen ze niet worden gebruikt voor taken die worden uitgevoerd op een hybrid worker.
Hoe kan ik migreren van een bestaand Uitvoeren als-account naar een beheerde identiteit?
Volg de stappen in Een bestaand Uitvoeren als-account migreren naar een beheerde identiteit.
Hoe kan ik de runbooks zien die een Uitvoeren als-account gebruiken en weten welke machtigingen aan dat account zijn toegewezen?
Gebruik dit script om erachter te komen welke Automation-accounts een Uitvoeren als-account gebruiken. Als uw Azure Automation-accounts een Uitvoeren als-account bevatten, wordt standaard de ingebouwde rol inzender toegewezen. U kunt het script gebruiken om de Uitvoeren als-accounts van Azure Automation te controleren en te bepalen of de roltoewijzing de standaard is of dat deze is gewijzigd in een andere roldefinitie.
Volgende stappen
Als uw vraag hier niet wordt beantwoord, kunt u de volgende bronnen raadplegen voor meer vragen en antwoorden: