Door de gebruiker toegewezen beheerde identiteit verwijderen voor een Azure Automation-account

U kunt een door de gebruiker toegewezen beheerde identiteit in Azure Automation verwijderen met behulp van de Azure-portal, PowerShell, de Azure REST API of een ARM-sjabloon (Azure Resource Manager).

Verwijderen met behulp van Azure Portal

U kunt een door de gebruiker toegewezen beheerde identiteit verwijderen uit Azure Portal, ongeacht hoe de door de gebruiker toegewezen beheerde identiteit oorspronkelijk is toegevoegd.

1. Meld u aan bij het Azure-portaal.

2. Navigeer naar uw Automation-account en selecteer identiteit onder Accountinstellingen.

3. Selecteer het tabblad Door de gebruiker toegewezen .

4. Selecteer de door de gebruiker toegewezen beheerde identiteit die uit de lijst moet worden verwijderd.

5. Selecteer Verwijderen. Wanneer u wordt gevraagd te bevestigen, selecteert u Ja.

De door de gebruiker toegewezen beheerde identiteit wordt verwijderd en heeft geen toegang meer tot de doelresource.

Verwijderen met behulp van PowerShell

Gebruik De PowerShell-cmdlet Set-AzAutomationAccount om alle door de gebruiker toegewezen beheerde identiteiten te verwijderen en een bestaande door het systeem toegewezen beheerde identiteit te behouden.

1. Meld u interactief aan bij Azure met behulp van de cmdlet Connect-AzAccount en volg de instructies.

   # Sign in to your Azure subscription
   $sub = Get-AzSubscription -ErrorAction SilentlyContinue
   if(-not($sub))
   {
       Connect-AzAccount
   }
   

2. Geef een geschikte waarde op voor de variabelen en voer vervolgens het script uit.

   $resourceGroup = "resourceGroupName"
   $automationAccount = "automationAccountName"
   

3. Voer Set-AzAutomationAccount uit.

   # Removes all UAs, keeps SA
   $output = Set-AzAutomationAccount `
       -ResourceGroupName $resourceGroup `
       -Name $automationAccount `
       -AssignSystemIdentity 
   
   $output.identity.Type
   

   De uitvoer is SystemAssigned.

Verwijderen met REST API

U kunt een door de gebruiker toegewezen beheerde identiteit uit het Automation-account verwijderen met behulp van de volgende REST API-aanroep en het volgende voorbeeld.

Aanvraagtekst

Scenario: Door het systeem toegewezen beheerde identiteit is ingeschakeld of moet worden ingeschakeld. Een van de vele door de gebruiker toegewezen beheerde identiteiten is te verwijderen. In dit voorbeeld wordt een door de gebruiker toegewezen beheerde identiteit verwijderd met firstIdentity behulp van de HTTP PATCH-methode .

{
  "identity": {
    "type": "SystemAssigned, UserAssigned",
    "userAssignedIdentities": {
      "/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/resource-group-name/providers/Microsoft.ManagedIdentity/userAssignedIdentities/firstIdentity": null
    }
  }
}

Scenario: Door het systeem toegewezen beheerde identiteit is ingeschakeld of moet worden ingeschakeld. Alle door de gebruiker toegewezen beheerde identiteiten moeten worden verwijderd met behulp van de HTTP PUT-methode.

{
  "identity": {
    "type": "SystemAssigned"
  }
}

Scenario: Door het systeem toegewezen beheerde identiteit is uitgeschakeld of moet worden uitgeschakeld. Een van de vele door de gebruiker toegewezen beheerde identiteiten is te verwijderen. In dit voorbeeld wordt een door de gebruiker toegewezen beheerde identiteit verwijderd met firstIdentity behulp van de HTTP PATCH-methode .

{
  "identity": {
    "type": "UserAssigned",
    "userAssignedIdentities": {
      "/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/resource-group-name/providers/Microsoft.ManagedIdentity/userAssignedIdentities/firstIdentity": null
    }
  }
}

Scenario: Door het systeem toegewezen beheerde identiteit is uitgeschakeld of moet worden uitgeschakeld. Alle door de gebruiker toegewezen beheerde identiteiten moeten worden verwijderd met behulp van de HTTP PUT-methode.

{
  "identity": {
    "type": "None"
  }
}

Hier volgt de REST API-aanvraag-URI van de service om de PATCH-aanvraag te verzenden.

https://management.azure.com/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/resource-group-name/providers/Microsoft.Automation/automationAccounts/automation-account-name?api-version=2020-01-13-preview

Opmerking

Voer de volgende stappen uit.

1. Kopieer en plak de hoofdtekst van de aanvraag, afhankelijk van de bewerking die u wilt uitvoeren, in een bestand met de naam body_remove_ua.json. Breng de vereiste wijzigingen aan en sla het bestand vervolgens op uw lokale computer of in een Azure-opslagaccount op.

2. Meld u interactief aan bij Azure met behulp van de cmdlet Connect-AzAccount en volg de instructies.

   # Sign in to your Azure subscription
   $sub = Get-AzSubscription -ErrorAction SilentlyContinue
   if(-not($sub))
   {
       Connect-AzAccount -Subscription
   }
   

3. Geef een geschikte waarde op voor de variabelen en voer vervolgens het script uit.

   $subscriptionID = "subscriptionID"
   $resourceGroup = "resourceGroupName"
   $automationAccount = "automationAccountName"
   $file = "path\body_remove_ua.json"
   

4. In dit voorbeeld wordt de PowerShell-cmdlet Invoke-RestMethod gebruikt om de PATCH-aanvraag naar uw Automation-account te verzenden.

   # build URI
   $URI = "https://management.azure.com/subscriptions/$subscriptionID/resourceGroups/$resourceGroup/providers/Microsoft.Automation/automationAccounts/$automationAccount`?api-version=2020-01-13-preview"
   
   # build body
   $body = Get-Content $file
   
   # obtain access token
   $azContext = Get-AzContext
   $azProfile = [Microsoft.Azure.Commands.Common.Authentication.Abstractions.AzureRmProfileProvider]::Instance.Profile
   $profileClient = New-Object -TypeName Microsoft.Azure.Commands.ResourceManager.Common.RMProfileClient -ArgumentList ($azProfile)
   $token = $profileClient.AcquireAccessToken($azContext.Subscription.TenantId)
   $authHeader = @{
       'Content-Type'='application/json'
       'Authorization'='Bearer ' + $token.AccessToken
   }
   
   # Invoke the REST API
   Invoke-RestMethod -Uri $URI -Method PATCH -Headers $authHeader -Body $body
   
   # Confirm removal
   (Get-AzAutomationAccount `
       -ResourceGroupName $resourceGroup `
       -Name $automationAccount).Identity.Type
   

   Afhankelijk van de syntaxis die u hebt gebruikt, is de uitvoer: SystemAssignedUserAssigned, SystemAssigned, UserAssignedof leeg.

Verwijderen met azure Resource Manager-sjabloon

Als u de door de gebruiker toegewezen beheerde identiteit voor uw Automation-account hebt toegevoegd met behulp van een Azure Resource Manager-sjabloon, kunt u de door de gebruiker toegewezen beheerde identiteit verwijderen door de sjabloon te wijzigen en vervolgens opnieuw uit te voeren.

Scenario: Door het systeem toegewezen beheerde identiteit is ingeschakeld of moet worden ingeschakeld. Een van de twee door de gebruiker toegewezen beheerde identiteiten moet worden verwijderd. Met dit syntaxisfragment worden alle door de gebruiker toegewezen beheerde identiteiten verwijderd, met uitzondering van de identiteit die als parameter aan de sjabloon is doorgegeven.

...
"identity": {
    "type": "SystemAssigned, UserAssigned",
    "userAssignedIdentities": {
        "[resourceID('Microsoft.ManagedIdentity/userAssignedIdentities/',parameters('userAssignedOne'))]": {}
    }
},
...

Scenario: Door het systeem toegewezen beheerde identiteit is ingeschakeld of moet worden ingeschakeld. Alle door de gebruiker toegewezen beheerde identiteiten moeten worden verwijderd.

...
"identity": {
    "type": "SystemAssigned"
},
...

Scenario: Door het systeem toegewezen beheerde identiteit is uitgeschakeld of moet worden uitgeschakeld. Een van de twee door de gebruiker toegewezen beheerde identiteiten moet worden verwijderd. Met dit syntaxisfragment worden alle door de gebruiker toegewezen beheerde identiteiten verwijderd, met uitzondering van de identiteit die als parameter aan de sjabloon is doorgegeven.

...
"identity": {
    "type": "UserAssigned",
    "userAssignedIdentities": {
        "[resourceID('Microsoft.ManagedIdentity/userAssignedIdentities/',parameters('userAssignedOne'))]": {}
    }
},
...

Gebruik de cmdlet Get-AzAutomationAccount om te verifiëren. Afhankelijk van de syntaxis die u hebt gebruikt, is de uitvoer: SystemAssignedUserAssigned, SystemAssignedof UserAssigned.

(Get-AzAutomationAccount `
    -ResourceGroupName $resourceGroup `
    -Name $automationAccount).Identity.Type

Volgende stappen

• Zie Beheerde identiteiten inschakelen en gebruiken voor Automation voor meer informatie over het inschakelen van beheerde identiteiten in Azure Automation.

• Zie het overzicht van automation-accountverificatie voor een overzicht van de beveiliging van automation-accounts.