Een Azure Automation Uitvoeren als-account beheren

Belangrijk

Azure Automation Uitvoeren als-account wordt op 30 september 2023 buiten gebruik gesteld en vervangen door beheerde identiteiten. Vóór die datum moet u beginnen met het migreren van uw runbooks om beheerde identiteiten te gebruiken. Zie Migreren van een bestaande Uitvoeren als-accounts naar een beheerde identiteit om vóór 30 september 2023 te beginnen met het migreren van runbooks van Uitvoeren als-account naar beheerde identiteiten voor meer informatie.

Uitvoeren als-accounts in Azure Automation bieden verificatie voor het beheren van resources in het Azure Resource Manager- of het klassieke Azure-implementatiemodel met behulp van Automation-runbooks en andere Automation-functies.

In dit artikel wordt beschreven hoe u een Uitvoeren als- of klassiek Uitvoeren als-account beheert, waaronder:

  • Een zelfondertekend certificaat vernieuwen
  • Een certificaat van een onderneming of een externe certificeringsinstantie (CA) vernieuwen
  • Machtigingen beheren voor het Uitvoeren als-account

Zie Automation-accountverificatieoverzicht voor meer informatie over Azure Automation-accountverificatie, machtigingen die zijn vereist voor het beheren van het Uitvoeren als-account en richtlijnen met betrekking tot scenario's voor procesautomatisering.

Een zelfondertekend certificaat verlengen

Het zelfondertekende certificaat dat u voor het Uitvoeren als-account hebt gemaakt, verloopt een jaar na de aanmaakdatum. Op een bepaald moment voordat uw Uitvoeren als-account verloopt, moet u het certificaat vernieuwen. U kunt het certificaat op elk moment vernieuwen voordat het verloopt.

Als u het zelfondertekend certificaat vernieuwt, blijft het huidige geldige certificaat behouden om ervoor te zorgen dat eventuele runbooks die nog in de wachtrij staan of nog actief zijn, en die worden geverifieerd met het Uitvoeren als-account, niet negatief worden beïnvloed. Het certificaat blijft geldig tot de vervaldatum.

Notitie

Als u denkt dat het Uitvoeren als-account is gecompromitteerd, kunt u het zelfondertekende certificaat verwijderen en opnieuw maken.

Notitie

Als u uw Uitvoeren als-account hebt geconfigureerd voor het gebruik van een certificaat dat is uitgegeven door uw ondernemings- of externe CA en u de optie gebruikt om een zelfondertekend certificaat te vernieuwen, wordt het ondernemingscertificaat vervangen door een zelfondertekend certificaat. Als u uw certificaat in dit geval wilt vernieuwen, raadpleegt u Een bedrijfscertificaat of een certificaat van derden vernieuwen.

Gebruik de volgende stappen om het zelfondertekende certificaat te vernieuwen.

  1. Meld u aan bij Azure Portal.

  2. Ga naar uw Automation-account en selecteer Uitvoeren als-accounts in de sectie accountinstellingen.

    Deelvenster Eigenschappen van Automation-account.

  3. Selecteer op de pagina Uitvoeren als-accounts de optie Uitvoeren als-account of klassiek Uitvoeren als-account , afhankelijk van het account waarvoor u het certificaat moet vernieuwen.

  4. Selecteer op de pagina Eigenschappen voor het geselecteerde account de optie Certificaat vernieuwen.

    Certificaat vernieuwen voor Uitvoeren als-account.

  5. Terwijl het certificaat wordt gemaakt, kunt u in het menu onder Meldingen de voortgang hiervan volgen.

Een certificaat van een onderneming of een derde partij vernieuwen

Elk certificaat heeft een ingebouwde vervaldatum. Als het certificaat dat u aan het Uitvoeren als-account hebt toegewezen, is uitgegeven door een certificeringsinstantie (CA), moet u een andere set stappen uitvoeren om het Uitvoeren als-account te configureren met het nieuwe certificaat voordat het verloopt. U kunt het certificaat op elk moment vernieuwen voordat het verloopt.

  1. Importeer het vernieuwde certificaat volgens de stappen voor Een nieuw certificaat maken. Automation vereist dat het certificaat de volgende configuratie heeft:

    • Geef de provider op Microsoft Enhanced RSA en AES Cryptographic Provider
    • Gemarkeerd als exporteerbaar
    • Geconfigureerd voor het gebruik van het SHA256-algoritme
    • Opgeslagen in de *.pfx indeling of *.cer .

    Nadat u het certificaat hebt geïmporteerd, noteert of kopieert u de waarde voor vingerafdruk van het certificaat. Deze waarde wordt gebruikt om de Eigenschappen van de Run As-verbinding bij te werken met het nieuwe certificaat.

  2. Meld u aan bij de Azure-portal.

  3. Zoek en selecteer Automation-accounts.

  4. Selecteer op de pagina Automation-accounts uw Automation-account in de lijst.

  5. Selecteer Verbindingen in het linkerdeelvenster.

  6. Selecteer op de pagina Verbindingen de optie AzureRunAsConnection en werk de vingerafdruk van het certificaat bij met de vingerafdruk van het nieuwe certificaat.

  7. Selecteer Opslaan om uw wijzigingen door te voeren.

Uitvoeren als-accountmachtigingen verlenen in andere abonnementen

Azure Automation ondersteunt het gebruik van één Automation-account vanuit één abonnement en het uitvoeren van runbooks op Azure Resource Manager-resources in meerdere abonnementen. Deze configuratie biedt geen ondersteuning voor het klassieke Azure-implementatiemodel.

U wijst de service-principal van het Uitvoeren als-account de rol Inzender toe in het andere abonnement of meer beperkende machtigingen. Zie Op rollen gebaseerd toegangsbeheer in Azure Automation voor meer informatie. Als u het Uitvoeren als-account wilt toewijzen aan de rol in het andere abonnement, moet het gebruikersaccount dat deze taak uitvoert lid zijn van de rol Eigenaar in dat abonnement.

Notitie

Deze configuratie ondersteunt alleen meerdere abonnementen van een organisatie met behulp van een gemeenschappelijke Azure AD-tenant.

Voordat u de machtigingen voor het Uitvoeren als-account verleent, moet u eerst de weergavenaam noteren van de service-principal die u wilt toewijzen.

  1. Meld u aan bij de Azure-portal.
  2. Selecteer uitvoeren als-accounts in uw Automation-account onder Accountinstellingen.
  3. Selecteer Azure Uitvoeren als-account.
  4. Kopieer of noteer de waarde voor Weergavenaam op de pagina Uitvoeren als-account van Azure .

Raadpleeg de volgende artikelen, afhankelijk van de methode die u wilt gebruiken voor gedetailleerde stappen voor het toevoegen van roltoewijzingen.

Nadat u het Uitvoeren als-account hebt toegewezen aan de rol, geeft u Set-AzContext -SubscriptionId "xxxx-xxxx-xxxx-xxxx" in uw runbook op om de abonnementscontext in te stellen die moet worden gebruikt. Zie Set-AzContext voor meer informatie.

Roltoewijzing controleren voor Azure Automation Uitvoeren als-account

Voer de volgende stappen uit om de rol te controleren die is toegewezen aan het Uitvoeren als-account van Automation Azure AD:

  1. Meld u aan bij de Azure-portal.

  2. Ga naar uw Automation-account en selecteer in Accountinstellingende optie Uitvoeren als-accounts.

  3. Selecteer Azure Uitvoeren als-account om de toepassings-id weer te geven.

    Schermopname waarin wordt beschreven hoe u de toepassings-id kopieert.

  4. Ga naar Azure Portal en zoek naar Azure Active Directory.

  5. Voer op de pagina Overzicht van Active Directory , het tabblad Overzicht , in het zoekvak de toepassings-id in.

    Schermopname van de toepassings-id die is gekopieerd op het tabblad Overzicht.

    In de sectie Bedrijfstoepassingen ziet u de weergavenaam van uw Uitvoeren als-account.

  6. Selecteer de toepassings-id en ga op de eigenschappenpagina van die id naar de blade Overzicht , Eigenschappen en kopieer de naam van de Ondernemingstoepassing.

  7. Ga naar Azure Portal, zoek uw abonnement en selecteer uw abonnement.

  8. Ga naar Access Control (IAM), Roltoewijzing en plak de naam van de Enterprise-toepassing in het zoekvak om de app weer te geven, samen met de rol en het bereik dat eraan is toegewezen. Bijvoorbeeld: in de onderstaande schermopname heeft het Uitvoeren als-account Azure AD App de toegang Inzender op abonnementsniveau.

    Schermopname waarin wordt beschreven hoe u de rol en het bereik kunt weergeven die zijn toegewezen aan de bedrijfstoepassing.

Uitvoeren als-accountmachtigingen beperken

Als u het doel van Automation op resources in Azure wilt beheren, kunt u het Update-AutomationRunAsAccountRoleAssignments.ps1-script uitvoeren. Met dit script wordt de service-principal van uw bestaande Uitvoeren als-account gewijzigd om een aangepaste roldefinitie te maken en te gebruiken. De rol heeft machtigingen voor alle resources, met uitzondering van Key Vault.

Belangrijk

Nadat u het Update-AutomationRunAsAccountRoleAssignments.ps1-script hebt uitgevoerd, werken runbooks die toegang hebben tot Key Vault via uitvoeren als-accounts niet meer. Voordat u het script uitvoert, moet u runbooks in uw account controleren op aanroepen naar Azure Key Vault. Als u toegang tot Key Vault vanuit Azure Automation runbooks wilt inschakelen, moet u het Uitvoeren als-account toevoegen aan de machtigingen van Key Vault.

Als u verder wilt beperken wat de Run As-service-principal kan doen, kunt u andere resourcetypen toevoegen aan het NotActions element van de aangepaste roldefinitie. In het volgende voorbeeld wordt de toegang tot Microsoft.Compute/*beperkt. Als u dit resourcetype toevoegt aan NotActions voor de roldefinitie, heeft de rol geen toegang tot een rekenresource. Zie Roldefinities voor Azure-resources begrijpen voor meer informatie over roldefinities.

$roleDefinition = Get-AzRoleDefinition -Name 'Automation RunAs Contributor'
$roleDefinition.NotActions.Add("Microsoft.Compute/*")
$roleDefinition | Set-AzRoleDefinition

U kunt bepalen of de service-principal die door uw Uitvoeren als-account wordt gebruikt, de rol Inzender of een aangepaste rol heeft toegewezen.

  1. Meld u aan bij de Azure-portal.
  2. Ga naar uw Automation-account en selecteer Uitvoeren als-accounts in de sectie accountinstellingen.
  3. Selecteer Azure Uitvoeren als-account.
  4. Selecteer Rol om de roldefinitie te zoeken die wordt gebruikt.

Controleer de rol Uitvoeren als-account.

U kunt ook bepalen welke roldefinitie wordt gebruikt door de Uitvoeren als-accounts voor meerdere abonnementen of Automation-accounts. Doe dit met behulp van het scriptCheck-AutomationRunAsAccountRoleAssignments.ps1 in de PowerShell Gallery.

Machtigingen toevoegen aan Key Vault

U kunt Azure Automation toestaan om te controleren of Key Vault en de service-principal van uw Uitvoeren als-account een aangepaste roldefinitie gebruiken. U moet het volgende doen:

  • Machtigingen verlenen aan Key Vault.
  • Stel het toegangsbeleid in.

U kunt het Extend-AutomationRunAsAccountRoleAssignmentToKeyVault.ps1-script in de PowerShell Gallery gebruiken om uw Uitvoeren als-account machtigingen te verlenen voor Key Vault. Zie Een Key Vault toegangsbeleid toewijzen voor meer informatie over het instellen van machtigingen voor Key Vault.

Problemen met onjuiste configuratie voor Uitvoeren als-accounts oplossen

Bepaalde configuratie-items die nodig zijn voor een Uitvoeren als- of klassieke Uitvoeren als-account, zijn mogelijk verwijderd of niet juist gemaakt tijdens de initiële configuratie. Mogelijke exemplaren van een onjuiste configuratie zijn:

  • Certificaatasset
  • Verbindingsasset
  • Uitvoeren als-account verwijderd uit de rol Inzender
  • Service-principal of toepassing in Azure AD

Voor dergelijke onjuiste configuratie-exemplaren detecteert het Automation-account de wijzigingen en wordt de status Onvolledig weergegeven in het eigenschappenvenster Uitvoeren als-accounts voor het account.

Onvolledige Uitvoeren als-accountconfiguratie.

Wanneer u het Uitvoeren als-account selecteert, wordt in het eigenschappenvenster van het account het volgende foutbericht weergegeven:

The Run As account is incomplete. Either one of these was deleted or not created - Azure Active Directory Application, Service Principal, Role, Automation Certificate asset, Automation Connect asset - or the Thumbprint is not identical between Certificate and Connection. Please delete and then re-create the Run As Account.

U kunt deze problemen met het Uitvoeren als-account snel oplossen door het Uitvoeren als-account te verwijderen en opnieuw te maken .

Volgende stappen