Delen via

Migreren van een Run As-account naar beheerde identiteiten

Belangrijk

  • Het Run As-account van Azure Automation is op 30 september 2023 buiten gebruik gesteld en vervangen door Beheerde Identiteiten. We raden u aan om te beginnen met het migreren van uw runbooks voor het gebruik van beheerde identiteiten. Raadpleeg Migratie van een bestaand Run As-account naar beheerde identiteit voor meer informatie.
  • Het vertragen van de functie heeft directe invloed op onze ondersteuningslast, omdat upgrades van de mobility-agent mislukken.

In dit artikel leest u hoe u uw runbooks migreert voor het gebruik van beheerde identiteiten voor Azure Site Recovery. Azure Automation-accounts worden door Azure Site Recovery-klanten gebruikt om de agents van hun beveiligde virtuele machines automatisch bij te werken. Site Recovery maakt Azure Automation Run As-accounts wanneer u replicatie inschakelt via de IaaS VM-Blade en Recovery Services-Kluis.

In Azure elimineren beheerde identiteiten de noodzaak voor ontwikkelaars om referenties te beheren door een identiteit voor de Azure-resource in Microsoft Entra ID op te geven en deze te gebruiken voor het verkrijgen van Microsoft Entra-tokens.

Vereiste voorwaarden

Voordat u migreert van een Run As-account naar een beheerde identiteit, moet u ervoor zorgen dat u beschikt over de juiste rollen om een door het systeem toegewezen identiteit voor uw Automation-account te maken en deze de rol Eigenaar toe te wijzen in de bijbehorende Recovery Services-kluis.

Opmerking

U kunt hetzelfde Automation-account gebruiken voor meerdere Recovery Services-kluizen, maar zowel het Automation-account als de Recovery Services-kluis moeten zich in dezelfde regio bevinden.

Voordelen van beheerde identiteiten

Hier ziet u een paar voordelen van het gebruik van beheerde identiteiten:

  • Inloggegevens toegang - Het is niet nodig dat u inloggegevens beheert.
  • Vereenvoudigde verificatie : u kunt beheerde identiteiten gebruiken om te verifiëren bij elke resource die ondersteuning biedt voor Microsoft Entra-verificatie, inclusief uw eigen toepassingen.
  • Kosteneffectief : beheerde identiteiten kunnen zonder extra kosten worden gebruikt.
  • Dubbele versleuteling : beheerde identiteit wordt ook gebruikt voor het versleutelen/ontsleutelen van gegevens en metagegevens met behulp van de door de klant beheerde sleutel die is opgeslagen in Azure Key Vault, waardoor dubbele versleuteling wordt geboden.

Opmerking

Beheerde identiteiten voor Azure-resources is de nieuwe naam voor de service die eerder de naam Managed Service Identity (MSI) had.

Migreren van een bestaand 'Run As'-account naar een beheerde identiteit

Beheerde identiteiten configureren

U kunt uw beheerde identiteiten configureren via:

  • Azure Portal
  • Azure-opdrachtregelinterface (CLI)
  • uw ARM-sjabloon (Azure Resource Manager)

Opmerking

Zie de veelgestelde vragen voor meer informatie over migratiefrequentie en de support-tijdlijn voor het aanmaken en vernieuwen van een Uitvoeren als-account en de certificaatvernieuwing.

Vanuit de Azure Portal

Volg deze stappen om het verificatietype van uw Azure Automation-account te migreren van een Run As-verificatie naar een beheerde identiteitsverificatie:

  1. Selecteer in Azure Portal de Recovery Services-kluis waarvoor u de runbooks wilt migreren.

  2. Ga als volgt te werk op de startpagina van uw Recovery Services-kluispagina:

    1. Selecteer in het linkerdeelvenster onder Beheren de Site Recovery-infrastructuur. Schermopname van de pagina **Site Recovery-infrastructuur**.

    2. Onder Voor virtuele Azure-machines, selecteer Instellingen voor het bijwerken van extensies. Op deze pagina wordt het verificatietype beschreven voor het Automation-account dat wordt gebruikt voor het beheren van de Site Recovery-extensies.

    3. Selecteer op deze pagina Migreren om het verificatietype voor uw Automation-accounts te migreren voor het gebruik van beheerde identiteiten.

      Schermopname van de pagina Een Recovery Services-kluis maken.

Opmerking

Zorg ervoor dat de door het systeem toegewezen beheerde identiteit is uitgeschakeld voor het Automation-account, zodat de knop Migreren wordt weergegeven. Als het account niet is gemigreerd en de knop Migreren niet wordt weergegeven, schakelt u de beheerde identiteit voor het Automation-account uit en probeert u het opnieuw.

  1. Na de geslaagde migratie van uw Automation-account wordt het verificatietype voor de details van het gekoppelde account op de pagina Instellingen voor extensie-updates bijgewerkt.
  2. Zodra de migratiebewerking is voltooid, schakelt u de Site Recovery beheren-knop opnieuw in door deze weer op Aan te zetten.

Wanneer u met succes van een Run As-account naar een account voor beheerde identiteiten migreert, worden de volgende wijzigingen doorgevoerd op de Automation Run As-accounts:

  • Door het systeem toegewezen beheerde identiteit is ingeschakeld voor het account (als dit nog niet is ingeschakeld).
  • De machtiging voor de rol van Inzender wordt toegewezen aan het abonnement van de Recovery Services-kluis.
  • Het script waarmee de Mobility-agent wordt bijgewerkt voor het gebruik van verificatie op basis van beheerde identiteit, wordt bijgewerkt.

Een bestaand Automation-account met beheerde identiteit koppelen aan uw Recovery Services-kluis. Volg deze stappen:

De beheerde identiteit voor de kluis inschakelen

  1. Ga naar het automation-account dat u hebt geselecteerd. Selecteer Identiteit onder Accountinstellingen.

    Schermopname van de pagina identiteitsinstellingen.

  2. Wijzig onder Het toegewezen systeem de status in Aan en selecteer Opslaan.

    Er wordt een object-id gegenereerd. De kluis is nu geregistreerd bij Azure Active Directory. Schermopname van de pagina met instellingen voor systeemidentiteit.

  3. Ga terug naar uw Recovery Services-kluis. Selecteer in het linkerdeelvenster de optie Toegangsbeheer (IAM). Schermopname van de pagina IAM-instellingen.

  4. Selecteer Toevoegen>Roltoewijzing toevoegen>Inzender om de pagina Roltoewijzing toevoegen te openen.

    Opmerking

    Zodra het Automation-account is ingesteld, kunt u de rol van het account wijzigen van Medewerker naar Site Recovery Medewerker.

  5. Zorg ervoor dat u beheerde identiteit selecteert op de pagina Roltoewijzing toevoegen.

  6. Selecteer de leden selecteren. Ga als volgt te werk in het deelvenster Selecteer beheerde identiteiten:

    1. Voer in het veld Select de naam in van het beheerde identiteit-automatiseringsaccount.
    2. Selecteer in het veld Beheerde identiteitalle door het systeem toegewezen beheerde identiteiten.
    3. Selecteer de optie Selecteren . Schermopname die de instellingenpagina voor beheerde identiteit laat zien.

  7. Selecteer Beoordelen en toewijzen.

  8. Ga naar de instellingen voor extensie-updates onder de Recovery Services-kluis en schakel de knop Site Recovery in omdeze opnieuw in te schakelen.

Volgende stappen

Meer informatie over: