你当前正在访问 Microsoft Azure Global Edition 技术文档网站。如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站，请访问 https://docs.azure.cn。

从运行方式帐户迁移到托管标识

项目
04/10/2024

重要

Azure 自动化运行方式帐户将于 2023 年 9 月 30 日停用，将被替换为托管标识。在该日期之前，需要开始迁移 runbook 以使用托管标识。有关详细信息，请参阅从现有运行方式帐户迁移到托管标识。
延迟该功能会直接影响我们的支持负担，因为它会导致移动代理升级失败。

本文介绍如何迁移 runbook 以使用 Azure Site Recovery 的托管标识。 Azure Site Recovery 客户使用 Azure 自动化帐户来自动更新其受保护虚拟机的代理。当你通过 IaaS VM 边栏选项卡和恢复服务保管库启用复制时，Site Recovery 会创建 Azure 自动化运行方式帐户。

在 Azure 上，托管标识可为 Microsoft Entra ID 中的 Azure 资源提供标识并使用它来获取 Microsoft Entra 令牌，从而使开发人员无需管理凭据。

先决条件

在从运行方式帐户迁移到托管标识之前，请确保你具有相应的角色，以便为自动化帐户创建系统分配的标识，并在相应的恢复服务保管库中为其分配所有者角色。

托管标识的优势

下面是使用托管标识的一些好处：

凭据访问 - 无需管理凭据。
简化的身份验证 - 可以使用托管标识向支持 Microsoft Entra 身份验证的任何资源（包括你自己的应用程序）进行身份验证。
经济高效 - 使用托管标识不会产生额外成本。
双重加密 - 托管标识还用于通过存储在 Azure Key Vault 中的客户管理的密钥对数据和元数据进行加密/解密，从而提供双重加密。

注意

Azure 资源托管标识是以前称为托管服务标识 (MSI) 的服务的新名称。

从现有的运行方式帐户迁移到托管标识

配置托管标识

可通过以下方式配置托管标识：

Azure 门户
Azure CLI
Azure 资源管理器 (ARM) 模板

注意

有关迁移节奏以及运行方式帐户创建和证书续订支持时间表的详细信息，请参阅常见问题解答。

通过 Azure 门户

若要将 Azure 自动化帐户身份验证类型从运行方式迁移到托管标识身份验证，请执行以下步骤：

在 Azure 门户中，选择要为其迁移 Runbook 的恢复服务保管库。
在恢复服务保管库页的主页上，执行以下操作：
1. 在左侧窗格的“管理”下，选择“Site Recovery 基础结构”。
2. 在“对于 Azure 虚拟机”下，选择“扩展更新设置”。此页详细介绍了用于管理 Site Recovery 扩展的自动化帐户的身份验证类型。
3. 在此页上，选择“迁移”，迁移自动化帐户的身份验证类型以使用托管标识。

注意

确保已为自动化帐户关闭系统分配的托管标识，以便显示“迁移”按钮。如果帐户未迁移且“迁移”按钮未显示，请关闭自动化帐户的托管标识，然后重试。

成功迁移自动化帐户后，“扩展更新设置”页上链接帐户详细信息的身份验证类型将更新。
迁移操作完成后，请切换“允许 Site Recovery 进行管理”按钮以再次将其打开。

从运行方式成功迁移到托管标识帐户后，以下更改将反映在自动化运行方式帐户上：

为帐户启用系统分配的托管标识（如果尚未启用）。
将参与者角色权限分配给恢复服务保管库的订阅。
用于更新移动代理以使用基于托管标识的身份验证的脚本将更新。

将现有托管标识帐户链接到保管库

将现有托管标识自动化帐户链接到恢复服务保管库。请按照以下步骤操作：

为保管库启用托管标识

转到所选的自动化帐户。在“帐户设置”下，选择“标识”。
在“系统分配”下，将“状态”更改为“打开”并选择“保存”。

一个对象 ID 随即生成。现已向 Azure Active Directory 注册保管库。
返回恢复服务保管库。在左侧窗格中，选择“访问控制 (IAM)”选项。
选择“添加”>“添加角色分配”>“参与者”，打开“添加角色分配”页面。

注意

设置自动化帐户后，可以将帐户的角色从“参与者”更改为“Site Recovery 参与者”。
在“添加角色分配”页上，确保选择“托管标识”。
选择“选择成员”。在“选择托管标识”窗格中，执行以下操作：
1. 在“选择”字段中，输入托管标识自动化帐户的名称。
2. 在“托管标识”字段中，选择“所有系统分配的托管标识”。
3. 选择“选择”选项。
选择“查看 + 分配”。
导航到恢复服务保管库下的“扩展更新设置”，切换“允许 Site Recovery 进行管理”按钮以再次将其打开。