Azure 自動化帳戶驗證概觀

重要

Azure 自動化執行身分帳戶，包括傳統執行身分帳戶已在 2023 年 9 月 30 日淘汰，並以受控識別取代。 您無法再透過 Azure 入口網站建立或更新執行身分帳戶。 如需詳細資訊，請參閱 從現有的執行身分帳戶移轉至受控識別。

Azure 自動化可讓您針對 Azure、內部部署以及其他雲端提供者 (例如 Amazon Web Services (AWS)) 的資源自動執行工作。 您可以使用 Runbook 將工作自動化，如果您有要在 Azure 外部管理的商務程序或作業程序，則可以使用混合式 Runbook 背景工作角色將工作自動化。 在上述任一環境中工作需要有權限，才能以最低所需權限安全地存取資源。

此文章將介紹 Azure 自動化支援的各種驗證案例，並說明如何根據您要管理的一或多個環境來開始使用。

自動化帳戶

當您第一次啟動 Azure 自動化時，您必須建立至少一個自動化帳戶。 自動化帳戶可讓您將您的自動化資源、Runbook、資產和設定，與其他帳戶中的資源區隔開來。 您可以使用自動化帳戶將資源分成個別的邏輯環境或委派責任。 例如，您可能會針對開發、生產和內部部署環境各自使用一個帳戶。 或者，您也可以指定專門的自動化帳戶，使用更新管理來管理所有機器的作業系統更新。

Azure 自動化帳戶與 Microsoft 帳戶或您在 Azure 訂用帳戶中建立的帳戶不同。 如需建立自動化帳戶的簡介，請參閱建立自動化帳戶。

自動化資源

每個自動化帳戶的自動化資源都會與單一 Azure 區域相關聯，但該帳戶可管理 Azure 訂用帳戶中的所有資源。 在不同區域中建立自動化帳戶的主要原因是，如果您有需要將資料和資源隔離到特定區域的原則。

在 Azure 自動化中使用 Azure Resource Manager 和 PowerShell Cmdlet 針對資源所執行的全部工作，都必須使用 Microsoft Entra 組織身分識別的認證型驗證向 Azure 進行驗證。

受控識別

Microsoft Entra ID 中的受控識別可讓您的 Runbook 輕鬆存取其他受 Microsoft Entra 保護的資源。 身分識別由 Azure 平台負責管理，因此您不需要佈建或輪替任何密碼。 如需有關 Microsoft Entra ID 中受控識別的詳細資訊，請參閱適用於 Azure 資源的受控識別。

受控識別是在 Runbook 中進行驗證的建議方式，也是自動化帳戶的預設驗證方法。

以下為使用受控識別的一些優點：

• 使用受控識別 (而不是自動化執行身分帳戶) 可簡化管理。

• 不需任何額外成本，即可使用受控識別。

• 您不需要在 Runbook 程式碼中指定執行身分連線物件。 您可以從 Runbook 使用自動化帳戶的受控識別來存取資源，而不需要建立憑證、連線等。

自動化帳戶可以使用兩種類型的受控識別進行驗證：

• 系統指派的身分識別會繫結至您的應用程式，如果您的應用程式已刪除，則會被刪除。 應用程式只能有一個系統指派的身分識別。

• 使用者指派的身分識別是一項獨立 Azure 資源，可指派給您的應用程式。 應用程式可以有多個使用者指派的身分識別。

注意

僅雲端工作支援使用者指派的身分識別。 若要深入了解不同的受控識別，請參閱管理身分識別類型。

如需使用受控識別的詳細資訊，請參閱為 Azure 自動化啟用受控識別。

訂用帳戶權限

您需要 Microsoft.Authorization/*/Write 權限。 此權限可透過下列其中一個 Azure 內建角色的成員資格來取得：

• 擁有者
• 使用者存取系統管理員

若要深入了解傳統訂用帳戶權限，請參閱 Azure 傳統訂用帳戶管理員。

Microsoft Entra 權限

若要更新服務主體，您必須是下列其中一個 Microsoft Entra 內建角色的成員：

• 應用程式系統管理員
• 應用程式開發人員

成員資格可以指派給目錄層級上租用戶中的所有使用者，這是預設行為。 您可以向目錄層級上的任一角色授與成員資格。 如需詳細資訊，請參閱誰有權將應用程式加入我的 Microsoft Entra 執行個體？。

自動化帳戶權限

若要更新自動化帳戶，您必須是下列其中一個自動化帳戶角色的成員：

• 擁有者
• 參與者

若要深入了解 Azure Resource Manager 部署模型和傳統部署模型，請參閱 Resource Manager 與傳統部署。

注意

Azure 雲端方案提供者 (CSP) 訂用帳戶僅支援 Azure Resource Manager 模型。 非 Azure Resource Manager 服務不在方案中。 當您使用 CSP 訂用帳戶時，並不會建立 Azure 傳統執行身分帳戶，但會建立 Azure 執行身分帳戶。 若要深入了解 CSP 訂用帳戶，請參閱 CSP 訂用帳戶中可用的服務。

角色型存取控制

Azure Resource Manager 提供了角色型存取控制來對 Microsoft Entra 使用者帳戶和執行身分帳戶授與允許的動作，並驗證該服務主體。 若要取得有助於開發自動化權限管理模型的進一步資訊，請閱讀 Azure 自動化中的角色型存取控制一文。

如果您為了安全性而嚴格控制資源群組中的權限指派，則必須將執行身分帳戶成員資格指派給資源群組中的參與者角色。

注意

建議您不要使用 Log Analytics 參與者角色來執行自動化作業。 相反地，請建立Azure 自動化參與者自訂角色，並使用此角色來進行與自動化帳戶相關的動作。

Runbook 驗證搭配混合式 Runbook 背景工作角色

在資料中心的混合式 Runbook 背景工作角色上或針對其他雲端環境 (例如 AWS) 中的運算服務所執行的 Runbook，不能使用向 Azure 資源進行驗證的 Runbook 通常會使用的相同方法。 這是因為這些資源是在 Azure 外執行，因此需要在自動化中定義自己的安全性認證才能向它們要在本機存取的資源進行驗證。 如需 Runbook 驗證搭配 Runbook 背景工作角色的詳細資訊，請參閱在混合式 Runbook 背景工作角色上執行 Runbook。

對於在 Azure VM 上使用混合式 Runbook 背景工作角色的 Runbook，您可以使用 Runbook 驗證搭配受控識別來向 Azure 資源進行驗證，而非使用執行身分帳戶。

下一步

• 若要從 Azure 入口網站建立自動化帳戶，請參閱建立獨立 Azure 自動化帳戶。
• 如果您想要使用範本來建立帳戶，請參閱使用 Azure Resource Manager 範本建立自動化帳戶。
• 如需使用 Amazon Web Services 的驗證，請參閱使用 Amazon Web Services 驗證 Runbook。
• 有關哪些 Azure 服務支援適用於 Azure 資源的受控識別功能，請參閱這些服務支援適用於 Azure 資源的受控識別。