Azure 自動化帳戶驗證概觀

Azure 自動化可讓您針對 Azure、內部部署以及其他雲端提供者 (例如 Amazon Web Services (AWS)) 的資源自動執行工作。 您可以使用 Runbook 將工作自動化，如果您有要在 Azure 外部管理的商務程序或作業程序，則可以使用混合式 Runbook 背景工作角色將工作自動化。 在上述任一環境中工作需要有權限，才能以最低所需權限安全地存取資源。

此文章將介紹 Azure 自動化支援的各種驗證案例，並說明如何根據您要管理的一或多個環境來開始使用。

自動化帳戶

當您第一次啟動 Azure 自動化時，您必須建立至少一個自動化帳戶。 自動化帳戶可讓您將您的自動化資源、Runbook、資產和設定，與其他帳戶中的資源區隔開來。 您可以使用自動化帳戶將資源分成個別的邏輯環境或委派責任。 例如，您可能會針對開發、生產和內部部署環境各自使用一個帳戶。

Azure 自動化帳戶與 Microsoft 帳戶或您在 Azure 訂用帳戶中建立的帳戶不同。 如需建立自動化帳戶的簡介，請參閱建立自動化帳戶。

自動化資源

每個自動化帳戶的自動化資源都會與單一 Azure 區域相關聯，但該帳戶可管理 Azure 訂用帳戶中的所有資源。 在不同區域中建立自動化帳戶的主要原因是，如果您有需要將資料和資源隔離到特定區域的原則。

在 Azure 自動化中使用 Azure Resource Manager 和 PowerShell Cmdlet 針對資源所執行的全部工作，都必須使用 Microsoft Entra 組織身分識別的認證型驗證向 Azure 進行驗證。

受控身分識別

來自 Microsoft Entra ID 的受控識別可讓您的 Runbook 輕鬆存取其他受 Microsoft Entra 保護的資源。 身分識別由 Azure 平台負責管理，因此您不需要佈建或輪替任何密碼。 如需有關 Microsoft Entra ID 中受控識別的詳細資訊，請參閱 Azure 資源的受控識別。

受控識別是在您的 Runbook 進行驗證的建議方式，而且是自動化帳戶的預設驗證方法。

以下是使用受控識別的一些優點：

• 不需任何額外成本，即可使用受控識別。

• 您可以從 Runbook 使用自動化帳戶的受控識別來存取資源，而不需要建立憑證、連線等。

自動化帳戶可使用兩種受控識別來進行驗證：

• 系統指派的身分識別會繫結至您的應用程式，如果您的應用程式已刪除，則會被刪除。 應用程式只能有一個系統指派的身分識別。

• 使用者指派的身分識別是一項獨立 Azure 資源，可指派給您的應用程式。 應用程式可以有多個使用者指派的身分識別。

附註

只有雲端作業才支援使用者指派的身分識別。 若要深入了解不同的受控識別，請參閱管理身分識別類型。

如需使用受控識別的詳細資訊，請參閱為 Azure 自動化啟用受控識別。

訂用帳戶權限

您需要 Microsoft.Authorization/*/Write 權限。 此權限可透過下列其中一個 Azure 內建角色的成員資格來取得：

• 擁有者
• 使用者存取系統管理員

若要深入了解傳統訂用帳戶權限，請參閱 Azure 傳統訂用帳戶管理員。

Microsoft Entra 權限

若要更新服務主體，您必須是下列其中一個 Microsoft Entra 內建角色的成員：

• 應用程式系統管理員
• 應用程式開發人員

成員資格可以指派給目錄層級上租用戶中的所有使用者，這是預設行為。 您可以向目錄層級上的任一角色授與成員資格。 如需詳細資訊，請參閱誰有權將應用程式加入我的 Microsoft Entra 執行個體？。

自動化帳戶權限

若要更新自動化帳戶，您必須是下列其中一個自動化帳戶角色的成員：

• 擁有者
• 參與者

若要深入了解 Azure Resource Manager 部署模型和傳統部署模型，請參閱 Resource Manager 與傳統部署。

附註

Azure 雲端方案提供者 (CSP) 訂用帳戶僅支援 Azure Resource Manager 模型。 非 Azure Resource Manager 服務不在方案中。 若要深入了解 CSP 訂用帳戶，請參閱 CSP 訂用帳戶中可用的服務。

Runbook 驗證搭配混合式 Runbook 背景工作角色

在資料中心的混合式 Runbook 背景工作角色上或針對其他雲端環境 (例如 AWS) 中的運算服務所執行的 Runbook，不能使用向 Azure 資源進行驗證的 Runbook 通常會使用的相同方法。 這是因為這些資源是在 Azure 外執行，因此需要在自動化中定義自己的安全性認證才能向它們要在本機存取的資源進行驗證。 如需 Runbook 驗證搭配 Runbook 背景工作角色的詳細資訊，請參閱在混合式 Runbook 背景工作角色上執行 Runbook。

對於在 Azure VM 上使用混合式 Runbook 背景工作角色的 Runbook，您可以使用 Runbook 驗證搭配受控識別來向 Azure 資源進行驗證。

後續步驟

• 若要從 Azure 入口網站建立自動化帳戶，請參閱建立獨立 Azure 自動化帳戶。
• 如果您想要使用範本來建立帳戶，請參閱使用 Azure Resource Manager 範本建立自動化帳戶。
• 如需使用 Amazon Web Services 的驗證，請參閱使用 Amazon Web Services 驗證 Runbook。
• 有關哪些 Azure 服務支援適用於 Azure 資源的受控識別功能，請參閱這些服務支援適用於 Azure 資源的受控識別。