停用 Azure 自動化中的本機驗證
重要
- 本機驗證停用時,更新管理修補會無法運作。
- 停用本機驗證時,會影響使用 Webhook、自動化 Desired State Configuration 和代理程式型混合式 Runbook 背景工作角色啟動的 Runbook。 如需詳細資訊,請參閱可用的替代方案。
Azure 自動化提供所有自動化服務公用端點的 Microsoft Entra 驗證支援。 這個重要的安全性增強功能會移除憑證相依性,並將控制權交給組織以停用本機驗證方法。 需要透過 Microsoft Entra ID 集中控制和管理身分識別和資源認證時,這項功能可讓您順暢地整合。
Azure 自動化在自動化帳戶層級使用 Azure 原則設定 Azure 自動化帳戶以停用本機驗證,提供「停用本機驗證」的選用功能。 根據預設,帳戶會將此旗標設定為 false,因此您可以同時使用本機驗證和 Microsoft Entra 驗證。 如果您選擇停用本機驗證,自動化服務只會接受 Microsoft Entra ID 型驗證。
在 Azure 入口網站中,如果停用驗證,您可能會在所選自動化帳戶的登陸頁面上收到警告訊息。 若要確認是否已啟用本機驗證原則,請使用 PowerShell Cmdlet Get-AzAutomationAccount 並檢查 DisableLocalAuth 屬性。 true 值表示已停用本機驗證。
停用本地驗證不會立即生效。 允許服務的幾分鐘來封鎖未來的驗證要求。
注意
- 目前不提供新版 API (2021-06-22) 或旗標
DisableLocalAuth的 PowerShell 支援。 不過您可以使用 Rest-API 搭配此 API 版本來更新旗標。
重新啟用本機驗證
若要重新啟用本機驗證,請使用 Set-AzAutomationAccount 參數執行 PowerShell Cmdlet -DisableLocalAuth false。 等候幾分鐘,待服務接受變更以允許本機驗證要求。
相容性
下表說明因停用本機驗證而無法運作的行為或功能。
| 案例 | 替代函式 |
|---|---|
| 使用 Webhook 來啟動 Runbook。 | 透過使用 Microsoft Entra 驗證的 Azure Resource Manager 範本啟動 Runbook 作業。 |
| 使用自動化 Desired State Configuration。 | 使用 Azure 原則來賓設定。 |
| 使用代理程式型混合式 Runbook 背景工作角色。 | 使用擴充功能型混合式 Runbook 背景工作角色。 |
| 使用 Azure 更新管理員 | 使用 Azure 更新管理員 |