Anteckning
Åtkomst till den här sidan kräver auktorisering. Du kan prova att logga in eller ändra kataloger.
Åtkomst till den här sidan kräver auktorisering. Du kan prova att ändra kataloger.
Med Azure Automation kan du automatisera åtgärder mot resurser i Azure, lokalt och med andra molnproviders, till exempel Amazon Web Services (AWS). Du kan använda runbooks för att automatisera dina uppgifter eller en Hybrid Runbook Worker om du har affärs- eller driftsprocesser att hantera utanför Azure. Att arbeta i någon av dessa miljöer kräver behörigheter för att på ett säkert sätt komma åt resurserna med de minimala rättigheter som krävs.
Den här artikeln beskriver autentiseringsscenarier som stöds av Azure Automation och beskriver hur du kommer igång baserat på den miljö eller de miljöer som du behöver hantera.
Automation-konto
När du startar Azure Automation för första gången måste du skapa minst ett Automation-konto. Med Automation-konton kan du isolera dina Automation-resurser, runbooks, tillgångar och konfigurationer från andra kontons resurser. Du kan använda Automation-konton för att separera resurser i separata logiska miljöer eller delegerade ansvarsområden. Du kan exempelvis använda ett konto för utveckling, ett annat för produktion och ett annat för din lokala miljö.
Ett Azure Automation-konto skiljer sig från ditt eller dina Microsoft-konton som skapats i Azure-prenumerationen. En introduktion till hur du skapar ett Automation-konto finns i Skapa ett Automation-konto.
Automation-resurser
Automation-resurserna för varje Automation-konto är associerade med en enda Azure-region, men kontot kan hantera alla resurser i din Azure-prenumeration. Den främsta anledningen till att skapa Automation-konton i olika regioner är om du har principer som kräver att data och resurser isoleras till en viss region.
Alla uppgifter som du skapar mot resurser genom att använda Azure Resource Manager och PowerShell-cmdletar i Azure Automation måste autentisera mot Azure med hjälp av Microsoft Entra organisationsidentitets-autentisering baserad på autentiseringsuppgifter.
Hanterade identiteter
En hanterad identitet från Microsoft Entra ID gör det möjligt för din runbook att enkelt komma åt andra resurser som skyddas av Microsoft Entra. Identiteten hanteras av Azure-plattformen och du behöver inte etablera eller rotera några hemligheter. Mer information om hanterade identiteter i Microsoft Entra-ID finns i Hanterade identiteter för Azure-resurser.
Hanterade identiteter är det rekommenderade sättet att autentisera i dina runbooks och är standardautentiseringsmetoden för ditt Automation-konto.
Några av fördelarna med att använda hanterade identiteter:
Hanterade identiteter kan användas utan extra kostnad.
Du kan komma åt resurser med hjälp av automationskontots hanterade identitet från en runbook utan att skapa certifikat, anslutningar osv.
Ett Automation-konto kan autentisera med två typer av hanterade identiteter:
En systemtilldelad identitet är kopplad till ditt program och tas bort om appen tas bort. En app kan bara ha en systemtilldelad identitet.
En användartilldelad identitet är en fristående Azure-resurs som kan tilldelas till din app. En app kan ha flera användartilldelade identiteter.
Kommentar
Användartilldelade identiteter stöds endast för molnjobb. Mer information om de olika hanterade identiteterna finns i Hantera identitetstyper.
Mer information om hur du använder hanterade identiteter finns i Aktivera hanterad identitet för Azure Automation.
Prenumerationsbehörigheter
Du behöver behörigheten Microsoft.Authorization/*/Write. Den här behörigheten erhålls genom medlemskap i någon av följande inbyggda Azure-roller:
Mer information om klassiska prenumerationsbehörigheter finns i Klassiska Azure-prenumerationsadministratörer.
Microsoft Entra-behörigheter
För att förnya tjänsthuvudnamnet måste du vara medlem i någon av följande inbyggda roller i Microsoft Entra:
Medlemskap kan tilldelas till ALLA användare i klientorganisationen på katalognivå, vilket är standardbeteendet. Du kan bevilja medlemskap till endera rollen på katalognivå. Mer information finns i Vem har behörighet att lägga till program i min Microsoft Entra-instans?.
Behörigheter för Automation-konto
För att uppdatera Automation-kontot måste du vara medlem i någon av följande Automation-kontoroller:
Mer information om Azure Resource Manager och klassiska distributionsmodeller finns i Resource Manager och klassisk distribution.
Kommentar
Azure Molnlösningsleverantör-prenumerationer (CSP) stöder endast Azure Resource Manager-modellen. Icke-Azure-Resource Manager tjänster är inte tillgängliga i programmet. Mer information om CSP-prenumerationer finns i Tillgängliga tjänster i CSP-prenumerationer.
Runbook-autentisering med Hybrid Runbook Worker
Runbooks som körs på en Hybrid Runbook Worker i ditt datacenter eller mot databehandlingstjänster i andra molnmiljöer som AWS, kan inte använda samma metod som vanligtvis används för runbooks som autentiserar till Azure-resurser. Detta beror på att resurserna körs utanför Azure och därför behöver sina egna säkerhetsuppgifter definierade i Automation för att autentisera sig mot resurser som de ska komma åt lokalt. Mer information om runbook-autentisering med runbook-medarbetare finns i Kör runbooks på en hybrid runbook-medarbetare.
För runbooks som använder Hybrid Runbook Workers på virtuella Azure-datorer kan du använda runbook-autentisering med hanterade identiteter för att autentisera till dina Azure-resurser.
Nästa steg
- Information om hur du skapar ett Automation-konto från Azure Portal finns i Skapa ett fristående Azure Automation-konto.
- Om du föredrar att skapa ditt konto med hjälp av en mall kan du läsa Skapa ett Automation-konto med hjälp av en Azure Resource Manager-mall.
- Information om autentisering med Amazon Web Services finns i Autentisera runbooks med Amazon Web Services.
- En lista över Azure-tjänster som stöder funktionen Hanterade identiteter för Azure-resurser finns i Tjänster som stöder hanterade identiteter för Azure-resurser.