الترحيل من حساب "تشغيل باسم" موجود إلى الهويات المدارة

لمزيد من المعلومات حول إيقاع الترحيل والمخطط الزمني للدعم لإنشاء حساب Run As وتجديد الشهادة، راجع الأسئلة المتداولة.

توفر حسابات التشغيل كحسابات في Azure Automation المصادقة لإدارة الموارد المنشورة من خلال Azure Resource Manager أو نموذج التوزيع الكلاسيكي. كلما تم إنشاء حساب تشغيل باسم، يتم تسجيل تطبيق Microsoft Entra، ويتم إنشاء شهادة موقعة ذاتيا. الشهادة صالحة لمدة شهر واحد. تجديد الشهادة كل شهر قبل انتهاء صلاحيتها يبقي حساب التنفيذ التلقائي يعمل ولكنه يضيف حملا.

يمكنك الآن تكوين حسابات التنفيذ التلقائي لاستخدام هوية مدارة، وهو الخيار الافتراضي عند إنشاء حساب التنفيذ التلقائي. باستخدام هذه الميزة، يمكن لحساب التنفيذ التلقائي المصادقة على موارد Azure دون الحاجة إلى تبادل أي بيانات اعتماد. تزيل الهوية المدارة النفقات العامة لتجديد الشهادة أو إدارة كيان الخدمة.

يمكن تعيين هوية مدارة من قبل النظام أو تعيين المستخدم. عند إنشاء حساب أتمتة جديد، يتم تمكين هوية مدارة يعينها النظام.

المتطلبات الأساسية

قبل الترحيل من حساب Run As أو حساب Classic Run As إلى هوية مدارة:

1. إنشاء هوية مدارة معينة من قبل النظام أو معينة من قبل المستخدم، أو إنشاء كلا النوعين. لمعرفة المزيد حول الاختلافات بينها، راجع أنواع الهوية المدارة.

   إشعار

   • يتم دعم الهويات التي يعينها المستخدم للوظائف السحابية فقط. لا يمكن استخدام الهوية المدارة من قبل المستخدم لحساب التنفيذ التلقائي على عامل دفتر تشغيل مختلط. لاستخدام المهام المختلطة، يجب إنشاء هويات معينة من قبل النظام.
   • هناك طريقتان لاستخدام الهويات المدارة في البرامج النصية لعامل دفتر التشغيل المختلط: إما الهوية المدارة المعينة من قبل النظام لحساب التنفيذ التلقائي أو الهوية المدارة للجهاز الظاهري (VM) لجهاز Azure الظاهري الذي يعمل كعامل دفتر تشغيل مختلط.
   • لن تعمل الهوية المدارة المعينة من قبل المستخدم للجهاز الظاهري والهوية المدارة المعينة من قبل النظام للجهاز الظاهري في حساب التنفيذ التلقائي الذي تم تكوينه باستخدام الهوية المدارة لحساب التنفيذ التلقائي. عند تمكين الهوية المدارة لحساب التنفيذ التلقائي، يمكنك استخدام الهوية المدارة المعينة من قبل النظام لحساب التنفيذ التلقائي فقط وليس الهوية المدارة للجهاز الظاهري. لمزيد من المعلومات، راجع استخدام مصادقة دفتر التشغيل مع الهويات المدارة.

2. قم بتعيين نفس الدور إلى الهوية المدارة للوصول إلى موارد Azure التي تطابق حساب Run As. استخدم هذا البرنامج النصي لتمكين الهوية المعينة من قبل النظام في حساب التنفيذ التلقائي وتعيين نفس مجموعة الأذونات الموجودة في Azure Automation Run كحساب إلى الهوية المعينة من قبل النظام لحساب التنفيذ التلقائي.

   على سبيل المثال، إذا كان حساب التنفيذ التلقائي مطلوبا فقط لبدء تشغيل جهاز Azure الظاهري أو إيقافه، فيجب أن تكون الأذونات المعينة لحساب "تشغيل باسم" فقط لبدء تشغيل الجهاز الظاهري أو إيقافه. وبالمثل، قم بتعيين أذونات للقراءة فقط إذا كان دفتر التشغيل يقرأ من Azure Blob Storage. لمزيد من المعلومات، راجع إرشادات أمان Azure Automation.

3. إذا كنت تستخدم حسابات Classic Run As، فتأكد من ترحيل الموارد المنشورة من خلال نموذج التوزيع الكلاسيكي إلى Azure Resource Manager.

4. استخدم هذا البرنامج النصي لمعرفة حسابات التنفيذ التلقائي التي تستخدم حساب "تشغيل باسم". إذا كانت حسابات Azure Automation تحتوي على حساب Run As، فإنه يحتوي على دور المساهم المضمن المعين له بشكل افتراضي. يمكنك استخدام البرنامج النصي للتحقق من حسابات Azure Automation Run As وتحديد ما إذا كان تعيين الدور الخاص بهم هو التعيين الافتراضي أو إذا تم تغييره إلى تعريف دور مختلف.

5. استخدم هذا البرنامج النصي لمعرفة ما إذا كانت جميع دفاتر التشغيل في حساب Automation الخاص بك تستخدم حساب Run As.

الترحيل من حساب Automation Run As إلى هوية مدارة

للترحيل من حساب Automation Run As أو حساب Classic Run As إلى هوية مدارة لمصادقة دفتر التشغيل، اتبع الخطوات التالية:

1. تغيير التعليمات البرمجية لدفتر التشغيل لاستخدام هوية مدارة.

   نوصي باختبار الهوية المدارة للتحقق مما إذا كان دفتر التشغيل يعمل كما هو متوقع عن طريق إنشاء نسخة من دفتر تشغيل الإنتاج الخاص بك. قم بتحديث التعليمات البرمجية لدفتر التشغيل الاختباري للمصادقة باستخدام الهوية المدارة. يضمن هذا الأسلوب عدم تجاوز AzureRunAsConnection في دفتر تشغيل الإنتاج وكسر مثيل التنفيذ التلقائي الموجود. بعد التأكد من أن التعليمات البرمجية لدفتر التشغيل تعمل كما هو متوقع عبر الهوية المدارة، قم بتحديث دفتر تشغيل الإنتاج الخاص بك لاستخدام الهوية المدارة.

   لدعم الهوية المدارة Connect-AzAccount ، استخدم cmdlet. لمعرفة المزيد حول أمر cmdlet هذا، راجع Connect-AzAccount في مرجع PowerShell.

   • إذا كنت تستخدم Az وحدات نمطية، فقم بالتحديث إلى أحدث إصدار باتباع الخطوات الواردة في مقالة تحديث وحدات Azure PowerShell النمطية.
   • إذا كنت تستخدم وحدات AzureRM النمطية، فقم بالتحديث AzureRM.Profile إلى أحدث إصدار واستبدله باستخدام Add-AzureRMAccount cmdlet ب Connect-AzureRMAccount –Identity.

   لفهم التغييرات على التعليمات البرمجية لدفتر التشغيل المطلوبة قبل أن تتمكن من استخدام الهويات المدارة، استخدم نماذج البرامج النصية.

2. عند التأكد من تشغيل دفتر التشغيل بنجاح باستخدام الهويات المدارة، يمكنك حذف حساب "تشغيل باسم" بأمان إذا لم يكن هناك دفتر تشغيل آخر يستخدم هذا الحساب.

نماذج البرامج النصية

تجلب الأمثلة التالية من البرامج النصية لدفتر التشغيل موارد Resource Manager باستخدام حساب Run As (كيان الخدمة) والهوية المدارة. ستلاحظ الفرق في التعليمات البرمجية لدفتر التشغيل في بداية دفتر التشغيل، حيث يصادق على المورد.

try
{
    "Logging in to Azure..."
    Connect-AzAccount -Identity
}
catch {
    Write-Error -Message $_.Exception
    throw $_.Exception
}

#Get all Resource Manager resources from all resource groups
$ResourceGroups = Get-AzResourceGroup

foreach ($ResourceGroup in $ResourceGroups)
{    
    Write-Output ("Showing resources in resource group " + $ResourceGroup.ResourceGroupName)
    $Resources = Get-AzResource -ResourceGroupName $ResourceGroup.ResourceGroupName
    foreach ($Resource in $Resources)
    {
        Write-Output ($Resource.Name + " of type " +  $Resource.ResourceType)
    }
    Write-Output ("")
}

try
{ 

    "Logging in to Azure..." 
    Connect-AzAccount -Identity -AccountId <Client Id of myUserAssignedIdentity>
} 
catch { 
    Write-Error -Message $_.Exception 
    throw $_.Exception 
} 
#Get all Resource Manager resources from all resource groups 
$ResourceGroups = Get-AzResourceGroup 
foreach ($ResourceGroup in $ResourceGroups) 
{     
    Write-Output ("Showing resources in resource group " + $ResourceGroup.ResourceGroupName) 
    $Resources = Get-AzResource -ResourceGroupName $ResourceGroup.ResourceGroupName 
    foreach ($Resource in $Resources) 
    { 
        Write-Output ($Resource.Name + " of type " +  $Resource.ResourceType) 
    } 
    Write-Output ("") 
}

  $connectionName = "AzureRunAsConnection"
  try
  {
      # Get the connection "AzureRunAsConnection"
      $servicePrincipalConnection=Get-AutomationConnection -Name $connectionName         

      "Logging in to Azure..."
      Add-AzureRmAccount `
          -ServicePrincipal `
          -TenantId $servicePrincipalConnection.TenantId `
          -ApplicationId $servicePrincipalConnection.ApplicationId `
          -CertificateThumbprint $servicePrincipalConnection.CertificateThumbprint 
  }
  catch {
      if (!$servicePrincipalConnection)
      {
          $ErrorMessage = "Connection $connectionName not found."
          throw $ErrorMessage
      } else{
          Write-Error -Message $_.Exception
          throw $_.Exception
      }
  }

  #Get all Resource Manager resources from all resource groups
  $ResourceGroups = Get-AzureRmResourceGroup 

  foreach ($ResourceGroup in $ResourceGroups)
  {    
      Write-Output ("Showing resources in resource group " + $ResourceGroup.ResourceGroupName)
      $Resources = Find-AzureRmResource -ResourceGroupNameContains $ResourceGroup.ResourceGroupName | Select ResourceName, ResourceType
      ForEach ($Resource in $Resources)
      {
          Write-Output ($Resource.ResourceName + " of type " +  $Resource.ResourceType)
      }
      Write-Output ("")
  } 

عرض معرف العميل للهوية المعينة من قبل المستخدم

1. في حساب Automation الخاص بك، ضمن Account Settings، حدد Identity.

2. في علامة التبويب تعيين المستخدم، حدد الهوية المعينة من قبل المستخدم.

   

3. انتقل إلى Overview>Essentials، لعرض معرف العميل.

   

سجلات التشغيل الرسومية

تحقق مما إذا كان يتم استخدام حساب "تشغيل باسم" في دفاتر التشغيل الرسومية

1. تحقق من كل نشاط من الأنشطة داخل دفتر التشغيل لمعرفة ما إذا كان يستخدم حساب "تشغيل باسم" عند استدعاء أي أوامر cmdlets أو أسماء مستعارة لتسجيل الدخول، مثل Add-AzRmAccount/Connect-AzRmAccount/Add-AzAccount/Connect-AzAccount.

   

2. فحص المعلمات التي يستخدمها cmdlet.

   

   للاستخدام مع حساب Run As، يستخدم cmdlet المعلمة المعينة ServicePrincipalCertificate إلى ApplicationId. CertificateThumbprint سيكون من RunAsAccountConnection.

   

تحرير دفتر تشغيل رسومي لاستخدام هوية مدارة

يجب اختبار الهوية المدارة للتحقق من أن دفتر التشغيل الرسومي يعمل كما هو متوقع. قم بإنشاء نسخة من دفتر تشغيل الإنتاج الخاص بك لاستخدام الهوية المدارة، ثم قم بتحديث التعليمات البرمجية لدفتر التشغيل الرسومي للاختبار للمصادقة باستخدام الهوية المدارة. يمكنك إضافة هذه الوظيفة إلى دفتر تشغيل رسومي عن طريق إضافة Connect-AzAccount cmdlet.

تتضمن الخطوات التالية مثالا لإظهار كيف يمكن لدفتر التشغيل الرسومي الذي يستخدم حساب "تشغيل باسم" استخدام الهويات المدارة:

1. قم بتسجيل الدخول إلى بوابة Azure.

2. افتح حساب Automation، ثم حدد Process Automation>Runbooks.

3. حدد دفتر تشغيل. على سبيل المثال، حدد دفتر تشغيل Start Azure V2 VMs من القائمة، ثم حدد Edit أو انتقل إلى Browse Gallery وحدد Start Azure V2 VMs.

   

4. استبدل اتصال Run As الذي يستخدم AzureRunAsConnection وأصل الاتصال الذي يستخدم داخليا PowerShell Get-AutomationConnection cmdlet ب Connect-AzAccount cmdlet.

5. حدد حذف لحذف Get Run As Connection الأنشطة و Connect to Azure .

   

6. في اللوحة اليسرى، ضمن RUNBOOK CONTROL، حدد Code ثم حدد Add to canvas.

   

7. قم بتحرير نشاط التعليمات البرمجية، وقم بتعيين أي اسم تسمية مناسب، وحدد منطق نشاط Author.

   

8. في صفحة محرر التعليمات البرمجية، أدخل التعليمات البرمجية PowerShell التالية وحدد موافق.

   try 
   { 
      Write-Output ("Logging in to Azure...") 
      Connect-AzAccount -Identity 
   } 
   catch { 
      Write-Error -Message $_.Exception 
      throw $_.Exception 
   } 
   

9. قم بتوصيل النشاط الجديد بالأنشطة التي تم توصيلها بواسطة الاتصال ب Azure سابقا واحفظ دفتر التشغيل.

   

على سبيل المثال، في دفتر التشغيل Start Azure V2 VMs في معرض دفتر التشغيل، يجب استبدال Get Run As Connection الأنشطة و Connect to Azure بنشاط التعليمات البرمجية الذي يستخدم Connect-AzAccount cmdlet كما هو موضح أعلاه. لمزيد من المعلومات، راجع نموذج اسم دفتر التشغيل AzureAutomationTutorialWithIdentityGraphical الذي تم إنشاؤه باستخدام حساب التنفيذ التلقائي.

الخطوات التالية

• مراجعة الأسئلة المتداولة للترحيل إلى الهويات المدارة

• إذا لم تنته دفاتر التشغيل الخاصة بك بنجاح، فراجع استكشاف مشكلات الهوية المدارة في Azure Automation وإصلاحها.

• لمعرفة المزيد حول الهويات المدارة المعينة من قبل النظام، راجع استخدام هوية مدارة معينة من قبل النظام لحساب Azure Automation.

• لمعرفة المزيد حول الهويات المدارة المعينة من قبل المستخدم، راجع استخدام هوية مدارة معينة من قبل المستخدم لحساب Azure Automation.

• للحصول على معلومات حول أمان حساب Azure Automation، راجع نظرة عامة على مصادقة حساب Azure Automation.