Влияние многофакторной проверки подлинности на Azure PowerShell в сценариях автоматизации

В этой статье описывается, как многофакторная проверка подлинности (MFA) влияет на задачи автоматизации, использующие удостоверения пользователей Microsoft Entra, и предоставляет рекомендации по альтернативным подходам к непрерывной автоматизации.

Требования MFA препятствуют использованию удостоверений пользователей Microsoft Entra для проверки подлинности в сценариях автоматизации. Организации должны переключиться на методы проверки подлинности, предназначенные для автоматизации, такие как управляемые удостоверения или сервисные принципы, которые поддерживают автоматизацию без взаимодействия с пользователем.

Ограничения идентификаций пользователей с MFA в автоматизации

• интерактивная проверка подлинности: MFA активируется во время интерактивного входа при использовании удостоверения пользователя Microsoft Entra. Для сценариев автоматизации, основанных на удостоверении пользователя, MFA нарушает процесс, так как для него требуются дополнительные шаги проверки. Например, приложение authenticator, телефонный звонок и т. д., которое невозможно автоматизировать. Эта проверка предотвращает выполнение автоматизации, если проверка подлинности не обрабатывается в неинтерактивном режиме, например, с использованием управляемого удостоверения или учетной записи службы.

• Сценарные сбои аутентификации. В сценариях автоматизации, таких как автоматическое выполнение скриптов Azure PowerShell, учетная запись пользователя с поддержкой MFA приводит к сбою сценария при попытке проверки подлинности. Так как многофакторная проверка подлинности требует взаимодействия с пользователем, она несовместима с неинтерактивными скриптами. Это означает, что необходимо переключиться на управляемое удостоверение или служебный принципал, оба из которых используют неинтерактивную аутентификацию.

• вопросы безопасности. Хотя MFA добавляет дополнительный уровень безопасности, он может ограничить гибкость автоматизации, особенно в рабочих средах, где автоматизация должна выполняться без ручного вмешательства. Переход на управляемые удостоверения, субъекты-службы или федеративные удостоверения, предназначенные для автоматизации и не требующие многофакторной проверки подлинности, более практичен и безопасен в таких средах.

Сценарии, требующие обновлений

В следующем списке приведены примеры сценариев, в которых клиенты могут использовать удостоверение пользователя Microsoft Entra для автоматизации с помощью Azure PowerShell. Этот список не является исчерпывающим для всех сценариев.

• Персонализированные или специфические разрешения: задачи автоматизации, которые требуют разрешений конкретного пользователя, например, действия, связанные с ролью отдельного пользователя или определенными атрибутами ID Microsoft Entra.

• Поток предоставления токена в OAuth 2.0 ROPC: Поток предоставления учетных данных владельца ресурса OAuth 2.0 (ROPC) несовместим с многофакторной аутентификацией (MFA). Сценарии автоматизации, использующие ROPC для проверки подлинности, терпят неудачу при необходимости многофакторной аутентификации (MFA), так как она не может завершаться в неинтерактивном потоке.

• Доступ к ресурсам, внешним в Azure: сценарии автоматизации, требующие доступа к ресурсам Microsoft 365. Например, SharePoint, Exchange или другие облачные службы, привязанные к учетной записи Майкрософт отдельного пользователя.

• Учетные записи служб, синхронизированные из Active Directory в Microsoft Entra ID: организации, использующие учетные записи служб, синхронизированные из Active Directory (AD) в Microsoft Entra ID. Важно отметить, что эти учетные записи также подвержены требованиям MFA и вызывают те же проблемы, что и учетные данные других пользователей.

• Контекст пользователя для аудита или соответствия требованиям: случаи, когда действия должны быть подлежащими аудиту на уровне отдельного пользователя по соображениям соблюдения нормативных требований.

• простая конфигурация для автоматизации с небольшим или низким уровнем риска: для задач автоматизации с небольшими или низкими рисками. Например, сценарий, который управляет несколькими ресурсами.

• автоматизация, управляемая пользователями, в непроизводственных средах: если автоматизация предназначена для личных или непроизводственных сред, где отдельный пользователь отвечает за задачу.

• автоматизации в собственной подписке Azure пользователя. Если пользователю необходимо автоматизировать задачи в собственной подписке Azure, где у пользователя уже есть достаточные разрешения.

Необходимо переключиться на управляемую идентичность или служебный принципал для сценариев автоматизации из-за обязательного применения MFA для идентичностей пользователей Microsoft Entra.

Начало работы

Чтобы перенести скрипты Azure PowerShell с использования Connect-AzAccount с учетной записью и паролем пользователя Microsoft Entra ID, выполните следующие действия.

1. Определите, какой идентификатор рабочей нагрузки лучше всего подходит для вас.

   • Субъект-служба
   • Управляемая идентификация
   • Федеративная идентификация

2. Необходимо получить необходимые разрешения для создания нового удостоверения личности для рабочей нагрузки или обратиться к администратору Azure за помощью.

3. Создайте идентификатор рабочей нагрузки.

4. Назначьте роли новому удостоверению. Дополнительные сведения о назначениях ролей Azure см. в шагах по назначению роли Azure. Сведения о назначении ролей с помощью Azure PowerShell см. в статье Назначение ролей Azure с помощьюAzure PowerShell.

5. Обновите скрипты Azure PowerShell, чтобы войти с помощью учетной записи службы или управляемого удостоверения.

Основные понятия субъекта-службы

• Нечеловеческая идентичность, которая может получить доступ к нескольким ресурсам Azure. Субъект-служба используется многими ресурсами Azure и не привязан к одному ресурсу Azure.
• При необходимости можно изменять свойства и учетные данные служебного принципала.
• Идеально подходит для приложений, которым требуется доступ к нескольким ресурсам Azure в разных подписках.
• Считается более гибким, чем управляемые удостоверения, но менее безопасными.
• Часто называются "объектом приложения" в клиенте Azure или каталоге Идентификатора Microsoft Entra.

Дополнительные сведения о служебных принципалах см. по следующей ссылке:

• Приложения & учетные данные службы в Microsoft Entra ID
• Защита учетных записей служб в системе идентификации Microsoft Entra

Чтобы узнать, как войти в Azure с помощью Azure PowerShell и учетной записи службы, см. в статье Вход в Azure с помощью учетной записи службы с помощью Azure PowerShell

Основные понятия ключа управляемого удостоверения

• Привязан к определенному ресурсу Azure, позволяющему одному ресурсу получить доступ к другим приложениям Azure.
• Учетные данные не видны вам. Azure обрабатывает секреты, учетные данные, сертификаты и ключи.
• Идеально подходит для ресурсов Azure, которым требуется доступ к другим ресурсам Azure в рамках одной подписки.
• Считается менее гибким, чем субъекты-службы, но более безопасными.
• Существует два типа управляемых удостоверений:
  • назначенная системой: этот тип представляет собой ссылку на доступ между двумя ресурсами Azure (один-к-одному, 1:1).
  • назначено пользователем: этот тип имеет отношение 1:M (один ко многим), где управляемая идентификация может получить доступ к нескольким ресурсам Azure.

Дополнительные сведения об управляемых удостоверениях см. в статье Управляемые удостоверения для ресурсов Azure.

Сведения о входе в Azure с помощью Azure PowerShell и управляемого удостоверения см. в статье Вход в Azure с помощью управляемого удостоверения с помощью Azure PowerShell

Основные понятия ключа федеративного удостоверения

• Федеративное удостоверение позволяет принципалам-служб (регистрации приложений) и управляемым удостоверениям, назначенным пользователем, доверять токенам от внешнего поставщика удостоверений (IdP), например, в случае использования GitHub или Google.
• После создания отношения доверия внешние программные рабочие нагрузки обменивают доверенные токены из внешнего поставщика удостоверений на токены доступа из платформы удостоверений Microsoft.
• Ваша рабочая нагрузка вашего программного обеспечения использует этот токен доступа для получения доступа к защищённым ресурсам Microsoft Entra, к которым она имеет доступ.
• Федеративные идентичности часто являются лучшим решением для следующих сценариев:
  • Рабочая нагрузка, выполняемая в любом кластере Kubernetes
  • Действия GitHub
  • Нагрузка, выполняемая на вычислительных платформах Azure с использованием удостоверений приложений
  • Google Cloud
  • Amazon Web Services (AWS)
  • Рабочая нагрузка, выполняющаяся на вычислительных платформах за пределами Azure

Дополнительные сведения о федеративных удостоверениях см. в следующем разделе:

• Что такое федерация удостоверений рабочей нагрузки?
• Перейти на многофакторную аутентификацию Microsoft Entra с помощью федераций

Дополнительные сведения о многофакторной проверке подлинности

Сайт документации по идентификаторам Microsoft Entra предлагает дополнительные сведения о MFA.

• План обязательной многофакторной проверки подлинности (MFA) Microsoft Entra
• Использование утилиты миграции сервера MFA для перехода на многофакторную аутентификацию Microsoft Entra
• Рекомендации по развертыванию для многофакторной проверки подлинности Microsoft Entra
• Миграция с сервера MFA на многофакторную проверку подлинности Microsoft Entra

См. также

• Идентификации рабочих нагрузок, другие машинные идентификации и идентификации человека.
• Сокращение использования персональных токенов доступа (PAT) в Azure DevOps
• Улучшите уровень безопасности подключений службы Azure с помощью AzurePipelinesCredential