De impact van meervoudige verificatie in Azure PowerShell in automatiseringsscenario's

In dit artikel wordt beschreven hoe meervoudige verificatie (MFA) van invloed is op automatiseringstaken die gebruikmaken van Microsoft Entra-gebruikersidentiteiten en richtlijnen biedt voor alternatieve benaderingen voor ononderbroken automatisering.

MFA-vereisten voorkomen dat u Microsoft Entra-gebruikersidentiteiten gebruikt voor verificatie in automatiseringsscenario's. Organisaties moeten overschakelen naar verificatiemethoden die zijn ontworpen voor automatisering, zoals beheerde identiteiten of service-principals, die niet-interactieve automatiseringsgebruiksscenario's ondersteunen.

Beperkingen van gebruikersidentiteiten met MFA in automatisering

• interactieve verificatie: MFA wordt geactiveerd tijdens interactieve aanmeldingen bij het gebruik van een Microsoft Entra-gebruikersidentiteit. Voor automatiseringsscripts die afhankelijk zijn van een gebruikersidentiteit, verstoort MFA het proces omdat hiervoor extra verificatiestappen zijn vereist. Verificator-app, telefoongesprek, enzovoort, die u niet kunt automatiseren. Deze verificatie voorkomt dat automatisering wordt uitgevoerd, tenzij verificatie op een niet-interactieve manier wordt verwerkt, zoals met een beheerde identiteit of service-principal.

• mislukte aanmeldingen met scripts: in automatiseringsscenario's zoals het uitvoeren van Azure PowerShell-scripts zonder toezicht, zorgt een door MFA ingeschakelde gebruikersidentiteit ervoor dat het script mislukt bij het verifiëren. Omdat MFA gebruikersinteractie vereist, is deze niet compatibel met niet-interactieve scripts. Dit betekent dat u moet overschakelen naar een beheerde identiteit of service-principal, die beide niet-interactieve verificatie gebruiken.

• Beveiligingsoverwegingen: Hoewel MFA een extra beveiligingslaag toevoegt, kan dit automatiseringsflexiteit beperken, met name in productieomgevingen waar automatisering zonder handmatige tussenkomst moet worden uitgevoerd. Het verplaatsen naar beheerde identiteiten, service-principals of federatieve identiteiten, die zijn ontworpen voor automatiseringsdoeleinden en geen MFA vereisen, is praktischer en veiliger in dergelijke omgevingen.

Scenario's waarvoor updates zijn vereist

De volgende lijst bevat voorbeeldscenario's waarin klanten een Microsoft Entra-gebruikersidentiteit kunnen gebruiken voor automatisering met Azure PowerShell. Deze lijst is niet volledig voor alle scenario's.

• gepersonaliseerde of specifieke machtigingen: Automatiseringstaken waarvoor gebruikersspecifieke machtigingen zijn vereist, zoals acties die zijn gekoppeld aan de rol van een persoon of specifieke Microsoft Entra ID-kenmerken.

• OAuth 2.0 ROPC-stroom: de OAuth 2.0 Resource Owner Password Credentials (ROPC) token-uitgiftestroom is niet compatibel met MFA (Meervoudige Factor Authenticatie). Automatiseringsscenario's waarbij ROPC wordt gebruikt voor verificatie mislukken wanneer MFA is vereist, omdat MFA niet kan worden voltooid in een niet-interactieve stroom.

• Toegang tot resources buiten Azure: Automation-scenario's waarvoor toegang tot Microsoft 365-resources is vereist. Bijvoorbeeld SharePoint, Exchange of andere cloudservices die zijn gekoppeld aan het Microsoft-account van een afzonderlijke gebruiker.

• serviceaccounts die vanuit Active Directory zijn gesynchroniseerd met Microsoft Entra ID: organisaties die serviceaccounts gebruiken die vanuit Active Directory (AD) zijn gesynchroniseerd met Microsoft Entra-id. Het is belangrijk te weten dat deze accounts ook onderhevig zijn aan MFA-vereisten en dezelfde problemen als andere gebruikersidentiteiten activeren.

• gebruikerscontext voor controle of naleving: gevallen waarin de acties moeten worden gecontroleerd op individueel gebruikersniveau om nalevingsredenen.

• Eenvoudige configuratie voor automatisering met kleine of lage risico's: voor automatiseringstaken met kleine of lage risico's. Een script dat bijvoorbeeld enkele resources beheert.

• door de gebruiker gestuurde automatisering in niet-productieomgevingen: als de automatisering is bedoeld voor persoonlijke of niet-productieomgevingen waarbij een afzonderlijke gebruiker verantwoordelijk is voor een taak.

• Automation binnen het eigen Azure-abonnement van een gebruiker: als een gebruiker taken in zijn eigen Azure-abonnement moet automatiseren, waarbij de gebruiker al over voldoende machtigingen beschikt.

Overschakelen naar een beheerde identiteit of service-principal is vereist voor automatiseringsscenario's vanwege verplichte MFA-afdwinging voor Microsoft Entra-gebruikersidentiteiten.

Hoe te beginnen

Voer de volgende stappen uit om uw Azure PowerShell-scripts te migreren van het gebruik van Connect-AzAccount met een menselijk gebruikersaccount en -wachtwoord van Microsoft Entra ID:

1. Bepaal welke workloadidentiteit het beste bij jou past.

   • Service principal
   • Beheerde identiteit
   • Federatieve identiteit

2. Verkrijg de benodigde machtigingen voor het maken van een nieuwe workloadidentiteit of neem contact op met uw Azure-beheerder voor hulp.

3. Maak de workload-identiteit.

4. Wijs rollen toe aan de nieuwe identiteit. Zie Stappen voor het toewijzen van een Azure-rolvoor meer informatie over Azure-roltoewijzingen. Zie Azure-rollen toewijzen met behulp van Azure PowerShellom rollen toe te wijzen met behulp van Azure PowerShell.

5. Werk uw Azure PowerShell-scripts bij om u aan te melden met een service-principal of beheerde identiteit.

Belangrijke concepten van service-principal

• Een niet-menselijke identiteit die toegang heeft tot meerdere Azure-resources. Een service-principal wordt door veel Azure-resources gebruikt en is niet gekoppeld aan één Azure-resource.
• U kunt indien nodig eigenschappen en referenties van een service-principal wijzigen.
• Ideaal voor toepassingen die toegang nodig hebben tot meerdere Azure-resources in verschillende abonnementen.
• Beschouwd als flexibeler dan beheerde identiteiten, maar minder veilig.
• Vaak wordt verwezen naar als een 'toepassingsobject' in een Azure-tenant of Microsoft Entra ID-directory.

Voor meer informatie over serviceprincipals, zie:

• Apps & service-principals in Microsoft Entra ID
• Het beveiligen van service-principalen in Microsoft Entra ID

Zie Aanmelden bij Azure met een service-principal met behulp van Azure PowerShell voor meer informatie over het aanmelden bij Azure met behulp van Azure PowerShell en een service-principal

Sleutelconcepten voor beheerde identiteit

• Gekoppeld aan een specifieke Azure-resource, zodat die ene resource toegang heeft tot andere Azure-toepassingen.
• Referenties zijn niet zichtbaar voor u. Azure verwerkt geheimen, referenties, certificaten en sleutels.
• Ideaal voor Azure-resources die toegang nodig hebben tot andere Azure-resources binnen één abonnement.
• Beschouwd als minder flexibel dan service-principals, maar veiliger.
• Er zijn twee typen beheerde identiteiten:
  • Door het systeem toegewezen: dit type is een toegangskoppeling van 1:1 (één tot één) tussen twee Azure-resources.
  • door de gebruiker toegewezen: dit type heeft een 1:M-relatie (één-op-veel) waarbij de beheerde identiteit toegang heeft tot meerdere Azure-resources.

Zie Beheerde identiteiten voor Azure-resourcesvoor meer informatie over beheerde identiteiten.

Zie Aanmelden bij Azure met een beheerde identiteit met behulp van Azure PowerShell voor meer informatie over het aanmelden bij Azure met behulp van Azure PowerShell en een beheerde identiteit

Concepten van federatieve identiteitssleutels

• Met een federatieve identiteit kunnen service-principals (app-registraties) en door de gebruiker toegewezen beheerde identiteiten tokens vertrouwen van een externe id-provider (IdP), zoals GitHub of Google.
• Zodra de vertrouwensrelatie is gemaakt, wisselen uw externe softwareworkload vertrouwde tokens uit vanuit de externe IdP voor toegangstokens van het Microsoft Identity Platform.
• Uw softwareworkload gebruikt dat toegangstoken om toegang te krijgen tot de met Microsoft Entra beveiligde resources waartoe de workload toegang heeft.
• Federatieve identiteiten zijn vaak de beste oplossing voor de volgende scenario's:
  • Workload die wordt uitgevoerd op een Kubernetes-cluster
  • GitHub Actions
  • Workload die wordt uitgevoerd op Azure-rekenplatforms met behulp van toepassingsidentiteiten
  • Google Cloud
  • Amazon Web Services (AWS)
  • Workload die wordt uitgevoerd op rekenplatforms buiten Azure

Zie voor meer informatie over federatieve identiteiten:

• Wat is workload-identiteitsfederatie?
• Migreren naar Microsoft Entra Multi-factor Authentication met federaties

Meer informatie over meervoudige verificatie

De microsoft Entra ID-documentatiesite biedt meer informatie over MFA.

• Plan voor verplichte multi-factor authenticatie (MFA) van Microsoft Entra
• Het MFA-servermigratiehulpprogramma gebruiken om te migreren naar Microsoft Entra multi-factor authentication
• overwegingen voor implementatie voor meervoudige verificatie van Microsoft Entra
• Migreren van MFA-server naar Microsoft Entra multifactor authentication

Zie ook

• Workload-identiteiten, andere machine-identiteiten en menselijke identiteiten.
• Het gebruik van persoonlijke toegangstokens (PAT) verminderen in Azure DevOps
• Beveiligingspostuur in Azure-serviceverbindingen verbeteren met AzurePipelinesCredential