Disabilitare l'autenticazione locale in Automazione

Importante

  • L'applicazione di patch di Gestione aggiornamenti non funzionerà quando l'autenticazione locale è disabilitata.
  • Quando si disabilita l'autenticazione locale, influisce sull'avvio di un runbook usando un webhook, Automation Desired State Configuration e i ruoli di lavoro ibridi basati su agente. Per altre informazioni, vedere le alternative disponibili.

Automazione di Azure fornisce il supporto per l'autenticazione di Microsoft Entra per tutti gli endpoint pubblici del servizio di automazione. Questo miglioramento critico della sicurezza rimuove le dipendenze dei certificati e fornisce alle organizzazioni il controllo per disabilitare i metodi di autenticazione locale. Questa funzionalità offre un'integrazione perfetta quando è necessario il controllo centralizzato e la gestione delle identità e delle credenziali delle risorse tramite Microsoft Entra ID.

Automazione di Azure fornisce una funzionalità facoltativa per "Disabilitare l'autenticazione locale" a livello di account di Automazione usando i criteri di Azure Configurare Automazione di Azure account per disabilitare l'autenticazione locale. Per impostazione predefinita, questo flag è impostato su false nell'account, quindi è possibile usare sia l'autenticazione locale che l'autenticazione di Microsoft Entra. Se si sceglie di disabilitare l'autenticazione locale, il servizio automazione accetta solo l'autenticazione basata sull'ID di Microsoft Entra.

Nella portale di Azure è possibile che venga visualizzato un messaggio di avviso nella pagina di destinazione per l'account di Automazione selezionato se l'autenticazione è disabilitata. Per verificare se i criteri di autenticazione locale sono abilitati, usare il cmdlet di PowerShell Get-AzAutomationAccount e controllare la proprietà DisableLocalAuth. Il valore true indica che l'autenticazione locale è disabilitata.

La disabilitazione dell'autenticazione locale non ha effetto immediato. Attendere alcuni minuti prima che il servizio blocchi le richieste di autenticazione future.

Nota

  • Attualmente, il supporto di PowerShell per la nuova versione dell'API (2021-06-22) o il flag DisableLocalAuth non è disponibile. Tuttavia, è possibile usare l'API REST con questa versione dell'API per aggiornare il flag.

Riabilitare l'autenticazione locale

Per riabilitare l'autenticazione locale, eseguire il cmdlet Set-AzAutomationAccount di PowerShell con il parametro -DisableLocalAuth false.  Attendere alcuni minuti per consentire al servizio di accettare la modifica per consentire le richieste di autenticazione locali.

Compatibilità

Nella tabella seguente vengono descritti i comportamenti o le funzionalità che non possono funzionare disabilitando l'autenticazione locale.

Scenario Alternativa
Avvio di un runbook con un webhook. Avviare un processo del runbook usando il modello di Azure Resource Manager, che usa l'autenticazione di Microsoft Entra.
Uso di Automation Desired State Configuration. Usare Criteri di Azure configurazione guest.  
Uso di ruoli di lavoro ibridi per runbook basati su agente. Usare ruoli di lavoro ibridi per runbook basati su estensione.
Uso di Gestione aggiornamenti di Automazione Usare Gestione aggiornamenti di Azure

Passaggi successivi