マイクロソフト、2023 年 9 月に Azure Automation 実行アカウントの提供を終了

マイクロソフト、2023 年 9 月に Azure Automation 実行アカウントの提供を終了

IT プロフェッショナル向けの Azure Automation

私は過去数年間、Azure Automation の操作に多くの時間を費やしてきました。これは、Windows スケジューラが提供するよりも最新のメカニズムを使用して PowerShell スクリプトを実行するテナント管理者にとって非常に便利な機能です。これは、数百または数千のオブジェクトを処理することが一般的な大規模なテナントで特に当てはまります。 Azure オートメーションで実行アカウントを使用する.

Azure Automation で実行するようにスクリプトを変換することは、獣のヘッドレスの性質と、PowerShell がその目的のためにスピンアップされた仮想マシンで実行されることを理解すれば、それほど難しくありません。スクリプトを対話型の実行から Azure Automation ランブックに移行するときによく直面する最大の問題は、スクリプトから出力を作成する方法ですが、電子メールの送信、Teams チャネルへの投稿、SharePoint ドキュメント ライブラリでのファイルの作成は可能です。

マイクロソフトは、開発者や管理者(別名ITプロフェッショナル)とさまざまな方法で通信しているようです。たとえば、2023 年 9 月 30 日の Azure Automation 実行アカウントの廃止に関するニュースは、Microsoft 365 管理センターの通知には表示されませんでした。実際、Azure Automation のドキュメント (図 1 に示すような通知) に投稿されている通知を除けば、マイクロソフトからの正式な発表は見つかりません。

実行アカウントの廃止に関するマイクロソフトの通知
図 1: 実行アカウントの廃止に関するマイクロソフトの通知

技術コミュニティへの引退に関する通知

私が十分に一生懸命探していない可能性があります。通常、私は検索(Google)にかなり堪能ですが、私が最初に見つけたヒットは 2022年9月27日 マイクロソフトアンサーの投稿 と言って」2023 年 9 月 30 日に、Runbook 認証に使用する Azure Automation 実行アカウントは廃止されます。."2022年7月の以前の「変更計画」のメモは、 Azure オートメーション ページの新機能.それとは別に、Microsoftは2022年10月18日にドキュメントを更新したようです(ここにあります 御意見・御感想).

人々がドキュメントから開発について学ぶことを期待するのは合理的だと思います。この場合、Microsoftはボールを落とし、Run Asアカウントが引退したときに何が起こるかを人々に伝えるという素晴らしい仕事をしなかったと思います。

マネージド ID はより優れたソリューションです

実行アカウントを廃止するためのロジックは否定できません。より優れた、より安全なソリューション (マネージド ID) が存在します。実行アカウントは、毎年更新する必要がある自己署名証明書を使用して認証されます。Microsoft は、Azure portal からこれらの証明書を更新する機能を削除しました。つまり、実行アカウントは、認証できなくなる時点までカウントダウンしています。Microsoft には実行アカウントの証明書を更新するスクリプトがあり、スクリプトは 2023 年 9 月 30 日以降に実行されます。ただし、実行アカウントはサポートされなくなり、運用コンポーネントにとっては良い状況ではありません。

Office 365 の観点から見たマネージド ID の良いところは、 自動化に使用される重要な PowerShell モジュールはマネージド ID をサポートします.いくつかは非常にスムーズに行われます(最新のExchange Online管理モジュールのように、 アプリケーション用の最新の RBAC 機能では、マネージド ID がサポートされています)そしていくつかは少し余分な作業でそれをします。たとえば、Microsoft Graph PowerShell SDK の V1.0 では、マネージド ID を所有する Azure Automation アカウントからアクセス トークンを取得する必要がありますが、V2.0 はマネージド ID を使用してサインインできます。次のような単純な運用手順書の例を次に示します。

  • マネージド ID を使用して Azure オートメーション アカウントに接続します。
  • Azure AD からアクセス トークンを取得します。
  • アクセストークンを使用して、 コネクトグラフ.
  • を使用してサービス ドメイン (office365itpros.onmicrosoft.com など) を取得します。 Get-MG組織 コマンドレット。
  • サービス ドメインとマネージド ID を使用して Exchange Online に接続します。
  • ユーザー メールボックスの詳細を一覧表示します。
# Connect to Microsoft Graph with Azure Automation
Connect-AzAccount -Identity
$AccessToken = Get-AzAccessToken -ResourceUrl "https://graph.microsoft.com"
Connect-MgGraph -AccessToken $AccessToken.Token
# Get Tenant service domain using Get-MgOrganization
$TenantName = (Get-MgOrganization).VerifiedDomains | Where-Object {$_.IsInitial -eq $True} | Select-Object -ExpandProperty Name
# Connect to Exchange Online
Connect-ExchangeOnline -ManagedIdentity -Organization $TenantName 
Get-ExoMailbox -RecipientTypeDetails UserMailbox | Format-Table DisplayName, UserPrincipalName

Microsoft Graph PowerShell SDK の V2.0 が利用可能になると、最初の 3 行のコードを単純な Connect-MgGraph -Idenティティ.

Exchange Online でマネージド ID を使用する別の例は、監査ログに収集されたイベントを監視して 潜在的なテナント侵害を示す可能性のあるイベントを検出して報告する.Azure Automation スケジュールでスクリプトを実行すると、人間の介入なしに監査イベントがチェックされます。

前進する時

コミュニケーション不足を除けば、実行アカウントを廃止するというMicrosoftの決定に問題はありません。これらは、リソースを Azure オートメーションに接続するメカニズムとして機能しました。私たちは新しいアプローチを採用するために進んでいます。マイクロソフトは、移行手順を文書化しています。 実行アカウントからマネージド ID を使用するために移動する.これは手動のプロセスですが、面倒ではありません。

Office

Posted by admin