Dieser Artikel wurde automatisch übersetzt. Die Übersetzung kann Ungenauigkeiten enthalten.
Zur englischen Originalversion wechseln.
Ctrlk

Azure Automation verbinden

Dieser Leitfaden beschreibt den Onboarding-Prozess für neue und bestehende Automation Accounts.

Übersicht

Um dem RealmJoin Portal die Bereitstellung zu ermöglichen Runbooks für die Automatisierung täglicher Aufgaben, müssen Sie ein Azure Automation Konto verbinden. Dieses Automation Account dient als Host für Ihre Runbooks und stellt die Berechtigungen bereit, die erforderlich sind, damit die Runbooks in Ihrer Umgebung funktionieren.

Überlegungen

Die Managed Identity des Automation Account erfordert umfangreiche Berechtigungen in Ihrer Umgebung, wie z. B. die Möglichkeit, Gruppen- oder Benutzerobjekte in Entra ID zu ändern oder Postfächer in Exchange Online zu verwalten. Beschränken Sie den administrativen Zugriff auf dieses Konto, um den Missbrauch dieser Berechtigungen zu verhindern.

Wenn Sie ein vorhandenes Automation Account verwenden, beachten Sie, dass das RealmJoin Portal Runbooks aus dem gemeinsamen Online-Repository für Runbooksautomatisch erstellt, aktualisiert und entfernt. Diese Funktion wird in einem vorhandenen Automation Account möglicherweise nicht unterstützt. Wenn Sie unsicher sind, empfehlen wir, ein dediziertes Azure Automation Account für RealmJoin Runbooks zu erstellen.

Voraussetzungen

  • Global-Administrator-Berechtigungen

  • Zugriff auf PowerShell mit dem Az Modul oder AZ CLI

  • Mitwirkendenberechtigungen für ein Azure-Abonnement

  • Runbook-Anforderungen

Anweisungen

1

Ein Azure Automation Account erstellen

  1. Navigieren Sie zu Ihrem Azure Portal > Automation Accounts

  2. Erstellen Sie ein neues Automation Account

  3. Wählen Sie auf der Registerkarte Grundlagen Ihr gewünschtes Abonnement, Ihre Ressourcengruppe, den Automation Account-Namen und die Region aus

Eine separate Ressourcengruppe für Ihr Automation Account wird empfohlen

  1. Stellen Sie auf der Registerkarte Erweitert sicher, dass die systemseitig zugewiesene Managed Identity aktiviert ist

  2. Wählen Sie Überprüfen + Erstellen und erstellen Sie Ihr Automation Account

  3. Navigieren Sie zur Ressourcengruppe, die Ihr Azure Automation Account enthält

  4. Weisen Sie auf der Registerkarte IAM das Azure Automation Account als Mitwirkender zu

2

Berechtigungen für das Azure Automation Account zuweisen

Die gemeinsamen Runbooks von RealmJoin verwenden die systemseitig zugewiesene verwaltete Identität von Azure Automation, um mit Entra ID, der MS Graph API usw. zu interagieren.

Berechtigungen für Managed Identity können derzeit nicht über das Azure Portal vergeben werden. Verwenden Sie Microsoft Graph oder PowerShell, um diese Berechtigungen zuzuweisen.

  1. Laden Sie die folgenden PowerShell-Skripte und JSON-Dateien in denselben Ordner herunter. Das Skript weist den von RealmJoin erforderlichen vollständigen Berechtigungssatz zu. Rollen und Berechtigungen können im Anforderungen Abschnitt überprüft und bei Bedarf in den JSON-Dateien angepasst werden.

Unexpected error with integration github-files: Integration is not installed on this space

  1. Notieren Sie sich die Objekt-ID der Managed Identity des Azure Automation Account in Kontoeinstellungen > Identität

  2. Öffnen Sie ein PowerShell-Fenster.

  3. Navigieren Sie zu dem Ordner, der die heruntergeladenen Dateien enthält

  1. Skripte bei Bedarf entsperren

  2. Weisen Sie Ihrem Azure Automation Account MS Graph-Berechtigungen zu, indem Sie GrantAppPermToEntApp.ps1 verwenden, und ersetzen Sie xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx durch die Objekt-ID Ihres Automation Account

  1. Weisen Sie Ihrem Azure Automation Account Entra ID-Administratorrollen zu, indem Sie AssignAzureADRoleToEntApp.ps1 verwenden, und ersetzen Sie xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx durch die Objekt-ID Ihres Automation Account

  1. Das Azure Automation Account sollte nun über die richtigen Berechtigungen verfügen, um Runbooks auszuführen

3

RealmJoin Runbook Configuration - Teil 1

  1. Gehen Sie im RealmJoin Portal zu 'Einstellungen -> Runbooks'.

  2. Füllen Sie die Tenant ID, die Subscription ID und den Namen der Ressourcengruppe aus, die zum Azure Automation Account gehören Die Tenant ID auf der Entra ID-Übersichtsseite

  3. Kopieren Sie das rote Skript darunter ResourceGroup. Dieses Skript erstellt einen Service Principal in Entra ID mit Zugriff auf Ihr Automation Account und ermöglicht es RealmJoin, Runbooks zu verwalten, auszuführen und zu überwachen. Das Skript wird basierend auf den Eingaben für Tenant ID, Subscription ID und Ressourcengruppe aktualisiert.

  4. Lassen Sie den Assistenten vorerst geöffnet. Wir kehren in Teil 2 gleich zurück.

4

Zugriff für RealmJoin auf Azure Automation gewähren

Sie können Azure CloudShellverwenden, sodass Sie keine lokale Kopie von AZ CLI installieren und authentifizieren müssen.

  1. Führen Sie das zuvor kopierte Skript in PowerShell aus.

  2. Notieren Sie sich die Werte für appId und password. Die App-Registrierung "RealmJoin Runbook Management" wird erstellt.

    App-Registrierungen im Azure Portal
5

RealmJoin Runbook Configuration - Teil 2

  1. Kehren Sie im RealmJoin Portal zum geöffneten Fenster/Assistenten für 'Einstellungen -> Runbooks'

  2. Füllen Sie die fehlenden Werte aus für appId und password die im letzten Schritt erstellt wurden

  3. Füllen Sie den Namen des erstellten Automation Account aus zuvor

  4. Wählen Sie den Branch des gemeinsamen Runbook-Repositorys aus, dem Sie folgen möchten. Wenn Sie unsicher sind, wählen Sie bitte production Alle Runbook-Branches können hier angezeigt werden: https://github.com/realmjoin/realmjoin-runbooks

  5. Wählen Sie denselben Standort wie Ihr Azure Automation Account, um sicherzustellen, dass Ihre Runbooks in der richtigen Azure-Region

Automation Account-Verbindung im RealmJoin Portal

  1. Drücken Sie "Save", um den ersten Import der Runbooks zu starten. Bitte lassen Sie dieses Fenster geöffnet, bis Sie die Meldung "Sync completed" sehen.

Zuletzt aktualisiert

War das hilfreich?