circle-info
Dieser Artikel wurde automatisch übersetzt. Die Übersetzung kann Ungenauigkeiten enthalten.
Zur englischen Originalversion wechseln.chevron-right
search

Anforderungen

Diese Wiki-Seite behandelt, welche Anforderungen und (systembezogenen) Berechtigungen erteilt werden müssen, damit Runbooks ausgeführt werden können.

hashtag
PowerShell-Module

circle-info

Der Abschnitt PowerShell-Module wird automatisch basierend auf dem öffentlichen Repositoryarrow-up-right.

Die auf GitHubarrow-up-right gemeinsam genutzten Runbooks erwarten/verwenden die folgenden Windows PowerShell-Module:

Modul
Mindestversion in Runbooks

Az.Accounts

5.3.2

Az.Compute

5.1.1

Az.DesktopVirtualization

5.4.1

Az.ManagementPartner

0.7.5

Az.Resources

9.0.1

Az.Storage

9.6.0

ExchangeOnlineManagement

3.9.2

Microsoft.Graph.Authentication

2.35.1

MicrosoftTeams

7.6.0

RealmJoin.RunbookHelper

0.8.5

Das RealmJoin-Portal importiert und installiert diese Module automatisch, wenn sie aus einem Runbook referenziert werden. Dieser Import berücksichtigt auch angegebene Mindestversionen für Module.

hashtag
Berechtigungen

circle-info

Der Abschnitt Berechtigungen wird automatisch basierend auf dem öffentlichen Repositoryarrow-up-right.

Die RealmJoin-Shared-Runbooks verwenden die systemzugewiesene verwaltete Identitätarrow-up-right um mit Entra ID, MS Graph API usw. zu interagieren.

Die folgende Liste von Rollen und Berechtigungen ermöglicht es Ihnen, alle derzeit in unserem gemeinsamen Repository verfügbaren Runbooks zu verwenden.

Es wird nicht empfohlen, diese Rollen/Berechtigungen zu reduzieren, da die Runbooks nur gegen diesen Berechtigungssatz getestet wurden. Wenn Sie die Rollen-/Berechtigungsmenge reduzieren, funktionieren einige Runbooks nicht mehr.

hashtag
Entra-ID-Rollen

Weisen Sie der verwalteten Identität bitte die folgenden Entra-ID-Rollen zu

  • Application Developer

  • Cloud Device Administrator

  • Exchange Administrator

  • Teams Administrator

  • User Administrator

hashtag
Graph-API-Berechtigungen

Bitte gewähren Sie der verwalteten Identität die folgenden Graph-API-Berechtigungen

  • Application.Read.All

  • Application.ReadWrite.OwnedBy

  • AuditLog.Read.All

  • BitlockerKey.Read.All

  • CloudPC.ReadWrite.All

  • Device.ReadWrite.All

  • DeviceLocalCredential.Read.All

  • DeviceManagementApps.ReadWrite.All

  • DeviceManagementConfiguration.ReadWrite.All

  • DeviceManagementManagedDevices.PrivilegedOperations.All

  • DeviceManagementManagedDevices.ReadWrite.All

  • DeviceManagementServiceConfig.ReadWrite.All

  • Directory.Read.All

  • Group.Create

  • Group.ReadWrite.All

  • GroupMember.ReadWrite.All

  • IdentityRiskyUser.ReadWrite.All

  • InformationProtectionPolicy.Read.All

  • Mail.Send

  • Organization.Read.All

  • Place.Read.All

  • Policy.Read.All

  • Reports.Read.All

  • RoleAssignmentSchedule.Read.Directory

  • RoleManagement.Read.All

  • RoleManagement.Read.Directory

  • Team.Create

  • TeamSettings.ReadWrite.All

  • User.ReadWrite.All

  • UserAuthenticationMethod.ReadWrite.All

  • WindowsUpdates.ReadWrite.All

hashtag
Andere App-API-Berechtigungen

Bitte gewähren Sie der verwalteten Identität die folgenden Office 365 Exchange Online-API-Berechtigungen

  • Exchange.ManageAsApp

Bitte gewähren Sie der verwalteten Identität die folgenden WindowsDefenderATP-API-Berechtigungen

  • Machine.Read.All

  • Machine.Isolate

  • Machine.RestrictExecution

  • Ti.ReadWrite.All

Bitte gewähren Sie der verwalteten Identität die folgenden SharePoint-API-Berechtigungen

  • User.Read.All

  • Sites.Read.All

  • Sites.FullControl.All

hashtag
Zuweisen von Rollen und Berechtigungen

Das Zuweisen von Berechtigungen an verwaltete Identitäten kann derzeit nicht über das Azure-Portal erfolgen. Wir empfehlen die Verwendung von MS Graph / PowerShell-Skripten dafür.

Sie finden ein Beispiel für diesen Vorgang hierarrow-up-right.

hashtag
Azure-Ressourcenberechtigungen

Geben Sie mindestens die Berechtigung "Mitwirkender" für das Abonnement oder die Ressourcengruppe, die das Azure Automation-Konto für die Runbooks hostet.

Einige Runbooks verwenden ein Azure Storage-Konto, um Berichte oder Backups zu speichern. Geben Sie mindestens die Berechtigung "Mitwirkender" für das entsprechende Abonnement oder die Ressourcengruppe. Die meisten Runbooks können dann die Ressourcen innerhalb der Ressourcengruppe selbst erstellen.

hashtag
Authentifizierungsmethoden

hashtag
Verwaltete Identitäten

Azure Automation unterstützt Verwaltete Identitätenarrow-up-right (systemzugewiesen) als primäre Methode zur Authentifizierung. Dies ersetzt die veralteten RunAs-Konten.

Die RealmJoin-Runbooks unterstützen derzeit RunAs-Konten, wenn keine verwaltete Identität konfiguriert ist.

circle-exclamation

Wenn gleichzeitig eine verwaltete Identität und ein RunAs-Konto konfiguriert sind, bevorzugen die Runbooks aus dem RealmJoin-Shared-Repository bei Verwendung neuerer Versionen unseres unterstützenden RealmJoin.RunbookHelper Moduls ab v0.8.0 automatisch die Verwendung der verwalteten Identität.

Ältere Versionen des Moduls konnten verwaltete Identitäten nicht vollständig nutzen und bevorzugten das RunAs-Konto.

Bitte stellen Sie sicher, dass Sie der verwalteten Identität die benötigten Berechtigungen gewähren oder deaktivieren Sie sie vollständig, um nur das RunAs-Konto zu verwenden.

hashtag
Client-Geheimnis

Einige private Runbooks benötigen möglicherweise eine ClientID/Secret-Authentifizierung. Derzeit gibt es keine gemeinsamen Runbooks, die ClientID und Secret erfordern.

Falls erforderlich, können ClientID und Secret in den verwalteten Anmeldeinformationen mit dem Namen "realmjoin-automation-cred" im Azure Automation-Konto gespeichert werden.

Derzeit wird das "realmjoin-automation-cred" im Automation-Konto standardmäßig vom RJ-Wizard erstellt, aber mit zufälligen Werten gefüllt – diese müssten mit korrekten Werten befüllt werden.

Zuletzt aktualisiert

War das hilfreich?