Anforderungen
Diese Wiki-Seite erläutert, welche Anforderungen und (systemseitigen) Berechtigungen erteilt werden müssen, damit Runbooks ausgeführt werden können.
PowerShell-Module
Die gemeinsam genutzten Runbooks, verfügbar auf GitHub erwarten/verwenden die folgenden Windows PowerShell 5.1-Module:
RealmJoin.RunbookHelperAz.AccountsAz.StorageAzureADExchangeOnlineManagement
Das RealmJoin-Portal wird diese Module automatisch importieren und installieren, wenn sie innerhalb eines Runbooks referenziert werden. Dieser Import berücksichtigt auch angegebene Mindestversionen für Module.
Berechtigungen
Die RealmJoin-Shared-Runbooks verwenden das Azure Automation systemzugewiesene verwaltete Identität um mit Entra ID, MS Graph API usw. zu interagieren.
Die folgende Liste von Rollen und Berechtigungen ermöglicht es Ihnen, alle derzeit in unserem Shared-Repository verfügbaren Runbooks zu verwenden.
Es wird nicht empfohlen, diese Rollen/Berechtigungen zu reduzieren, da die Runbooks nur gegen diesen Berechtigungssatz getestet werden. Wenn Sie die Rollen/Berechtigungen reduzieren, werden einige Runbooks nicht mehr funktionieren.
Entra ID-Rollen
Weisen Sie bitte der verwalteten Identität die folgenden Entra ID-Rollen zu
Benutzeradministrator
Cloud-Geräteadministrator
Exchange-Administrator
Teams-Administrator
Graph API-Berechtigungen
Gewähren Sie bitte der verwalteten Identität die folgenden Graph API-Berechtigungen
AppCatalog.ReadWrite.AllApplication.ReadWrite.AllAuditLog.Read.AllBitlockerKey.Read.AllChannel.Delete.AllChannelMember.ReadWrite.AllChannelSettings.ReadWrite.AllCloudPC.ReadWrite.AllDevice.Read.AllDeviceLocalCredential.Read.AllDeviceManagementApps.ReadWrite.AllDeviceManagementConfiguration.ReadWrite.AllDeviceManagementManagedDevices.PrivilegedOperations.AllDeviceManagementManagedDevices.ReadWrite.AllDeviceManagementServiceConfig.ReadWrite.AllDirectory.ReadWrite.AllGroup.ReadWrite.AllIdentityRiskyUser.ReadWrite.AllInformationProtectionPolicy.Read.AllMail.SendOrganization.Read.AllPlace.Read.AllPolicy.Read.AllReports.Read.AllRoleManagement.Read.AllTeam.CreateTeamSettings.ReadWrite.AllUser.ReadWrite.AllUserAuthenticationMethod.ReadWrite.AllWindowsUpdates.ReadWrite.All
Andere App-API-Berechtigungen
Gewähren Sie bitte der verwalteten Identität die folgenden Office 365 Exchange Online API-Berechtigungen
Exchange.ManageAsApp
Gewähren Sie bitte der verwalteten Identität die folgenden WindowsDefenderATP API-Berechtigungen
Machine.Read.AllMachine.IsolateMachine.RestrictExecutionTi.ReadWrite.All
Gewähren Sie bitte der verwalteten Identität die folgenden SharePoint-API-Berechtigungen
User.Read.AllSites.Read.AllSites.FullControl.All
Rollen und Berechtigungen gewähren
Das Gewähren von Berechtigungen an verwaltete Identitäten kann derzeit nicht über das Azure-Portal erfolgen. Wir empfehlen die Verwendung von MS Graph / PowerShell-Skripten dafür.
Sie finden ein Beispiel für diesen Prozess hier.
Azure-Ressourcenberechtigungen
Geben Sie der Abonnement- oder Ressourcengruppenrolle, die das Azure Automation-Konto für die Runbooks hostet, mindestens die Berechtigung "Mitwirkender" (Contributor).
Einige Runbooks verwenden ein Azure Storage-Konto zum Speichern von Berichten oder Backups. Geben Sie bitte der entsprechenden Abonnement- oder Ressourcengruppe mindestens die Berechtigung "Mitwirkender" (Contributor). Die meisten Runbooks können dann die Ressourcen innerhalb der Ressourcengruppe selbst erstellen.
Authentifizierungsmethoden
Verwaltete Identitäten
Azure Automation unterstützt Verwaltete Identitäten (systemzugewiesen) als primäre Methode zur Authentifizierung. Dies ersetzt die veralteten RunAs-Konten.
Die RealmJoin-Runbooks unterstützen derzeit RunAs-Konten, wenn keine verwaltete Identität konfiguriert ist.
Wenn gleichzeitig eine verwaltete Identität und ein RunAs-Konto konfiguriert sind, bevorzugen die Runbooks aus RealmJoins Shared-Repository bei Verwendung neuerer Versionen unseres unterstützenden RealmJoin.RunbookHelper Moduls beginnend mit v0.8.0 automatisch die Verwendung der verwalteten Identität.
Ältere Versionen des Moduls konnten verwaltete Identitäten nicht vollständig nutzen und bevorzugten das RunAs-Konto.
Bitte stellen Sie sicher, dass Sie der verwalteten Identität die benötigten Berechtigungen gewähren oder deaktivieren Sie sie vollständig, um nur das RunAs-Konto zu verwenden.
Client-Secret
Einige private Runbooks benötigen möglicherweise eine ClientID/Secret-ähnliche Authentifizierung. Derzeit gibt es keine Shared-Runbooks, die ClientID und Secret benötigen.
Falls erforderlich, können ClientID und Secret in den verwalteten Anmeldeinformationen mit dem Namen "realmjoin-automation-cred" im Azure Automation-Konto gespeichert werden.
Derzeit wird das "realmjoin-automation-cred" im Automation-Konto standardmäßig vom RJ-Wizard erstellt, jedoch mit zufälligen Werten gefüllt – sie müssten mit korrekten Werten gefüllt werden.
Benutzerkonto (problematisch)
Ältere Module benötigen möglicherweise ein "echtes" Benutzerobjekt zum Arbeiten.
Microsoft Teams kann jetzt über verwaltete Identität betrieben werden. Alle Voice/Phone-Runbooks wurden angepasst, um die verwaltete Identität zu verwenden.
Wenn Sie einen Fake-Benutzer verwenden möchten, müssen Sie
Ein (ADM-)Benutzerobjekt erstellen, z. B.
ADM-ServiceUser.TeamsAutomationDem Benutzer ein Passwort zuweisen
Das Passwort so einstellen, dass es nie abläuft (oder Passwortänderungen entsprechend verfolgen)
MFA für diesen Benutzer deaktivieren / sicherstellen, dass Conditional Access den Benutzer nicht blockiert
Ein Anmeldeinformationsobjekt im Azure Automation-Konto erstellen, das Sie für die RealmJoin-Runbooks verwenden, die Anmeldeinformationen z. B. nennen
fakeuserund die Anmeldeinformationen speichern.
Dies ist kein empfohlener Ansatz und sollte vermieden werden. Kein Standard-Runbook verwendet dieses Szenario mehr.
Zuletzt aktualisiert
War das hilfreich?