> For the complete documentation index, see [llms.txt](https://docs.realmjoin.com/llms.txt). Markdown versions of documentation pages are available by appending `.md` to page URLs; this page is available as [Markdown](https://docs.realmjoin.com/es/automatizacion/connecting-azure-automation/azure-ad-roles-and-permissions.md). # Requisitos de ejecución de runbooks ## Módulos de PowerShell {% hint style="info" %} La sección de Módulos de PowerShell se actualiza automáticamente en función de la [repositorio público](https://github.com/realmjoin/realmjoin-runbooks). {% endhint %} Los runbooks compartidos disponibles en [GitHub](https://github.com/realmjoin/realmjoin-runbooks) esperan/usan los siguientes módulos de Windows PowerShell: | Módulo | Versión mínima en los runbooks | | -------------------------------- | ------------------------------ | | `Az.Accounts` | 5.5.0 | | `Az.Compute` | 5.1.1 | | `Az.DesktopVirtualization` | 5.4.1 | | `Az.ManagementPartner` | 0.7.5 | | `Az.Resources` | 9.0.1 | | `Az.Storage` | 9.6.0 | | `ExchangeOnlineManagement` | 3.9.2 | | `Microsoft.Graph.Authentication` | 2.37.0 | | `MicrosoftTeams` | 7.6.0 | | `RealmJoin.RunbookHelper` | 0.8.6 | RealmJoin Portal importará e instalará automáticamente estos módulos si se referencian desde dentro de un runbook. Esta importación también respetará las versiones mínimas especificadas para los módulos. ## Permisos {% hint style="info" %} La sección de Permisos se actualiza automáticamente en función de la [repositorio público](https://github.com/realmjoin/realmjoin-runbooks). {% endhint %} Los runbooks compartidos de RealmJoin usan la [identidad administrada asignada por el sistema](https://learn.microsoft.com/en-us/azure/automation/enable-managed-identity-for-automation) para interactuar con Entra ID, la API de MS Graph, etc. La siguiente lista de roles y permisos le permitirá usar todos los runbooks actualmente disponibles en nuestro repositorio compartido. No se recomienda reducir estos roles/permisos, ya que los runbooks se prueban solo con este conjunto de permisos. Si reduce el conjunto de roles/permisos, algunos runbooks dejarán de funcionar. ### Roles de Entra ID Asigne los siguientes roles de Entra ID a la identidad administrada * Desarrollador de aplicaciones * Administrador de dispositivos en la nube * Administrador de Exchange * Administrador de Teams * Administrador de usuarios ### Permisos de la API de Graph Conceda los siguientes permisos de la API de Graph a la identidad administrada * `Application.Read.All` * `Application.ReadWrite.OwnedBy` * `AuditLog.Read.All` * `BitlockerKey.Read.All` * `Channel.ReadBasic.All` * `ChannelMember.ReadWrite.All` * `CloudPC.ReadWrite.All` * `Device.ReadWrite.All` * `DeviceLocalCredential.Read.All` * `DeviceManagementApps.ReadWrite.All` * `DeviceManagementConfiguration.ReadWrite.All` * `DeviceManagementManagedDevices.PrivilegedOperations.All` * `DeviceManagementManagedDevices.ReadWrite.All` * `DeviceManagementServiceConfig.ReadWrite.All` * `Directory.Read.All` * `Group.Create` * `Group.ReadWrite.All` * `GroupMember.ReadWrite.All` * `IdentityRiskyUser.ReadWrite.All` * `InformationProtectionPolicy.Read.All` * `Mail.Send` * `Organization.Read.All` * `Place.Read.All` * `Policy.Read.All` * `Reports.Read.All` * `ReportSettings.ReadWrite.All` * `RoleAssignmentSchedule.Read.Directory` * `RoleManagement.Read.All` * `RoleManagement.Read.Directory` * `Team.Create` * `TeamSettings.ReadWrite.All` * `User.ReadWrite.All` * `UserAuthenticationMethod.ReadWrite.All` * `WindowsUpdates.ReadWrite.All` ### Permisos de API de otras aplicaciones Conceda los siguientes permisos de API de Office 365 Exchange Online a la identidad administrada * `Exchange.ManageAsApp` Conceda los siguientes permisos de API de WindowsDefenderATP a la identidad administrada * `Machine.Read.All` * `Machine.Isolate` * `Machine.RestrictExecution` * `Ti.ReadWrite.All` Conceda los siguientes permisos de API de SharePoint a la identidad administrada * `User.Read.All` * `Sites.Read.All` * `Sites.FullControl.All` ### Concesión de roles y permisos Actualmente no se pueden conceder permisos a las identidades administradas usando Azure Portal. Recomendamos usar scripts de MS Graph / PowerShell para ello. Puede encontrar un ejemplo de este proceso [aquí](https://github.com/Workplace-Foundation/approle-and-directoryrole-granter). ### Permisos de recursos de Azure Conceda al menos acceso de "Contributor" a la suscripción o grupo de recursos que hospeda la cuenta de Azure Automation para los runbooks Algunos runbooks usarán un Azure Storage Account para almacenar informes o copias de seguridad. Conceda al menos acceso de "Contributor" a la suscripción o grupo de recursos correspondiente. La mayoría de los runbooks podrán entonces crear por sí mismos los recursos dentro del grupo de recursos. ## Métodos de autenticación ### Identidades administradas Azure Automation admite [Identidades administradas](https://docs.microsoft.com/en-us/azure/automation/enable-managed-identity-for-automation) (asignada por el sistema) como la forma principal de autenticación. Esto sustituye a las obsoletas cuentas RunAs. Los RealmJoin Runbooks actualmente admiten cuentas RunAs si no se ha configurado ninguna identidad administrada. {% hint style="warning" %} Si una identidad administrada y una cuenta RunAs están configuradas al mismo tiempo, los runbooks del repositorio compartido de RealmJoin preferirán automáticamente usar la identidad administrada al usar versiones más recientes de nuestro módulo de soporte `RealmJoin.RunbookHelper` que comienza con v0.8.0. Las versiones anteriores del módulo no podían aprovechar plenamente las identidades administradas y preferían la cuenta RunAs. Asegúrese de conceder los permisos necesarios a la identidad administrada o deshabilítela por completo para usar solo la cuenta RunAs. {% endhint %} ### Secreto de cliente Algunos runbooks privados pueden necesitar una autenticación de tipo ClientID/Secret. Actualmente no hay runbooks compartidos que requieran ClientID y Secret. Si es necesario, un ClientID y Secret pueden almacenarse en las credenciales administradas llamadas "realmjoin-automation-cred" en la cuenta de Azure Automation. Actualmente, el "realmjoin-automation-cred" en la cuenta de automatización es creado por defecto por RJ-Wizard, pero se rellena con valores aleatorios; habría que sustituirlos por los valores correctos. --- # Agent Instructions This documentation is published with GitBook. GitBook is the documentation platform designed so that both humans and AI agents can read, navigate, and reason over technical content effectively. Learn more at gitbook.com. ## Querying This Documentation If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question. Perform an HTTP GET request on the current page URL with the `ask` query parameter: ``` GET https://docs.realmjoin.com/es/automatizacion/connecting-azure-automation/azure-ad-roles-and-permissions.md?ask= ``` The question should be specific, self-contained, and written in natural language. The response will contain a direct answer to the question and relevant excerpts and sources from the documentation. Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.