Requisitos
Esta página del wiki aborda qué requisitos y permisos (a nivel de sistema) deben otorgarse para que los runbooks puedan ejecutarse.
Módulos de PowerShell
Los runbooks compartidos disponibles en GitHub esperan/usan los siguientes módulos de Windows PowerShell 5.1:
RealmJoin.RunbookHelperAz.AccountsAz.StorageAzureADExchangeOnlineManagement
RealmJoin Portal importará e instalará automáticamente estos módulos si se hacen referencia desde dentro de un runbook. Esta importación también respetará las versiones mínimas especificadas para los módulos.
Permisos
Los runbooks compartidos de RealmJoin usan la identidad administrada asignada por el sistema para interactuar con Entra ID, MS Graph API, etc.
La siguiente lista de roles y permisos le permitirá usar todos los runbooks actualmente disponibles en nuestro repositorio compartido.
No se recomienda reducir estos roles/permisos ya que los runbooks se prueban solo contra este conjunto de permisos. Si reduce el conjunto de roles/permisos, algunos runbooks dejarán de funcionar.
Roles de Entra ID
Asigne los siguientes roles de Entra ID a la identidad administrada
Administrador de usuarios
Administrador de dispositivos en la nube
Administrador de Exchange
Administrador de Teams
Permisos de Graph API
Conceda los siguientes permisos de Graph API a la identidad administrada
AppCatalog.ReadWrite.AllApplication.ReadWrite.AllAuditLog.Read.AllBitlockerKey.Read.AllChannel.Delete.AllChannelMember.ReadWrite.AllChannelSettings.ReadWrite.AllCloudPC.ReadWrite.AllDevice.Read.AllDeviceLocalCredential.Read.AllDeviceManagementApps.ReadWrite.AllDeviceManagementConfiguration.ReadWrite.AllDeviceManagementManagedDevices.PrivilegedOperations.AllDeviceManagementManagedDevices.ReadWrite.AllDeviceManagementServiceConfig.ReadWrite.AllDirectory.ReadWrite.AllGroup.ReadWrite.AllIdentityRiskyUser.ReadWrite.AllInformationProtectionPolicy.Read.AllMail.SendOrganization.Read.AllPlace.Read.AllPolicy.Read.AllReports.Read.AllRoleManagement.Read.AllTeam.CreateTeamSettings.ReadWrite.AllUser.ReadWrite.AllUserAuthenticationMethod.ReadWrite.AllWindowsUpdates.ReadWrite.All
Otros permisos de API de aplicaciones
Conceda los siguientes permisos de API de Office 365 Exchange Online a la identidad administrada
Exchange.ManageAsApp
Conceda los siguientes permisos de API de WindowsDefenderATP a la identidad administrada
Machine.Read.AllMachine.IsolateMachine.RestrictExecutionTi.ReadWrite.All
Conceda los siguientes permisos de API de SharePoint a la identidad administrada
User.Read.AllSites.Read.AllSites.FullControl.All
Conceder roles y permisos
Actualmente no es posible otorgar permisos a Identidades Administradas mediante el Portal de Azure. Recomendamos usar MS Graph / PowerShell para esto.
Puede encontrar un ejemplo para este proceso aquí.
Permisos de recursos de Azure
Dé al menos acceso de "Colaborador" a la suscripción o al grupo de recursos que aloja la Cuenta de Azure Automation para los runbooks
Algunos runbooks usarán una cuenta de almacenamiento de Azure para guardar informes o copias de seguridad. Dé al menos acceso de "Colaborador" a la suscripción o grupo de recursos correspondiente. La mayoría de los runbooks pueden entonces crear los recursos dentro del grupo de recursos por sí mismos.
Métodos de autenticación
Identidades administradas
Azure Automation admite Identidades administradas (asignada por el sistema) como la forma principal de autenticación. Esto reemplaza las cuentas RunAs obsoletas.
Los Runbooks de RealmJoin actualmente admiten cuentas RunAs si no se configura una identidad administrada.
Si se configuran simultáneamente una Identidad Administrada y una cuenta RunAs, los runbooks del repositorio compartido de RealmJoin preferirán automáticamente usar la Identidad Administrada cuando se utilicen versiones más recientes de nuestro RealmJoin.RunbookHelper Módulo a partir de la v0.8.0.
Las versiones anteriores del módulo no podían aprovechar completamente las Identidades Administradas y preferían la cuenta RunAs.
Asegúrese de otorgar los permisos necesarios a la Identidad Administrada o desactívela completamente para usar únicamente la cuenta RunAs.
Secreto de cliente
Algunos runbooks privados pueden necesitar un método de autenticación tipo ClientID/Secret. Actualmente no hay runbooks compartidos que requieran ClientID y Secret.
Si es necesario, un ClientID y Secret pueden almacenarse en las credenciales administradas llamadas "realmjoin-automation-cred" en la Cuenta de Azure Automation.
Actualmente la "realmjoin-automation-cred" en la cuenta de automatización es creada por el RJ-Wizard por defecto, pero se rellena con valores aleatorios: tendrían que llenarse con valores correctos.
Cuenta de usuario (problemática)
Los módulos antiguos pueden necesitar un objeto de usuario "real" para funcionar.
Microsoft Teams ahora puede operar mediante Identidad Administrada. Todos los runbooks de Voz/Teléfono se han adaptado para usar Identidad Administrada.
Si desea usar un usuario falso, tendrá que
Crear un objeto de usuario (ADM-), por ejemplo
ADM-ServiceUser.TeamsAutomationAsignar una contraseña al usuario
Configurar la contraseña para que nunca caduque (o realizar el seguimiento de los cambios de contraseña correspondientes)
Deshabilitar MFA para este usuario / asegurarse de que el acceso condicional no bloquee al usuario
Crear un objeto de credenciales en la Cuenta de Azure Automation que utilice para los Runbooks de RealmJoin, llamar a las credenciales por ejemplo
usuariofalsoy almacenar las credenciales.
Este no es un enfoque recomendado y debe evitarse. Ningún runbook predeterminado usa este escenario ya.
Última actualización
¿Te fue útil?