circle-info
Este artículo ha sido traducido automáticamente. La traducción puede contener imprecisiones.
Cambiar a la versión original en inglés.chevron-right
search

Requisitos

Estas páginas wiki abordan qué requisitos y permisos (a nivel del sistema) deben otorgarse para que los runbooks puedan ejecutarse.

hashtag
Módulos de PowerShell

circle-info

La sección de Módulos de PowerShell se actualiza automáticamente en función del repositorio públicoarrow-up-right.

Los runbooks compartidos disponibles en GitHubarrow-up-right esperan/usan los siguientes módulos de Windows PowerShell:

Módulo
Versión mínima en los runbooks

Az.Accounts

5.3.2

Az.Compute

5.1.1

Az.DesktopVirtualization

5.4.1

Az.ManagementPartner

0.7.5

Az.Resources

9.0.1

Az.Storage

9.6.0

ExchangeOnlineManagement

3.9.2

Microsoft.Graph.Authentication

2.35.1

MicrosoftTeams

7.6.0

RealmJoin.RunbookHelper

0.8.5

RealmJoin Portal importará e instalará automáticamente estos módulos si se hace referencia a ellos desde dentro de un runbook. Esta importación también respetará las versiones mínimas especificadas para los módulos.

hashtag
Permisos

circle-info

La sección de Permisos se actualiza automáticamente en función del repositorio públicoarrow-up-right.

Los runbooks compartidos de RealmJoin usan la identidad administrada asignada por el sistemaarrow-up-right para interactuar con Entra ID, MS Graph API, etc.

La siguiente lista de roles y permisos le permitirá usar todos los runbooks disponibles actualmente en nuestro repositorio compartido.

No se recomienda reducir estos roles/permisos ya que los runbooks se prueban solo con este conjunto de permisos. Si reduce el conjunto de roles/permisos, algunos runbooks dejarán de funcionar.

hashtag
Roles de Entra ID

Asigne los siguientes roles de Entra ID a la identidad administrada

  • Desarrollador de aplicaciones

  • Administrador de dispositivos en la nube

  • Administrador de Exchange

  • Administrador de Teams

  • Administrador de usuarios

hashtag
Permisos de Graph API

Conceda los siguientes permisos de Graph API a la identidad administrada

  • Application.Read.All

  • Application.ReadWrite.OwnedBy

  • AuditLog.Read.All

  • BitlockerKey.Read.All

  • CloudPC.ReadWrite.All

  • Device.ReadWrite.All

  • DeviceLocalCredential.Read.All

  • DeviceManagementApps.ReadWrite.All

  • DeviceManagementConfiguration.ReadWrite.All

  • DeviceManagementManagedDevices.PrivilegedOperations.All

  • DeviceManagementManagedDevices.ReadWrite.All

  • DeviceManagementServiceConfig.ReadWrite.All

  • Directory.Read.All

  • Group.Create

  • Group.ReadWrite.All

  • GroupMember.ReadWrite.All

  • IdentityRiskyUser.ReadWrite.All

  • InformationProtectionPolicy.Read.All

  • Mail.Send

  • Organization.Read.All

  • Place.Read.All

  • Policy.Read.All

  • Reports.Read.All

  • RoleAssignmentSchedule.Read.Directory

  • RoleManagement.Read.All

  • RoleManagement.Read.Directory

  • Team.Create

  • TeamSettings.ReadWrite.All

  • User.ReadWrite.All

  • UserAuthenticationMethod.ReadWrite.All

  • WindowsUpdates.ReadWrite.All

hashtag
Otros permisos de API de aplicaciones

Conceda los siguientes permisos de la API de Exchange Online de Office 365 a la identidad administrada

  • Exchange.ManageAsApp

Conceda los siguientes permisos de la API de WindowsDefenderATP a la identidad administrada

  • Machine.Read.All

  • Machine.Isolate

  • Machine.RestrictExecution

  • Ti.ReadWrite.All

Conceda los siguientes permisos de la API de SharePoint a la identidad administrada

  • User.Read.All

  • Sites.Read.All

  • Sites.FullControl.All

hashtag
Otorgar roles y permisos

Actualmente no es posible otorgar permisos a identidades administradas mediante el Portal de Azure. Recomendamos usar MS Graph / scripts de PowerShell para esto.

Puede encontrar un ejemplo de este proceso aquíarrow-up-right.

hashtag
Permisos de recursos de Azure

Otorgue al menos acceso de "Colaborador" a la suscripción o grupo de recursos que aloja la Cuenta de Automatización de Azure para los runbooks

Algunos runbooks usarán una cuenta de almacenamiento de Azure para almacenar informes o copias de seguridad. Otorgue al menos acceso de "Colaborador" a la suscripción o grupo de recursos correspondiente. La mayoría de los runbooks entonces podrán crear los recursos dentro del grupo de recursos por sí mismos.

hashtag
Métodos de autenticación

hashtag
Identidades administradas

Azure Automation admite Identidades administradasarrow-up-right (asignada por el sistema) como la principal forma de autenticación. Esto reemplaza las cuentas RunAs obsoletas.

Los Runbooks de RealmJoin actualmente admiten cuentas RunAs si no se configura una identidad administrada.

circle-exclamation

Si se configuran una identidad administrada y una cuenta RunAs al mismo tiempo, los runbooks del repositorio compartido de RealmJoin preferirán automáticamente usar la identidad administrada cuando utilicen versiones más nuevas de nuestro RealmJoin.RunbookHelper módulo a partir de la v0.8.0.

Las versiones antiguas del módulo no podían aprovechar completamente las identidades administradas y preferían la cuenta RunAs.

Asegúrese de otorgar los permisos necesarios a la identidad administrada o desactívela por completo para usar solo la cuenta RunAs.

hashtag
Secreto de cliente

Algunos runbooks privados pueden necesitar una autenticación tipo ClientID/Secret. Actualmente no hay runbooks compartidos que requieran ClientID y Secret.

Si es necesario, un ClientID y Secret pueden almacenarse en las credenciales administradas llamadas "realmjoin-automation-cred" en la Cuenta de Automatización de Azure.

Actualmente la "realmjoin-automation-cred" en la cuenta de automatización es creada por el Asistente RJ por defecto, pero rellenada con valores aleatorios: tendrían que ser completados con valores correctos.

Última actualización

¿Te fue útil?