circle-info
Cet article a été traduit automatiquement. La traduction peut contenir des imprécisions.
Passer à la version originale en anglais.chevron-right
search

Exigences

Cette page wiki explique quelles exigences et autorisations (au niveau système) doivent être accordées afin que les runbooks puissent être exécutés.

hashtag
Modules PowerShell

circle-info

La section Modules PowerShell est mise à jour automatiquement en fonction du dépôt publicarrow-up-right.

Les runbooks partagés disponibles sur GitHubarrow-up-right attendent/utilisent les modules Windows PowerShell suivants :

Module
Version minimale dans les runbooks

Az.Accounts

5.3.2

Az.Compute

5.1.1

Az.DesktopVirtualization

5.4.1

Az.ManagementPartner

0.7.5

Az.Resources

9.0.1

Az.Storage

9.6.0

ExchangeOnlineManagement

3.9.2

Microsoft.Graph.Authentication

2.35.1

MicrosoftTeams

7.6.0

RealmJoin.RunbookHelper

0.8.5

Le portail RealmJoin importera et installera automatiquement ces modules s'ils sont référencés depuis un runbook. Cet import respectera également les versions minimales spécifiées pour les modules.

hashtag
Autorisations

circle-info

La section Permissions est mise à jour automatiquement en fonction du dépôt publicarrow-up-right.

Les runbooks partagés RealmJoin utilisent l' identité gérée attribuée par le systèmearrow-up-right pour interagir avec Entra ID, MS Graph API, etc.

La liste suivante de rôles et permissions vous permettra d'utiliser tous les runbooks actuellement disponibles dans notre dépôt partagé.

Il n'est pas recommandé de réduire ces rôles/permissions car les runbooks sont testés uniquement avec cet ensemble de permissions. Si vous réduisez l'ensemble des rôles/permissions, certains runbooks cesseront de fonctionner.

hashtag
Rôles Entra ID

Veuillez attribuer les rôles Entra ID suivants à l'identité gérée

  • Développeur d'application

  • Administrateur des appareils cloud

  • Administrateur Exchange

  • Administrateur Teams

  • Administrateur des utilisateurs

hashtag
Permissions Graph API

Veuillez accorder les permissions Graph API suivantes à l'identité gérée

  • Application.Read.All

  • Application.ReadWrite.OwnedBy

  • AuditLog.Read.All

  • BitlockerKey.Read.All

  • CloudPC.ReadWrite.All

  • Device.ReadWrite.All

  • DeviceLocalCredential.Read.All

  • DeviceManagementApps.ReadWrite.All

  • DeviceManagementConfiguration.ReadWrite.All

  • DeviceManagementManagedDevices.PrivilegedOperations.All

  • DeviceManagementManagedDevices.ReadWrite.All

  • DeviceManagementServiceConfig.ReadWrite.All

  • Directory.Read.All

  • Group.Create

  • Group.ReadWrite.All

  • GroupMember.ReadWrite.All

  • IdentityRiskyUser.ReadWrite.All

  • InformationProtectionPolicy.Read.All

  • Mail.Send

  • Organization.Read.All

  • Place.Read.All

  • Policy.Read.All

  • Reports.Read.All

  • RoleAssignmentSchedule.Read.Directory

  • RoleManagement.Read.All

  • RoleManagement.Read.Directory

  • Team.Create

  • TeamSettings.ReadWrite.All

  • User.ReadWrite.All

  • UserAuthenticationMethod.ReadWrite.All

  • WindowsUpdates.ReadWrite.All

hashtag
Autres permissions d'API d'application

Veuillez accorder les permissions API Office 365 Exchange Online suivantes à l'identité gérée

  • Exchange.ManageAsApp

Veuillez accorder les permissions API WindowsDefenderATP suivantes à l'identité gérée

  • Machine.Read.All

  • Machine.Isolate

  • Machine.RestrictExecution

  • Ti.ReadWrite.All

Veuillez accorder les permissions API SharePoint suivantes à l'identité gérée

  • User.Read.All

  • Sites.Read.All

  • Sites.FullControl.All

hashtag
Attribution des rôles et permissions

L'attribution de permissions aux identités gérées ne peut actuellement pas être effectuée via le portail Azure. Nous recommandons d'utiliser MS Graph / les scripts PowerShell pour cela.

Vous pouvez trouver un exemple pour ce processus iciarrow-up-right.

hashtag
Permissions des ressources Azure

Veuillez accorder au minimum l'accès « Contributeur » à l'abonnement ou au groupe de ressources hébergeant le compte Azure Automation pour les runbooks

Certains runbooks utiliseront un compte de stockage Azure pour stocker des rapports ou des sauvegardes. Veuillez accorder au minimum l'accès « Contributeur » à l'abonnement ou au groupe de ressources correspondant. La plupart des runbooks peuvent ensuite créer eux-mêmes les ressources à l'intérieur du groupe de ressources.

hashtag
Méthodes d'authentification

hashtag
Identités gérées

Azure Automation prend en charge Identités géréesarrow-up-right (attribuée par le système) comme principal moyen d'authentification. Cela remplace les comptes RunAs obsolètes.

Les runbooks RealmJoin prennent actuellement en charge les comptes RunAs si aucune identité gérée n'est configurée.

circle-exclamation

Si une identité gérée et un compte RunAs sont configurés en même temps, les runbooks du dépôt partagé de RealmJoin privilégieront automatiquement l'utilisation de l'identité gérée lorsqu'ils utilisent des versions plus récentes de notre RealmJoin.RunbookHelper module à partir de la v0.8.0.

Les versions antérieures du module ne pouvaient pas pleinement utiliser les identités gérées et privilégiaient le compte RunAs.

Veuillez vous assurer que vous accordez les permissions nécessaires à l'identité gérée ou désactivez-la complètement pour n'utiliser que le compte RunAs.

hashtag
Secret client

Certains runbooks privés peuvent nécessiter une authentification de type ClientID/Secret. Il n'existe actuellement aucun runbook partagé qui exige ClientID et Secret.

Si nécessaire, un ClientID et un Secret peuvent être stockés dans les informations d'identification gérées nommées « realmjoin-automation-cred » dans le compte Azure Automation.

Actuellement, la « realmjoin-automation-cred » dans le compte d'automatisation est créée par défaut par l'assistant RJ, mais remplie avec des valeurs aléatoires - elles devront être remplacées par des valeurs correctes.

Mis à jour

Ce contenu vous a-t-il été utile ?