circle-info
Este artigo foi traduzido automaticamente. A tradução pode conter imprecisões.
Alternar para a versão original em inglês.chevron-right
search

Requisitos

Esta página wiki aborda quais requisitos e permissões (em nível de sistema) precisam ser concedidos para que runbooks possam ser executados.

hashtag
Módulos do PowerShell

circle-info

A seção Módulos do PowerShell é atualizada automaticamente com base no repositório públicoarrow-up-right.

Os runbooks compartilhados disponíveis no GitHubarrow-up-right esperam/usar os seguintes módulos do Windows PowerShell:

Módulo
Versão mínima nos runbooks

Az.Accounts

5.3.2

Az.Compute

5.1.1

Az.DesktopVirtualization

5.4.1

Az.ManagementPartner

0.7.5

Az.Resources

9.0.1

Az.Storage

9.6.0

ExchangeOnlineManagement

3.9.2

Microsoft.Graph.Authentication

2.35.1

MicrosoftTeams

7.6.0

RealmJoin.RunbookHelper

0.8.5

O Portal RealmJoin importará e instalará automaticamente esses módulos se referenciados de dentro de um runbook. Essa importação também respeitará as versões mínimas especificadas para os módulos.

hashtag
Permissões

circle-info

A seção Permissões é atualizada automaticamente com base no repositório públicoarrow-up-right.

Os runbooks compartilhados do RealmJoin usam a identidade gerenciada atribuída ao sistemaarrow-up-right para interagir com o Entra ID, MS Graph API etc.

A lista a seguir de funções e permissões permitirá que você use todos os runbooks atualmente disponíveis em nosso repositório compartilhado.

Não é recomendável reduzir essas funções/permissões, pois os runbooks são testados apenas com esse conjunto de permissões. Se você reduzir o conjunto de funções/permissões, alguns runbooks deixarão de funcionar.

hashtag
Funções do Entra ID

Atribua as seguintes funções do Entra ID à identidade gerenciada

  • Desenvolvedor de Aplicativos

  • Administrador de Dispositivo em Nuvem

  • Administrador do Exchange

  • Administrador do Teams

  • Administrador de Usuários

hashtag
Permissões da Graph API

Conceda as seguintes permissões da Graph API à identidade gerenciada

  • Application.Read.All

  • Application.ReadWrite.OwnedBy

  • AuditLog.Read.All

  • BitlockerKey.Read.All

  • CloudPC.ReadWrite.All

  • Device.ReadWrite.All

  • DeviceLocalCredential.Read.All

  • DeviceManagementApps.ReadWrite.All

  • DeviceManagementConfiguration.ReadWrite.All

  • DeviceManagementManagedDevices.PrivilegedOperations.All

  • DeviceManagementManagedDevices.ReadWrite.All

  • DeviceManagementServiceConfig.ReadWrite.All

  • Directory.Read.All

  • Group.Create

  • Group.ReadWrite.All

  • GroupMember.ReadWrite.All

  • IdentityRiskyUser.ReadWrite.All

  • InformationProtectionPolicy.Read.All

  • Mail.Send

  • Organization.Read.All

  • Place.Read.All

  • Policy.Read.All

  • Reports.Read.All

  • RoleAssignmentSchedule.Read.Directory

  • RoleManagement.Read.All

  • RoleManagement.Read.Directory

  • Team.Create

  • TeamSettings.ReadWrite.All

  • User.ReadWrite.All

  • UserAuthenticationMethod.ReadWrite.All

  • WindowsUpdates.ReadWrite.All

hashtag
Outras permissões de API de aplicativo

Conceda as seguintes permissões de API do Office 365 Exchange Online à identidade gerenciada

  • Exchange.ManageAsApp

Conceda as seguintes permissões de API do WindowsDefenderATP à identidade gerenciada

  • Machine.Read.All

  • Machine.Isolate

  • Machine.RestrictExecution

  • Ti.ReadWrite.All

Conceda as seguintes permissões de API do SharePoint à identidade gerenciada

  • User.Read.All

  • Sites.Read.All

  • Sites.FullControl.All

hashtag
Concedendo Funções e Permissões

A concessão de permissões a Identidades Gerenciadas atualmente não pode ser feita usando o Portal do Azure. Recomendamos o uso do MS Graph / scripts PowerShell para isso.

Você pode encontrar um exemplo desse processo aquiarrow-up-right.

hashtag
Permissões de Recursos do Azure

Conceda pelo menos acesso de "Colaborador" à assinatura ou ao grupo de recursos que hospeda a Conta de Automação do Azure para os runbooks

Alguns runbooks usarão uma Conta de Armazenamento do Azure para armazenar relatórios ou backups. Conceda pelo menos acesso de "Colaborador" à assinatura ou ao grupo de recursos correspondente. A maioria dos runbooks pode então criar os recursos dentro do grupo de recursos por conta própria.

hashtag
Métodos de Autenticação

hashtag
Identidades Gerenciadas

O Azure Automation suporta Identidades Gerenciadasarrow-up-right (atribuída ao sistema) como a principal forma de autenticação. Isso substitui as contas RunAs obsoletas.

Os Runbooks do RealmJoin atualmente suportam contas RunAs se nenhuma identidade gerenciada estiver configurada.

circle-exclamation

Se uma Identidade Gerenciada e uma conta RunAs estiverem configuradas ao mesmo tempo, os runbooks do repositório compartilhado do RealmJoin automaticamente preferirão usar a Identidade Gerenciada ao usar versões mais recentes de nosso RealmJoin.RunbookHelper Módulo a partir da v0.8.0.

Versões mais antigas do módulo não conseguiam utilizar totalmente as Identidades Gerenciadas e preferiam a conta RunAs.

Por favor, certifique-se de conceder as permissões necessárias à Identidade Gerenciada ou desativá-la completamente para usar apenas a conta RunAs.

hashtag
Segredo do Cliente

Alguns runbooks privados podem precisar de autenticação no estilo ClientID/Secret. Atualmente não há runbooks compartilhados que exijam ClientID e Secret.

Se necessário, um ClientID e Secret podem ser armazenados nas credenciais gerenciadas nomeadas "realmjoin-automation-cred" na Conta de Automação do Azure.

Atualmente a "realmjoin-automation-cred" na conta de automação é criada pelo RJ-Wizard por padrão, mas preenchida com valores aleatórios - eles teriam que ser preenchidos com valores corretos.

Last updated

Was this helpful?