Rollen und Berechtigungen in Azure Update Manager
Um einen virtuellen Azure-Computer oder einen Azure Arc-fähigen Server mit Azure Update Manager zu verwalten, müssen Ihnen die entsprechenden Rollen zugewiesen sein. Sie können entweder vordefinierte Rollen verwenden oder benutzerdefinierte Rollen mit den spezifischen Berechtigungen erstellen, die Sie benötigen. Weitere Informationen finden Sie unter Berechtigungen.
Rollen
Die integrierten Rollen bieten umfassende Berechtigungen auf einem virtuellen Computer, die auch alle Azure Update Manager-Berechtigungen enthalten.
| Ressource | Rolle |
|---|---|
| Azure-VM | Azure Virtual Machine-Mitwirkende oder Besitzende |
| Server mit Azure Arc-Unterstützung | Ressourcenadministrator für Azure Connected Machine |
Berechtigungen
Sie benötigen die folgenden Berechtigungen zum Verwalten von Aktualisierungsvorgängen. In der folgenden Tabelle sind die Berechtigungen aufgeführt, die für die Verwendung des Update-Managers erforderlich sind. Sie können eine benutzerdefinierte Rolle erstellen und dieser Rolle nur die gewünschten Berechtigungen zuweisen, sodass nur Berechtigungen für bestimmte Aktionen je nach Bedarf bereitgestellt werden.
Lesen von Berechtigungen für Update-Manager zum Anzeigen von Update-Manager-Daten
| Aktionen | Berechtigung | Umfang |
|---|---|---|
| Lesen von Azure-VM-Eigenschaften | Microsoft.Compute/virtualMachines/read | |
| Lesen von Bewertungsdaten für Azure-VMs | Microsoft.Compute/virtualMachines/patchAssessmentResults/read Microsoft.Compute/virtualMachines/patchAssessmentResults/softwarePatches/read |
|
| Lesen von Patchinstallationsdaten für Azure-VMs | Microsoft.Compute/virtualMachines/patchInstallationResults/read Microsoft.Compute/virtualMachines/patchInstallationResults/softwarePatches/read |
|
| Lesen von Eigenschaften Azure Arc-fähiger Server | Microsoft.HybridCompute/machines/read | |
| Lesen von Bewertungsdaten für Azure Arc-fähige Server | Microsoft.HybridCompute/machines/patchAssessmentResults/read Microsoft.HybridCompute/machines/patchAssessmentResults/softwarePatches/read |
|
| Lesen von Patchinstallationsdaten für Azure Arc-fähige Server | Microsoft.HybridCompute/machines/patchInstallationResults/read Microsoft.HybridCompute/machines/patchInstallationResults/softwarePatches/read |
|
| Abrufen des Status eines asynchronen Vorgangsfür den virtuellenAzure-Computer | Microsoft.Compute/locations/operations/read | Computerabonnement |
| Lesen des Status eines Update Center-Vorgangs auf Azure-Computern | Microsoft.HybridCompute/locations/updateCenterOperationResults/read | Computerabonnement |
Berechtigungen zum Ausführen von bedarfsgesteuerten Aktionen in Azure Update Manager
Beachten Sie, dass die folgenden Berechtigungen zusätzlich zu den Leseberechtigungen erforderlich wären, die auf einzelnen Computern dokumentiert sind, auf denen bedarfsgesteuerte Vorgänge durchgeführt werden.
| Aktionen | Berechtigung | Umfang |
|---|---|---|
| Auslösender Bewertung auf Azure-VMs | Microsoft.Compute/virtualMachines/assessPatches/action | |
| Installieren von Updates auf Azure-VMs | Microsoft.Compute/virtualMachines/installPatches/action | |
| Abrufen des Status eines asynchronen Vorgangs für den virtuellen Azure-Computer | Microsoft.Compute/locations/operations/read | Computerabonnement |
| Auslösen der Bewertung auf Azure Arc-fähigen Servern | Microsoft.HybridCompute/machines/assessPatches/action | |
| Installieren von Updates auf Azure Arc-fähigen Servern | Microsoft.HybridCompute/machines/installPatches/action | |
| Liest den Status eines Update Center-Vorgangs aufArc-Computern | Microsoft.HybridCompute/locations/updateCenterOperationResults/read | Computerabonnement |
| Updatepatch-Modus /BewertungsmodusfürAzure VirtualMachines | Microsoft.Compute/virtualMachines/write | Machine |
| Updatebewertungsmodus fürArc-Computer | Microsoft.HybridCompute/machines/write | Machine |
Geplante Berechtigungen für das Patching (Verwaltungskonfiguration)
Beachten Sie, dass niedrigere Berechtigungen zusätzlich zu Berechtigungen zu einzelnen Computern erforderlich wären, die von Zeitplänen verwaltet werden.
| Aktionen | Berechtigung | Umfang |
|---|---|---|
| Registrieren des Abonnements für denMicrosoft.Maintenance-Ressourcenanbieter | Microsoft.Maintenance/register/action | Subscription |
| Erstellen/Ändern der Wartungskonfiguration | Microsoft.Maintenance/maintenanceConfigurations/write | Abonnement/Ressourcengruppe |
| Wartungskonfiguration lesen | Microsoft.Maintenance/maintenanceConfigurations/read | Abonnement/Ressourcengruppe |
| Wartungskonfiguration löschen | Microsoft.Maintenance/maintenanceConfigurations/delete | Abonnement/Ressourcengruppe |
| Erstellen/Ändern von Konfigurationszuweisungen | Microsoft.Maintenance/configurationAssignments/write | Abonnement/Ressourcengruppe/Computer |
| Konfigurationszuweisungen lesen | Microsoft.Maintenance/configurationAssignments/read | Abonnement/Ressourcengruppe/Computer |
| Konfigurationszuweisungen löschen | Microsoft.Maintenance/configurationAssignments/delete | Abonnement/Ressourcengruppe/Computer |
| Ressource für Wartungsupdates lesen | Microsoft.Maintenance/updates/read | Machine |
| Ressource für Anwendung von Wartungsupdates lesen | Microsoft.Maintenance/applyUpdates/read | Machine |
| Abrufen einer Liste für die Updatebereitstellung | Microsoft.Resources/deployments/read | Wartungskonfiguration und Abonnement für den virtuellen Computer |
| Erstellen oder Aktualisieren einer Updatebereitstellung | Microsoft.Resources/deployments/write | Wartungskonfiguration und Abonnement für den virtuellen Computer |
| Abrufen einer Liste der Status des Updatebereitstellungsvorgangs | Microsoft.Resources/deployments/operation statuses | Wartungskonfiguration und Abonnement für den virtuellen Computer |
| Wartungskonfigurationszuweisung für InGuestPatch-Wartungsbereich lesen | Microsoft.Maintenance/configurationAssignments/maintenanceScope/InGuestPatch/read | Abonnement/Ressourcengruppe/Computer |
| Wartungskonfigurationszuweisung für InGuestPatch-Wartungsbereich erstellen/ändern | Microsoft.Maintenance/configurationAssignments/maintenanceScope/InGuestPatch/write | Abonnement/Ressourcengruppe/Computer |
| Wartungskonfigurationszuweisung für InGuestPatch-Wartungsbereich löschen | Microsoft.Maintenance/configurationAssignments/maintenanceScope/InGuestPatch/delete | Abonnement/Ressourcengruppe/Computer |
| Wartungskonfiguration für InGuestPatch-Wartungsbereich lesen | Microsoft.Maintenance/maintenanceConfigurations/maintenanceScope/InGuestPatch/read | Abonnement/Ressourcengruppe |
| Wartungskonfiguration für InGuestPatch-Wartungsbereich erstellen/ändern | Microsoft.Maintenance/maintenanceConfigurations/maintenanceScope/InGuestPatch/write | Abonnement/Ressourcengruppe |
| Wartungskonfiguration für InGuestPatch-Wartungsbereich löschen | Microsoft.Maintenance/maintenanceConfigurations/maintenanceScope/InGuestPatch/delete | Abonnement/Ressourcengruppe |