Freigeben über


Rollen und Berechtigungen in Azure Update Manager

Um einen virtuellen Azure-Computer oder einen Azure Arc-fähigen Server mit Azure Update Manager zu verwalten, müssen Ihnen die entsprechenden Rollen zugewiesen sein. Sie können entweder vordefinierte Rollen verwenden oder benutzerdefinierte Rollen mit den spezifischen Berechtigungen erstellen, die Sie benötigen. Weitere Informationen finden Sie unter Berechtigungen.

Rollen

Die integrierten Rollen bieten umfassende Berechtigungen auf einem virtuellen Computer, die auch alle Azure Update Manager-Berechtigungen enthalten.

Ressource Rolle
Azure-VM Azure Virtual Machine-Mitwirkende oder Besitzende
Server mit Azure Arc-Unterstützung Ressourcenadministrator für Azure Connected Machine

Berechtigungen

Sie benötigen die folgenden Berechtigungen zum Verwalten von Aktualisierungsvorgängen. In der folgenden Tabelle sind die Berechtigungen aufgeführt, die für die Verwendung des Update-Managers erforderlich sind. Sie können eine benutzerdefinierte Rolle erstellen und dieser Rolle nur die gewünschten Berechtigungen zuweisen, sodass nur Berechtigungen für bestimmte Aktionen je nach Bedarf bereitgestellt werden.

Lesen von Berechtigungen für Update-Manager zum Anzeigen von Update-Manager-Daten

Aktionen Berechtigung Umfang
Lesen von Azure-VM-Eigenschaften Microsoft.Compute/virtualMachines/read
Lesen von Bewertungsdaten für Azure-VMs Microsoft.Compute/virtualMachines/patchAssessmentResults/read
Microsoft.Compute/virtualMachines/patchAssessmentResults/softwarePatches/read
Lesen von Patchinstallationsdaten für Azure-VMs Microsoft.Compute/virtualMachines/patchInstallationResults/read
Microsoft.Compute/virtualMachines/patchInstallationResults/softwarePatches/read
Lesen von Eigenschaften Azure Arc-fähiger Server Microsoft.HybridCompute/machines/read
Lesen von Bewertungsdaten für Azure Arc-fähige Server Microsoft.HybridCompute/machines/patchAssessmentResults/read
Microsoft.HybridCompute/machines/patchAssessmentResults/softwarePatches/read
Lesen von Patchinstallationsdaten für Azure Arc-fähige Server Microsoft.HybridCompute/machines/patchInstallationResults/read
Microsoft.HybridCompute/machines/patchInstallationResults/softwarePatches/read
Abrufen des Status eines asynchronen Vorgangsfür den virtuellenAzure-Computer Microsoft.Compute/locations/operations/read Computerabonnement
Lesen des Status eines Update Center-Vorgangs auf Azure-Computern Microsoft.HybridCompute/locations/updateCenterOperationResults/read Computerabonnement

Berechtigungen zum Ausführen von bedarfsgesteuerten Aktionen in Azure Update Manager

Beachten Sie, dass die folgenden Berechtigungen zusätzlich zu den Leseberechtigungen erforderlich wären, die auf einzelnen Computern dokumentiert sind, auf denen bedarfsgesteuerte Vorgänge durchgeführt werden.

Aktionen Berechtigung Umfang
Auslösender Bewertung auf Azure-VMs Microsoft.Compute/virtualMachines/assessPatches/action
Installieren von Updates auf Azure-VMs Microsoft.Compute/virtualMachines/installPatches/action
Abrufen des Status eines asynchronen Vorgangs für den virtuellen Azure-Computer Microsoft.Compute/locations/operations/read Computerabonnement
Auslösen der Bewertung auf Azure Arc-fähigen Servern Microsoft.HybridCompute/machines/assessPatches/action
Installieren von Updates auf Azure Arc-fähigen Servern Microsoft.HybridCompute/machines/installPatches/action
Liest den Status eines Update Center-Vorgangs aufArc-Computern Microsoft.HybridCompute/locations/updateCenterOperationResults/read Computerabonnement
Updatepatch-Modus /BewertungsmodusfürAzure VirtualMachines Microsoft.Compute/virtualMachines/write Machine
Updatebewertungsmodus fürArc-Computer Microsoft.HybridCompute/machines/write Machine

Beachten Sie, dass niedrigere Berechtigungen zusätzlich zu Berechtigungen zu einzelnen Computern erforderlich wären, die von Zeitplänen verwaltet werden.

Aktionen Berechtigung Umfang
Registrieren des Abonnements für denMicrosoft.Maintenance-Ressourcenanbieter Microsoft.Maintenance/register/action Subscription
Erstellen/Ändern der Wartungskonfiguration Microsoft.Maintenance/maintenanceConfigurations/write Abonnement/Ressourcengruppe
Wartungskonfiguration lesen Microsoft.Maintenance/maintenanceConfigurations/read Abonnement/Ressourcengruppe
Wartungskonfiguration löschen Microsoft.Maintenance/maintenanceConfigurations/delete Abonnement/Ressourcengruppe
Erstellen/Ändern von Konfigurationszuweisungen Microsoft.Maintenance/configurationAssignments/write Abonnement/Ressourcengruppe/Computer
Konfigurationszuweisungen lesen Microsoft.Maintenance/configurationAssignments/read Abonnement/Ressourcengruppe/Computer
Konfigurationszuweisungen löschen Microsoft.Maintenance/configurationAssignments/delete Abonnement/Ressourcengruppe/Computer
Ressource für Wartungsupdates lesen Microsoft.Maintenance/updates/read Machine
Ressource für Anwendung von Wartungsupdates lesen Microsoft.Maintenance/applyUpdates/read Machine
Abrufen einer Liste für die Updatebereitstellung Microsoft.Resources/deployments/read Wartungskonfiguration und Abonnement für den virtuellen Computer
Erstellen oder Aktualisieren einer Updatebereitstellung Microsoft.Resources/deployments/write Wartungskonfiguration und Abonnement für den virtuellen Computer
Abrufen einer Liste der Status des Updatebereitstellungsvorgangs Microsoft.Resources/deployments/operation statuses Wartungskonfiguration und Abonnement für den virtuellen Computer
Wartungskonfigurationszuweisung für InGuestPatch-Wartungsbereich lesen Microsoft.Maintenance/configurationAssignments/maintenanceScope/InGuestPatch/read Abonnement/Ressourcengruppe/Computer
Wartungskonfigurationszuweisung für InGuestPatch-Wartungsbereich erstellen/ändern Microsoft.Maintenance/configurationAssignments/maintenanceScope/InGuestPatch/write Abonnement/Ressourcengruppe/Computer
Wartungskonfigurationszuweisung für InGuestPatch-Wartungsbereich löschen Microsoft.Maintenance/configurationAssignments/maintenanceScope/InGuestPatch/delete Abonnement/Ressourcengruppe/Computer
Wartungskonfiguration für InGuestPatch-Wartungsbereich lesen Microsoft.Maintenance/maintenanceConfigurations/maintenanceScope/InGuestPatch/read Abonnement/Ressourcengruppe
Wartungskonfiguration für InGuestPatch-Wartungsbereich erstellen/ändern Microsoft.Maintenance/maintenanceConfigurations/maintenanceScope/InGuestPatch/write Abonnement/Ressourcengruppe
Wartungskonfiguration für InGuestPatch-Wartungsbereich löschen Microsoft.Maintenance/maintenanceConfigurations/maintenanceScope/InGuestPatch/delete Abonnement/Ressourcengruppe

Nächste Schritte