Reparieren eines Automanage-Kontos
Achtung
Am 31. August 2024 werden sowohl die Automation-Updateverwaltung als auch der Log Analytics-Agent, den sie verwendet, eingestellt. Migrieren Sie vor diesem Datum zu Azure Update Manager. Die Anleitung für die Migration zu Azure Update Manager finden Sie hier. Jetzt migrieren
Wichtig
Dieser Artikel ist nur für Computer relevant, die in die frühere Version von Automanage (API-Version 2020-06-30-preview) integriert wurden. Der Status für diese Computer ist Aktualisierung erforderlich.
Ihr Azure Automanage-Konto ist der Sicherheitskontext bzw. die Identität, unter dem bzw. unter der die automatisierten Vorgänge ausgeführt werden. Wenn Sie vor kurzem ein Abonnement mit einem Automanage-Konto in einen neuen Mandanten verschoben haben, müssen Sie das Konto neu konfigurieren. Hierzu müssen Sie den Identitätstyp zurücksetzen und die entsprechenden Rollen für das Konto zuweisen.
Schritt 1: Zurücksetzen des Identitätstyps des Automanage-Kontos
Setzen Sie den Identitätstyp des Automanage-Kontos mithilfe der folgenden ARM-Vorlage (Azure Resource Manager) zurück. Speichern Sie die Datei lokal unter „armdeploy.json“ oder unter einem ähnlichen Namen. Notieren Sie sich Name und Ort Ihres Automanage-Kontos, da es sich bei diesen Angaben um erforderliche Parameter in der ARM-Vorlage handelt.
Erstellen Sie mithilfe der folgenden Vorlage eine Resource Manager-Bereitstellung. Verwenden Sie
identityType = None
.- Die Bereitstellung kann über die Azure CLI mithilfe von
az deployment sub create
erstellt werden. Weitere Informationen finden Sie unter az deployment sub. - Die Bereitstellung kann per PowerShell mithilfe des Moduls
New-AzDeployment
erstellt werden. Weitere Informationen finden Sie unter New-AzDeployment.
- Die Bereitstellung kann über die Azure CLI mithilfe von
Führen Sie die gleiche ARM-Vorlage noch einmal mit
identityType = SystemAssigned
aus.
{
"$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
"contentVersion": "1.0.0.0",
"parameters": {
"accountName": {
"type": "string"
},
"location": {
"type": "string"
},
"identityType": {
"type": "string",
"allowedValues": [ "None", "SystemAssigned" ]
}
},
"resources": [
{
"apiVersion": "2020-06-30-preview",
"name": "[parameters('accountName')]",
"location": "[parameters('location')]",
"type": "Microsoft.Automanage/accounts",
"identity": {
"type": "[parameters('identityType')]"
}
}
]
}
Schritt 2: Zuweisen geeigneter Rollen für das Automanage-Konto
Das Automanage-Konto muss für das Abonnement mit den virtuellen Computern, die von Automanage verwaltet werden, über die Rollen „Mitwirkender“ und „Mitwirkender bei Ressourcenrichtlinien“ verfügen. Diese Rollen können über das Azure-Portal, mithilfe von ARM-Vorlagen oder per Azure CLI zugewiesen werden.
Bei Verwendung einer ARM-Vorlage oder der Azure CLI benötigen Sie die Prinzipal-ID (oder auch Objekt-ID) Ihres Automanage-Kontos. (Bei Verwendung des Azure-Portals wird diese ID nicht benötigt.) Diese ID finden Sie wie folgt:
Azure-Befehlszeilenschnittstelle: Verwenden Sie den Befehl
az ad sp list --display-name <name of your Automanage Account>
.Azure-Portal: Wechseln Sie zu Microsoft Entra-ID und suchen Sie anhand des Namens nach Ihrem Automanage-Konto. Wählen Sie unter Unternehmensanwendungen den Namen des Automanage-Kontos aus, wenn es angezeigt wird.
Azure-Portal
Navigieren Sie unter Abonnements zu dem Abonnement, das Ihre automatisch verwalteten virtuellen Computer enthält.
Wählen Sie die Option Zugriffssteuerung (IAM) aus.
Wählen Sie Hinzufügen>Rollenzuweisung hinzufügen aus, um die Seite Rollenzuweisung hinzufügen zu öffnen.
Weisen Sie die folgende Rolle zu. Ausführliche Informationen finden Sie unter Zuweisen von Azure-Rollen über das Azure-Portal.
Einstellung Wert Role Beitragender Zugriff zuweisen zu Benutzer, Gruppe oder Dienstprinzipal Member <Name Ihres Automanage-Kontos> Wiederholen Sie die Schritte 2 bis 4 mit der Rolle Mitwirkender bei Ressourcenrichtlinien.
ARM-Vorlage
Führen Sie die folgende ARM-Vorlage aus. Sie benötigen die Prinzipal-ID Ihres Automanage-Kontos. Die Schritte zum Abrufen dieses Werts finden Sie am Anfang dieses Abschnitts. Geben Sie die ID ein, wenn Sie dazu aufgefordert werden.
{
"$schema": "https://schema.management.azure.com/schemas/2015-01-01/deploymentTemplate.json#",
"contentVersion": "1.0.0.0",
"parameters": {
"principalId": {
"type": "string",
"metadata": {
"description": "The principal to assign the role to"
}
}
},
"variables": {
"Contributor": "[concat('/subscriptions/', subscription().subscriptionId, '/providers/Microsoft.Authorization/roleDefinitions/', 'b24988ac-6180-42a0-ab88-20f7382dd24c')]",
"Resource Policy Contributor": "[concat('/subscriptions/', subscription().subscriptionId, '/providers/Microsoft.Authorization/roleDefinitions/', '36243c78-bf99-498c-9df9-86d9f8d28608')]"
},
"resources": [
{
"type": "Microsoft.Authorization/roleAssignments",
"apiVersion": "2018-09-01-preview",
"name": "[guid(uniqueString(variables('Contributor')))]",
"properties": {
"roleDefinitionId": "[variables('Contributor')]",
"principalId": "[parameters('principalId')]"
}
},
{
"type": "Microsoft.Authorization/roleAssignments",
"apiVersion": "2018-09-01-preview",
"name": "[guid(uniqueString(variables('Resource Policy Contributor')))]",
"properties": {
"roleDefinitionId": "[variables('Resource Policy Contributor')]",
"principalId": "[parameters('principalId')]"
}
}
]
}
Azure CLI
Führen Sie diese Befehle aus:
az role assignment create --assignee-object-id <your Automanage Account Object ID> --role "Contributor" --scope /subscriptions/<your subscription ID>
az role assignment create --assignee-object-id <your Automanage Account Object ID> --role "Resource Policy Contributor" --scope /subscriptions/<your subscription ID>
Nächste Schritte
Weitere Informationen zu Azure Automanage finden Sie hier.