Azure 更新管理員中的角色和權限

若要使用 Azure 更新管理員來管理 Azure VM 或已啟用 Azure Arc 的伺服器，您必須獲派適當角色。 您可以使用預先定義的角色，或建立具有所需特定權限的自訂角色。 如需詳細資訊，請參閱權限。

角色

內建角色會提供虛擬機器上的全面權限，其中也包括所有 Azure 更新管理員權限。

資源	Role
Azure VM	Azure 虛擬機參與者或 Azure 擁有者。
已啟用 Azure Arc 的伺服器	Azure Connected Machine 資源管理員

權限

您需要下列權限來管理更新作業。 下表會顯示使用更新管理員時所需的權限。 您可以建立自訂角色，並且僅指派所需權限給該角色，以便按照需要只提供特定動作的權限。

可讓更新管理員檢視更新管理員資料的讀取權限

動作	權限	Scope
讀取 Azure VM 屬性	Microsoft.Compute/virtualMachines/read
讀取 Azure VM 的評量資料	Microsoft.Compute/virtualMachines/patchAssessmentResults/read Microsoft.Compute/virtualMachines/patchAssessmentResults/softwarePatches/read
讀取 Azure VM 的修補程式安裝資料	Microsoft.Compute/virtualMachines/patchInstallationResults/read Microsoft.Compute/virtualMachines/patchInstallationResults/softwarePatches/read
讀取已啟用 Azure Arc 的伺服器屬性	Microsoft.HybridCompute/machines/read
讀取已啟用 Azure Arc 之伺服器的評量資料	Microsoft.HybridCompute/machines/patchAssessmentResults/read Microsoft.HybridCompute/machines/patchAssessmentResults/softwarePatches/read
讀取已啟用 Azure Arc 之伺服器的修補程式安裝資料	Microsoft.HybridCompute/machines/patchInstallationResults/read Microsoft.HybridCompute/machines/patchInstallationResults/softwarePatches/read
取得 Azure 虛擬機器的非同步作業狀態	Microsoft.Compute/locations/operations/read	機器訂用帳戶
讀取 Arc 機器上更新中心作業的狀態	Microsoft.HybridCompute/locations/updateCenterOperationResults/read	機器訂用帳戶

用來在 Azure 更新管理員中執行隨選動作的權限

請注意，除了上方所記載隨選作業執行所在個別機器上的讀取權限外，還需要下列權限。

動作	權限	Scope
在 Azure VM 上觸發評量	Microsoft.Compute/virtualMachines/assessPatches/action
在 Azure VM 上安裝更新	Microsoft.Compute/virtualMachines/installPatches/action
取得 Azure 虛擬機器的非同步作業狀態	Microsoft.Compute/locations/operations/read	機器訂用帳戶
在已啟用 Azure Arc 的伺服器上觸發評量	Microsoft.HybridCompute/machines/assessPatches/action
在已啟用 Azure Arc 的伺服器上安裝更新	Microsoft.HybridCompute/machines/installPatches/action
讀取 Arc 機器上更新中心作業的狀態	Microsoft.HybridCompute/locations/updateCenterOperationResults/read	機器訂用帳戶
更新 Azure 虛擬機器的修正模式/評量模式	Microsoft.Compute/virtualMachines/delete	機器
更新 Arc 機器的評量模式	Microsoft.HybridCompute/machines/write	機器

已排程修補 (維護設定) 的相關權限

請注意，除了個別機器上的權限外，還需要下列會由排程管理的權限。

動作	權限	Scope
註冊 Microsoft.Maintenance 資源提供者的訂用帳戶	Microsoft.Maintenance/register/action	訂用帳戶
建立/修改維護設定	Microsoft.Maintenance/maintenanceConfigurations/write	訂用帳戶/資源群組
建立/修改設定指派	Microsoft.Maintenance/configurationAssignments/write	訂用帳戶/資源群組/機器
維護更新資源的讀取權限	Microsoft.Maintenance/updates/read	機器
維護套用更新資源的讀取權限	Microsoft.Maintenance/applyUpdates/read	機器
取得更新部署的清單	Microsoft.Resources/deployments/read	維護設定和虛擬機器訂用帳戶
建立或更新更新部署	Microsoft.Resources/deployments/write	維護設定和虛擬機器訂用帳戶
取得更新部署作業狀態的清單	Microsoft.Resources/deployments/operation statuses	維護設定和虛擬機器訂用帳戶

下一步

• 更新管理員的必要條件。
• 更新管理員的運作方式。