Freigeben über

Automanage Konten

Achtung

Am 30. September 2027 wird der Azure Automanage Best Practices-Dienst eingestellt. Daher führt der Versuch, ein neues Konfigurationsprofil zu erstellen oder ein neues Abonnement zum Dienst hinzuzufügen, zu einem Fehler. Hier erfahren Sie mehr darüber, wie Sie vor diesem Datum zu Azure Policy migrieren.

Achtung

Ab dem 1. Februar 2025 wird Azure Automanage Änderungen vornehmen, um die Unterstützung und Durchsetzung für alle Dienste, die vom veralteten Microsoft Monitoring Agent (MMA) abhängig sind, einzustellen. Um die Änderungsnachverfolgung und -verwaltung, VM Insights, die Updateverwaltung und Azure Automation weiterhin nutzen zu können, müssen Sie zum neuen Azure Monitor-Agent (AMA) migrieren.

Das Automanage-Konto ist die Identität, die vom Automanage-Dienst zum Ausführen seiner automatisierten Vorgänge verwendet wird.

Wenn Sie in der Azure-Portalerfahrung die automatische Verwaltung auf Ihren VMs aktivieren, gibt es eine Dropdownliste „Erweitert“ auf dem Blatt Bewährte Methode zum Aktivieren einer Azure-VM, mit der Sie das Konto für die automatische Verwaltung zuweisen oder manuell erstellen können.

Dem Automanage-Konto wird sowohl die Rolle Mitwirkender als auch Mitwirkender bei Ressourcenrichtlinien zu den Abonnements gewährt, die die Computer enthalten, die Sie in Automanage integrieren. Sie können das gleiche Automanage-Konto über mehrere Abonnements hinweg auf Computern verwenden. Dadurch werden diesem Automanage-Konto die Rollen Mitwirkender und Mitwirkender bei Ressourcenrichtlinien für alle Abonnements erteilt.

Wenn Ihr virtueller Computer mit einem Log Analytics-Arbeitsbereich in einem anderen Abonnement verbunden ist, wird dem Automanage-Konto sowohl die Rolle Mitwirkender als auch Mitwirkender bei Ressourcenrichtlinien in diesem anderen Abonnement gewährt.

Wenn Sie automatische Verwaltung mit einem neuen Konto für die automatische Verwaltung aktivieren, benötigen Sie die folgenden Berechtigungen für Ihr Abonnement: Rolle Besitzer oder Mitwirkender sowie Rollen vom Typ Benutzerzugriffsadministrator.

Wenn Sie Automanage mit einem vorhandenen Automanage-Konto aktivieren, müssen Sie über die Rolle Mitwirkender für die Ressourcengruppe verfügen, die Ihre virtuellen Computer enthält.

Hinweis

Wenn Sie bewährte Methoden für Automanage deaktivieren, bleiben die Berechtigungen des Automanage-Kontos für alle zugeordneten Abonnements erhalten. Entfernen Sie die Berechtigungen manuell, indem Sie die IAM-Seite des Abonnements aufrufen oder das Automanage-Konto löschen. Das Automanage-Konto kann nicht gelöscht werden, wenn es noch Computer verwaltet.

Erstellen eines Automanage-Kontos

Sie können ein Automanage-Konto über das Portal oder mithilfe einer ARM-Vorlage erstellen.

Portal

  1. Navigieren Sie zum Blatt Automanage im Portal.
  2. Klicken Sie auf Für vorhandenen Computer aktivieren.
  3. Klicken Sie unter Erweitert auf „Neues Konto erstellen“.
  4. Füllen Sie die erforderlichen Felder aus, und klicken Sie auf Erstellen.

ARM-Vorlage

Zum Erstellen eines Automanage-Kontos mithilfe einer ARM-Vorlage sind zwei Schritte erforderlich:

  1. Erstellen des Automanage-Kontos
  2. Erteilen ausreichender Berechtigungen für das Konto, damit es Vorgänge für Sie ausführen darf
    1. Sie benötigen die Objekt-ID des Kontos, das Sie für diesen Schritt erstellt haben.
      1. Schritte zum Ermitteln von Details zum Dienstprinzipal Ihres Kontos (einschließlich der Objekt-ID) finden Sie hier.
    2. Nachdem Sie Ihren Dienstprinzipal gefunden haben, kopieren Sie die Objekt-ID. Speichern Sie diese, da Sie sie weiter unten noch zum Delegieren von Berechtigungen benötigen.

1. Erstellen eines Automanage-Kontos (gewährt diesem keine Berechtigungen)

Speichern Sie zum Erstellen eines Automanage-Kontos die folgende ARM-Vorlage unter azuredeploy.json, und führen Sie den folgenden Azure CLI-Befehl aus. Sobald Sie fertig sind, fahren Sie mit der zweiten Vorlage unten fort, um ausreichende Berechtigungen an das Konto zu delegieren.

az deployment group create --resource-group <resource group name> --template-file azuredeploy.json

{
    "$schema": "https://schema.management.azure.com/schemas/2015-01-01/deploymentTemplate.json#",
    "contentVersion": "1.0.0.0",
    "parameters": {
        "automanageAccountName": {
            "type": "String"
        },
        "location": {
            "type": "String"
        }
    },
    "resources": [
        {
            "apiVersion": "2020-06-30-preview",
            "type": "Microsoft.Automanage/accounts",
            "name": "[parameters('automanageAccountName')]",
            "location": "[parameters('location')]",
            "identity": {
                "type": "SystemAssigned"
            }
        }
    ]
}

2. Erteilen von Berechtigungen für das Automanage-Konto

Um dem Automanage-Konto ausreichende Berechtigungen zu gewähren, müssen Sie folgende Schritte ausführen:

  1. Speichern Sie die folgende ARM-Vorlage unter azuredeploy2.json, und führen Sie den folgenden Azure CLI Befehl aus.
  2. Wenn Sie dazu aufgefordert werden, geben Sie die Objekt-ID des Automanage-Kontos ein, das Sie erstellt und gespeichert haben.
az deployment sub create --location <location> --template-file azuredeploy2.json

{
    "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
    "contentVersion": "1.0.0.0",
    "parameters": {
        "principalId": {
            "type": "string",
            "metadata": {
                "description": "The principal to assign the role to"
            }
        },
        "dateTime": {
            "type": "string",
            "defaultValue": "[utcNow()]"
        }
    },
    "variables": {
        "contributorRoleDefinitionID": "/providers/Microsoft.Authorization/roledefinitions/b24988ac-6180-42a0-ab88-20f7382dd24c",
        "resourcePolicyContributorRoleDefinitionID": "/providers/Microsoft.Authorization/roledefinitions/36243c78-bf99-498c-9df9-86d9f8d28608"
    },
    "resources": [
        {
            "type": "Microsoft.Authorization/roleAssignments",
            "apiVersion": "2020-04-01-preview",
            "name": "[guid(concat(parameters('dateTime'), variables('contributorRoleDefinitionID')))]",
            "properties": {
                "roleDefinitionId": "[variables('contributorRoleDefinitionID')]",
                "principalId": "[parameters('principalId')]"
            }
        },
        {
            "type": "Microsoft.Authorization/roleAssignments",
            "apiVersion": "2020-04-01-preview",
            "name": "[guid(concat(parameters('dateTime'), variables('resourcePolicyContributorRoleDefinitionID')))]",
            "properties": {
                "roleDefinitionId": "[variables('resourcePolicyContributorRoleDefinitionID')]",
                "principalId": "[parameters('principalId')]"
            }
        }
    ]
}

Nächste Schritte

  • Informationen zu Automanage-Diensten für Linux und Windows