Reparieren eines Automanage-Kontos
Wichtig
Dieser Artikel ist nur für Computer relevant, die in die frühere Version von Automanage (API-Version 2020-06-30-preview) integriert wurden. Der Status für diese Computer ist Aktualisierung erforderlich.
Ihr Azure Automanage-Konto ist der Sicherheitskontext bzw. die Identität, unter dem bzw. unter der die automatisierten Vorgänge ausgeführt werden. Wenn Sie vor kurzem ein Abonnement mit einem Automanage-Konto in einen neuen Mandanten verschoben haben, müssen Sie das Konto neu konfigurieren. Hierzu müssen Sie den Identitätstyp zurücksetzen und die entsprechenden Rollen für das Konto zuweisen.
Schritt 1: Zurücksetzen des Identitätstyps des Automanage-Kontos
Setzen Sie den Identitätstyp des Automanage-Kontos mithilfe der folgenden ARM-Vorlage (Azure Resource Manager) zurück. Speichern Sie die Datei lokal unter „armdeploy.json“ oder unter einem ähnlichen Namen. Notieren Sie sich Name und Ort Ihres Automanage-Kontos, da es sich bei diesen Angaben um erforderliche Parameter in der ARM-Vorlage handelt.
Erstellen Sie mithilfe der folgenden Vorlage eine Resource Manager-Bereitstellung. Verwenden Sie
identityType = None
.- Die Bereitstellung kann über die Azure CLI mithilfe von
az deployment sub create
erstellt werden. Weitere Informationen finden Sie unter az deployment sub. - Die Bereitstellung kann per PowerShell mithilfe des Moduls
New-AzDeployment
erstellt werden. Weitere Informationen finden Sie unter New-AzDeployment.
- Die Bereitstellung kann über die Azure CLI mithilfe von
Führen Sie die gleiche ARM-Vorlage noch einmal mit
identityType = SystemAssigned
aus.
{
"$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
"contentVersion": "1.0.0.0",
"parameters": {
"accountName": {
"type": "string"
},
"location": {
"type": "string"
},
"identityType": {
"type": "string",
"allowedValues": [ "None", "SystemAssigned" ]
}
},
"resources": [
{
"apiVersion": "2020-06-30-preview",
"name": "[parameters('accountName')]",
"location": "[parameters('location')]",
"type": "Microsoft.Automanage/accounts",
"identity": {
"type": "[parameters('identityType')]"
}
}
]
}
Schritt 2: Zuweisen geeigneter Rollen für das Automanage-Konto
Das Automanage-Konto muss für das Abonnement mit den virtuellen Computern, die von Automanage verwaltet werden, über die Rollen „Mitwirkender“ und „Mitwirkender bei Ressourcenrichtlinien“ verfügen. Diese Rollen können über das Azure-Portal, mithilfe von ARM-Vorlagen oder per Azure CLI zugewiesen werden.
Bei Verwendung einer ARM-Vorlage oder der Azure CLI benötigen Sie die Prinzipal-ID (oder auch Objekt-ID) Ihres Automanage-Kontos. (Bei Verwendung des Azure-Portals wird diese ID nicht benötigt.) Diese ID finden Sie wie folgt:
Azure-Befehlszeilenschnittstelle: Verwenden Sie den Befehl
az ad sp list --display-name <name of your Automanage Account>
.Azure-Portal: Wechseln Sie zu Microsoft Entra-ID und suchen Sie anhand des Namens nach Ihrem Automanage-Konto. Wählen Sie unter Unternehmensanwendungen den Namen des Automanage-Kontos aus, wenn es angezeigt wird.
Azure-Portal
Navigieren Sie unter Abonnements zu dem Abonnement, das Ihre automatisch verwalteten virtuellen Computer enthält.
Wählen Sie die Option Zugriffssteuerung (IAM) aus.
Wählen Sie Hinzufügen>Rollenzuweisung hinzufügen aus, um die Seite Rollenzuweisung hinzufügen zu öffnen.
Weisen Sie die folgende Rolle zu. Ausführliche Informationen finden Sie unter Zuweisen von Azure-Rollen über das Azure-Portal.
Einstellung Wert Role Beitragender Zugriff zuweisen zu Benutzer, Gruppe oder Dienstprinzipal Member <Name Ihres Automanage-Kontos> Wiederholen Sie die Schritte 2 bis 4 mit der Rolle Mitwirkender bei Ressourcenrichtlinien.
ARM-Vorlage
Führen Sie die folgende ARM-Vorlage aus. Sie benötigen die Prinzipal-ID Ihres Automanage-Kontos. Die Schritte zum Abrufen dieses Werts finden Sie am Anfang dieses Abschnitts. Geben Sie die ID ein, wenn Sie dazu aufgefordert werden.
{
"$schema": "https://schema.management.azure.com/schemas/2015-01-01/deploymentTemplate.json#",
"contentVersion": "1.0.0.0",
"parameters": {
"principalId": {
"type": "string",
"metadata": {
"description": "The principal to assign the role to"
}
}
},
"variables": {
"Contributor": "[concat('/subscriptions/', subscription().subscriptionId, '/providers/Microsoft.Authorization/roleDefinitions/', 'b24988ac-6180-42a0-ab88-20f7382dd24c')]",
"Resource Policy Contributor": "[concat('/subscriptions/', subscription().subscriptionId, '/providers/Microsoft.Authorization/roleDefinitions/', '36243c78-bf99-498c-9df9-86d9f8d28608')]"
},
"resources": [
{
"type": "Microsoft.Authorization/roleAssignments",
"apiVersion": "2018-09-01-preview",
"name": "[guid(uniqueString(variables('Contributor')))]",
"properties": {
"roleDefinitionId": "[variables('Contributor')]",
"principalId": "[parameters('principalId')]"
}
},
{
"type": "Microsoft.Authorization/roleAssignments",
"apiVersion": "2018-09-01-preview",
"name": "[guid(uniqueString(variables('Resource Policy Contributor')))]",
"properties": {
"roleDefinitionId": "[variables('Resource Policy Contributor')]",
"principalId": "[parameters('principalId')]"
}
}
]
}
Azure CLI
Führen Sie diese Befehle aus:
az role assignment create --assignee-object-id <your Automanage Account Object ID> --role "Contributor" --scope /subscriptions/<your subscription ID>
az role assignment create --assignee-object-id <your Automanage Account Object ID> --role "Resource Policy Contributor" --scope /subscriptions/<your subscription ID>
Nächste Schritte
Weitere Informationen zu Azure Automanage finden Sie hier.