Reparieren eines Automanage-Kontos

Wichtig

Dieser Artikel ist nur für Computer relevant, die in die frühere Version von Automanage (API-Version 2020-06-30-preview) integriert wurden. Der Status für diese Computer ist Aktualisierung erforderlich.

Ihr Azure Automanage-Konto ist der Sicherheitskontext bzw. die Identität, unter dem bzw. unter der die automatisierten Vorgänge ausgeführt werden. Wenn Sie vor kurzem ein Abonnement mit einem Automanage-Konto in einen neuen Mandanten verschoben haben, müssen Sie das Konto neu konfigurieren. Hierzu müssen Sie den Identitätstyp zurücksetzen und die entsprechenden Rollen für das Konto zuweisen.

Schritt 1: Zurücksetzen des Identitätstyps des Automanage-Kontos

Setzen Sie den Identitätstyp des Automanage-Kontos mithilfe der folgenden ARM-Vorlage (Azure Resource Manager) zurück. Speichern Sie die Datei lokal unter „armdeploy.json“ oder unter einem ähnlichen Namen. Notieren Sie sich Name und Ort Ihres Automanage-Kontos, da es sich bei diesen Angaben um erforderliche Parameter in der ARM-Vorlage handelt.

  1. Erstellen Sie mithilfe der folgenden Vorlage eine Resource Manager-Bereitstellung. Verwenden Sie identityType = None.

    • Die Bereitstellung kann über die Azure CLI mithilfe von az deployment sub create erstellt werden. Weitere Informationen finden Sie unter az deployment sub.
    • Die Bereitstellung kann per PowerShell mithilfe des Moduls New-AzDeployment erstellt werden. Weitere Informationen finden Sie unter New-AzDeployment.
  2. Führen Sie die gleiche ARM-Vorlage noch einmal mit identityType = SystemAssigned aus.

{
    "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
    "contentVersion": "1.0.0.0",
    "parameters": {
        "accountName": {
            "type": "string"
        },
        "location": {
            "type": "string"
        },
        "identityType": {
            "type": "string",
            "allowedValues": [ "None", "SystemAssigned" ]
        }
    },
    "resources": [
        {
            "apiVersion": "2020-06-30-preview",
            "name": "[parameters('accountName')]",
            "location": "[parameters('location')]",
            "type": "Microsoft.Automanage/accounts",
            "identity": {
                "type": "[parameters('identityType')]"
            }
        }
    ]
}

Schritt 2: Zuweisen geeigneter Rollen für das Automanage-Konto

Das Automanage-Konto muss für das Abonnement mit den virtuellen Computern, die von Automanage verwaltet werden, über die Rollen „Mitwirkender“ und „Mitwirkender bei Ressourcenrichtlinien“ verfügen. Diese Rollen können über das Azure-Portal, mithilfe von ARM-Vorlagen oder per Azure CLI zugewiesen werden.

Bei Verwendung einer ARM-Vorlage oder der Azure CLI benötigen Sie die Prinzipal-ID (oder auch Objekt-ID) Ihres Automanage-Kontos. (Bei Verwendung des Azure-Portals wird diese ID nicht benötigt.) Diese ID finden Sie wie folgt:

  • Azure-Befehlszeilenschnittstelle: Verwenden Sie den Befehl az ad sp list --display-name <name of your Automanage Account>.

  • Azure-Portal: Wechseln Sie zu Microsoft Entra-ID und suchen Sie anhand des Namens nach Ihrem Automanage-Konto. Wählen Sie unter Unternehmensanwendungen den Namen des Automanage-Kontos aus, wenn es angezeigt wird.

Azure-Portal

  1. Navigieren Sie unter Abonnements zu dem Abonnement, das Ihre automatisch verwalteten virtuellen Computer enthält.

  2. Wählen Sie die Option Zugriffssteuerung (IAM) aus.

  3. Wählen Sie Hinzufügen>Rollenzuweisung hinzufügen aus, um die Seite Rollenzuweisung hinzufügen zu öffnen.

  4. Weisen Sie die folgende Rolle zu. Ausführliche Informationen finden Sie unter Zuweisen von Azure-Rollen über das Azure-Portal.

    Einstellung Wert
    Role Beitragender
    Zugriff zuweisen zu Benutzer, Gruppe oder Dienstprinzipal
    Member <Name Ihres Automanage-Kontos>

    Screenshot showing Add role assignment page in Azure portal.

  5. Wiederholen Sie die Schritte 2 bis 4 mit der Rolle Mitwirkender bei Ressourcenrichtlinien.

ARM-Vorlage

Führen Sie die folgende ARM-Vorlage aus. Sie benötigen die Prinzipal-ID Ihres Automanage-Kontos. Die Schritte zum Abrufen dieses Werts finden Sie am Anfang dieses Abschnitts. Geben Sie die ID ein, wenn Sie dazu aufgefordert werden.

{
    "$schema": "https://schema.management.azure.com/schemas/2015-01-01/deploymentTemplate.json#",
    "contentVersion": "1.0.0.0",
    "parameters": {
        "principalId": {
            "type": "string",
            "metadata": {
                "description": "The principal to assign the role to"
            }
        }
    },
    "variables": {
        "Contributor": "[concat('/subscriptions/', subscription().subscriptionId, '/providers/Microsoft.Authorization/roleDefinitions/', 'b24988ac-6180-42a0-ab88-20f7382dd24c')]",
        "Resource Policy Contributor": "[concat('/subscriptions/', subscription().subscriptionId, '/providers/Microsoft.Authorization/roleDefinitions/', '36243c78-bf99-498c-9df9-86d9f8d28608')]"
    },
    "resources": [
        {
            "type": "Microsoft.Authorization/roleAssignments",
            "apiVersion": "2018-09-01-preview",
            "name": "[guid(uniqueString(variables('Contributor')))]",
            "properties": {
                "roleDefinitionId": "[variables('Contributor')]",
                "principalId": "[parameters('principalId')]"
            }
        },
        {
            "type": "Microsoft.Authorization/roleAssignments",
            "apiVersion": "2018-09-01-preview",
            "name": "[guid(uniqueString(variables('Resource Policy Contributor')))]",
            "properties": {
                "roleDefinitionId": "[variables('Resource Policy Contributor')]",
                "principalId": "[parameters('principalId')]"
            }
        }
    ]
}

Azure CLI

Führen Sie diese Befehle aus:

az role assignment create --assignee-object-id <your Automanage Account Object ID> --role "Contributor" --scope /subscriptions/<your subscription ID>

az role assignment create --assignee-object-id <your Automanage Account Object ID> --role "Resource Policy Contributor" --scope /subscriptions/<your subscription ID>

Nächste Schritte

Weitere Informationen zu Azure Automanage finden Sie hier.