Aktivieren und Deaktivieren der seriellen Azure-Konsole
Gilt für: ✔️ Linux-VMs ✔️ Windows-VMs
Wie jede andere Ressource kann die serielle Azure-Konsole aktiviert und deaktiviert werden. Die serielle Konsole ist standardmäßig für alle Abonnements global in Azure aktiviert. Derzeit wird durch Deaktivieren der seriellen Konsole der Dienst für Ihr gesamtes Abonnement deaktiviert. Das Deaktivieren oder erneute Aktivieren der seriellen Konsole für ein Abonnement erfordert zugriff auf Mitwirkenderebene oder höher im Abonnement.
Sie können die serielle Konsole auch für eine einzelne VM- oder VM-Skalierungsinstanz deaktivieren, indem Sie die Startdiagnose deaktivieren. Sie benötigen Zugriff auf Mitwirkenderebene oder höher sowohl auf dem Skalierungssatz des virtuellen Computers als auch auf Ihrem Speicherkonto für die Startdiagnose.
Deaktivieren auf VM-Ebene
Die serielle Konsole kann für bestimmte VMs oder VM-Skalierungsgruppen deaktiviert werden, indem die Startdiagnose deaktiviert wird. Deaktivieren Sie die Startdiagnose im Azure-Portal, um die serielle Konsole für eine VM oder VM-Skalierungsgruppe zu deaktivieren. Wenn Sie die serielle Konsole in einem Skalierungssatz für virtuelle Computer verwenden, stellen Sie sicher, dass Sie ihre VM-Skalierungsgruppeninstanzen auf das neueste Modell aktualisieren.
Aktivieren/Deaktivieren auf Abonnementebene
Notiz
Stellen Sie sicher, dass Sie sich in der richtigen Cloud (Azure Public Cloud, Azure US Government Cloud usw.) befinden, bevor Sie diesen Befehl ausführen. Dies können Sie mit az cloud list überprüfen und mit az cloud set -n <Name of cloud> Ihre Cloud festlegen.
Azure CLI
Die serielle Konsole kann für ein gesamtes Abonnement deaktiviert und erneut aktiviert werden, indem Sie die folgenden Befehle in der Azure CLI verwenden (Sie können die Schaltfläche "Ausprobieren" verwenden, um eine Instanz der Azure Cloud Shell zu starten, in der Sie die Befehle ausführen können):
Verwenden Sie die folgenden Befehle, um die serielle Konsole für ein Abonnement zu deaktivieren:
$subscriptionId=$(az account show --output=json | jq -r .id)
az resource invoke-action --action disableConsole --ids "/subscriptions/$subscriptionId/providers/Microsoft.SerialConsole/consoleServices/default" --api-version="2023-01-01"
Verwenden Sie die folgenden Befehle, um die serielle Konsole für ein Abonnement zu aktivieren:
$subscriptionId=$(az account show --output=json | jq -r .id)
az resource invoke-action --action enableConsole --ids "/subscriptions/$subscriptionId/providers/Microsoft.SerialConsole/consoleServices/default" --api-version="2023-01-01"
Verwenden Sie die folgenden Befehle, um den aktuellen Status der seriellen Konsole für ein Abonnement zu erhalten:
$subscriptionId=$(az account show --output=json | jq -r .id)
az resource show --ids "/subscriptions/$subscriptionId/providers/Microsoft.SerialConsole/consoleServices/default" --output=json --api-version="2023-01-01" | jq .properties
PowerShell
Die serielle Konsole kann auch mithilfe von PowerShell aktiviert und deaktiviert werden.
Verwenden Sie die folgenden Befehle, um die serielle Konsole für ein Abonnement zu deaktivieren:
$subscription=(Get-AzContext).Subscription.Id
Invoke-AzResourceAction -Action disableConsole -ResourceId /subscriptions/$subscription/providers/Microsoft.SerialConsole/consoleServices/default -ApiVersion 2023-01-01
Verwenden Sie die folgenden Befehle, um die serielle Konsole für ein Abonnement zu aktivieren:
$subscription=(Get-AzContext).Subscription.Id
Invoke-AzResourceAction -Action enableConsole -ResourceId /subscriptions/$subscription/providers/Microsoft.SerialConsole/consoleServices/default -ApiVersion 2023-01-01
Aktivieren des geringsten Berechtigungszugriffs auf die serielle Konsole mithilfe von RBAC
Um den geringsten Berechtigungszugriff auf die serielle Konsole zu aktivieren, müssen Sie eine Azure-Rolle mit den erforderlichen Berechtigungen erstellen, die über Rechte für die Ressourcengruppe des virtuellen Computers (den virtuellen Computer, auf den Sie auf serielle Konsole zugreifen müssen) oder das Abonnement, in dem sich die VM befindet. Sie können diese Azure-Rolle Benutzern zuweisen, die auf die serielle Konsole zugreifen müssen.
Die von Ihnen erstellte Rolle benötigt die folgenden Azure Actions-Berechtigungen:
"Microsoft.Compute/virtualMachines/start/action",
"Microsoft.Compute/virtualMachines/read",
"Microsoft.Compute/virtualMachines/write",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Storage/storageAccounts/listKeys/action",
"Microsoft.Storage/storageAccounts/read",
"Microsoft.SerialConsole/serialPorts/connect/action"
In der folgenden Tabelle wird erläutert, was jede Azure-Aktion bewirkt:
| Azure Action | Beschreibung |
|---|---|
| "Microsoft.Compute/virtualMachines/start/action" | Startet den virtuellen Computer. |
| "Microsoft.Compute/virtualMachines/read" | Abrufen der Eigenschaften eines virtuellen Computers |
| "Microsoft.Compute/virtualMachines/write" | Erstellt einen neuen virtuellen Computer oder aktualisiert einen vorhandenen virtuellen Computer. |
| "Microsoft.Resources/subscriptions/resourceGroups/read | Abrufen oder Auflisten der Ressourcengruppen |
| "Microsoft.Storage/storageAccounts/listKeys/action" | Gibt die Zugriffstasten für das angegebene Speicherkonto zurück. |
| Microsoft.Storage/storageAccounts/read | Gibt die Liste der Speicherkonten zurück oder ruft die Eigenschaften für das angegebene Speicherkonto ab. |
| "Microsoft.SerialConsole/serialPorts/connect/action" | Verbinden mit einem seriellen Anschluss |
Der folgende JSON-Code kann verwendet werden, um eine benutzerdefinierte Rolle mit geringstem Berechtigungszugriff auf VMs in einem Abonnement und virtuellen Computern in einer Ressourcengruppe in einem Abonnement zu definieren.
Wenn Sie nur virtuellen Computern in einer Ressourcengruppe Zugriff zuweisen möchten, löschen Sie den ersten Wert "/subscriptions/<subscriptionID>/" in der assignableScopes folgenden Eigenschaft.
Wenn Sie den Zugriff auf VMs in einem Abonnement zuweisen möchten, löschen Sie den zweiten Wert "/subscriptions/<subscriptionID>/resourceGroups/<resourceGroup>" in der assignableScopes folgenden Eigenschaft.
"properties": {
"roleName": "Azure Serial Console Access Role",
"description": "Serial Console access with least privilege.",
"assignableScopes": [
"/subscriptions/<subscriptionID>/"
"/subscriptions/<subscriptionID>/resourceGroups/<resourceGroup>"
],
"permissions": [
{
"actions": [
"Microsoft.Compute/virtualMachines/start/action",
"Microsoft.Compute/virtualMachines/read",
"Microsoft.Compute/virtualMachines/write",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Storage/storageAccounts/listKeys/action",
"Microsoft.Storage/storageAccounts/read",
"Microsoft.SerialConsole/serialPorts/connect/action"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
]
}
Anweisungen zum Verwenden der Azure-Portal zum Erstellen einer benutzerdefinierten Rolle für den geringsten Berechtigungszugriff auf die serielle Konsole finden Sie in der folgenden Dokumentation Erstellen oder Aktualisieren von benutzerdefinierten Azure-Rollen mithilfe der Azure-Portal.
Für Schritt 1: Ermitteln Sie die erforderlichen Berechtigungen, die Berechtigungen, die Sie für die Rolle benötigen, sind die oben gezeigten Azure-Aktionen.
Legen Sie für Schritt 5: Zuweisungsfähige Bereiche den Bereich auf die Ressourcengruppe der VM fest, wenn Sie nur möchten, dass der Benutzer mit der Rolle Zugriff auf die serielle Konsole einer bestimmten VM hat. Sie können auch den Bereich als Abonnement festlegen, wenn der Benutzer über serielle Konsolenzugriff auf einen beliebigen virtuellen Computer im Abonnement verfügen soll.
Anweisungen zur Verwendung der Azure-Portal zum Zuweisen von Rollen finden Sie in der folgenden Dokumentation zum Zuweisen von Azure-Rollen mithilfe der Azure-Portal.
Nächste Schritte
- Weitere Informationen zur seriellen Azure-Konsole für virtuelle Linux-Computer
- Weitere Informationen zur seriellen Azure-Konsole für virtuelle Windows-Computer
- Informationen zu Energieoptionen in der seriellen Azure-Konsole
Kontaktieren Sie uns für Hilfe
Wenn Sie Fragen haben oder Hilfe mit Ihren Azure-Gutschriften benötigen, dann erstellen Sie beim Azure-Support eine Support-Anforderung oder fragen Sie den Azure Community-Support. Sie können auch Produktfeedback an die Azure Feedback Community senden.