Automanage アカウントの修復
重要
この記事は、以前のバージョンの Automanage (API バージョン 2020-06-30-preview) にオンボードされたマシンにのみ関連します。 これらのマシンの状態はアップグレードが必要になります。
Azure Automanage アカウントは、自動化された操作が行われるセキュリティ コンテキストまたは ID です。 最近、Automanage アカウントを含むサブスクリプションを新しいテナントに移動した場合は、そのアカウントを再構成する必要があります。 再構成するには、ID の種類をリセットし、アカウントに適切なロールを割り当てる必要があります。
手順 1: Automanage アカウントの ID の種類をリセットする
次の Azure Resource Manager (ARM) テンプレートを使用して、Automanage アカウント ID の種類をリセットします。 ファイルを armdeploy.json または同様の名前でローカルに保存します。 Automanage アカウントの名前と場所は、ARM テンプレートに必須のパラメーターです。
次のテンプレートを使用して、Resource Manager デプロイを作成します。
identityType = Noneを使用してください。az deployment sub createを使用して、Azure CLI でデプロイを作成できます。 詳細については、「az deployment sub」を参照してください。New-AzDeploymentモジュールを使用して、PowerShell でデプロイを作成できます。 詳細については、「New-AzDeployment」を参照してください。
identityType = SystemAssignedを使用して、同じ ARM テンプレートをもう一度実行します。
{
"$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
"contentVersion": "1.0.0.0",
"parameters": {
"accountName": {
"type": "string"
},
"location": {
"type": "string"
},
"identityType": {
"type": "string",
"allowedValues": [ "None", "SystemAssigned" ]
}
},
"resources": [
{
"apiVersion": "2020-06-30-preview",
"name": "[parameters('accountName')]",
"location": "[parameters('location')]",
"type": "Microsoft.Automanage/accounts",
"identity": {
"type": "[parameters('identityType')]"
}
}
]
}
手順 2: Automanage アカウントに適切なロールを割り当てる
Automanage アカウントには、Automanage で管理されている VM が含まれているサブスクリプションに対する共同作成者ロールとリソース ポリシーの共同作成者ロールが必要です。 これらのロールは、Azure portal、ARM テンプレート、または Azure CLI を使用して割り当てることができます。
ARM テンプレートまたは Azure CLI を使用している場合は、Automanage アカウントのプリンシパル ID (オブジェクト ID とも呼ばれます) が必要になります (Azure portal を使用している場合は、ID は必要ありません)。この ID は、次の方法を使用して見つけることができます。
Azure CLI:
az ad sp list --display-name <name of your Automanage Account>コマンドを使用します。Azure portal: Microsoft Entra ID に移動し、名前で Automanage アカウントを検索します。 [エンタープライズ アプリケーション] で、Automanage アカウント名が表示されたらそれを選択します。
Azure Portal
[サブスクリプション] で、自動管理 VM が含まれているサブスクリプションにアクセスします。
[アクセス制御 (IAM)] を選択します。
[追加]>[ロールの割り当ての追加] を選択して、[ロールの割り当ての追加] ページを開きます。
次のロールを割り当てます。 詳細な手順については、「Azure portal を使用して Azure ロールを割り当てる」を参照してください。
設定 値 Role 共同作成者 アクセスの割り当て先 ユーザー、グループ、またはサービス プリンシパル メンバー <Automanage アカウントの名前> 
[リソース ポリシーの共同作成者] ロールを選択して、手順 2 から 4 を繰り返します。
ARM テンプレート
次の ARM テンプレートを実行します。 Automanage アカウントのプリンシパル ID が必要になります。 これを取得する手順は、このセクションの先頭に記載されています。 プロンプトが表示されたら、ID を入力します。
{
"$schema": "https://schema.management.azure.com/schemas/2015-01-01/deploymentTemplate.json#",
"contentVersion": "1.0.0.0",
"parameters": {
"principalId": {
"type": "string",
"metadata": {
"description": "The principal to assign the role to"
}
}
},
"variables": {
"Contributor": "[concat('/subscriptions/', subscription().subscriptionId, '/providers/Microsoft.Authorization/roleDefinitions/', 'b24988ac-6180-42a0-ab88-20f7382dd24c')]",
"Resource Policy Contributor": "[concat('/subscriptions/', subscription().subscriptionId, '/providers/Microsoft.Authorization/roleDefinitions/', '36243c78-bf99-498c-9df9-86d9f8d28608')]"
},
"resources": [
{
"type": "Microsoft.Authorization/roleAssignments",
"apiVersion": "2018-09-01-preview",
"name": "[guid(uniqueString(variables('Contributor')))]",
"properties": {
"roleDefinitionId": "[variables('Contributor')]",
"principalId": "[parameters('principalId')]"
}
},
{
"type": "Microsoft.Authorization/roleAssignments",
"apiVersion": "2018-09-01-preview",
"name": "[guid(uniqueString(variables('Resource Policy Contributor')))]",
"properties": {
"roleDefinitionId": "[variables('Resource Policy Contributor')]",
"principalId": "[parameters('principalId')]"
}
}
]
}
Azure CLI
これらのコマンドを実行します。
az role assignment create --assignee-object-id <your Automanage Account Object ID> --role "Contributor" --scope /subscriptions/<your subscription ID>
az role assignment create --assignee-object-id <your Automanage Account Object ID> --role "Resource Policy Contributor" --scope /subscriptions/<your subscription ID>