Reparar uma conta de gestão automática

Artigo
10/24/2023

Importante

Este artigo só é relevante para máquinas que foram integradas à versão anterior do Automanage (versão da API 2020-06-30-preview). O status dessas máquinas será Precisa de atualização.

Sua Conta de Gerenciamento Automático do Azure é o contexto de segurança ou a identidade sob a qual as operações automatizadas ocorrem. Se tiver movido recentemente uma subscrição que contenha uma Conta de Gestão Automática para um novo inquilino, terá de reconfigurar a conta. Para reconfigurá-lo, você precisa redefinir o tipo de identidade e atribuir as funções apropriadas para a conta.

Etapa 1: Redefinir o tipo de identidade da conta de gerenciamento automático

Redefina o tipo de identidade da Conta de Gerenciamento Automático usando o seguinte modelo do Azure Resource Manager (ARM). Salve o arquivo localmente como armdeploy.json ou um nome semelhante. Anote o nome e a localização da sua Conta de Gestão Automática porque são parâmetros necessários no modelo ARM.

Crie uma implantação do Resource Manager usando o modelo a seguir. identityType = NoneUtilize.
- Você pode criar a implantação na CLI do Azure usando az deployment sub create. Para obter mais informações, consulte az deployment sub.
- Você pode criar a implantação no PowerShell usando o New-AzDeployment módulo. Para obter mais informações, consulte New-AzDeployment.
Execute o mesmo modelo ARM novamente com identityType = SystemAssignedo .

{
    "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
    "contentVersion": "1.0.0.0",
    "parameters": {
        "accountName": {
            "type": "string"
        },
        "location": {
            "type": "string"
        },
        "identityType": {
            "type": "string",
            "allowedValues": [ "None", "SystemAssigned" ]
        }
    },
    "resources": [
        {
            "apiVersion": "2020-06-30-preview",
            "name": "[parameters('accountName')]",
            "location": "[parameters('location')]",
            "type": "Microsoft.Automanage/accounts",
            "identity": {
                "type": "[parameters('identityType')]"
            }
        }
    ]
}

Etapa 2: Atribuir funções apropriadas para a conta de gerenciamento automático

A Conta de Gerenciamento Automático requer as funções de Colaborador e Colaborador da Política de Recursos na assinatura que contém as VMs que o Gerenciamento Automático está gerenciando. Você pode atribuir essas funções usando o portal do Azure, modelos ARM ou a CLI do Azure.

Se você estiver usando um modelo ARM ou a CLI do Azure, precisará da ID Principal (também conhecida como ID do Objeto) da sua Conta de Gerenciamento Automático. (Você não precisa da ID se estiver usando o portal do Azure.) Você pode encontrar essa ID usando estes métodos:

CLI do Azure: use o comando az ad sp list --display-name <name of your Automanage Account>.
Portal do Azure: vá para Microsoft Entra ID e procure sua Conta de Gerenciamento Automático pelo nome. Em Aplicativos Corporativos, selecione o nome da Conta de gerenciamento automático quando ele aparecer.

Portal do Azure

Em Subscrições, aceda à subscrição que contém as suas VMs geridas automaticamente.
Selecione Controlo de acesso (IAM) .
Selecione Adicionar atribuição de função para abrir a página Adicionar>atribuição de função.
Atribua a seguinte função. Para obter os passos detalhados, veja o artigo Atribuir funções do Azure com o portal do Azure.

Definição Valor

Função Contribuidor

Atribuir acesso a Usuário, grupo ou entidade de serviço

Membros <Nome da sua conta Automanage>
Repita as etapas 2 a 4, selecionando a função Colaborador da Política de Recursos .

Definição	Valor
Função	Contribuidor
Atribuir acesso a	Usuário, grupo ou entidade de serviço
Membros	<Nome da sua conta Automanage>

Modelo ARM

Execute o seguinte modelo ARM. Você precisará do ID principal da sua conta de gerenciamento automático. As etapas para obtê-lo estão no início desta seção. Introduza o ID quando lhe for pedido.

{
    "$schema": "https://schema.management.azure.com/schemas/2015-01-01/deploymentTemplate.json#",
    "contentVersion": "1.0.0.0",
    "parameters": {
        "principalId": {
            "type": "string",
            "metadata": {
                "description": "The principal to assign the role to"
            }
        }
    },
    "variables": {
        "Contributor": "[concat('/subscriptions/', subscription().subscriptionId, '/providers/Microsoft.Authorization/roleDefinitions/', 'b24988ac-6180-42a0-ab88-20f7382dd24c')]",
        "Resource Policy Contributor": "[concat('/subscriptions/', subscription().subscriptionId, '/providers/Microsoft.Authorization/roleDefinitions/', '36243c78-bf99-498c-9df9-86d9f8d28608')]"
    },
    "resources": [
        {
            "type": "Microsoft.Authorization/roleAssignments",
            "apiVersion": "2018-09-01-preview",
            "name": "[guid(uniqueString(variables('Contributor')))]",
            "properties": {
                "roleDefinitionId": "[variables('Contributor')]",
                "principalId": "[parameters('principalId')]"
            }
        },
        {
            "type": "Microsoft.Authorization/roleAssignments",
            "apiVersion": "2018-09-01-preview",
            "name": "[guid(uniqueString(variables('Resource Policy Contributor')))]",
            "properties": {
                "roleDefinitionId": "[variables('Resource Policy Contributor')]",
                "principalId": "[parameters('principalId')]"
            }
        }
    ]
}

CLI do Azure

Execute estes comandos:

az role assignment create --assignee-object-id <your Automanage Account Object ID> --role "Contributor" --scope /subscriptions/<your subscription ID>

az role assignment create --assignee-object-id <your Automanage Account Object ID> --role "Resource Policy Contributor" --scope /subscriptions/<your subscription ID>

Próximos passos

Saiba mais sobre o Azure Automanage