Восстановление учетной записи Автоматического управления
Важно!
Эта статья относится только к компьютерам, которые были подключены к более ранней версии Automanage (API версии 2020-06-30-preview). Состояние этих компьютеров будет иметь значение "Требуется обновление".
Учетная запись Автоматического управления Azure — это контекст безопасности или удостоверение, используемые для выполнения автоматических операций. Если вы недавно переместили подписку, содержащую учетную запись Автоматического управления, в новый клиент, ее необходимо перенастроить. Чтобы перенастроить учетную запись, необходимо сбросить тип удостоверения и назначить для учетной записи соответствующие роли.
Шаг 1. Сброс типа удостоверения учетной записи для Автоматического управления
Сбросьте тип удостоверения учетной записи Автоматического управления, используя шаблон Azure Resource Manager (ARM). Сохраните файл локально под именем armdeploy.json или используя другое похожее имя. Запишите имя и расположение учетной записи Автоматического управления, так как эти параметры потребуются в шаблоне ARM.
Создайте развертывание диспетчера ресурсов Resource Manager с помощью следующего шаблона. Используйте
identityType = None.- Развертывание можно создать в Azure CLI посредством
az deployment sub create. Дополнительные сведения см. в разделе az deployment sub. - Развертывание можно создать в PowerShell с помощью модуля
New-AzDeployment. Дополнительные сведения см. в разделе New-AzDeployment.
- Развертывание можно создать в Azure CLI посредством
Снова запустите тот же шаблон ARM с помощью
identityType = SystemAssigned.
{
"$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
"contentVersion": "1.0.0.0",
"parameters": {
"accountName": {
"type": "string"
},
"location": {
"type": "string"
},
"identityType": {
"type": "string",
"allowedValues": [ "None", "SystemAssigned" ]
}
},
"resources": [
{
"apiVersion": "2020-06-30-preview",
"name": "[parameters('accountName')]",
"location": "[parameters('location')]",
"type": "Microsoft.Automanage/accounts",
"identity": {
"type": "[parameters('identityType')]"
}
}
]
}
Шаг 2. Назначение соответствующих ролей для учетной записи Автоматического управления
Для учетной записи Автоматического управления требуются роли Участника и Участника политики ресурсов в подписке, содержащей виртуальные машины, находящиеся под Автоматическим управлением. Эти роли можно назначить с помощью портала Azure, шаблонов ARM и интерфейса командной строки Azure.
При использовании шаблона ARM или интерфейса командной строки Azure потребуется идентификатор субъекта (также известный как идентификатор объекта) учетной записи Автоматического управления. (При использовании портала Azure идентификатор не требуется). Идентификатор можно найти следующими способами.
В интерфейсе командной строки Azure используйте команду
az ad sp list --display-name <name of your Automanage Account>.портал Azure: перейти к Идентификатор Microsoft Entra и поиск учетной записи автоуправляемого управления по имени. В разделе Корпоративные приложения выберите имя учетной записи Автоматического управления.
Портал Azure
В разделе подпискиперейдите к подписке, содержащей ваши управляемые виртуальные машины.
Выберите Управление доступом (IAM) .
Выберите Добавить>Добавить назначение ролей, чтобы открыть страницу Добавление назначения ролей.
Назначьте следующую роль. Подробные инструкции см. в статье Назначение ролей Azure с помощью портала Microsoft Azure.
Параметр Значение Роль Участник Назначить доступ для Пользователь, группа или субъект-служба Участники <Имя учетной записи автоуправляемого управления> 
Повторите шаги 2–4, выбрав роль участника политики ресурсов.
Шаблон ARM
Запустите выполнение следующего шаблона ARM. Для этого потребуется идентификатор субъекта учетной записи Автоматического управления. Инструкции для его получения приведены в начале этого раздела. Введите идентификатор при появлении запроса.
{
"$schema": "https://schema.management.azure.com/schemas/2015-01-01/deploymentTemplate.json#",
"contentVersion": "1.0.0.0",
"parameters": {
"principalId": {
"type": "string",
"metadata": {
"description": "The principal to assign the role to"
}
}
},
"variables": {
"Contributor": "[concat('/subscriptions/', subscription().subscriptionId, '/providers/Microsoft.Authorization/roleDefinitions/', 'b24988ac-6180-42a0-ab88-20f7382dd24c')]",
"Resource Policy Contributor": "[concat('/subscriptions/', subscription().subscriptionId, '/providers/Microsoft.Authorization/roleDefinitions/', '36243c78-bf99-498c-9df9-86d9f8d28608')]"
},
"resources": [
{
"type": "Microsoft.Authorization/roleAssignments",
"apiVersion": "2018-09-01-preview",
"name": "[guid(uniqueString(variables('Contributor')))]",
"properties": {
"roleDefinitionId": "[variables('Contributor')]",
"principalId": "[parameters('principalId')]"
}
},
{
"type": "Microsoft.Authorization/roleAssignments",
"apiVersion": "2018-09-01-preview",
"name": "[guid(uniqueString(variables('Resource Policy Contributor')))]",
"properties": {
"roleDefinitionId": "[variables('Resource Policy Contributor')]",
"principalId": "[parameters('principalId')]"
}
}
]
}
Azure CLI
Выполните следующие команды.
az role assignment create --assignee-object-id <your Automanage Account Object ID> --role "Contributor" --scope /subscriptions/<your subscription ID>
az role assignment create --assignee-object-id <your Automanage Account Object ID> --role "Resource Policy Contributor" --scope /subscriptions/<your subscription ID>