若要使用 Azure Update Manager 管理 Azure 虛擬機(VM)或啟用 Azure Arc 的伺服器,必須指定適當的角色。 你可以使用預設的角色,或是建立帶有特定權限的自訂角色。
角色
內建角色在虛擬機上提供全面權限,包含所有 Azure Update Manager 權限。
| Resource | Role |
|---|---|
| Azure 虛擬機器 | Azure 虛擬機器參與者或 Azure 擁有者 |
| Azure Arc 啟用的伺服器 | Azure Connected Machine 資源管理員 |
權限
下表顯示了使用 Update Manager 管理更新操作時所需的權限。 你可以建立自訂角色,並只為該角色指定特定動作所需的權限。
可讓更新管理員檢視更新管理員資料的讀取權限
| 動作 | 權限 | Scope |
|---|---|---|
| 檢視 Azure VM 屬性 | Microsoft.Compute/virtualMachines/read | |
| 讀取 Azure VMs 的評估資料 | Microsoft.Compute/virtualMachines/patchAssessmentResults/read Microsoft.Compute/virtualMachines/patchAssessmentResults/softwarePatches/read |
|
| 讀取 Azure 虛擬機器的補丁安裝資料 | Microsoft.Compute/virtualMachines/patchInstallationResults/read Microsoft.Compute/virtualMachines/patchInstallationResults/softwarePatches/read |
|
| 讀取啟用 Azure Arc 的伺服器屬性 | Microsoft.HybridCompute/machines/read | |
| 閱讀 Azure Arc 已啟用伺服器的評估資料 | Microsoft.HybridCompute/machines/patchAssessmentResults/read Microsoft.HybridCompute/machines/patchAssessmentResults/softwarePatches/read |
|
| 讀取安裝於 Azure Arc 啟用伺服器的補丁資料 | Microsoft.HybridCompute/machines/patchInstallationResults/read Microsoft.HybridCompute/machines/patchInstallationResults/softwarePatches/read |
|
| 取得 Azure VM 非同步操作的狀態 | Microsoft.Compute/locations/operations/read | 機器訂用帳戶 |
| 閱讀啟用 Azure Arc 的機器上更新中心運作狀態 | Microsoft.HybridCompute/locations/updateCenterOperationResults/read | 機器訂用帳戶 |
在更新管理員中執行按需操作的權限
除了先前針對個別機器上執行隨選作業所記錄的讀取權限之外,還需要下列額外權限。
| 動作 | 權限 | Scope |
|---|---|---|
| 觸發對 Azure VMs 的評估 | Microsoft.Compute/virtualMachines/assessPatches/action | |
| 在 Azure VM 安裝更新 | Microsoft.Compute/virtualMachines/installPatches/action | |
| 取得 Azure VM 非同步操作的狀態 | Microsoft.Compute/locations/operations/read | 機器訂用帳戶 |
| 在啟用 Azure Arc 的伺服器上觸發評估 | Microsoft.HybridCompute/machines/assessPatches/action | |
| 在啟用 Azure Arc 的伺服器上安裝更新 | Microsoft.HybridCompute/machines/installPatches/action | |
| 閱讀啟用 Azure Arc 的機器上更新中心運作狀態 | Microsoft.HybridCompute/locations/updateCenterOperationResults/read | 機器訂用帳戶 |
| 更新補丁模式或評估模式以適用於 Azure VMs | Microsoft.Compute/virtualMachines/write | 電腦 |
| 更新 Azure Arc 支援機器的評估模式 | Microsoft.HybridCompute/machines/write | 電腦 |
與排程修補(維護設定)相關的權限
除了個別機器的權限外,還需要以下權限,而這些權限由排程管理。
| 動作 | 權限 | Scope |
|---|---|---|
| 註冊 Microsoft.Maintenance 資源提供者的訂閱 | Microsoft.Maintenance/register/action | 訂用帳戶 |
| 建立或修改維護配置 | Microsoft.Maintenance/maintenanceConfigurations/write | 訂用帳戶/資源群組 |
| 讀取維護配置 | Microsoft.Maintenance/maintenanceConfigurations/read | 訂用帳戶/資源群組 |
| 刪除維護配置 | Microsoft.Maintenance/maintenanceConfigurations/delete | 訂用帳戶/資源群組 |
| 建立或修改設定指派 | Microsoft.Maintenance/configurationAssignments/write | 訂閱/資源群組/機器 |
| 讀取設定指派 | Microsoft.Maintenance/configurationAssignments/read | 訂閱/資源群組/機器 |
| 刪除設定指派 | Microsoft.Maintenance/configurationAssignments/delete | 訂閱/資源群組/機器 |
| 閱讀維護更新資源 | Microsoft.Maintenance/updates/read | 電腦 |
| 讀取資源以套用維護更新 | Microsoft.Maintenance/applyUpdates/read | 電腦 |
| 取得更新部署列表 | Microsoft.Resources/deployments/read | 維護設定和虛擬機器訂用帳戶 |
| 建立或更新更新部署 | Microsoft.Resources/deployments/write | 維護設定和虛擬機器訂用帳戶 |
| 取得更新部署的操作狀態清單 | Microsoft.Resources/deployments/operationstatuses | 維護設定和虛擬機器訂用帳戶 |
| 請閱讀 InGuestPatch 維護範圍的配置分配設定 | Microsoft.Maintenance/configurationAssignments/maintenanceScope/InGuestPatch/read | 訂閱/資源群組/伺服器 |
| 建立或修改 InGuestPatch 維護範圍的維護設定指派 | Microsoft.Maintenance/configurationAssignments/maintenanceScope/InGuestPatch/write | 訂閱/資源群組/機器 |
| 刪除 InGuestPatch 維護範圍的維護設定指派 | Microsoft.Maintenance/configurationAssignments/maintenanceScope/InGuestPatch/delete | 訂閱/資源群組/電腦 |
| 讀取 InGuestPatch 維護範圍的維護設定 | Microsoft.Maintenance/maintenanceConfigurations/maintenanceScope/InGuestPatch/read | 訂用帳戶/資源群組 |
| 建立或修改 InGuestPatch 維護範圍的維護設定 | Microsoft.Maintenance/maintenanceConfigurations/maintenanceScope/InGuestPatch/write | 訂用帳戶/資源群組 |
| 刪除 InGuestPatch 維護範圍的維護設定 | Microsoft.Maintenance/maintenanceConfigurations/maintenanceScope/InGuestPatch/delete | 訂用帳戶/資源群組 |