Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Um einen virtuellen Azure-Computer (VM) oder einen Azure Arc-fähigen Server mit Azure Update Manager zu verwalten, müssen Ihnen die entsprechenden Rollen zugewiesen sein. Sie können entweder vordefinierte Rollen verwenden oder benutzerdefinierte Rollen mit den spezifischen Berechtigungen erstellen, die Sie benötigen.
Rollen
Die integrierten Rollen bieten umfassende Berechtigungen für einen virtuellen Computer, die alle Azure Update Manager-Berechtigungen umfassen.
| Resource | Rolle |
|---|---|
| Azure-VM | Azure-Virtual-Machine-Beitragender oder Azure-Besitzer |
| Azure Arc-fähiger Server | Ressourcenadministrator für Azure Connected Machine |
Berechtigungen
In der folgenden Tabelle sind die Berechtigungen aufgeführt, die Sie benötigen, wenn Sie Update-Manager zum Verwalten von Updatevorgängen verwenden. Sie können eine benutzerdefinierte Rolle erstellen und dieser Rolle nur die gewünschten Berechtigungen für bestimmte Aktionen zuweisen.
Lesen von Berechtigungen für Update-Manager zum Anzeigen von Update-Manager-Daten
| Maßnahme | Erlaubnis | Geltungsbereich |
|---|---|---|
| Azure-VM-Eigenschaften einsehen | Microsoft.Compute/virtualMachines/read | |
| Lesen von Bewertungsdaten für Azure-VMs | Microsoft.Compute/virtualMachines/patchAssessmentResults/read Microsoft.Compute/virtualMachines/patchAssessmentResults/softwarePatches/read |
|
| Lesen von Patchinstallationsdaten für Azure-VMs | Microsoft.Compute/virtualMachines/patchInstallationResults/read Microsoft.Compute/virtualMachines/patchInstallationResults/softwarePatches/read |
|
| Azure Arc-fähige Servereigenschaften abrufen | Microsoft.HybridCompute/machines/read | |
| Lesen von Bewertungsdaten für Azure Arc-fähige Server | Microsoft.HybridCompute/machines/patchAssessmentResults/read Microsoft.HybridCompute/machines/patchAssessmentResults/softwarePatches/read |
|
| Lesen der Patch-Installationsdaten für Azure Arc-fähige Server | Microsoft.HybridCompute/machines/patchInstallationResults/read Microsoft.HybridCompute/machines/patchInstallationResults/softwarePatches/read |
|
| Abrufen des Status eines asynchronen Vorgangs für einen virtuellen Azure-Computer | Microsoft.Compute/locations/operations/read | Computerabonnement |
| Lesen des Status eines Update Center-Vorgangs auf Azure Arc-fähigen Computern | Microsoft.HybridCompute/locations/updateCenterOperationResults/read | Computerabonnement |
Berechtigungen zum Ausführen von On-Demand-Aktionen im Update-Manager
Die folgenden Berechtigungen sind zusätzlich zu den zuvor auf einzelnen Computern dokumentierten Leseberechtigungen erforderlich, auf denen Sie On-Demand-Vorgänge ausführen.
| Maßnahme | Erlaubnis | Geltungsbereich |
|---|---|---|
| Auslösen einer Bewertung auf Azure-VMs | Microsoft.Compute/virtualMachines/assessPatches/action | |
| Installieren eines Updates auf Azure-VMs | Microsoft.Compute/virtualMachines/installPatches/action | |
| Abrufen des Status eines asynchronen Vorgangs für einen virtuellen Azure-Computer | Microsoft.Compute/locations/operations/read | Computerabonnement |
| Auslösen einer Bewertung auf einem Azure Arc-fähigen Server | Microsoft.HybridCompute/machines/assessPatches/action | |
| Installieren eines Updates auf einem Azure Arc-fähigen Server | Microsoft.HybridCompute/machines/installPatches/action | |
| Lesen des Status eines Update Center-Vorgangs auf Azure Arc-fähigen Computern | Microsoft.HybridCompute/locations/updateCenterOperationResults/read | Computerabonnement |
| Aktualisieren des Patchmodus oder des Bewertungsmodus für Azure-VMs | Microsoft.Compute/virtualMachines/write | Machine |
| Aktualisieren des Bewertungsmodus für Azure Arc-fähige Computer | Microsoft.HybridCompute/machines/write | Machine |
Berechtigungen im Zusammenhang mit geplantem Patching (Wartungskonfiguration)
Die folgenden Berechtigungen sind zusätzlich zu Berechtigungen auf einzelnen Computern erforderlich, die von den Zeitplänen verwaltet werden.
| Maßnahme | Erlaubnis | Geltungsbereich |
|---|---|---|
| Registrieren des Abonnements für den Microsoft.Maintenance-Ressourcenanbieter | Microsoft.Maintenance/register/action | Subscription |
| Erstellen oder Ändern einer Wartungskonfiguration | Microsoft.Maintenance/maintenanceConfigurations/write | Abonnement/Ressourcengruppe |
| Lesen einer Wartungskonfiguration | Microsoft.Maintenance/maintenanceConfigurations/read | Abonnement/Ressourcengruppe |
| Löschen einer Wartungskonfiguration | Microsoft.Maintenance/maintenanceConfigurations/delete | Abonnement/Ressourcengruppe |
| Erstellen oder Ändern von Konfigurationszuweisungen | Microsoft.Maintenance/configurationAssignments/write | Abonnement-/Ressourcengruppe/Computer |
| Konfigurationszuweisungen lesen | Microsoft.Maintenance/configurationAssignments/read | Abonnement-/Ressourcengruppe/Computer |
| Löschen von Konfigurationszuweisungen | Microsoft.Maintenance/configurationAssignments/delete | Abonnement-/Ressourcengruppe/Computer |
| Lesen einer Wartungsaktualisierungsressource | Microsoft.Maintenance/updates/read | Machine |
| Eine Ressource lesen, um Wartungsupdates anzuwenden | Microsoft.Maintenance/applyUpdates/read | Machine |
| Liste der Updatebereitstellungen abrufen | Microsoft.Resources/deployments/read | Wartungskonfiguration und Abonnement für den virtuellen Computer |
| Erstellen oder Aktualisieren einer Updatebereitstellung | Microsoft.Resources/deployments/write | Wartungskonfiguration und Abonnement für den virtuellen Computer |
| Abrufen einer Liste der Vorgangsstatus für Updatebereitstellungen | Microsoft.Resources/deployments/operationstatuses | Wartungskonfiguration und Abonnement für den virtuellen Computer |
| Lesen der Wartungskonfigurationszuweisung für den InGuestPatch-Wartungsbereich | Microsoft.Maintenance/configurationAssignments/maintenanceScope/InGuestPatch/read | Abonnement/Ressourcengruppe/Maschine |
| Erstellen oder Ändern einer Wartungskonfigurationszuweisung für einen InGuestPatch-Wartungsbereich | Microsoft.Maintenance/configurationAssignments/maintenanceScope/InGuestPatch/write | Abonnement/Ressourcengruppe/Maschine |
| Löschen einer Wartungskonfigurationszuweisung für einen InGuestPatch-Wartungsbereich | Microsoft.Maintenance/configurationAssignments/maintenanceScope/InGuestPatch/delete | Abonnement-/Ressourcengruppe/Computer |
| Wartungskonfiguration für einen InGuestPatch-Wartungsbereich lesen | Microsoft.Maintenance/maintenanceConfigurations/maintenanceScope/InGuestPatch/read | Abonnement/Ressourcengruppe |
| Erstellen oder Ändern einer Wartungskonfiguration für einen InGuestPatch-Wartungsbereich | Microsoft.Maintenance/maintenanceConfigurations/maintenanceScope/InGuestPatch/write | Abonnement/Ressourcengruppe |
| Löschen einer Wartungskonfiguration für einen InGuestPatch-Wartungsbereich | Microsoft.Maintenance/maintenanceConfigurations/maintenanceScope/InGuestPatch/delete | Abonnement/Ressourcengruppe |