Ripristinare un account di gestione automatica

Importante

Questo articolo è rilevante solo per i computer che sono stati caricati nella versione precedente di Automanage (API versione 2020-06-30-preview). Lo stato per questi computer sarà necessario aggiornare.

L'account di gestione automatica di Azure è il contesto di sicurezza o l'identità in cui si verificano le operazioni automatizzate. Se di recente è stata spostata una sottoscrizione contenente un account di gestione automatica in un nuovo tenant, è necessario riconfigurare l'account. Per riconfigurarlo, è necessario reimpostare il tipo di identità e assegnare i ruoli appropriati per l'account.

Passaggio 1: Reimpostare il tipo di identità dell'account di gestione automatica

Reimpostare il tipo di identità dell'account di gestione automatica usando il modello azure Resource Manager (ARM) seguente. Salvare il file in locale come armdeploy.json o un nome simile. Prendere nota del nome e della posizione dell'account di gestione automatica perché sono necessari parametri nel modello di Resource Manager.

  1. Creare una distribuzione Resource Manager usando il modello seguente. Usare identityType = None.

    • È possibile creare la distribuzione nell'interfaccia della riga di comando di Azure usando az deployment sub create. Per altre informazioni, vedere az deployment sub.
    • È possibile creare la distribuzione in PowerShell usando il New-AzDeployment modulo. Per altre informazioni, vedere New-AzDeployment.
  2. Eseguire di nuovo lo stesso modello di Resource Manager con identityType = SystemAssigned.

{
    "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
    "contentVersion": "1.0.0.0",
    "parameters": {
        "accountName": {
            "type": "string"
        },
        "location": {
            "type": "string"
        },
        "identityType": {
            "type": "string",
            "allowedValues": [ "None", "SystemAssigned" ]
        }
    },
    "resources": [
        {
            "apiVersion": "2020-06-30-preview",
            "name": "[parameters('accountName')]",
            "location": "[parameters('location')]",
            "type": "Microsoft.Automanage/accounts",
            "identity": {
                "type": "[parameters('identityType')]"
            }
        }
    ]
}

Passaggio 2: Assegnare ruoli appropriati per l'account di gestione automatica

L'account di gestione automatica richiede i ruoli Collaboratore e Collaboratore criteri di risorsa nella sottoscrizione che contiene le macchine virtuali gestite da Automanage. È possibile assegnare questi ruoli usando i modelli portale di Azure, arm o l'interfaccia della riga di comando di Azure.

Se si usa un modello arm o l'interfaccia della riga di comando di Azure, è necessario l'ID entità (noto anche come ID oggetto) dell'account di gestione automatica. Non è necessario l'ID se si usa il portale di Azure. È possibile trovare questo ID usando questi metodi:

  • Interfaccia della riga di comando di Azure: usare il comando az ad sp list --display-name <name of your Automanage Account>.

  • portale di Azure: passare a Azure Active Directory e cercare l'account di gestione automatica in base al nome. In Enterprise Applicazioni selezionare il nome dell'account di gestione automatica quando viene visualizzato.

Portale di Azure

  1. In Sottoscrizioni passare alla sottoscrizione contenente le macchine virtuali gestite automaticamente.

  2. Selezionare Controllo di accesso (IAM) .

  3. Selezionare Aggiungiaggiungi> assegnazione di ruolo per aprire la pagina Aggiungi assegnazione ruolo.

  4. Assegnare il ruolo seguente. Per i passaggi dettagliati, vedere Assegnare ruoli di Azure usando l'portale di Azure.

    Impostazione valore
    Ruolo Autore di contributi
    Assegna accesso a Utente, gruppo o entità servizio
    Membri <Nome dell'account di gestione automatica>

    Screenshot showing Add role assignment page in Azure portal.

  5. Ripetere i passaggi da 2 a 4, selezionando il ruolo Collaboratore criteri di risorsa .

Modello ARM

Eseguire il modello di Resource Manager seguente. Sarà necessario l'ID entità dell'account di gestione automatica. I passaggi da ottenere sono all'inizio di questa sezione. Immettere l'ID quando viene richiesto.

{
    "$schema": "https://schema.management.azure.com/schemas/2015-01-01/deploymentTemplate.json#",
    "contentVersion": "1.0.0.0",
    "parameters": {
        "principalId": {
            "type": "string",
            "metadata": {
                "description": "The principal to assign the role to"
            }
        }
    },
    "variables": {
        "Contributor": "[concat('/subscriptions/', subscription().subscriptionId, '/providers/Microsoft.Authorization/roleDefinitions/', 'b24988ac-6180-42a0-ab88-20f7382dd24c')]",
        "Resource Policy Contributor": "[concat('/subscriptions/', subscription().subscriptionId, '/providers/Microsoft.Authorization/roleDefinitions/', '36243c78-bf99-498c-9df9-86d9f8d28608')]"
    },
    "resources": [
        {
            "type": "Microsoft.Authorization/roleAssignments",
            "apiVersion": "2018-09-01-preview",
            "name": "[guid(uniqueString(variables('Contributor')))]",
            "properties": {
                "roleDefinitionId": "[variables('Contributor')]",
                "principalId": "[parameters('principalId')]"
            }
        },
        {
            "type": "Microsoft.Authorization/roleAssignments",
            "apiVersion": "2018-09-01-preview",
            "name": "[guid(uniqueString(variables('Resource Policy Contributor')))]",
            "properties": {
                "roleDefinitionId": "[variables('Resource Policy Contributor')]",
                "principalId": "[parameters('principalId')]"
            }
        }
    ]
}

Interfaccia della riga di comando di Azure

Eseguire questi comandi:

az role assignment create --assignee-object-id <your Automanage Account Object ID> --role "Contributor" --scope /subscriptions/<your subscription ID>

az role assignment create --assignee-object-id <your Automanage Account Object ID> --role "Resource Policy Contributor" --scope /subscriptions/<your subscription ID>

Passaggi successivi

Altre informazioni sulla gestione automatica di Azure