Controllo degli accessi in base al ruolo in Automazione di AzureRole-based access control in Azure Automation

Il controllo degli accessi in base al ruolo consente di gestire gli accessi per le risorse di Azure.Role-based access control (RBAC) enables access management for Azure resources. Con il controllo degli accessi in base al ruolo è possibile separare i compiti all'interno del team e concedere a utenti, gruppi e applicazioni solo il livello di accesso necessario per svolgere le proprie attività.Using RBAC, you can segregate duties within your team and grant only the amount of access to users, groups, and applications that they need to perform their jobs. È possibile concedere l'accesso in base al ruolo agli utenti tramite il portale di Azure, gli strumenti da riga di comando di Azure o le API di gestione di Azure.Role-based access can be granted to users using the Azure portal, Azure Command-Line tools, or Azure Management APIs.

Ruoli negli account di AutomazioneRoles in Automation accounts

In Automazione di Azure l'accesso viene concesso assegnando il ruolo Controllo degli accessi in base al ruolo appropriato a utenti, gruppi e applicazioni nell'ambito dell'account di automazione.In Azure Automation, access is granted by assigning the appropriate RBAC role to users, groups, and applications at the Automation account scope. Di seguito sono elencati i ruoli predefiniti supportati da un account di automazione:Following are the built-in roles supported by an Automation account:

RuoloRole DescrizioneDescription
ProprietarioOwner Il ruolo Proprietario consente l'accesso a tutte le risorse e le azioni in un account di Automazione, inclusa la possibilità di concedere l'accesso ad altri utenti e gruppi e ad altre applicazioni per gestire l'account di Automazione.The Owner role allows access to all resources and actions within an Automation account including providing access to other users, groups, and applications to manage the Automation account.
CollaboratoreContributor Il ruolo Collaboratore consente di gestire tutto, tranne la modifica delle autorizzazioni di accesso di altri utenti a un account di automazione.The Contributor role allows you to manage everything except modifying other user’s access permissions to an Automation account.
ReaderReader Il ruolo Lettore consente di visualizzare tutte le risorse in un account di automazione, ma non di apportare modifiche.The Reader role allows you to view all the resources in an Automation account but cannot make any changes.
Operatore di automazioneAutomation Operator Il ruolo Operatore di automazione consente di visualizzare le proprietà e il nome del runbook e di creare e gestire i processi per tutti i runbook in un account di Automazione.The Automation Operator role allows you to view runbook name and properties and to create and manage jobs for all runbooks in an Automation account. Questo ruolo è utile per proteggere le risorse dell'account di automazione, come asset delle credenziali e runbook, dalla visualizzazione o dalla modifica, consentendo però ai membri dell'organizzazione di eseguire i runbook.This role is helpful if you want to protect your Automation Account resources like credentials assets and runbooks from being viewed or modified but still allow members of your organization to execute these runbooks.
Operatore processo di automazioneAutomation Job Operator Il ruolo Operatore processo di automazione consente di creare e gestire i processi per tutti i runbook in un account di Automazione.The Automation Job Operator role allows you to create and manage jobs for all runbooks in an Automation account.
Operatore runbook di automazioneAutomation Runbook Operator Il ruolo Operatore runbook di automazione consente di visualizzare il nome e le proprietà di un runbook.The Automation Runbook Operator role allows you to view a runbook’s name and properties.
Collaboratore di Log AnalyticsLog Analytics Contributor Il ruolo Collaboratore di Log Analytics consente di leggere tutti i dati di monitoraggio e di modificare le impostazioni di monitoraggio.The Log Analytics Contributor role allows you to read all monitoring data and edit monitoring settings. La modifica delle impostazioni di monitoraggio include l'aggiunta di estensioni delle VM alle VM, la lettura delle chiavi dell'account di archiviazione per potere configurare la raccolta di log dall'Archiviazione di Azure, la creazione e la configurazione degli account di Automazione, l'aggiunta di soluzioni e la configurazione di Diagnostica di Azure in tutte le risorse di Azure.Editing monitoring settings includes adding the VM extension to VMs, reading storage account keys to be able to configure collection of logs from Azure storage, creating and configuring Automation accounts, adding solutions, and configuring Azure diagnostics on all Azure resources.
Lettore di Log AnalyticsLog Analytics Reader Il ruolo Lettore di Log Analytics consente di visualizzare e cercare tutti i dati di monitoraggio, oltre alle impostazioni di monitoraggio,The Log Analytics Reader role allows you to view and search all monitoring data as well as view monitoring settings. inclusa la configurazione della diagnostica di Azure in tutte le risorse di Azure.This includes viewing the configuration of Azure diagnostics on all Azure resources.
Collaboratore al monitoraggioMonitoring Contributor Il ruolo Monitoraggio del ruolo Collaboratore consente di leggere tutti i dati di monitoraggio e di aggiornare le impostazioni di monitoraggio.The Monitoring Contributor role allows you to read all monitoring data and update monitoring settings.
Lettore di monitoraggioMonitoring Reader Il ruolo Lettore di monitoraggio consente di leggere tutti i dati di monitoraggio.The Monitoring Reader role allows you to read all monitoring data.
Amministratore accessi utenteUser Access Administrator Il ruolo Amministratore Accesso utenti consente di gestire l'accesso utente agli account di automazione di Azure.The User Access Administrator role allows you to manage user access to Azure Automation accounts.

Autorizzazioni ruoliRole permissions

Nelle tabelle seguenti vengono descritte le autorizzazioni specifiche assegnate a ogni ruolo.The following tables describe the specific permissions given to each role. Può trattarsi di proprietà Actions, che concedono le autorizzazioni, e NotActions, che le limitano.This can include Actions, which give permissions, and NotActions, which restrict them.

ProprietarioOwner

Un proprietario può gestire tutto, compresi gli accessi.An Owner can manage everything, including access. La tabella seguente illustra le autorizzazioni concesse per il ruolo:The following table shows the permissions granted for the role:

AzioniActions DESCRIZIONEDescription
Microsoft.Automation/automationAccounts/Microsoft.Automation/automationAccounts/ Può creare e gestire ogni tipo di risorsa.Create and manage resources of all types.

CollaboratoreContributor

Un collaboratore può gestire tutto a eccezione degli accessi.A Contributor can manage everything except access. La tabella seguente illustra le autorizzazioni concesse e negate per il ruolo:The following table shows the permissions granted and denied for the role:

ActionsActions DescrizioneDescription
Microsoft.Automation/automationAccounts/Microsoft.Automation/automationAccounts/ È in grado di creare e gestire ogni tipo di risorsaCreate and manage resources of all types
Non azioniNot Actions
Microsoft.Authorization/*/DeleteMicrosoft.Authorization/*/Delete Elimina ruoli e assegnazioni di ruoli.Delete roles and role assignments.
Microsoft.Authorization/*/WriteMicrosoft.Authorization/*/Write Crea ruoli e assegnazioni di ruoli.Create roles and role assignments.
Microsoft.Authorization/elevateAccess/ActionMicrosoft.Authorization/elevateAccess/Action Nega la possibilità di creare un amministratore Accesso utenti.Denies the ability to create a User Access Administrator.

ReaderReader

Un lettore può visualizzare tutte le risorse in un account di Automazione, ma non apportare modifiche.A Reader can view all the resources in an Automation account but cannot make any changes.

ActionsActions DescrizioneDescription
Microsoft.Automation/automationAccounts/readMicrosoft.Automation/automationAccounts/read Visualizza tutte le risorse in un account di Automazione.View all resources in an Automation account.

Operatore di automazioneAutomation Operator

Il ruolo Operatore di automazione può creare e gestire i processi, oltre che leggere le proprietà e i nomi, per tutti i runbook in un account di Automazione.An Automation Operator is able to create and manage jobs, and read runbook names and properties for all runbooks in an Automation account. Nota: se si vuole controllare l'accesso dell'operatore ai singoli runbook, non impostare questo ruolo e usare invece i ruoli "Operatore processo di automazione" e "Operatore runbook di automazione" in combinazione.Note: If you want to control operator access to individual runbooks then don’t set this role, and instead use the 'Automation Job Operator' and 'Automation Runbook Operator' roles in combination. La tabella seguente illustra le autorizzazioni concesse per il ruolo:The following table shows the permissions granted for the role:

ActionsActions DescrizioneDescription
Microsoft.Authorization/*/readMicrosoft.Authorization/*/read Legge l'autorizzazione.Read authorization.
Microsoft.Automation/automationAccounts/jobs/readMicrosoft.Automation/automationAccounts/jobs/read Elenca i processi del runbook.List jobs of the runbook.
Microsoft.Automation/automationAccounts/jobs/resume/actionMicrosoft.Automation/automationAccounts/jobs/resume/action Riprende un processo in pausa.Resume a job that is paused.
Microsoft.Automation/automationAccounts/jobs/stop/actionMicrosoft.Automation/automationAccounts/jobs/stop/action Annulla un processo in corso.Cancel a job in progress.
Microsoft.Automation/automationAccounts/jobs/streams/readMicrosoft.Automation/automationAccounts/jobs/streams/read Legge i flussi e l'output di processo.Read the Job Streams and Output.
Microsoft.Automation/automationAccounts/jobs/suspend/actionMicrosoft.Automation/automationAccounts/jobs/suspend/action Sospende un processo in corso.Pause a job in progress.
Microsoft.Automation/automationAccounts/jobs/writeMicrosoft.Automation/automationAccounts/jobs/write Crea processi.Create jobs.
Microsoft.Resources/subscriptions/resourceGroups/readMicrosoft.Resources/subscriptions/resourceGroups/read Legge i ruoli e le assegnazioni di ruoli.Read roles and role assignments.
Microsoft.Resources/deployments/*Microsoft.Resources/deployments/* Crea e gestisce distribuzioni di gruppi di risorse.Create and manage resource group deployments.
Microsoft.Insights/alertRules/*Microsoft.Insights/alertRules/* Crea e gestisce regole di avviso.Create and manage alert rules.
Microsoft.Support/*Microsoft.Support/* Crea e gestisce ticket di supporto.Create and manage support tickets.

Operatore processo di automazioneAutomation Job Operator

Viene concesso un ruolo Operatore processo di automazione nell'ambito dell'account di Automazione.An Automation Job Operator role is granted at the Automation account scope. In questo modo vengono concesse all'operatore le autorizzazioni per creare e gestire i processi per tutti i runbook nell'account. This allows the operator permissions to create and manage jobs for all runbooks in the account. La tabella seguente illustra le autorizzazioni concesse per il ruolo:The following table shows the permissions granted for the role:

ActionsActions DescrizioneDescription
Microsoft.Authorization/*/readMicrosoft.Authorization/*/read Legge l'autorizzazione.Read authorization.
Microsoft.Automation/automationAccounts/jobs/readMicrosoft.Automation/automationAccounts/jobs/read Elenca i processi del runbook.List jobs of the runbook.
Microsoft.Automation/automationAccounts/jobs/resume/actionMicrosoft.Automation/automationAccounts/jobs/resume/action Riprende un processo in pausa.Resume a job that is paused.
Microsoft.Automation/automationAccounts/jobs/stop/actionMicrosoft.Automation/automationAccounts/jobs/stop/action Annulla un processo in corso.Cancel a job in progress.
Microsoft.Automation/automationAccounts/jobs/streams/readMicrosoft.Automation/automationAccounts/jobs/streams/read Legge i flussi e l'output di processo.Read the Job Streams and Output.
Microsoft.Automation/automationAccounts/jobs/suspend/actionMicrosoft.Automation/automationAccounts/jobs/suspend/action Sospende un processo in corso.Pause a job in progress.
Microsoft.Automation/automationAccounts/jobs/writeMicrosoft.Automation/automationAccounts/jobs/write Crea processi.Create jobs.
Microsoft.Resources/subscriptions/resourceGroups/readMicrosoft.Resources/subscriptions/resourceGroups/read Legge i ruoli e le assegnazioni di ruoli.Read roles and role assignments.
Microsoft.Resources/deployments/*Microsoft.Resources/deployments/* Crea e gestisce distribuzioni di gruppi di risorse.Create and manage resource group deployments.
Microsoft.Insights/alertRules/*Microsoft.Insights/alertRules/* Crea e gestisce regole di avviso.Create and manage alert rules.
Microsoft.Support/*Microsoft.Support/* Crea e gestisce ticket di supporto.Create and manage support tickets.

Operatore runbook di automazioneAutomation Runbook Operator

Un ruolo Operatore runbook di automazione viene concesso nell'ambito del runbook.An Automation Runbook Operator role is granted at the Runbook scope. Un ruolo Operatore runbook di automazione può visualizzare il nome e le proprietà del runbook.An Automation Runbook Operator can view the runbook's name and properties.  Questo ruolo, combinato con il ruolo "Operatore processo di automazione" consente all'operatore anche di creare e gestire i processi per il runbook.  This role combined with the 'Automation Job Operator' role enables the operator to also create and manage jobs for the runbook. La tabella seguente illustra le autorizzazioni concesse per il ruolo:The following table shows the permissions granted for the role:

ActionsActions DescrizioneDescription
Microsoft.Automation/automationAccounts/runbooks/readMicrosoft.Automation/automationAccounts/runbooks/read Elenca i runbook.List the runbooks.
Microsoft.Authorization/*/readMicrosoft.Authorization/*/read Legge l'autorizzazione.Read authorization.
Microsoft.Resources/subscriptions/resourceGroups/readMicrosoft.Resources/subscriptions/resourceGroups/read Legge i ruoli e le assegnazioni di ruoli.Read roles and role assignments.
Microsoft.Resources/deployments/*Microsoft.Resources/deployments/* Crea e gestisce distribuzioni di gruppi di risorse.Create and manage resource group deployments.
Microsoft.Insights/alertRules/*Microsoft.Insights/alertRules/* Crea e gestisce regole di avviso.Create and manage alert rules.
Microsoft.Support/*Microsoft.Support/* Crea e gestisce ticket di supporto.Create and manage support tickets.

Collaboratore di Log AnalyticsLog Analytics Contributor

Un collaboratore di Log Analytics può leggere tutti i dati di monitoraggio e modificare le impostazioni di monitoraggio.A Log Analytics Contributor can read all monitoring data and edit monitoring settings. La modifica delle impostazioni di monitoraggio include l'aggiunta di estensioni delle VM alle VM, la lettura delle chiavi dell'account di archiviazione per potere configurare la raccolta di log dall'Archiviazione di Azure, la creazione e la configurazione degli account di Automazione, l'aggiunta di soluzioni e la configurazione di Diagnostica di Azure in tutte le risorse di Azure.Editing monitoring settings includes adding the VM extension to VMs; reading storage account keys to be able to configure collection of logs from Azure Storage; creating and configuring Automation accounts; adding solutions; and configuring Azure diagnostics on all Azure resources. La tabella seguente illustra le autorizzazioni concesse per il ruolo:The following table shows the permissions granted for the role:

ActionsActions DescrizioneDescription
*/lettura*/read Legge risorse di tutti i tipi, eccetto i segreti.Read resources of all types, except secrets.
Microsoft.Automation/automationAccounts/*Microsoft.Automation/automationAccounts/* Gestisce gli account di Automazione.Manage automation accounts.
Microsoft.ClassicCompute/virtualMachines/extensions/*Microsoft.ClassicCompute/virtualMachines/extensions/* Crea e gestisce le estensioni macchina virtuale.Create and manage virtual machine extensions.
Microsoft.ClassicStorage/storageAccounts/listKeys/actionMicrosoft.ClassicStorage/storageAccounts/listKeys/action Elenca le chiavi dell'account di archiviazione classico.List classic storage account keys.
Microsoft.Compute/virtualMachines/extensions/*Microsoft.Compute/virtualMachines/extensions/* Crea e gestisce le estensioni macchina virtuale classiche.Create and manage classic virtual machine extensions.
Microsoft.Insights/alertRules/*Microsoft.Insights/alertRules/* Regole di avviso di lettura, scrittura ed eliminazione.Read/write/delete alert rules.
Microsoft.Insights/diagnosticSettings/*Microsoft.Insights/diagnosticSettings/* Impostazioni di diagnostica di lettura, scrittura ed eliminazione.Read/write/delete diagnostic settings.
Microsoft.OperationalInsights/*Microsoft.OperationalInsights/* Gestisce Log Analytics.Manage Log Analytics.
Microsoft.OperationsManagement/*Microsoft.OperationsManagement/* Gestisce le soluzioni nelle aree di lavoro.Manage solutions in workspaces.
Microsoft.Resources/deployments/*Microsoft.Resources/deployments/* Crea e gestisce distribuzioni di gruppi di risorse.Create and manage resource group deployments.
Microsoft.Resources/subscriptions/resourcegroups/deployments/*Microsoft.Resources/subscriptions/resourcegroups/deployments/* Crea e gestisce distribuzioni di gruppi di risorse.Create and manage resource group deployments.
Microsoft.Storage/storageAccounts/listKeys/actionMicrosoft.Storage/storageAccounts/listKeys/action Elenca le chiavi dell'account di archiviazione.List storage account keys.
Microsoft.Support/*Microsoft.Support/* Crea e gestisce ticket di supporto.Create and manage support tickets.

Lettore di Log AnalyticsLog Analytics Reader

Un ruolo Lettore di Log Analytics può visualizzare ed eseguire ricerche in tutti i dati di monitoraggio e può visualizzare le impostazioni di monitoraggio, inclusa la visualizzazione della configurazione di Diagnostica di Azure in tutte le risorse di Azure.A Log Analytics Reader can view and search all monitoring data as well as and view monitoring settings, including viewing the configuration of Azure diagnostics on all Azure resources. La tabella seguente illustra le autorizzazioni concesse o negate per il ruolo:The following table shows the permissions granted or denied for the role:

ActionsActions DescrizioneDescription
*/lettura*/read Legge risorse di tutti i tipi, eccetto i segreti.Read resources of all types, except secrets.
Microsoft.OperationalInsights/workspaces/analytics/query/actionMicrosoft.OperationalInsights/workspaces/analytics/query/action Gestisce le query in Log Analytics.Manage queries in Log Analytics.
Microsoft.OperationalInsights/workspaces/search/actionMicrosoft.OperationalInsights/workspaces/search/action Cerca i dati in Log Analytics.Search Log Analytics data.
Microsoft.Support/*Microsoft.Support/* Crea e gestisce ticket di supporto.Create and manage support tickets.
Non azioniNot Actions
Microsoft.OperationalInsights/workspaces/sharedKeys/readMicrosoft.OperationalInsights/workspaces/sharedKeys/read Non può leggere le chiavi di accesso condivise.Not able to read the shared access keys.

Collaboratore al monitoraggioMonitoring Contributor

Un ruolo Monitoraggio del ruolo Collaboratore può leggere tutti i dati di monitoraggio e aggiornare le impostazioni di monitoraggio.A Monitoring Contributor can read all monitoring data and update monitoring settings. La tabella seguente illustra le autorizzazioni concesse per il ruolo:The following table shows the permissions granted for the role:

ActionsActions DescrizioneDescription
*/lettura*/read Legge risorse di tutti i tipi, eccetto i segreti.Read resources of all types, except secrets.
Microsoft.AlertsManagement/alerts/*Microsoft.AlertsManagement/alerts/* Gestisce gli avvisi.Manage Alerts.
Microsoft.AlertsManagement/alertsSummary/*Microsoft.AlertsManagement/alertsSummary/* Gestisce il dashboard degli avvisi.Manage the Alert dashboard.
Microsoft.Insights/AlertRules/*Microsoft.Insights/AlertRules/* Gestisce le regole di avviso.Manage alert rules.
Microsoft.Insights/components/*Microsoft.Insights/components/* Gestisce i componenti di Application Insights.Manage Application Insights components.
Microsoft.Insights/DiagnosticSettings/*Microsoft.Insights/DiagnosticSettings/* Gestisce le impostazioni di diagnostica.Manage diagnostic settings.
Microsoft.Insights/eventtypes/*Microsoft.Insights/eventtypes/* Elenco degli eventi dei registri attività (eventi di gestione) in una sottoscrizione.List Activity Log events (management events) in a subscription. Questa autorizzazione è applicabile sia all'accesso programmatico che all'accesso al portale per il registro attività.This permission is applicable to both programmatic and portal access to the Activity Log.
Microsoft.Insights/LogDefinitions/*Microsoft.Insights/LogDefinitions/* Questa autorizzazione è necessaria per gli utenti che hanno bisogno dell'accesso ai registri attività tramite il portale.This permission is necessary for users who need access to Activity Logs via the portal. Elencare categorie di log nel log attività.List log categories in Activity Log.
Microsoft.Insights/MetricDefinitions/*Microsoft.Insights/MetricDefinitions/* Definizioni delle metriche (elenco dei tipi di metriche disponibili per una risorsa).Read metric definitions (list of available metric types for a resource).
Microsoft.Insights/Metrics/*Microsoft.Insights/Metrics/* Metriche per una risorsa.Read metrics for a resource.
Microsoft.Insights/Register/ActionMicrosoft.Insights/Register/Action Registra il provider Microsoft.Insights.Register the Microsoft.Insights provider.
Microsoft.Insights/webtests/*Microsoft.Insights/webtests/* Gestisce i test Web di Application Insights.Manage Application Insights web tests.
Microsoft.OperationalInsights/workspaces/intelligencepacks/*Microsoft.OperationalInsights/workspaces/intelligencepacks/* Gestisce i pacchetti della soluzione Log Analytics.Manage Log Analytics solution packs.
Microsoft.OperationalInsights/workspaces/savedSearches/*Microsoft.OperationalInsights/workspaces/savedSearches/* Gestisce le ricerche salvate di Log Analytics.Manage Log Analytics saved searches.
Microsoft.OperationalInsights/workspaces/search/actionMicrosoft.OperationalInsights/workspaces/search/action Cercare aree di lavoro di Log Analytics.Search Log Analytics workspaces.
Microsoft.OperationalInsights/workspaces/sharedKeys/actionMicrosoft.OperationalInsights/workspaces/sharedKeys/action Elencare chiavi per un'area di lavoro di Log Analytics.List keys for a Log Analytics workspace.
Microsoft.OperationalInsights/workspaces/storageinsightconfigs/*Microsoft.OperationalInsights/workspaces/storageinsightconfigs/* Gestisce la configurazione di dati di archiviazione di Log Analytics.Manage Log Analytics storage insight configurations.
Microsoft.Support/*Microsoft.Support/* Crea e gestisce ticket di supporto.Create and manage support tickets.
Microsoft.WorkloadMonitor/workloads/*Microsoft.WorkloadMonitor/workloads/* Gestisce i carichi di lavoro.Manage Workloads.

Lettore di monitoraggioMonitoring Reader

Un ruolo Monitoraggio del ruolo Lettore può leggere tutti i dati di monitoraggio.A Monitoring Reader can read all monitoring data. La tabella seguente illustra le autorizzazioni concesse per il ruolo:The following table shows the permissions granted for the role:

ActionsActions DescrizioneDescription
*/lettura*/read Legge risorse di tutti i tipi, eccetto i segreti.Read resources of all types, except secrets.
Microsoft.OperationalInsights/workspaces/search/actionMicrosoft.OperationalInsights/workspaces/search/action Cercare aree di lavoro di Log Analytics.Search Log Analytics workspaces.
Microsoft.Support/*Microsoft.Support/* Creare e gestire ticket di supportoCreate and manage support tickets

Amministratore accessi utenteUser Access Administrator

Un amministratore Accesso utenti può gestire l'accesso degli utenti alle risorse di Azure.A User Access Administrator can manage user access to Azure resources. La tabella seguente illustra le autorizzazioni concesse per il ruolo:The following table shows the permissions granted for the role:

ActionsActions DescrizioneDescription
*/lettura*/read Legge tutte le risorseRead all resources
Microsoft.Authorization/*Microsoft.Authorization/* Gestire l'autorizzazioneManage authorization
Microsoft.Support/*Microsoft.Support/* Creare e gestire ticket di supportoCreate and manage support tickets

OnboardingOnboarding

Le tabelle seguenti illustrano le autorizzazioni minime necessarie per l'onboarding delle macchine virtuali per le soluzioni Rilevamento modifiche o Gestione aggiornamenti.The following tables show the minimum required permissions needed for onboarding virtual machines for the change tracking or update management solutions.

Onboarding da una macchina virtualeOnboarding from a virtual machine

AzioneAction AutorizzazionePermission Ambito minimoMinimum scope
Scrivere una nuova distribuzioneWrite new deployment Microsoft.Resources/deployments/*Microsoft.Resources/deployments/* SottoscrizioneSubscription
Scrivere un nuovo gruppo di risorseWrite new resource group Microsoft.Resources/subscriptions/resourceGroups/writeMicrosoft.Resources/subscriptions/resourceGroups/write SottoscrizioneSubscription
Creare una nuova area di lavoro predefinitaCreate new default Workspace Microsoft.OperationalInsights/workspaces/writeMicrosoft.OperationalInsights/workspaces/write Gruppo di risorseResource group
Creare un nuovo accountCreate new Account Microsoft.Automation/automationAccounts/writeMicrosoft.Automation/automationAccounts/write Gruppo di risorseResource group
Collegare un'area di lavoro e un accountLink workspace and account Microsoft.OperationalInsights/workspaces/writeMicrosoft.OperationalInsights/workspaces/write
Microsoft.Automation/automationAccounts/readMicrosoft.Automation/automationAccounts/read
Area di lavoroWorkspace
Account di AutomazioneAutomation account
Creare una soluzioneCreate solution Microsoft.OperationalInsights/workspaces/intelligencepacks/writeMicrosoft.OperationalInsights/workspaces/intelligencepacks/write Gruppo di risorseResource group
Creare un'estensione MMACreate MMA extension Microsoft.Compute/virtualMachines/writeMicrosoft.Compute/virtualMachines/write Macchina virtualeVirtual Machine
Creare una ricerca salvataCreate saved search Microsoft.OperationalInsights/workspaces/writeMicrosoft.OperationalInsights/workspaces/write Area di lavoroWorkspace
Creare una configurazione di ambitoCreate scope config Microsoft.OperationalInsights/workspaces/writeMicrosoft.OperationalInsights/workspaces/write Area di lavoroWorkspace
Collegare una soluzione a una configurazione di ambitoLink solution to scope config Microsoft.OperationalInsights/workspaces/intelligencepacks/writeMicrosoft.OperationalInsights/workspaces/intelligencepacks/write SoluzioneSolution
Controllo dello stato di onboarding - Leggere l'area di lavoroOnboarding state check - Read workspace Microsoft.OperationalInsights/workspaces/readMicrosoft.OperationalInsights/workspaces/read Area di lavoroWorkspace
Controllo dello stato di onboarding - Leggere la proprietà dell'area di lavoro collegata dell'accountOnboarding state check - Read linked workspace property of account Microsoft.Automation/automationAccounts/readMicrosoft.Automation/automationAccounts/read Account di AutomazioneAutomation account
Controllo dello stato di onboarding - Leggere la soluzioneOnboarding state check - Read solution Microsoft.OperationalInsights/workspaces/intelligencepacks/readMicrosoft.OperationalInsights/workspaces/intelligencepacks/read SoluzioneSolution
Controllo dello stato di onboarding - Leggere la VMOnboarding state check - Read VM Microsoft.Compute/virtualMachines/readMicrosoft.Compute/virtualMachines/read Macchina virtualeVirtual Machine
Controllo dello stato di onboarding - Leggere l'accountOnboarding state check - Read account Microsoft.Automation/automationAccounts/readMicrosoft.Automation/automationAccounts/read Account di AutomazioneAutomation account

Onboarding dall'account di AutomazioneOnboarding from Automation account

AzioneAction AutorizzazionePermission Ambito minimoMinimum Scope
Creare una nuova distribuzioneCreate new deployment Microsoft.Resources/deployments/*Microsoft.Resources/deployments/* SottoscrizioneSubscription
Creare un nuovo gruppo di risorseCreate new resource group Microsoft.Resources/subscriptions/resourceGroups/writeMicrosoft.Resources/subscriptions/resourceGroups/write SottoscrizioneSubscription
Pannello AutomationOnboarding - Creare una nuova area di lavoroAutomationOnboarding blade - Create new workspace Microsoft.OperationalInsights/workspaces/writeMicrosoft.OperationalInsights/workspaces/write Gruppo di risorseResource group
Pannello AutomationOnboarding - Leggere un'area di lavoro collegataAutomationOnboarding blade - read linked workspace Microsoft.Automation/automationAccounts/readMicrosoft.Automation/automationAccounts/read Account di AutomazioneAutomation account
Pannello AutomationOnboarding - Leggere una soluzioneAutomationOnboarding blade - read solution Microsoft.OperationalInsights/workspaces/intelligencepacks/readMicrosoft.OperationalInsights/workspaces/intelligencepacks/read SoluzioneSolution
Pannello AutomationOnboarding - Leggere un'area di lavoroAutomationOnboarding blade - read workspace Microsoft.OperationalInsights/workspaces/intelligencepacks/readMicrosoft.OperationalInsights/workspaces/intelligencepacks/read Area di lavoroWorkspace
Creare un collegamento per un'area di lavoro e un accountCreate link for workspace and Account Microsoft.OperationalInsights/workspaces/writeMicrosoft.OperationalInsights/workspaces/write Area di lavoroWorkspace
Scrivere un account per ShoeboxWrite account for shoebox Microsoft.Automation/automationAccounts/writeMicrosoft.Automation/automationAccounts/write AccountAccount
Creare una soluzioneCreate solution Microsoft.OperationalInsights/workspaces/intelligencepacks/writeMicrosoft.OperationalInsights/workspaces/intelligencepacks/write Gruppo di risorseResource Group
Creare/Modificare una ricerca salvataCreate/edit saved search Microsoft.OperationalInsights/workspaces/writeMicrosoft.OperationalInsights/workspaces/write Area di lavoroWorkspace
Creare/Modificare una configurazione di ambitoCreate/edit scope config Microsoft.OperationalInsights/workspaces/writeMicrosoft.OperationalInsights/workspaces/write Area di lavoroWorkspace
Collegare una soluzione a una configurazione di ambitoLink solution to scope config Microsoft.OperationalInsights/workspaces/intelligencepacks/writeMicrosoft.OperationalInsights/workspaces/intelligencepacks/write SoluzioneSolution
Passaggio 2: Caricare più VMStep 2 - Onboard Multiple VMs
Pannello VMOnboarding - Creare un'estensione MMAVMOnboarding blade - Create MMA extension Microsoft.Compute/virtualMachines/writeMicrosoft.Compute/virtualMachines/write Macchina virtualeVirtual Machine
Creare/Modificare una ricerca salvataCreate / edit saved search Microsoft.OperationalInsights/workspaces/writeMicrosoft.OperationalInsights/workspaces/write Area di lavoroWorkspace
Creare/Modificare una configurazione di ambitoCreate / edit scope config Microsoft.OperationalInsights/workspaces/writeMicrosoft.OperationalInsights/workspaces/write Area di lavoroWorkspace

Gestione degli aggiornamentiUpdate management

La gestione degli aggiornamenti copre più servizi per fornire il proprio servizio.Update management reaches across multiple services to provide its service. La tabella seguente illustra le autorizzazioni necessarie per gestire le distribuzioni di gestione degli aggiornamenti:The following table shows the permissions needed to manage update management deployments:

RisorsaResource RuoloRole AmbitoScope
Account di AutomazioneAutomation account Collaboratore di Log AnalyticsLog Analytics Contributor Account di AutomazioneAutomation account
Account di AutomazioneAutomation account Collaboratore macchine virtualiVirtual Machine Contributor Gruppo di risorse per l'accountResource Group for the account
Area di lavoro di Log AnalyticsLog Analytics workspace Collaboratore di Log AnalyticsLog Analytics Contributor Area di lavoro di Log AnalyticsLog Analytics workspace
Area di lavoro di Log AnalyticsLog Analytics workspace Lettore di Log AnalyticsLog Analytics Reader SottoscrizioneSubscription
SoluzioneSolution Collaboratore di Log AnalyticsLog Analytics Contributor SoluzioneSolution
Macchina virtualeVirtual Machine Collaboratore macchine virtualiVirtual Machine Contributor Macchina virtualeVirtual Machine

Configurare il controllo degli accessi in base al ruolo per l'account di AutomazioneConfigure RBAC for your Automation account

La sezione seguente illustra come configurare il controllo degli accessi in base al ruolo nell'account di Automazione tramite il portale e PowerShellThe following section shows you how to configure RBAC on your Automation Account through the portal and PowerShell

Configurare il controllo degli accessi in base al ruolo mediante il portale di AzureConfigure RBAC using the Azure portal

  1. Accedere al portale di Azure e aprire l'account di Automazione nella pagina Account di automazione.Log in to the Azure portal and open your Automation account from the Automation Accounts page.
  2. Fare clic sul controllo Controllo di accesso (IAM) nell'angolo superiore sinistro.Click on the Access control (IAM) control at the top left corner. Verrà visualizzata la pagina Controllo di accesso (IAM), in cui è possibile aggiungere nuovi utenti, gruppi e applicazioni per gestire il proprio account di Automazione e visualizzare i ruoli esistenti che possono essere configurati per l'account di Automazione.This opens the Access control (IAM) page where you can add new users, groups, and applications to manage your Automation account and view existing roles that can be configured for the Automation account.

    Pulsante Accesso

Aggiungere un nuovo utente e assegnare un ruoloAdd a new user and assign a role

  1. Nella pagina Controllo di accesso (IAM) fare clic su + Aggiungi per aprire la pagina Aggiungi autorizzazioni, in cui è possibile aggiungere un utente, un gruppo o un'applicazione cui assegnare un ruolo.From the Access control (IAM) page, click + Add to open the Add permissions page where you can add a user, group, or application, and assign a role to them.

  2. Selezionare un ruolo dall'elenco di ruoli disponibili.Select a role from the list of available roles. È possibile scegliere uno qualsiasi dei ruoli predefiniti disponibili supportati da un account di Automazione oppure un ruolo personalizzato definito dall'utente.You can choose any of the available built-in roles that an Automation account supports or any custom role you may have defined.

  3. Digitare il nome utente dell'utente a cui si vogliono concedere le autorizzazioni nel campo Seleziona.Type the username of the user you want to give permissions to in the Select field. Selezionare l'utente dall'elenco e fare clic su Salva.Select the user from the list and click Save.

    Aggiungere utenti

    L'utente verrà ora aggiunto nella pagina Utenti con il ruolo selezionato assegnatoNow you should see the user added to the Users page with the selected role assigned

    Elencare gli utenti

    È anche possibile assegnare un ruolo all'utente dalla pagina Ruoli .You can also assign a role to the user from the Roles page.

  4. Fare clic su Ruoli nella pagina Controllo di accesso (IAM) per aprire la pagina Ruoli.Click Roles from the Access control (IAM) page to open the Roles page. Da qui è possibile visualizzare il nome del ruolo e il numero di utenti e gruppi assegnati al ruolo.From here, you can view the name of the role, the number of users and groups assigned to that role.

    Assegnare un ruolo dalla pagina Utenti

    Nota

    Il controllo degli accessi in base al ruolo può essere impostato solo nell'ambito dell'account di Automazione e in nessun'altra risorsa al di sotto dell'account di Automazione.Role-based access control can only be set at the Automation account scope and not at any resource below the Automation account.

Rimuovere un utenteRemove a user

È possibile rimuovere l'autorizzazione di accesso per un utente che non gestisce l'account di Automazione o che non lavora più per l'organizzazione.You can remove the access permission for a user who is not managing the Automation account, or who no longer works for the organization. Ecco la procedura da seguire per rimuovere un utente:Following are the steps to remove a user:

  1. Nella pagina Controllo di accesso (IAM) selezionare l'utente che si vuole rimuovere e fare clic su Rimuovi.From the Access control (IAM) page, select the user wish to remove and click Remove.
  2. Fare clic sul pulsante Rimuovi nel pannello dei dettagli dell'assegnazione.Click the Remove button in the assignment details pane.
  3. Fare clic su per confermare la rimozione.Click Yes to confirm removal.

    Rimuovere utenti

Configurare il controllo degli accessi in base al ruolo mediante PowerShellConfigure RBAC using PowerShell

L'accesso in base al ruolo per un account di Automazione può essere configurato anche con i cmdlet di Azure PowerShell seguenti:Role-based access can also be configured to an Automation account using the following Azure PowerShell cmdlets:

Get-AzureRmRoleDefinition elenca tutti i ruoli di Controllo degli accessi in base al ruolo disponibili in Azure Active Directory.Get-AzureRmRoleDefinition lists all RBAC roles that are available in Azure Active Directory. È possibile usare questo comando con la proprietà Name per elencare tutte le azioni che possono essere eseguite da un ruolo specifico.You can use this command along with the Name property to list all the actions that can be performed by a specific role.

Get-AzureRmRoleDefinition -Name 'Automation Operator'

Di seguito è riportato l'output di esempio:The following is the example output:

Name             : Automation Operator
Id               : d3881f73-407a-4167-8283-e981cbba0404
IsCustom         : False
Description      : Automation Operators are able to start, stop, suspend, and resume jobs
Actions          : {Microsoft.Authorization/*/read, Microsoft.Automation/automationAccounts/jobs/read, Microsoft.Automation/automationAccounts/jobs/resume/action,
                   Microsoft.Automation/automationAccounts/jobs/stop/action...}
NotActions       : {}
AssignableScopes : {/}

Get-AzureRmRoleAssignment elenca le assegnazioni di ruolo di Controllo degli accessi in base al ruolo di Azure AD nell'ambito specificato.Get-AzureRmRoleAssignment lists Azure AD RBAC role assignments at the specified scope. Senza parametri, questo comando restituisce tutte le assegnazioni del ruolo eseguite nell'ambito della sottoscrizione.Without any parameters, this command returns all the role assignments made under the subscription. Usare il parametro ExpandPrincipalGroups per elencare le assegnazioni di accesso per l'utente specificato e per i gruppi di cui l'utente è membro.Use the ExpandPrincipalGroups parameter to list access assignments for the specified user as well as the groups the user is a member of. Esempio: usare il comando seguente per elencare tutti gli utenti e i relativi ruoli all'interno di un account di automazione.Example: Use the following command to list all the users and their roles within an automation account.

Get-AzureRMRoleAssignment -scope '/subscriptions/<SubscriptionID>/resourcegroups/<Resource Group Name>/Providers/Microsoft.Automation/automationAccounts/<Automation account name>'

Di seguito è riportato l'output di esempio:The following is the example output:

RoleAssignmentId   : /subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/myResourceGroup/providers/Microsoft.Automation/automationAccounts/myAutomationAccount/provid
                     ers/Microsoft.Authorization/roleAssignments/cc594d39-ac10-46c4-9505-f182a355c41f
Scope              : /subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/myResourceGroup/providers/Microsoft.Automation/automationAccounts/myAutomationAccount
DisplayName        : admin@contoso.com
SignInName         : admin@contoso.com
RoleDefinitionName : Automation Operator
RoleDefinitionId   : d3881f73-407a-4167-8283-e981cbba0404
ObjectId           : 15f26a47-812d-489a-8197-3d4853558347
ObjectType         : User

New-AzureRmRoleAssignment consente di assegnare l'accesso a utenti, gruppi e applicazioni in un determinato ambito.New-AzureRmRoleAssignment to assign access to users, groups, and applications to a particular scope. Esempio: usare il comando seguente per assegnare il ruolo "Operatore di automazione" a un utente nell'ambito dell'account di Automazione.Example: Use the following command to assign the "Automation Operator" role for a user in the Automation account scope.

New-AzureRmRoleAssignment -SignInName <sign-in Id of a user you wish to grant access> -RoleDefinitionName 'Automation operator' -Scope '/subscriptions/<SubscriptionID>/resourcegroups/<Resource Group Name>/Providers/Microsoft.Automation/automationAccounts/<Automation account name>'

Di seguito è riportato l'output di esempio:The following is the example output:

RoleAssignmentId   : /subscriptions/00000000-0000-0000-0000-000000000000/resourcegroups/myResourceGroup/Providers/Microsoft.Automation/automationAccounts/myAutomationAccount/provid
                     ers/Microsoft.Authorization/roleAssignments/25377770-561e-4496-8b4f-7cba1d6fa346
Scope              : /subscriptions/00000000-0000-0000-0000-000000000000/resourcegroups/myResourceGroup/Providers/Microsoft.Automation/automationAccounts/myAutomationAccount
DisplayName        : admin@contoso.com
SignInName         : admin@contoso.com
RoleDefinitionName : Automation Operator
RoleDefinitionId   : d3881f73-407a-4167-8283-e981cbba0404
ObjectId           : f5ecbe87-1181-43d2-88d5-a8f5e9d8014e
ObjectType         : User

Usare Remove-AzureRmRoleAssignment per rimuovere l'accesso di un utente, un'applicazione o un gruppo specificato da un determinato ambito.Use Remove-AzureRmRoleAssignment to remove access of a specified user, group, or application from a particular scope. Esempio: usare il comando seguente per rimuovere l'utente dal ruolo "Operatore di automazione" nell'ambito dell'account di Automazione.Example: Use the following command to remove the user from the “Automation Operator” role in the Automation account scope.

Remove-AzureRmRoleAssignment -SignInName <sign-in Id of a user you wish to remove> -RoleDefinitionName 'Automation Operator' -Scope '/subscriptions/<SubscriptionID>/resourcegroups/<Resource Group Name>/Providers/Microsoft.Automation/automationAccounts/<Automation account name>'

Negli esempi precedenti sostituire l'ID di accesso, l'ID sottoscrizione, il nome del gruppo di risorse e il nome dell'account di Automazione con i dettagli del proprio account.In the preceding examples, replace sign in Id, subscription Id, resource group name, and Automation account name with your account details. Scegliere quando viene richiesto di confermare se si vuole rimuovere un'assegnazione di ruolo per un utente.Choose yes when prompted to confirm before continuing to remove user role assignment.

Esperienza utente per il ruolo Operatore di automazione - Account di AutomazioneUser experience for Automation operator role - Automation Account

Quando un utente assegnato al ruolo Operatore di automazione nell'ambito dell'account di Automazione visualizza l'account di Automazione a cui è stato assegnato, può vedere solo l'elenco delle pianificazioni, dei runbook e dei processi di runbook creati nell'account di Automazione, ma non le relative definizioni.When a user, who is assigned to the Automation Operator role on the Automation Account scope views the Automation account they are assigned to, they can only view the list of runbooks, runbook jobs, and schedules created in the Automation account but can’t view their definition. L'utente può avviare, arrestare, sospendere, riprendere o pianificare il processo del runbook,They can start, stop, suspend, resume, or schedule the runbook job. ma non avrà accesso ad altre risorse di Automazione, tra cui configurazioni, gruppi di ruoli di lavoro ibridi o nodi DSC.The user does not have access to other Automation resources such as configurations, hybrid worker groups, or DSC nodes.

Nessun accesso alle risorse

Configurare il controllo degli accessi in base al ruolo per i runbookConfigure RBAC for Runbooks

Automazione di Azure consente di assegnare il controllo degli accessi in base al ruolo a specifici runbook.Azure Automation allows for you to assign RBAC to specific runbooks. Per farlo, eseguire lo script seguente per aggiungere un utente a un runbook specifico.To do this run the following script to add a user to a specific runbook. Lo script seguente può essere eseguito da un amministratore dell'account di Automazione o da un amministratore del tenant.The following script can be ran by an Automation Account Admin or Tenant Admin.

$rgName = "<Resource Group Name>" # Resource Group name for the Automation Account
$automationAccountName ="<Automation Account Name>" # Name of the Automation Account
$rbName = "<Name of Runbook>" # Name of the runbook
$userId = "<User ObjectId>" # Azure Active Directory (AAD) user's ObjectId from the directory

# Gets the Automation Account resource
$aa = Get-AzureRmResource -ResourceGroupName $rgName -ResourceType "Microsoft.Automation/automationAccounts" -ResourceName $automationAccountName

# Get the Runbook resource
$rb = Get-AzureRmResource -ResourceGroupName $rgName -ResourceType "Microsoft.Automation/automationAccounts/runbooks" -ResourceName "$automationAccountName/$rbName"

# The Automation Job Operator role only needs to be ran once per user.
New-AzureRmRoleAssignment -ObjectId $userId -RoleDefinitionName "Automation Job Operator" -Scope $aa.ResourceId

# Adds the user to the Automation Runbook Operator role to the Runbook scope
New-AzureRmRoleAssignment -ObjectId $userId -RoleDefinitionName "Automation Runbook Operator" -Scope $rb.ResourceId

Dopo l'esecuzione fare in modo che l'utente acceda al portale di Azure e visualizzi Tutte le risorse.Once ran, have the user log in to the Azure portal and view All Resources. Nell'elenco mostrato il runbook aggiunto è indicato come Operatore runbook di Automazione per.In the list they see the Runbook they were added as a Automation Runbook Operator for.

Controllo degli accessi in base al ruolo del runbook nel portale

Esperienza dell'utente per il ruolo Operatore di automazione - RunbookUser experience for Automation operator role - Runbook

Quando un utente, che è assegnato al ruolo Operatore di automazione nell'ambito del runbook, visualizza un runbook a cui è assegnato, può solo avviare il runbook e visualizzare i processi del runbook.When a user, who is assigned to the Automation Operator role on the Runbook scope views a Runbook they are assigned to, they can only start the runbook and view the runbook jobs.

Ha accesso solo all'avvio

Passaggi successiviNext steps