Azure 更新管理器中的角色和权限

若要使用 Azure 更新管理器管理 Azure VM 或已启用 Azure Arc 的服务器，必须拥有相应的角色。可以使用预定义的角色，也可以创建拥有所需特定权限的自定义角色。有关详细信息，请参阅权限。

角色

内置角色在虚拟机上提供一揽子权限，其中还包括所有 Azure 更新管理器权限。

资源	角色
Azure VM	Azure 虚拟机参与者或 Azure 所有者
已启用 Azure Arc 的服务器	Azure Connected Machine 资源管理员

需要以下权限才能管理更新操作。下表显示了使用更新管理器时所需的权限。可以创建自定义角色并仅为该角色分配所需的权限，以便仅根据需要提供执行特定操作的权限。

操作	权限	范围
读取 Azure VM 属性	Microsoft.Compute/virtualMachines/read
读取 Azure VM 的评估数据	Microsoft.Compute/virtualMachines/patchAssessmentResults/read Microsoft.Compute/virtualMachines/patchAssessmentResults/softwarePatches/read
读取 Azure VM 的补丁安装数据	Microsoft.Compute/virtualMachines/patchInstallationResults/read Microsoft.Compute/virtualMachines/patchInstallationResults/softwarePatches/read
读取已启用 Azure Arc 的服务器属性	Microsoft.HybridCompute/machines/read
读取已启用 Azure Arc 的服务器的评估数据	Microsoft.HybridCompute/machines/patchAssessmentResults/read Microsoft.HybridCompute/machines/patchAssessmentResults/softwarePatches/read
读取已启用 Azure Arc 的服务器的补丁安装数据	Microsoft.HybridCompute/machines/patchInstallationResults/read Microsoft.HybridCompute/machines/patchInstallationResults/softwarePatches/read
获取 Azure 虚拟机异步操作的状态	Microsoft.Compute/locations/operations/read	计算机订阅
读取 Arc 计算机上更新中心操作的状态	Microsoft.HybridCompute/locations/updateCenterOperationResults/read	计算机订阅

请注意，除了上面所述的读取权限之外，在执行按需操作的各个计算机上还需要有以下权限。

操作	权限	范围
触发 Azure VM 上的评估	Microsoft.Compute/virtualMachines/assessPatches/action
在 Azure VM 上安装更新	Microsoft.Compute/virtualMachines/installPatches/action
获取 Azure 虚拟机异步操作的状态	Microsoft.Compute/locations/operations/read	计算机订阅
在已启用 Azure Arc 的服务器上触发评估	Microsoft.HybridCompute/machines/assessPatches/action
在已启用 Azure Arc 的服务器上安装更新	Microsoft.HybridCompute/machines/installPatches/action
读取 Arc 计算机上更新中心操作的状态	Microsoft.HybridCompute/locations/updateCenterOperationResults/read	计算机订阅
Azure 虚拟计算机的更新补丁模式/评估模式	Microsoft.Compute/virtualMachines/write	Machine
Arc 计算机的更新评估模式	Microsoft.HybridCompute/machines/write	Machine

请注意，除了按计划管理的单个计算机的权限之外，还需要以下权限。

操作	权限	范围
注册 Microsoft.Maintenance 资源提供程序的订阅	Microsoft.Maintenance/register/action	订阅
创建/修改维护配置	Microsoft.Maintenance/maintenanceConfigurations/write	订阅/资源组
创建/修改配置分配	Microsoft.Maintenance/configurationAssignments/write	订阅/资源组/计算机
维护更新资源的读取权限	Microsoft.Maintenance/updates/read	计算机
维护应用更新资源的读取权限	Microsoft.Maintenance/applyUpdates/read	计算机
获取更新部署列表	Microsoft.Resources/deployments/read	维护配置和虚拟机订阅
创建或更新更新部署	Microsoft.Resources/deployments/write	维护配置和虚拟机订阅
获取更新部署操作状态的列表	Microsoft.Resources/deployments/operation statuses	维护配置和虚拟机订阅