مسؤولو الاشتراك الكلاسيكي Azure

مقالة
04/11/2024

هام

سيتم إيقاف الموارد الكلاسيكية والمسؤولين الكلاسيكيين في 31 أغسطس 2024. اعتبارا من 3 أبريل 2024، لن تتمكن من إضافة مسؤول istrators جديدة. تم تمديد هذا التاريخ مؤخرا. قم بإزالة مسؤول istrators غير الضرورية واستخدم Azure RBAC للتحكم في الوصول الدقيق.

توصي Microsoft بإدارة الوصول إلى موارد Azure باستخدام التحكم في الوصول المستند إلى دور Azure (Azure RBAC). ومع ذلك، إذا كنت لا تزال تستخدم نموذج النشر الكلاسيكي، فستحتاج إلى استخدام دور مسؤول اشتراك كلاسيكي: service مسؤول istrator و Co-مسؤول istrator. للحصول على معلومات حول كيفية ترحيل مواردك من التوزيع الكلاسيكي إلى نشر Resource Manager، راجع Azure Resource Manager مقابل التوزيع الكلاسيكي.

إذا كان لا يزال لديك مسؤولو كلاسيكيون، فيجب إزالة تعيينات الأدوار هذه قبل تاريخ الإيقاف. توضح هذه المقالة كيفية التحضير لإيقاف أدوار مسؤول istrator وService مسؤول istrator وكيفية إزالة تعيينات الأدوار هذه أو تغييرها.

الأسئلة المتداولة

هل سيفقد المشاركون في مسؤول istrators وService مسؤول istrator إمكانية الوصول بعد 31 أغسطس 2024؟

اعتبارا من 31 أغسطس 2024، ستبدأ Microsoft عملية إزالة الوصول إلى مسؤول istrators وService مسؤول istrator.

كيف أعمل تعرف ما هي الاشتراكات التي يمتلكها المسؤولون الكلاسيكيون؟

يمكنك استخدام استعلام Azure Resource Graph لسرد الاشتراكات باستخدام Service مسؤول istrator أو co-مسؤول istrator role assignments. للاطلاع على الخطوات، راجع قائمة المسؤولين الكلاسيكيين.

ما هو دور Azure المكافئ الذي يجب تعيينه للمسجلين المشاركين في مسؤول؟

دور المالك في نطاق الاشتراك لديه حق الوصول المكافئ. ومع ذلك، المالك هو دور مسؤول متميز ويمنح حق الوصول الكامل لإدارة موارد Azure. يجب مراعاة دور وظيفة بأذونات أقل أو تقليل النطاق أو إضافة شرط.

ما هو دور Azure المكافئ الذي يجب تعيينه ل Service مسؤول istrator؟

دور المالك في نطاق الاشتراك لديه حق الوصول المكافئ.

لماذا أحتاج إلى الترحيل إلى Azure RBAC؟

سيتم إيقاف المسؤولين الكلاسيكيين. يوفر Azure RBAC تحكما دقيقا في الوصول، والتوافق مع Microsoft Entra إدارة الهويات المتميزة (PIM)، ودعم سجلات التدقيق الكامل. ستكون جميع الاستثمارات المستقبلية في Azure RBAC.

ماذا عن دور account مسؤول istrator؟

مسؤول istrator الحساب هو المستخدم الأساسي لحساب الفوترة الخاص بك. لا يتم إهمال مسؤول istrator الحساب ولا تحتاج إلى استبدال تعيين الدور هذا. قد يكون مسؤول istrator الحساب وservice مسؤول istrator هو نفس المستخدم. ومع ذلك، تحتاج فقط إلى إزالة تعيين دور service مسؤول istrator.

ماذا أفعل إذا كان لدي تبعية قوية على مسؤول istrators أو service مسؤول istrator؟

إرسال رسالة بريد إلكتروني ACARDeprecation@microsoft.com ووصف السيناريو الخاص بك.

الاستعداد لتقاعد مسؤول istrators المشاركين

إذا كان لا يزال لديك مسؤولو كلاسيكيون، فاستخدم الخطوات التالية لمساعدتك في التحضير لإيقاف دور مسؤول istrator.

الخطوة 1: مراجعة المراجعين الحاليين مسؤول

سجل الدخول إلى مدخل Microsoft Azure بصفتك مالك اشتراك.
استخدم مدخل Microsoft Azure أو Azure Resource Graph لقائمة مسؤول istrators المشتركين.
راجع سجلات تسجيل الدخول لمراجعي مسؤول المشتركين لتقييم ما إذا كانوا مستخدمين نشطين أم لا.

الخطوة 2: إزالة مسؤول istrators المشاركين الذين لم يعودوا بحاجة إلى الوصول

إذا لم يعد المستخدم في مؤسستك، فقم بإزالة co-مسؤول istrator.
إذا تم حذف المستخدم، ولكن لم تتم إزالة تعيين مسؤول istrator، فقم بإزالة co-مسؤول istrator.

عادة ما يتضمن المستخدمون الذين تم حذفهم النص (لم يتم العثور على المستخدم في هذا الدليل).
بعد مراجعة نشاط المستخدم، إذا لم يعد المستخدم نشطا، فقم بإزالة co-مسؤول istrator.

الخطوة 3: استبدال مسؤول istrators الحاليين بأدوار الوظيفة الوظيفية

لا يحتاج معظم المستخدمين إلى نفس الأذونات التي يحتاجها مسؤول istrator. ضع في اعتبارك دور وظيفة وظيفة بدلا من ذلك.

إذا كان المستخدم لا يزال بحاجة إلى بعض الوصول، فحدد دور وظيفة الوظيفة المناسبة التي يحتاجها.
تحديد احتياجات مستخدم النطاق.
اتبع الخطوات لتعيين دور وظيفة وظيفة للمستخدم.
إزالة مسؤول istrator.

الخطوة 4: استبدال المشاركين مسؤول istrators الحاليين بدور المالك وشروطه

قد يحتاج بعض المستخدمين إلى وصول أكثر مما يمكن أن يوفره دور وظيفة الوظيفة. إذا كان يجب تعيين دور المالك، ففكر في إضافة شرط لتقييد تعيين الدور.

تعيين دور المالك في نطاق الاشتراك بشروط للمستخدم.
إزالة مسؤول istrator.

الاستعداد لإيقاف مسؤول istrator للخدمة

إذا كان لا يزال لديك مسؤولو كلاسيكيون، فاستخدم الخطوات التالية لمساعدتك في التحضير لإيقاف دور مسؤول istrator. لإزالة Service مسؤول istrator، يجب أن يكون لديك مستخدم واحد على الأقل تم تعيين دور المالك له في نطاق الاشتراك دون شروط لتجنب عزل الاشتراك. يتمتع مالك الاشتراك بنفس حق الوصول الذي يتمتع به مسؤول istrator للخدمة.

الخطوة 1: مراجعة مسؤول الخدمة الحالية

سجل الدخول إلى مدخل Microsoft Azure بصفتك مالك اشتراك.
استخدم مدخل Microsoft Azure أو Azure Resource Graph لسرد الخدمة مسؤول istrator.
راجع سجلات تسجيل الدخول مسؤول istrator للخدمة لتقييم ما إذا كان مستخدما نشطا أم لا.

الخطوة 2: مراجعة مالكي حساب الفوترة الحاليين

قد يكون المستخدم الذي تم تعيينه لدور service مسؤول istrator هو أيضا نفس المستخدم المسؤول عن حساب الفوترة الخاص بك. يجب عليك مراجعة مالكي حساب الفوترة الحاليين للتأكد من أنهم لا يزالون دقيقين.

استخدم مدخل Microsoft Azure للحصول على مالكي حساب الفوترة.
راجع قائمة مالكي حسابات الفوترة. إذا لزم الأمر، قم بتحديث أو إضافة مالك حساب فوترة آخر.

الخطوة 3: استبدال الخدمة الموجودة مسؤول istrator بدور المالك

قد يكون مسؤول istrator الخاص بالخدمة حساب Microsoft أو حساب Microsoft Entra. حساب Microsoft هو حساب شخصي مثل Outlook أو OneDrive أو Xbox LIVE أو Microsoft 365. حساب Microsoft Entra هو هوية تم إنشاؤها من خلال معرف Microsoft Entra.

إذا كان مستخدم service مسؤول istrator هو حساب Microsoft وتريد أن يحتفظ هذا المستخدم بنفس الأذونات، فعين دور المالك لهذا المستخدم في نطاق الاشتراك دون شروط.
إذا كان مستخدم service مسؤول istrator هو حساب Microsoft Entra وتريد أن يحتفظ هذا المستخدم بنفس الأذونات، فعين دور المالك لهذا المستخدم في نطاق الاشتراك دون شروط.
إذا كنت تريد تغيير مستخدم الخدمة مسؤول istrator إلى مستخدم مختلف، فقم بتعيين دور المالك لهذا المستخدم الجديد في نطاق الاشتراك دون شروط.
قم بإزالة service مسؤول istrator.

اتبع هذه الخطوات لسرد Service مسؤول istrator و Co-مسؤول istrators للاشتراك باستخدام مدخل Microsoft Azure.

سجل الدخول إلى مدخل Microsoft Azure بصفتك مالك اشتراك.
افتح الاشتراكات وحدد اشتراكا.
حدد Access control (IAM).
حدد علامة التبويب Classic administrators لعرض قائمة ب co-مسؤول istrators.

اتبع هذه الخطوات لسرد عدد مسؤول istrator و Co-مسؤول istrators في اشتراكاتك باستخدام Azure Resource Graph.

سجل الدخول إلى مدخل Microsoft Azure بصفتك مالك اشتراك.
افتح Azure Resource Graph Explorer.
حدد النطاق وقم بتعيين نطاق الاستعلام.

قم بتعيين النطاق إلى الدليل للاستعلام عن المستأجر بأكمله، ولكن يمكنك تضييق النطاق لاشتراكات معينة.
حدد تعيين نطاق التخويل وقم بتعيين نطاق التخويل إلى At وأعلى وأسفلا للاستعلام عن جميع الموارد في النطاق المحدد.

قم بتشغيل الاستعلام التالي لسرد الرقم Service مسؤول istrators و Co-مسؤول istrators استنادا إلى النطاق.

authorizationresources
| where type == "microsoft.authorization/classicadministrators"
| mv-expand role = parse_json(properties).role
| mv-expand adminState = parse_json(properties).adminState
| where adminState == "Enabled"
| where role in ("ServiceAdministrator", "CoAdministrator")
| summarize count() by subscriptionId, tostring(role)

يعرض التالي مثالا على النتائج. العمود count_ هو عدد مسؤول istrators الخدمة أو مسؤول istrators للاشتراك.

إزالة عامل مسؤول المشترك

هام

اتبع هذه الخطوات لإزالة عامل مسؤول المشترك.

سجل الدخول إلى مدخل Microsoft Azure بصفتك مالك اشتراك.
افتح الاشتراكات وحدد اشتراكا.
حدد Access control (IAM).
حدد علامة التبويب Classic administrators لعرض قائمة ب co-مسؤول istrators.
أضف علامة اختيار إلى جانب مسؤول istrator الذي تريد إزالته.
حدد إزالة.
في مربع الرسالة الذي يظهر، حدد نعم.

إضافة عامل مسؤول مشترك

هام

تحتاج فقط إلى إضافة co-مسؤول istrator إذا كان المستخدم بحاجة إلى إدارة عمليات توزيع Azure الكلاسيكية باستخدام Azure Service Management PowerShell Module. إذا كان المستخدم يستخدم مدخل Azure فقط لإدارة الموارد الكلاسيكية، فلن تحتاج إلى إضافة المسؤول الكلاسيكي للمستخدم.

سجل الدخول إلى مدخل Microsoft Azure بصفتك مالك اشتراك.
افتح الاشتراكات وحدد اشتراكا.

يمكن تعيين مسؤول istrators المشتركين فقط في نطاق الاشتراك.
حدد Access control (IAM).
حدد علامة التبويب Classic administrators.
حدد Add>Add co-administrator لفتح جزء Add co-administrators.

إذا تم تعطيل الخيار إضافة مسؤول مشارك، فليس لديك أذونات.
حدد المستخدم الذي تريد إضافته وحدد إضافة.

إضافة مستخدم ضيف كمستخدم مشارك مسؤول

لإضافة مستخدم ضيف كعامل مسؤول، اتبع نفس الخطوات كما في المقطع السابق Add a Co-مسؤول istrator. يجب أن يفي المستخدم الضيف بالمعايير التالية:

يجب أن يكون لدى المستخدم الضيف وجود في الدليل الخاص بك. وهذا يعني أنه تمت دعوة المستخدم إلى الدليل الخاص بك وقبول الدعوة.

لمزيد من المعلومات، حول كيفية إضافة مستخدم ضيف إلى دليلك، راجع إضافة مستخدمي تعاون Microsoft Entra B2B في مدخل Microsoft Azure.

قبل إزالة مستخدم ضيف من الدليل الخاص بك، يجب أولا إزالة أي تعيينات دور لهذا المستخدم الضيف. لمزيد من المعلومات، راجع إزالة مستخدم خارجي من دليلك.

الاختلافات للمستخدمين الضيوف

قد يرى المستخدمون الضيوف الذين تم تعيين دور مسؤول istrator المشترك بعض الاختلافات مقارنة بالمستخدمين الأعضاء الذين لديهم دور مسؤول مسؤول المشترك. فكر في السيناريو التالي:

المستخدم A مع حساب Microsoft Entra (حساب العمل أو المؤسسة التعليمية) هو مسؤول istrator للخدمة لاشتراك Azure.
لدى المستخدم B حساب Microsoft.
يقوم المستخدم A بتعيين دور مسؤول istrator للمستخدم B.
يمكن للمستخدم B القيام بكل شيء تقريبا، ولكنه غير قادر على تسجيل التطبيقات أو البحث عن المستخدمين في دليل Microsoft Entra.

تتوقع أن المستخدم B يمكنه إدارة كل شيء. والسبب في هذا الاختلاف هو إضافة حساب Microsoft إلى الاشتراك كمستخدم ضيف بدلا من مستخدم عضو. لدى المستخدمين الضيوف أذونات افتراضية مختلفة في معرف Microsoft Entra مقارنة بالمستخدمين الأعضاء. على سبيل المثال، يمكن للمستخدمين الأعضاء قراءة مستخدمين آخرين في معرف Microsoft Entra ولا يمكن للمستخدمين الضيوف. يمكن للمستخدمين الأعضاء تسجيل كيانات خدمة جديدة في معرف Microsoft Entra ولا يمكن للمستخدمين الضيوف.

إذا كان المستخدم الضيف بحاجة إلى أن يكون قادرا على تنفيذ هذه المهام، فإن الحل المحتمل هو تعيين أدوار Microsoft Entra المحددة التي يحتاجها المستخدم الضيف. على سبيل المثال، في السيناريو السابق، يمكنك تعيين دور قراء الدليل لقراءة مستخدمين آخرين وتعيين دور مطور التطبيق لتكون قادرا على إنشاء أساسيات الخدمة. لمزيد من المعلومات حول المستخدمين الأعضاء والضيوف وأذوناتهم، راجع ما هي أذونات المستخدم الافتراضية في معرف Microsoft Entra؟. لمزيد من المعلومات حول منح حق الوصول للمستخدمين الضيوف، راجع تعيين أدوار Azure للمستخدمين الخارجيين باستخدام مدخل Microsoft Azure.

لاحظ أن الأدوار المضمنة في Azure مختلفة عن أدوار Microsoft Entra. لا تمنح الأدوار المضمنة أي حق الوصول إلى معرف Microsoft Entra. لمزيد من المعلومات، راجع فهم الأدوار المختلفة.

للحصول على معلومات تقارن المستخدمين الأعضاء والمستخدمين الضيوف، راجع ما هي أذونات المستخدم الافتراضية في Microsoft Entra ID؟.

تغيير مسؤول الخدمة

يمكن لمقدم مسؤول الحساب فقط تغيير "عامل مسؤول الخدمة" للاشتراك. بشكل افتراضي، عند التسجيل للحصول على اشتراك Azure، يكون مسؤول istrator الخدمة هو نفسه مسؤول istrator الحساب.

يمكن للمستخدم الذي له دور account مسؤول istrator الوصول إلى مدخل Microsoft Azure وإدارة الفوترة، ولكن لا يمكنه إلغاء الاشتراكات. يتمتع المستخدم الذي لديه دور service مسؤول istrator بالوصول الكامل إلى مدخل Microsoft Azure ويمكنه إلغاء الاشتراكات. يمكن أن يجعل مسؤول istrator الحساب نفسه مسؤول istrator للخدمة.

اتبع هذه الخطوات لتغيير Service مسؤول istrator في مدخل Microsoft Azure.

تسجيل الدخول إلى مدخل Azure كمسؤول الحساب.
افتح Cost Management + Billing وحدد اشتراكا.
في جزء التنقل الأيمن، حدد Properties.
حدد تغيير مسؤول الخدمة.
في صفحة تحرير مسؤول الخدمة، أدخل عنوان البريد الإلكتروني مسؤول istrator الجديد للخدمة.
انقر فوق حفظ لحفظ التغييرات.

إزالة مسؤول istrator للخدمة

لإزالة عامل مسؤول الخدمة، يجب أن يكون لديك مستخدم تم تعيين دور المالك له في نطاق الاشتراك دون شروط لتجنب عزل الاشتراك. يتمتع مالك الاشتراك بنفس حق الوصول الذي يتمتع به مسؤول istrator للخدمة.

سجل الدخول إلى مدخل Microsoft Azure بصفتك مالك اشتراك.
افتح الاشتراكات وحدد اشتراكا.
حدد Access control (IAM).
حدد علامة التبويب Classic administrators.
أضف علامة اختيار إلى جانب Service مسؤول istrator.
حدد إزالة.
في مربع الرسالة الذي يظهر، حدد نعم.

إذا لم يكن مستخدم service مسؤول istrator في الدليل، فقد تحصل على الخطأ التالي عند محاولة إزالة Service مسؤول istrator:

Call GSM to delete service admin on subscription <subscriptionId> failed. Exception: Cannot delete user <principalId> since they are not the service administrator. Please retry with the right service administrator user PUID.

إذا لم يكن مستخدم service مسؤول istrator موجودا في الدليل، فحاول تغيير Service مسؤول istrator إلى مستخدم موجود ثم حاول إزالة Service مسؤول istrator.