Verwaltung von Azure-Abonnements im klassischen Bereitstellungsmodell

Wichtig

Am 31. August 2024 werden klassische Azure-Administratorrollen zusammen mit klassischen Azure-Ressourcen und Azure-Dienst-Manager eingestellt und ab diesem Datum nicht mehr unterstützt. Wenn Sie weiterhin über aktive Rollenzuweisungen für „Co-Administrator“ oder „Dienstadministrator“ verfügen, konvertieren Sie diese Rollenzuweisungen sofort in Azure RBAC.

Microsoft empfiehlt das Verwalten des Zugriffs auf Azure-Ressourcen mithilfe der rollenbasierten Zugriffssteuerung in Azure (Azure Role-Based Access Control, Azure RBAC). Wenn Sie weiterhin das klassische Bereitstellungsmodell verwenden, müssen Sie Ihre Ressourcen von der klassischen Bereitstellung zur Resource Manager-Bereitstellung migrieren. Weitere Informationen finden Sie unter Azure Resource Manager-Bereitstellung im Vergleich zur klassischen Bereitstellung.

In diesem Artikel wird die Einstellung der Rollen „Co-Administrator“ und „Dienstadministrator“ beschrieben, und Sie erfahren, wie Sie diese Rollenzuweisungen konvertieren.

Häufig gestellte Fragen

Was geschieht mit klassischen Administratorrollenzuweisungen nach dem 31. August 2024?

• Die Rollen „Co-Administrator“ und „Dienstadministrator“ werden eingestellt und nicht mehr unterstützt. Sie sollten diese Rollenzuweisungen sofort in Azure RBAC konvertieren.

Wie kann ich herausfinden, welche Abonnements über klassische Administratoren verfügen?

• Sie können eine Azure Resource Graph-Abfrage verwenden, um Abonnements mit Rollenzuweisungen vom Typ „Dienstadministrator“ oder „Co-Admin“ aufzulisten. Eine entsprechende Anleitung finden Sie unter Auflisten klassischer Administratoren.

Welche entsprechende Azure-Rolle sollte ich für Co-Administratoren zuweisen?

• Die Rolle Besitzer im Abonnementbereich hat gleichwertigen Zugriff. „Besitzer“ ist jedoch eine privilegierte Administratorrolle und gewährt Vollzugriff zur Verwaltung von Azure-Ressourcen. Sie sollten eine Auftragsfunktionsrolle mit weniger Berechtigungen in Betracht ziehen, den Bereich reduzieren oder eine Bedingung hinzufügen.

Welche entsprechende Azure-Rolle sollte ich für Dienstadministratoren zuweisen?

• Die Rolle Besitzer im Abonnementbereich hat gleichwertigen Zugriff.

Warum muss ich zu Azure RBAC migrieren?

• Azure RBAC bietet eine differenzierte Zugriffssteuerung, Kompatibilität mit Microsoft Entra Privileged Identity Management (PIM) sowie uneingeschränkte Unterstützung von Überwachungsprotokollen. Alle zukünftigen Investitionen werden für Azure RBAC getätigt.

Was ist mit der Rolle „Kontoadministrator“?

• Der Kontoadministrator ist der primäre Benutzer für Ihr Abrechnungskonto. Die Rolle „Kontoadministrator“ wird nicht als veraltet eingestuft. Daher muss diese Rollenzuweisung nicht konvertiert werden. Kontoadministrator und Dienstadministrator können der gleiche Benutzer sein. Sie müssen jedoch nur die Rollenzuweisung für den Dienstadministrator konvertieren.

Was muss ich tun, wenn ich den Zugriff auf ein Abonnement verliere?

• Wenn Sie Ihre klassischen Administratoren entfernen, ohne mindestens eine Rollenzuweisung vom Typ „Besitzer“ für ein Abonnement zu haben, verlieren Sie den Zugriff auf das Abonnement, und das Abonnement verwaist. Um wieder Zugriff auf ein Abonnement zu erhalten, können Sie die folgenden Aktionen ausführen:

  • Führen Sie die Schritte zum Erhöhen der Zugriffsrechte zum Verwalten aller Abonnements in einem Mandanten aus.
  • Weisen Sie einem Benutzer die Rolle „Besitzer“ im Abonnementbereich zu.
  • Entfernen Sie die erhöhten Zugriffsrechte.

Was sollte ich tun, wenn eine starke Abhängigkeit von Co-Administratoren oder Dienstadministratoren vorliegt?

• Senden Sie eine E-Mail an ACARDeprecation@microsoft.com, und beschreiben Sie Ihr Szenario.

Auflisten klassischer Administratoren

Azure portal

Führen Sie die folgenden Schritte aus, um den Dienstadministrator und die Co-Admins für ein Abonnement mithilfe des Azure-Portals anzuzeigen.

1. Melden Sie sich beim Azure-Portal als Besitzer eines Abonnements an.

2. Öffnen Sie Abonnements, und wählen Sie ein Abonnement aus.

3. Wählen Sie Zugriffssteuerung (IAM) aus.

4. Wählen Sie die Registerkarte Klassische Administratoren aus, um eine Liste der Co-Administratoren anzuzeigen.

   

Azure Resource Graph

Führen Sie die folgenden Schritte aus, um die Anzahl von Dienstadministratoren und Co-Administratoren in Ihren Abonnements mithilfe von Azure Resource Graph anzuzeigen.

1. Melden Sie sich beim Azure-Portal als Besitzer eines Abonnements an.

2. Öffnen Sie den Azure Resource Graph-Explorer.

3. Wählen Sie Bereich aus, und legen Sie den Bereich für die Abfrage fest.

   Legen Sie den Bereich auf Verzeichnis fest, um Ihren gesamten Mandanten abzufragen. Der Bereich kann allerdings auch auf bestimmte Abonnements beschränkt werden.

   

4. Wählen Sie Autorisierungsbereich festlegen aus, und legen Sie den Autorisierungsbereich auf Bei, oberhalb oder unterhalb fest, um alle Ressourcen im angegebenen Bereich abzufragen.

   

5. Führen Sie die folgende Abfrage aus, um die Anzahl von Dienstadministratoren und Co-Admins basierend auf dem Bereich aufzulisten:

   authorizationresources
   | where type == "microsoft.authorization/classicadministrators"
   | mv-expand role = parse_json(properties).role
   | mv-expand adminState = parse_json(properties).adminState
   | where adminState == "Enabled"
   | where role in ("ServiceAdministrator", "CoAdministrator")
   | summarize count() by subscriptionId, tostring(role)
   

   Hier sehen Sie ein Beispiel der Ergebnisse: Die Spalte count_ enthält die Anzahl von Dienstadministratoren oder Co-Admins für ein Abonnement.

   

Einstellung von Co-Administratoren

Falls Sie noch über klassische Administratoren verfügen, führen Sie die folgenden Schritte aus, um die Rollenzuweisungen für Co-Administratoren zu konvertieren.

Schritt 1: Überprüfen Ihrer aktuellen Co-Administratoren

1. Melden Sie sich beim Azure-Portal als Besitzer eines Abonnements an.

2. Verwenden Sie das Azure-Portal oder Azure Resource Graph, um eine Liste Ihrer Co-Admins abzurufen.

3. Überprüfen Sie die Anmeldeprotokolle für Ihre Co-Administratoren, um zu beurteilen, ob sie aktive Benutzer sind.

Schritt 2: Entfernen von Co-Administratoren, die keinen Zugriff mehr benötigen

1. Wenn sich der Benutzer nicht mehr in Ihrem Unternehmen befindet, entfernen Sie den Co-Administrator.

2. Wenn der Benutzer gelöscht, aber seine Co-Administrator-Zuweisung nicht entfernt wurde, entfernen Sie den Co-Administrator.

   Für Benutzer, die gelöscht wurden, wird in der Regel (Der Benutzer wurde in diesem Verzeichnis nicht gefunden.) angezeigt.

   

3. Wenn Sie die Benutzeraktivität überprüft und festgestellt haben, dass ein Benutzer nicht mehr aktiv ist, entfernen Sie den Co-Administrator.

Schritt 3: Konvertieren von Co-Administratoren in Stellenfunktionsrollen

Die meisten Benutzer benötigen nicht dieselben Berechtigungen wie ein Co-Administrator. Erwägen Sie stattdessen eine Auftragsfunktionsrolle.

1. Wenn ein Benutzer weiterhin Zugriff benötigt, ermitteln Sie die entsprechende Auftragsfunktionsrolle, die sie benötigen.

2. Definieren Sie den Bereich, den der Benutzer benötigt.

3. Führen Sie die Schritte zum Zuweisen einer Auftragsfunktionsrolle zum Benutzer aus.

4. Entfernen Sie den Co-Administrator.

Schritt 4: Konvertieren von Co-Administratoren in die Rolle „Besitzer“ mit Bedingungen

Einige Benutzer benötigen möglicherweise umfassenderen Zugriff, als mit einer Auftragsfunktionsrolle bereitgestellt werden kann. Wenn Sie die Rolle Besitzer zuweisen müssen, fügen Sie ggf. eine Bedingung hinzu, oder verwenden Sie Microsoft Entra Privileged Identity Management (PIM), um die Rollenzuweisung einzuschränken.

1. Weisen Sie die Rolle „Besitzer“ mit Bedingungen zu.

   Weisen Sie beispielsweise die Rolle „Besitzer“ im Abonnementbereich mit Bedingungen zu. Wenn Sie PIM haben, legen Sie den Benutzer als für die Rollenzuweisung „Besitzer“ berechtigt fest.

2. Entfernen Sie den Co-Administrator.

Schritt 5: Konvertieren von Co-Administratoren in die Rolle „Besitzer“

Wenn ein Benutzer Administrator für ein Azure-Abonnement sein soll, weisen Sie ihm die Rolle Besitzer im Abonnementbereich zu.

• Führen Sie die Schritte unter Konvertieren eines Co-Administrator mit der Rolle „Besitzer“ aus.

Konvertieren eines Co-Administrator mit der Rolle „Besitzer“

Die einfachste Möglichkeit, eine Rollenzuweisung für Co-Administratoren in die Rolle Besitzer im Abonnementbereich zu konvertieren, besteht darin, die Schritte zum Korrigieren auszuführen.

1. Melden Sie sich beim Azure-Portal als Besitzer eines Abonnements an.

2. Öffnen Sie Abonnements, und wählen Sie ein Abonnement aus.

3. Wählen Sie Zugriffssteuerung (IAM) aus.

4. Wählen Sie die Registerkarte Klassische Administratoren aus, um eine Liste der Co-Administratoren anzuzeigen.

5. Wählen Sie für den Co-Administrator, den Sie in die Rolle „Besitzer“ konvertieren möchten, unter der Spalte Korrigieren den Link RBAC-Rolle zuweisen aus.

6. Überprüfen Sie im Bereich Rollenzuweisung hinzufügen die Rollenzuweisung.

   

7. Wählen Sie Überprüfen + zuweisen aus, um die Rolle „Besitzer“ zuzuweisen und die Rollenzuweisung für „Co-Administrator“ zu entfernen.

Entfernen eines Co-Admins

Führen Sie die folgenden Schritte aus, um einen Co-Administrator zu entfernen.

1. Melden Sie sich beim Azure-Portal als Besitzer eines Abonnements an.

2. Öffnen Sie Abonnements, und wählen Sie ein Abonnement aus.

3. Wählen Sie Zugriffssteuerung (IAM) aus.

4. Wählen Sie die Registerkarte Klassische Administratoren aus, um eine Liste der Co-Administratoren anzuzeigen.

5. Fügen Sie ein Häkchen neben dem Co-Administrator hinzu, den Sie entfernen möchten.

6. Klicken Sie auf Löschen.

7. Klicken Sie im angezeigten Meldungsfeld auf Ja.

   

Ausmusterung des Dienstadministrators

Falls Sie noch über klassische Administratoren verfügen, führen Sie die folgenden Schritte aus, um die Rollenzuweisungen für Dienstadministratoren zu konvertieren. Bevor Sie den Dienstadministrator entfernen, müssen Sie über mindestens einen Benutzer verfügen, dem im Abonnementbereich die Rolle „Besitzer“ ohne Bedingungen zugewiesen ist. Auf diese Weise wird vermieden, dass das Abonnement verwaist. Ein Abonnementbesitzer hat den gleichen Zugriff wie der Dienstadministrator.

Schritt 1: Überprüfen des aktuellen Dienstadministrators

1. Melden Sie sich beim Azure-Portal als Besitzer eines Abonnements an.

2. Verwenden Sie das Azure-Portal oder Azure Resource Graph, um Ihren Dienstadministrator aufzulisten.

3. Überprüfen Sie die Anmeldeprotokolle für den Dienstadministrator, um zu beurteilen, ob er ein aktiver Benutzer ist.

Schritt 2: Überprüfen des aktuellen Abrechnungskontobesitzers

Der Benutzer, dem die Rolle „Dienstadministrator“ zugewiesen ist, kann auch derselbe Benutzer sein, der Administrator für Ihr Abrechnungskonto ist. Sie sollten die aktuellen Abrechnungskontobesitzer überprüfen, um sicherzustellen, dass sie noch korrekt sind.

1. Verwenden Sie das Azure-Portal, um die Abrechnungskontobesitzer abzurufen.

2. Überprüfen Sie die Liste der Abrechnungskontobesitzer. Aktualisieren Sie ggf. die Abrechnungskontobesitzer, oder fügen Sie einen weiteren Abrechnungskontobesitzer hinzu.

Schritt 3: Konvertieren eines Dienstadministrators in die Rolle „Besitzer“

Ihr Dienstadministrator ist möglicherweise ein Microsoft-Konto oder ein Microsoft Entra-Konto. Ein Microsoft-Konto ist ein persönliches Konto wie Outlook, OneDrive, Xbox LIVE oder Microsoft 365. Ein Microsoft Entra-Konto ist eine Identität, die über Microsoft Entra ID erstellt wurde.

1. Wenn der Dienstadministratorbenutzer ein Microsoft-Konto ist und dieser Benutzer dieselben Berechtigungen behalten soll, konvertieren Sie den Dienstadministrator in die Rolle „Besitzer“.

2. Wenn der Dienstadministratorbenutzer ein Microsoft Entra-Konto ist und dieser Benutzer dieselben Berechtigungen behalten soll, konvertieren Sie den Dienstadministrator in die Rolle „Besitzer“.

3. Wenn Sie den Dienstadministratorbenutzer in einen anderen Benutzer ändern möchten, müssen Sie diesem neuen Benutzer im Abonnementbereich ohne Bedingungen die Rolle „Besitzer“ zuweisen. Entfernen Sie dann den Dienstadministrator.

Konvertieren des Dienstadministrators in die Rolle „Besitzer“

Die einfachste Möglichkeit, eine Rollenzuweisung für Dienstadministratoren in die Rolle Besitzer im Abonnementbereich zu konvertieren, besteht darin, die Schritte zum Korrigieren auszuführen.

1. Melden Sie sich beim Azure-Portal als Besitzer eines Abonnements an.

2. Öffnen Sie Abonnements, und wählen Sie ein Abonnement aus.

3. Wählen Sie Zugriffssteuerung (IAM) aus.

4. Wählen Sie die Registerkarte Klassische Administratoren aus, um den Dienstadministrator anzuzeigen.

5. Wählen Sie für den Dienstadministrator unter der Spalte Korrigieren den Link RBAC-Rolle zuweisen aus.

6. Überprüfen Sie im Bereich Rollenzuweisung hinzufügen die Rollenzuweisung.

   

7. Wählen Sie Überprüfen + zuweisen aus, um die Rolle „Besitzer“ zuzuweisen und die Rollenzuweisung für „Dienstadministrator“ zu entfernen.

Entfernen des Dienstadministrators

Wichtig

Wenn Sie den Dienstadministrator entfernen möchten, müssen Sie über einen Benutzer verfügen, dem im Abonnementbereich die Rolle Besitzer ohne Bedingungen zugewiesen ist. Auf diese Weise wird vermieden, dass das Abonnement verwaist. Ein Abonnementbesitzer hat den gleichen Zugriff wie der Dienstadministrator.

1. Melden Sie sich beim Azure-Portal als Besitzer eines Abonnements an.

2. Öffnen Sie Abonnements, und wählen Sie ein Abonnement aus.

3. Wählen Sie Zugriffssteuerung (IAM) aus.

4. Wählen Sie die Registerkarte Klassische Administratoren aus.

5. Fügen Sie ein Häkchen neben dem Dienstadministrator hinzu.

6. Klicken Sie auf Löschen.

7. Klicken Sie im angezeigten Meldungsfeld auf Ja.

   

Nächste Schritte

• Grundlegendes zu den verschiedenen Rollen
• Zuweisen von Azure-Rollen über das Azure-Portal
• Grundlegendes zu Verwaltungsrollen für Microsoft-Kundenvereinbarungen in Azure