Comprender cuándo puede que necesite elevar su acceso
El administrador de la suscripción de Azure del Departamento de marketing ha dejado la organización recientemente. Como administrador global, no tiene acceso a esta suscripción. Ahora debe conceder acceso de administrador a la suscripción a otra persona del Departamento de marketing.
En esta unidad, descubrirá cuándo es posible que necesite elevar su propio acceso.
Cuándo es necesario elevar el acceso
De forma predeterminada, el administrador global no tiene acceso a los recursos de Azure. El administrador global de Microsoft Entra ID puede incrementar temporalmente sus permisos al rol de Azure administrador de acceso de usuario. Esta acción concede los permisos de control de acceso basado en rol de Azure (RBAC de Azure) que se necesitan para administrar los recursos de Azure. El administrador de acceso de usuario se asigna en el ámbito de la raíz. El rol puede ver todos los recursos y asignar acceso a cualquier suscripción o grupo de administración en esa organización de Microsoft Entra.
En el diagrama siguiente se muestran los recursos que el administrador global puede ver cuando sus permisos se elevan a administrador de acceso de usuario.
Como administrador global, es posible que tenga que elevar sus permisos para realizar las acciones siguientes:
- Recuperar el acceso perdido a un grupo de administración o una suscripción de Azure.
- Conceder a otro usuario o a sí mismo acceso a un grupo de administración o una suscripción de Azure.
- Ver todos los grupos de administración o las suscripciones de Azure de una organización.
- Conceder a una aplicación de automatización el acceso a todos los grupos de administración o suscripciones de Azure.
Una vez que el administrador global haya elevado sus permisos a administrador de acceso de usuario, podrá conceder a otros usuarios los permisos de RBAC de Azure que necesitan para controlar y administrar los recursos de Azure. Una vez finalizada esta tarea, el administrador global debe revocar sus propios permisos elevados.
Asignación a un usuario de acceso de administrador a una suscripción de Azure
Para asignar a un usuario acceso administrativo a una suscripción, debe tener los permisos Microsoft.Authorization/roleAssignments/write y Microsoft.Authorization/roleAssignments/delete en el ámbito de la suscripción. Los usuarios con los roles de propietario o de administrador de acceso de usuario de la suscripción tienen estos permisos.
En la unidad siguiente, aprenderá cómo puede asignar un rol mediante Azure Portal una vez que haya elevado sus permisos a administrador de acceso de usuarios. Pero también puede asignar roles mediante Azure PowerShell, la CLI de Azure o la API REST.
En las secciones siguientes, se revisarán brevemente los comandos que podría usar para asignar el rol de propietario en Azure PowerShell o la CLI de Azure.
Asignación del rol mediante Azure PowerShell
El comando siguiente muestra cómo asignar el rol de propietario a un usuario en el ámbito de la suscripción mediante Azure PowerShell:
New-AzRoleAssignment `
-SignInName rbacuser@example.com `
-RoleDefinitionName "Owner" `
-Scope "/subscriptions/<subscriptionID>"
Asignación del rol mediante la CLI de Azure
El comando siguiente muestra cómo asignar el rol de propietario a un usuario en el ámbito de la suscripción mediante la CLI de Azure:
az role assignment create \
--assignee rbacuser@example.com \
--role "Owner" \
--scope /subscriptions/<subscription_id>/resourceGroups/<resource_group_name> \
--subscription <subscription_name_or_id>