Megjegyzés
Az oldalhoz való hozzáféréshez engedély szükséges. Megpróbálhat bejelentkezni vagy módosítani a címtárat.
Az oldalhoz való hozzáféréshez engedély szükséges. Megpróbálhatja módosítani a címtárat.
Ez a cikk az Azure szerepköralapú hozzáférés-vezérléssel (Azure RBAC) kapcsolatos problémák néhány gyakori megoldását ismerteti.
Azure szerepkör-hozzárendelések
Hibajelenség – A szerepkör-hozzárendelés hozzáadása lehetőség le van tiltva
Nem tud szerepkört hozzárendelni az Azure Portalon a Hozzáférés-vezérlés (IAM) szolgáltatásban, mert a Szerepkör-hozzárendelés hozzáadása>lehetőség le van tiltva
Ok
Jelenleg olyan felhasználóval van bejelentkezve, aki nem rendelkezik engedéllyel a szerepkörök hozzárendelésére a kijelölt hatókörben.
Megoldás
Ellenőrizze, hogy jelenleg olyan felhasználóval van-e bejelentkezve, akinek van olyan szerepkörrel társított Microsoft.Authorization/roleAssignments/write engedélye, mint például a hatókörhöz rendelt Szerepkör alapú hozzáférés-vezérlés rendszergazdája.
Tünet – A szerepkörök vagy a tagok nem szerepelnek a listában
Amikor megpróbál szerepkört hozzárendelni az Azure Portalon, egyes szerepkörök vagy tagok nem jelennek meg a listában. A Szerepkör lapon például a szerepkörök korlátozott készlete látható.
Vagy a Principálok kiválasztása panelen kevesebb elemet láthat.
Ok
A felvehető szerepkör-hozzárendelésekre korlátozások vonatkoznak. Például korlátozva van, hogy milyen szerepköröket rendelhet hozzá, vagy hogy mely felhasználóknak rendelhet szerepköröket.
Megoldás
Tekintse meg az Önhöz rendelt szerepköröket. Ellenőrizze, hogy van-e olyan feltétel, amely korlátozza a felvehető szerepkör-hozzárendeléseket. További információ: Azure-hozzáférés-kezelés delegálása másoknak.
Hibajelenség – Nem lehet szerepkört hozzárendelni
Nem tud szerepkört hozzárendelni, és a következőhöz hasonló hibaüzenet jelenik meg:
Failed to add {securityPrincipal} as {role} for {scope} : The client '{clientName}' with object id '{objectId}' does not have authorization or an ABAC condition not fulfilled to perform action 'Microsoft.Authorization/roleAssignments/write' over scope '/subscriptions/{subscriptionId}/Microsoft.Authorization/roleAssignments/{roleAssignmentId}' or the scope is invalid. If access was recently granted, please refresh your credentials.
Ok 1
Jelenleg olyan felhasználóval van bejelentkezve, aki nem rendelkezik engedéllyel a szerepkörök hozzárendelésére a kijelölt hatókörben.
1. megoldás
Ellenőrizze, hogy jelenleg olyan felhasználóval van-e bejelentkezve, aki olyan szerepkörrel rendelkezik, amely tartalmazza a Microsoft.Authorization/roleAssignments/write engedélyt, például a Szerepkör Alapú Hozzáférés-vezérlési Rendszergazda szerepkört, azon a hatókörön, amelyhez a szerepkört szeretné hozzárendelni.
Ok 2
A felvehető szerepkör-hozzárendelésekre korlátozások vonatkoznak. Például korlátozva van, hogy milyen szerepköröket rendelhet hozzá, vagy hogy mely felhasználóknak rendelhet szerepköröket.
2\. megoldás
Tekintse meg az Önhöz rendelt szerepköröket. Ellenőrizze, hogy van-e olyan feltétel, amely korlátozza a felvehető szerepkör-hozzárendeléseket. További információ: Azure-hozzáférés-kezelés delegálása másoknak.
Tünet – Nem lehet szerepkört hozzárendelni szolgáltatásnévvel az Azure CLI-vel
Szolgáltatásnévvel rendel szerepköröket az Azure CLI-hez, és a következő hibaüzenet jelenik meg:
Insufficient privileges to complete the operation
Tegyük fel például, hogy rendelkezik egy Tulajdonos szerepkörhöz rendelt szolgáltatási főszereplővel, és megpróbálja létrehozni a következő szerepkör-hozzárendelést, a szolgáltatási főszereplő használatával az Azure CLI-ben:
az login --service-principal --username "SPNid" --password "password" --tenant "tenantid"
az role assignment create --assignee "userupn" --role "Contributor" --scope "/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}"
Ok
Valószínű, hogy az Azure CLI megpróbálja megkeresni a hozzárendelt felhasználói azonosítót a Microsoft Entra ID-ben, és a szolgáltatásfő azonosító alapértelmezés szerint nem tudja olvasni a Microsoft Entra ID-t.
Megoldás
A hiba megoldásának két módja van. Első lehetőségként rendelje hozzá a Címtárolvasó szerepkört a szolgáltatás objektumhoz, hogy az adatokat be tudja olvasni a címtárban.
A hiba megoldásának második módja a szerepkör-hozzárendelés létrehozása a --assignee-object-id paraméter használatával --assignee helyett. Az --assignee-object-id Azure CLI használatával kihagyja a Microsoft Entra-keresést. Le kell kérnie annak a felhasználónak, csoportnak vagy alkalmazásnak az objektumazonosítóját, amelyhez hozzá szeretné rendelni a szerepkört. További információ: Azure-szerepkörök hozzárendelése az Azure CLI-vel.
az role assignment create --assignee-object-id 11111111-1111-1111-1111-111111111111 --role "Contributor" --scope "/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}"
Hibajelenség – A szerepkör hozzárendelése egy új taghoz néha sikertelen
Új felhasználót, csoportot vagy szolgáltatásnevet hoz létre, és azonnal megpróbál hozzárendelni egy szerepkört az adott taghoz, és a szerepkör-hozzárendelés néha meghiúsul. A következő hibához hasonló üzenet jelenik meg:
PrincipalNotFound
Principal {principalId} does not exist in the directory {tenantId}. Check that you have the correct principal ID. If you are creating this principal and then immediately assigning a role, this error might be related to a replication delay. In this case, set the role assignment principalType property to a value, such as ServicePrincipal, User, or Group. See https://aka.ms/docs-principaltype
Ok
Ennek oka valószínűleg a replikáció késleltetése. A főelem egy régióban jön létre, azonban előfordulhat, hogy a szerepkör-hozzárendelés egy másik régióban történik, amely még nem replikálta a főelemet.
1. megoldás
Ha egy új felhasználót vagy szolgáltatásnevet hoz létre a REST API- vagy ARM-sablonnal, állítsa be a principalType tulajdonságot, amikor a szerepkör-hozzárendelést a Szerepkör-hozzárendelések – API létrehozása használatával hozza létre .
| alapTípus | apiVersion |
|---|---|
User |
2020-03-01-preview vagy újabb |
ServicePrincipal |
2018-09-01-preview vagy újabb |
További információ: Azure-szerepkörök hozzárendelése egy új szolgáltatásnévhez a REST API-val vagy Azure-szerepkörök hozzárendelése egy új szolgáltatásnévhez Azure Resource Manager-sablonok használatával.
2\. megoldás
Ha új felhasználót vagy szolgáltatásnevet hoz létre az Azure PowerShell használatával, állítsa be a ObjectType paramétert User vagy ServicePrincipal, amikor a szerepkör-hozzárendelést a New-AzRoleAssignment használatával hozza létre. Az 1. megoldás ugyanazon mögöttes API-verziókorlátozásai továbbra is érvényesek. További információ: Azure-szerepkörök hozzárendelése az Azure PowerShell használatával.
3. megoldás
Ha új csoportot hoz létre, várjon néhány percet a szerepkör-hozzárendelés létrehozása előtt.
Hibajelenség – Az ARM-sablon szerepkör-hozzárendelése BadRequest állapotot ad vissza
Amikor olyan Bicep-fájlt vagy ARM-sablont próbál üzembe helyezni, amely szerepkört rendel egy szolgáltatásnévhez, a következő hibaüzenet jelenik meg:
Tenant ID, application ID, principal ID, and scope are not allowed to be updated. (code: RoleAssignmentUpdateNotPermitted)
Ha például létrehoz egy szerepkör-hozzárendelést egy felügyelt identitáshoz, majd törli a felügyelt identitást és újra létrehozza, az új felügyelt identitásnak más azonosítója van. Ha megpróbálja újra üzembe helyezni a szerepkör-hozzárendelést, és ugyanazt a szerepkör-hozzárendelési nevet használja, az üzembe helyezés meghiúsul.
Ok
A szerepkör-hozzárendelés name nem egyedi, és frissítésnek tekintik.
A szerepkör-hozzárendeléseket a nevük azonosítja, amely globálisan egyedi azonosító (GUID). Nem hozhat létre két azonos nevű szerepkör-hozzárendelést, még a különböző Azure-előfizetésekben sem. Meglévő szerepkör-hozzárendelés tulajdonságait sem módosíthatja.
Megoldás
Adjon meg idempotens egyedi értéket a szerepkör-hozzárendeléshez name. Célszerű olyan GUID-t létrehozni, amely együtt használja a hatókört, az egyszerű azonosítót és a szerepkör-azonosítót. Érdemes a guid() függvény használatával determinisztikus GUID-t létrehozni a szerepkör-hozzárendelések neveihez, például ebben a példában:
resource roleAssignment 'Microsoft.Authorization/roleAssignments@2020-10-01-preview' = {
name: guid(resourceGroup().id, principalId, roleDefinitionId)
properties: {
roleDefinitionId: roleDefinitionId
principalId: principalId
principalType: principalType
}
}
További információ: Azure RBAC-erőforrások létrehozása a Bicep használatával.
Tünet – Identitással nem rendelkező szerepkör-hozzárendelések
Az Azure Portal szerepkör-hozzárendeléseinek listájában észreveheti, hogy a biztonsági főszereplő (felhasználó, csoport, szolgáltatásnév vagy felügyelt identitás) Identity not found, és Ismeretlen típusúként van felsorolva.
Ha ezt a szerepkör-hozzárendelést az Azure PowerShell használatával sorolja fel, előfordulhat, hogy az DisplayName és SignInName üres vagy a ObjectType értéke Unknown. A Get-AzRoleAssignment például a következőhöz hasonló szerepkör-hozzárendelést adja vissza:
RoleAssignmentId : /subscriptions/11111111-1111-1111-1111-111111111111/providers/Microsoft.Authorization/roleAssignments/22222222-2222-2222-2222-222222222222
Scope : /subscriptions/11111111-1111-1111-1111-111111111111
DisplayName :
SignInName :
RoleDefinitionName : Storage Blob Data Contributor
RoleDefinitionId : ba92f5b4-2d11-453d-a403-e96b0029c9fe
ObjectId : 33333333-3333-3333-3333-333333333333
ObjectType : User
CanDelegate : False
Hasonlóképpen, ha az Azure CLI-vel listázza ki a szerepkör-hozzárendelést, egy üres principalName értéket láthat. Az az role assignment list például a következőhöz hasonló szerepkör-hozzárendelést adja vissza:
{
"canDelegate": null,
"id": "/subscriptions/11111111-1111-1111-1111-111111111111/providers/Microsoft.Authorization/roleAssignments/22222222-2222-2222-2222-222222222222",
"name": "22222222-2222-2222-2222-222222222222",
"principalId": "33333333-3333-3333-3333-333333333333",
"principalName": "",
"roleDefinitionId": "/subscriptions/11111111-1111-1111-1111-111111111111/providers/Microsoft.Authorization/roleDefinitions/ba92f5b4-2d11-453d-a403-e96b0029c9fe",
"roleDefinitionName": "Storage Blob Data Contributor",
"scope": "/subscriptions/11111111-1111-1111-1111-111111111111",
"type": "Microsoft.Authorization/roleAssignments"
}
Ok 1
Nemrég meghívott egy felhasználót egy szerepkör-hozzárendelés létrehozásakor, és ez a biztonsági főszereplő még mindig a régiók közötti replikációs folyamatban van.
1. megoldás
Várjon néhány percet, és frissítse a szerepkör-hozzárendelések listáját.
Ok 2
Törölt egy szerepkör-hozzárendeléssel rendelkező biztonsági tagot. Ha egy rendszerbiztonsági taghoz hozzárendel egy szerepkört, és később anélkül törli a rendszerbiztonsági tagot, hogy előtte eltávolítaná a szerepkör-hozzárendelést, a rendszerbiztonsági tag Nem található identitás értékkel, Ismeretlen típusúként szerepel a listában.
2\. megoldás
Ajánlott eltávolítani a nem használt szerepkör-hozzárendeléseket. Ezeket a szerepkör-hozzárendeléseket a többi szerepkör-hozzárendeléshez hasonló lépésekkel távolíthatja el. A szerepkör-hozzárendelések eltávolításáról további információt az Azure-szerepkör-hozzárendelések eltávolítása című témakörben talál.
Ha a PowerShellben az objektumazonosító és a szerepkördefiníció nevével próbálja eltávolítani a szerepkör-hozzárendeléseket, és egynél több szerepkör-hozzárendelés felel meg a paramétereknek, a következő hibaüzenet jelenik meg: The provided information does not map to a role assignment. Az alábbi kimenet egy példa a hibaüzenetre:
PS C:\> Remove-AzRoleAssignment -ObjectId 33333333-3333-3333-3333-333333333333 -RoleDefinitionName "Storage Blob Data Contributor"
Remove-AzRoleAssignment : The provided information does not map to a role assignment.
At line:1 char:1
+ Remove-AzRoleAssignment -ObjectId 33333333-3333-3333-3333-333333333333 ...
+ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
+ CategoryInfo : CloseError: (:) [Remove-AzRoleAssignment], KeyNotFoundException
+ FullyQualifiedErrorId : Microsoft.Azure.Commands.Resources.RemoveAzureRoleAssignmentCommand
Ha ez a hibaüzenet jelenik meg, győződjön meg arról, hogy megadja a -Scope vagy -ResourceGroupName paramétereket is.
PS C:\> Remove-AzRoleAssignment -ObjectId 33333333-3333-3333-3333-333333333333 -RoleDefinitionName "Storage Blob Data Contributor" -Scope /subscriptions/11111111-1111-1111-1111-111111111111
Hibajelenség – Nem törölhető az utolsó tulajdonosi szerepkör-hozzárendelés
Megkísérli eltávolítani egy előfizetés utolsó tulajdonosi szerepkör-hozzárendelését, és a következő hibaüzenet jelenik meg:
Cannot delete the last RBAC admin assignment
Ok
Alapértelmezés szerint nem támogatott az előfizetés utolsó tulajdonosi szerepkör-hozzárendelésének eltávolítása, mert ez az előfizetés árva állapotát eredményezhetné.
1. megoldás
Ha le szeretné mondani előfizetését, tekintse meg az Azure-előfizetés lemondása című témakört.
2\. megoldás
Az előfizetés hatókörében eltávolíthatja az utolsó tulajdonosi (vagy felhasználói hozzáférés-rendszergazdai) szerepkör-hozzárendelést, ha Ön a bérlő globális rendszergazdája. Ebben az esetben nincs korlátozás a törlésre. Ha azonban a hívás egy másik főszereplőtől származik, akkor az előfizetés szintjén nem tudja eltávolítani az utolsó tulajdonosi szerepkör-hozzárendelést. Az alapértelmezett viselkedés felülbírálásához engedélyezze az "Utolsó előfizetés tulajdonosi szerepkör-hozzárendelés eltávolításának engedélyezése" funkciót az Azure Portalon.
3. megoldás
Ha a Microsoft Entra Privileged Identity Management (PIM) szolgáltatást használja, és jogosult a tulajdonosi (vagy felhasználói hozzáférés-rendszergazdai) szerepkörre, ideiglenesen aktiválhatja a tulajdonosi (vagy felhasználói hozzáférés-rendszergazdai) szerepkör-hozzárendelést, eltávolíthatja az utolsó tulajdonosi szerepkör-hozzárendelést, majd inaktiválhatja vagy hagyhatja, hogy a szerepkör-hozzárendelés lejárjon.
Hibajelenség – A szerepkör-hozzárendelés nem lesz áthelyezve egy erőforrás áthelyezése után
Ok
Ha olyan erőforrást helyez át, amelyhez közvetlenül hozzárendelt Azure-szerepkör tartozik (vagy egy alerőforráshoz), a szerepkör-hozzárendelés nem lesz áthelyezve, és elszigetelten marad.
Megoldás
Az erőforrás áthelyezése után újra létre kell hoznia a szerepkör-hozzárendelést. Végül az árva szerepkör-hozzárendelés automatikusan el lesz távolítva, de ajánlott eltávolítani a szerepkör-hozzárendelést az erőforrás áthelyezése előtt. Az erőforrások áthelyezésével kapcsolatban további információért lásd az erőforrások áthelyezését új erőforráscsoportba vagy előfizetésbe.
Hibajelenség – A szerepkör-hozzárendelés módosításai nem észlelhetők
Nemrég hozzáadott vagy frissített egy szerepkör-hozzárendelést, de a módosítások nem észlelhetők. Előfordulhat, hogy megjelenik az üzenet Status: 401 (Unauthorized).
Ok 1
Az Azure Resource Manager a teljesítmény javítása érdekében időnként gyorsítótárazza a konfigurációkat és az adatokat.
1. megoldás
Szerepkörök hozzárendelése vagy szerepkör-hozzárendelések eltávolítása akár 10 percet is igénybe vehet, amíg a módosítások érvénybe lépnek. Ha az Azure Portalt, az Azure PowerShellt vagy az Azure CLI-t használja, a kijelentkezéssel és a bejelentkezéssel frissítheti a szerepkör-hozzárendelés változásait. Ha REST API-hívásokkal módosítja a szerepkör-hozzárendelést, a hozzáférési jogkivonat frissítésével kényszerítheti a frissítést.
Ok 2
Kezelt identitásokat adott hozzá egy csoporthoz, és egy szerepkört rendelt hozzá ehhez a csoporthoz. A felügyelt identitások háttérszolgáltatásai erőforrás-URI-nként körülbelül 24 órán át gyorsítótárat tartanak fenn.
2\. megoldás
A felügyelt identitás csoport- vagy szerepkör-tagságának módosítása több órát is igénybe vehet. További információ: A felügyelt identitások hitelesítéshez való használatának korlátozása.
Hibajelenség – A szerepkör-hozzárendelés változásai nem észlelhetők a felügyeleti csoport hatókörében
Nemrég hozzáadott vagy frissített egy szerepkör-hozzárendelést a felügyeleti csoport hatókörében, de a módosítások nem észlelhetők.
Ok
Az Azure Resource Manager a teljesítmény javítása érdekében időnként gyorsítótárazza a konfigurációkat és az adatokat.
Megoldás
Szerepkörök hozzárendelése vagy szerepkör-hozzárendelések eltávolítása akár 10 percet is igénybe vehet, amíg a módosítások érvénybe lépnek. Ha a felügyeleti csoport hatókörében ad hozzá vagy távolít el egy beépített szerepkör-hozzárendelést, és a beépített szerepkör tartalmaz DataActions, előfordulhat, hogy az adatsík hozzáférése több órára nem lesz frissítve. Ez csak a felügyeleti csoport hatókörében és az adatsík esetén érvényes.
DataActions művelettel rendelkező egyéni szerepkörök nem rendelhetők felügyeleti csoport hatókörhöz.
Hibajelenség – A felügyeleti csoport módosításaihoz tartozó szerepkör-hozzárendelések nem észlelhetők
Létrehozott egy új gyermekfelügyeleti csoportot, és a szülő felügyeleti csoport szerepkör-hozzárendelése nem észlelhető a gyermekfelügyeleti csoport számára.
Ok
Az Azure Resource Manager a teljesítmény javítása érdekében időnként gyorsítótárazza a konfigurációkat és az adatokat.
Megoldás
A gyermekfelügyeleti csoport szerepkör-hozzárendelésének érvénybe lépése akár 10 percet is igénybe vehet. Ha az Azure Portalt, az Azure PowerShellt vagy az Azure CLI-t használja, kényszerítheti a szerepkör-hozzárendelések módosításainak frissítését, ha ki-, majd bejelentkezik. Ha REST API-hívásokkal végez szerepkör-hozzárendelési módosításokat, a hozzáférési token frissítésével kényszerítheti a változtatások érvényesítését.
Hibajelenség – A szerepkör-hozzárendelések Eltávolítása a PowerShell használatával több percet vesz igénybe
A Remove-AzRoleAssignment paranccsal eltávolíthat egy szerepkör-hozzárendelést. Ezután a Get-AzRoleAssignment paranccsal ellenőrizheti, hogy a szerepkör-hozzárendelés eltávolításra került egy biztonsági főkör számára. Példa:
Get-AzRoleAssignment -ObjectId $securityPrincipalObject.Id
A Get-AzRoleAssignment parancs azt jelzi, hogy a szerepkör-hozzárendelés nem lett eltávolítva. Ha azonban 5–10 percet vár, és ismét futtatja a Get-AzRoleAssignment parancsot, a kimenet azt jelzi, hogy a szerepkör-hozzárendelés el lett távolítva.
Ok
A szerepkör-hozzárendelést eltávolították. A teljesítmény javítása érdekében azonban a PowerShell gyorsítótárat használ a szerepkör-hozzárendelések listázásakor. A gyorsítótár frissítése körülbelül 10 percet vehet igénybe.
Megoldás
Ahelyett, hogy felsorolja egy biztonsági tag szerepkör-hozzárendeléseit, listázhatja az előfizetés hatókörében lévő összes szerepkör-hozzárendelést, és szűrheti a kimenetet. Például a következő parancs:
$validateRemovedRoles = Get-AzRoleAssignment -ObjectId $securityPrincipalObject.Id
Ehelyett a következő paranccsal helyettesíthető:
$validateRemovedRoles = Get-AzRoleAssignment -Scope /subscriptions/$subId | Where-Object -Property ObjectId -EQ $securityPrincipalObject.Id
Egyéni szerepkörök
Hibajelenség – Nem lehet frissíteni vagy törölni egy egyéni szerepkört
Meglévő egyéni szerepkör nem frissíthető vagy törölhető.
Ok 1
Jelenleg olyan felhasználóval van bejelentkezve, aki nem rendelkezik engedéllyel az egyéni szerepkörök frissítésére vagy törlésére.
1. megoldás
Ellenőrizze, hogy jelenleg olyan felhasználóval van-e bejelentkezve, aki rendelkezik olyan engedéllyel, mint például a Microsoft.Authorization/roleDefinitions/write felhasználói hozzáférés rendszergazdája.
Ok 2
Az egyéni szerepkör tartalmaz egy előfizetést a hozzárendelhető hatókörökben, és az előfizetés le van tiltva.
2\. megoldás
Aktiválja újra a letiltott előfizetést, és szükség szerint frissítse az egyéni szerepkört. További információ: Letiltott Azure-előfizetés újraaktiválása.
Hibajelenség – Nem lehet egyéni szerepkört létrehozni vagy frissíteni
Amikor egyéni szerepkört próbál létrehozni vagy frissíteni, a következőhöz hasonló hibaüzenet jelenik meg:
The client '<clientName>' with object id '<objectId>' has permission to perform action 'Microsoft.Authorization/roleDefinitions/write' on scope '/subscriptions/<subscriptionId>'; however, it does not have permission to perform action 'Microsoft.Authorization/roleDefinitions/write' on the linked scope(s)'/subscriptions/<subscriptionId1>,/subscriptions/<subscriptionId2>,/subscriptions/<subscriptionId3>' or the linked scope(s)are invalid
Ok
Ez a hiba általában azt jelzi, hogy nincs engedélye az egyéni szerepkör egy vagy több hozzárendelhető hatókörére .
Megoldás
Kipróbálhatja a következőt:
- Tekintse át , hogy ki hozhat létre, törölhet, frissíthet vagy tekinthet meg egyéni szerepkört , és ellenőrizheti, hogy rendelkezik-e engedéllyel az egyéni szerepkör létrehozásához vagy frissítéséhez az összes hozzárendelhető hatókörhöz.
- Ha nem rendelkezik engedélyekkel, kérje meg a rendszergazdát, hogy rendeljen hozzá egy olyan szerepkört, amely a hozzárendelhető hatókör hatókörében rendelkezik a
Microsoft.Authorization/roleDefinitions/writeműveletekkel, például a felhasználói hozzáférés rendszergazdájával. - Ellenőrizze, hogy az egyéni szerepkör összes hozzárendelhető hatóköre érvényes-e. Ha nem, távolítsa el az érvénytelen hozzárendelhető hatóköröket.
További információ: egyéni szerepkör-oktatóanyagok az Azure Portal, az Azure PowerShell vagy az Azure CLI használatával.
Hibajelenség – Egyéni szerepkör nem törölhető
Nem lehet törölni egy egyéni szerepkört, és a következő hibaüzenet jelenik meg:
There are existing role assignments referencing role (code: RoleDefinitionHasAssignments)
Ok
Vannak olyan szerepkör-hozzárendelések, amelyek továbbra is az egyéni szerepkört használják.
Megoldás
Távolítsa el az egyéni szerepkört használó szerepkör-hozzárendeléseket, és próbálja meg újból törölni az egyéni szerepkört. További információ: Szerepkör-hozzárendelések keresése egyéni szerepkör törléséhez.
Hibajelenség – Nem lehet több felügyeleti csoportot hozzárendelhető hatókörként hozzáadni
Amikor egyéni szerepkört próbál létrehozni vagy frissíteni, nem adhat hozzá több felügyeleti csoportot hozzárendelhető hatókörként.
Ok
Az egyéni szerepkörök AssignableScopes keretében csak egy felügyeleti csoportot definiálhat.
Megoldás
Definiáljon egy felügyeleti csoportot az egyéni szerepkörben AssignableScopes . További információ az egyéni szerepkörökkel és a felügyeleti csoportokkal kapcsolatban: Erőforrások rendszerezése az Azure-beli felügyeleti csoportokkal.
Hibajelenség – Nem lehet adatműveleteket hozzáadni az egyéni szerepkörhöz
Amikor egyéni szerepkört próbál létrehozni vagy frissíteni, nem vehet fel adatműveleteket, vagy a következő üzenet jelenik meg:
You cannot add data action permissions when you have a management group as an assignable scope
Ok
Egyéni szerepkört próbál létrehozni adatműveletekkel és felügyeleti csoportokkal hozzárendelhető hatókörként.
DataActions művelettel rendelkező egyéni szerepkörök nem rendelhetők felügyeleti csoport hatókörhöz.
Megoldás
Hozza létre az egyéni szerepkört egy vagy több előfizetéssel hozzárendelhető hatókörként. További információ az egyéni szerepkörökkel és a felügyeleti csoportokkal kapcsolatban: Erőforrások rendszerezése az Azure-beli felügyeleti csoportokkal.
A hozzáférés megtagadva vagy engedélyhibák
Hibajelenség – Az engedélyezés nem sikerült
Amikor megpróbál létrehozni egy erőforrást, a következő hibaüzenet jelenik meg:
The client with object id does not have authorization to perform action over scope (code: AuthorizationFailed)
Ok 1
Jelenleg olyan felhasználóval van bejelentkezve, aki nem rendelkezik írási engedéllyel az erőforráshoz a kijelölt hatókörben.
1. megoldás
Ellenőrizze, hogy jelenleg olyan felhasználóval van-e bejelentkezve, aki olyan szerepkörrel rendelkezik, amely írási engedéllyel rendelkezik az erőforráshoz a kiválasztott hatókörben. Például az erőforráscsoportban található virtuális gépek kezeléséhez a Virtual Machine Contributor szerepkörrel kell rendelkeznie az erőforráscsoporton (vagy a szülő hatókörön). Az egyes beépített szerepkörökhöz tartozó engedélyek listáját a Beépített Azure-szerepkörök témakörben tekintheti meg.
Ok 2
A jelenleg bejelentkezett felhasználó szerepkör-hozzárendeléssel rendelkezik a következő feltételekkel:
- A szerepkör tartalmaz egy Microsoft.Storage-adatműveletet
- A szerepkör-hozzárendelés tartalmaz egy GUID összehasonlító operátort használó ABAC-feltételt
2\. megoldás
Jelenleg a szerepkör-hozzárendelésed nem tartalmazhat olyan Microsoft.Storage-adatműveletet és ABAC-feltételt, amely GUID összehasonlító operátort használ. Az alábbiakban néhány lehetőséget talál a hiba elhárítására:
- Ha a szerepkör egyéni, távolítsa el a Microsoft.Storage adatműveleteket
- Módosítsa a szerepkör-hozzárendelés feltételét, hogy ne használjon GUID összehasonlító operátorokat
Hibajelenség – A vendégfelhasználó nem kapja meg az engedélyezést
Amikor egy vendégfelhasználó megpróbál hozzáférni egy erőforráshoz, a következőhöz hasonló hibaüzenet jelenik meg:
The client '<client>' with object id '<objectId>' does not have authorization to perform action '<action>' over scope '<scope>' or the scope is invalid.
Ok
A vendégfelhasználó nem rendelkezik engedélyekkel az erőforráshoz a kiválasztott hatókörben.
Megoldás
Ellenőrizze, hogy a vendégfelhasználó rendelkezik-e olyan szerepkörrel, amely a legkevésbé kiemelt engedélyekkel rendelkezik az erőforráshoz a kiválasztott hatókörben. További információ: Azure-szerepkörök hozzárendelése külső felhasználókhoz az Azure Portal használatával.
Hibajelenség – Nem hozható létre támogatási kérés
Támogatási jegy létrehozásakor vagy frissítésekor a következő hibaüzenet jelenik meg:
You don't have permission to create a support request
Ok
Jelenleg olyan felhasználóval van bejelentkezve, aki nem rendelkezik támogatási kérések létrehozására vonatkozó engedéllyel.
Megoldás
Ellenőrizze, hogy jelenleg olyan felhasználóval van-e bejelentkezve, aki rendelkezik engedéllyel Microsoft.Support/supportTickets/write rendelkező szerepkörrel, például támogatási kérelem közreműködőjével.
Az Azure-funkciók le vannak tiltva
Tünet – Egyes webalkalmazás-funkciók le vannak tiltva
A felhasználók olvasási hozzáféréssel rendelkeznek egy webalkalmazáshoz, és bizonyos funkciók le vannak tiltva.
Ok
Ha olvasási hozzáférést ad egy felhasználónak egy webalkalmazáshoz, bizonyos funkciók le lesznek tiltva, amelyek nem feltétlenül várhatók. Az alábbi felügyeleti képességek írási hozzáférést igényelnek egy webalkalmazáshoz, és nem érhetők el írásvédett forgatókönyvekben.
- Parancsok (például a start, stop stb.)
- A beállítások, például az általános konfiguráció, a méretezési beállítások, a biztonsági mentési beállítások és a monitorozási beállítások módosítása
- Közzétételi hitelesítési adatokhoz és egyéb titkos adatokhoz, például az alkalmazás beállításaihoz és a kapcsolati sztringekhez való hozzáférés
- Streamelési naplók
- Erőforrásnaplók konfigurálása
- Konzol (parancssor)
- Aktív és legutóbbi üzembe helyezések (a git folyamatos helyi üzembe helyezéséhez)
- Becsült költségek
- Webes tesztek
- Virtuális hálózat (csak akkor látható olvasó számára, ha a virtuális hálózatot korábban egy írási hozzáféréssel rendelkező felhasználó konfigurálta).
Megoldás
Rendelje hozzá a közreműködőt vagy egy másik beépített Azure-szerepkört írási engedélyekkel a webalkalmazáshoz.
Hibajelenség – Egyes webalkalmazás-erőforrások le vannak tiltva
A felhasználók írási hozzáféréssel rendelkeznek egy webalkalmazáshoz, és bizonyos funkciók le vannak tiltva.
Ok
A webalkalmazásokat bonyolultabbá teszi néhány rájuk ható erőforrás. Íme egy tipikus erőforráscsoport néhány webhelytel:
Ennek eredményeképpen, ha valakinek csak a webalkalmazáshoz ad hozzáférést, az Azure Portal Webhely panelén számos funkció le lesz tiltva.
Ezek az elemek írási hozzáférést igényelnek a webhelynek megfelelőApp Service-csomaghoz:
- A webalkalmazás tarifacsomagjának (ingyenes vagy standard) megtekintése
- Skálázás konfigurálása (példányszám, virtuális gép mérete, automatikus skálázási beállítások)
- Kvóták (tárterület, sávszélesség, CPU)
Ezek az elemek írási hozzáférést igényelnek a webhelyet tartalmazó teljes erőforráscsoporthoz:
- TLS-/SSL-tanúsítványok és -kötések (a TLS-/SSL-tanúsítványokon osztozhatnak az azonos erőforráscsoportban és földrajzi helyen lévő webhelyek)
- Riasztási szabályok
- Automatikus skálázási beállítások
- Application Insights-összetevők
- Webes tesztek
Megoldás
Azure beépített szerepkör hozzárendelése írási engedélyekkel az App Service-csomaghoz vagy az erőforráscsoporthoz.
Hibajelenség – Egyes virtuálisgép-funkciók le vannak tiltva
A felhasználók hozzáférhetnek egy virtuális géphez, és egyes funkciók le vannak tiltva.
Ok
A webalkalmazásokhoz hasonlóan a Virtuális gép panel bizonyos funkcióinak eléréséhez írási hozzáférés szükséges a virtuális géphez vagy az erőforráscsoportban lévő egyéb erőforrásokhoz.
A virtuális gépek a tartománynevekhez, virtuális hálózatokhoz, tárfiókokhoz és riasztási szabályokhoz kapcsolódnak.
Az ilyen elemekhez való hozzáféréshez írási hozzáférés szükséges a virtuális géphez:
- Végpontok
- IP-címek
- Lemezek
- Bővítmények
Ezek írási hozzáférést igényelnek mind a virtuális géphez, mind az erőforráscsoporthoz (a tartománynévvel együtt):
- Rendelkezésre állási csoport
- Elosztott terhelésű készlet
- Riasztási szabályok
Ha egyik csempéhez sem fér hozzá, kérje az erőforráscsoporthoz való közreműködői hozzáférést a rendszergazdától.
Megoldás
Azure-beli beépített szerepkör hozzárendelése írási engedélyekkel a virtuális géphez vagy erőforráscsoporthoz.
Tünet – Egyes függvényalkalmazás-funkciók le vannak tiltva
A felhasználók hozzáférhetnek egy függvényalkalmazáshoz, és egyes funkciók le vannak tiltva. Például a Platformfunkciók fülre, majd a Minden beállítás gombra kattintva megtekinthetik a függvényalkalmazáshoz kapcsolódó egyes beállításokat (hasonlóan egy webalkalmazáshoz), de ezen beállítások egyikét sem módosíthatják.
Ok
Az Azure Functions néhány funkciójához írási hozzáférés szükséges. Ha például egy felhasználóhoz hozzá van rendelve az Olvasó szerepkör, akkor nem fogja tudni megtekinteni a függvényalkalmazásban lévő függvényeket. A portálon megjelenik a (Nincs hozzáférés).
Megoldás
Rendeljen hozzá egy beépített Azure-szerepkört írási engedélyekkel a függvényalkalmazáshoz vagy erőforráscsoporthoz.
Előfizetés átvitele másik könyvtárba
Hibajelenség – Az előfizetés átvitele után minden szerepkör-hozzárendelés törlődik
Ok
Amikor egy Azure-előfizetést egy másik Microsoft Entra-címtárba ad át, az összes szerepkör-hozzárendelés véglegesen törlődik a forrás Microsoft Entra könyvtárból, és nem lesz áttelepítve a cél Microsoft Entra könyvtárba.
Megoldás
A szerepkör-hozzárendeléseket újra létre kell hoznia a célcímtárban. Előfordulhat, hogy manuálisan újból létre kell hoznia az Azure-erőforrások felügyelt identitásait. További információ: Azure-előfizetés átvitele egy másik Microsoft Entra-címtárba , gyakori kérdések és a felügyelt identitásokkal kapcsolatos ismert problémák.
Hibajelenség – Az előfizetés átvitele után nem érhető el az előfizetés
Megoldás
Ha Ön a Microsoft Entra globális rendszergazdája, és nem rendelkezik hozzáféréssel egy előfizetéshez, miután az át lett osztva a könyvtárak között, az Azure-erőforrások hozzáférés-kezelésével ideiglenesen emelheti a hozzáférést az előfizetéshez való hozzáféréshez.
Klasszikus előfizetés-rendszergazdák
Fontos
2024. augusztus 31-étől a klasszikus Azure-rendszergazdai szerepkörök (az Azure klasszikus erőforrásaival és az Azure Service Managerrel együtt) megszűnnek, és már nem támogatottak. 2025. decemberétől az Azure automatikusan hozzárendelte az előfizetési hatókörben lévő tulajdonosi szerepkört azokhoz a nyilvános felhőbeli felhasználókhoz, akiknek továbbra is a Társrendszergazda vagy Szolgáltatásadminisztrátor szerepkör volt hozzárendelve. A 2026. május, a klasszikus rendszergazdai szerepkörök teljesen vissza vannak vonva, és szerepköröket hozzá kell rendelnie az Azure szerepköralapú hozzáférés-vezérlés (RBAC) keretében a hozzáférés kezeléséhez.
További információ: Azure klasszikus előfizetés-adminisztrátorok.