Azure klasszikus előfizetés-adminisztrátorok

Fontos

A klasszikus erőforrásokat és a klasszikus rendszergazdákat 2024. augusztus 31-én kivonjuk. 2024. április 3-tól nem fog tudni új társadminisztrátorokat hozzáadni. Ezt a határidőt nemrég meghosszabbítottuk. Távolítsa el a szükségtelen társadminisztrátorokat, és használja az Azure RBAC-t a részletes hozzáférés-vezérléshez.

A Microsoft azt javasolja, hogy az Azure-erőforrásokhoz való hozzáférést azure-beli szerepköralapú hozzáférés-vezérléssel (Azure RBAC) kezelje. Ha azonban továbbra is a klasszikus üzemi modellt használja, klasszikus előfizetés-rendszergazdai szerepkört kell használnia: Service Rendszergazda istrator és Co-Rendszergazda istrator. További információ arról, hogyan migrálhatja az erőforrásokat a klasszikus üzembe helyezésről a Resource Manager-telepítésre, lásd az Azure Resource Manager és a klasszikus üzembe helyezés című témakört.

Ha továbbra is vannak klasszikus rendszergazdái, ezeket a szerepkör-hozzárendeléseket el kell távolítania a kivonás dátuma előtt. Ez a cikk bemutatja, hogyan készülhet fel a társ-Rendszergazda istrator- és szolgáltatáskiszolgálói Rendszergazda istrator szerepkörök kivonására, és hogyan távolíthatja el vagy módosíthatja ezeket a szerepkör-hozzárendeléseket.

Gyakori kérdések

2024. augusztus 31-e után elveszítik a hozzáférést a társ-Rendszergazda istrators és a Service Rendszergazda istrator?

• 2024. augusztus 31-től a Microsoft megkezdi a társ-Rendszergazda istratorok és a Service Rendszergazda istrator hozzáférésének eltávolítását.

Hogyan tudja, hogy mely előfizetések rendelkeznek klasszikus rendszergazdával?

• Az Azure Resource Graph-lekérdezéssel szolgáltatási Rendszergazda istrator- vagy társ-Rendszergazda istrator szerepkör-hozzárendelésekkel listázhatja az előfizetéseket. A lépésekért tekintse meg a klasszikus rendszergazdák listáját.

Mi az a egyenértékű Azure-szerepkör, amelyet társ-Rendszergazda istratorokhoz kell hozzárendelnem?

• A tulajdonosi szerepkör az előfizetés hatókörében egyenértékű hozzáféréssel rendelkezik. A tulajdonos azonban kiemelt rendszergazdai szerepkör , és teljes hozzáférést biztosít az Azure-erőforrások kezeléséhez. Érdemes megfontolnia egy feladatfüggvény-szerepkört kevesebb engedélyekkel, csökkentenie kell a hatókört, vagy feltételt kell hozzáadnia.

Mi az egyenértékű Azure-szerepkör, amelyet ki kell rendelnem a Service Rendszergazda istratorhoz?

• A tulajdonosi szerepkör az előfizetés hatókörében egyenértékű hozzáféréssel rendelkezik.

Miért kell migrálnom az Azure RBAC-be?

• A klasszikus rendszergazdák kivonásra kerülnek. Az Azure RBAC részletes hozzáférés-vezérlést, kompatibilitást biztosít a Microsoft Entra Privileged Identity Management (PIM) szolgáltatással, és teljes körű naplózási naplókat támogat. Minden jövőbeli befektetés az Azure RBAC-ben lesz.

Mi a helyzet a Fiók Rendszergazda istrator szerepkörével?

• A fiók Rendszergazda istrator a számlázási fiók elsődleges felhasználója. A fiók Rendszergazda istrator nem elavult, és nem kell lecserélnie ezt a szerepkör-hozzárendelést. Előfordulhat, hogy a Fiók Rendszergazda istrator és a Service Rendszergazda istrator ugyanaz a felhasználó. Azonban csak a Service Rendszergazda istrator szerepkör-hozzárendelését kell eltávolítania.

Mit tegyek, ha erős függőségben vagyok a társ-Rendszergazda istratorokkal vagy a Service Rendszergazda istrator-tal?

• Küldjön e-mailt ACARDeprecation@microsoft.com , és írja le a forgatókönyvet.

Felkészülés a társ-Rendszergazda istratorok kivonására

Ha továbbra is rendelkezik klasszikus rendszergazdával, az alábbi lépésekkel felkészülhet a társ-Rendszergazda istrator szerepkör kivonására.

1. lépés: Az aktuális társ-Rendszergazda istratorok áttekintése

1. Jelentkezzen be az Azure Portalra előfizetés tulajdonosaként.

2. Az Azure Portal vagy az Azure Resource Graph segítségével listázhatja a társ-Rendszergazda istratorokat.

3. Tekintse át a társ-Rendszergazda istratorok bejelentkezési naplóit annak felméréséhez, hogy aktív felhasználók-e.

2. lépés: Olyan társ-Rendszergazda istratorok eltávolítása, amelyeknek már nincs szükségük hozzáférésre

1. Ha a felhasználó már nincs a vállalatnál, távolítsa el a Co-Rendszergazda istratort.

2. Ha a felhasználót törölték, de a társ-Rendszergazda istrator-hozzárendelése nem lett eltávolítva, távolítsa el a Társ-Rendszergazda istratort.

   A törölt felhasználók általában tartalmazzák a szöveget (a felhasználó nem található ebben a könyvtárban).

   

3. A felhasználó tevékenységének áttekintése után, ha a felhasználó már nem aktív, távolítsa el a Co-Rendszergazda istratort.

3. lépés: Meglévő társ-Rendszergazda istratorok cseréje feladatfüggvény-szerepkörökre

A felhasználók többségének nem kell ugyanazokkal az engedélyekkel rendelkeznie, mint a társ-Rendszergazda istratornak. Fontolja meg inkább a feladatfüggvény-szerepkört.

1. Ha egy felhasználónak továbbra is szüksége van némi hozzáférésre, határozza meg a megfelelő feladatfüggvény-szerepkört .

2. Határozza meg, hogy a felhasználónak milyen hatókörre van szüksége.

3. Kövesse a lépéseket egy feladatfüggvény-szerepkör felhasználóhoz való hozzárendeléséhez.

4. Távolítsa el a Rendszergazda istratort.

4. lépés: Meglévő társ-Rendszergazda istratorok cseréje tulajdonosi szerepkörre és feltételekre

Előfordulhat, hogy egyes felhasználóknak több hozzáférésre van szükségük, mint amit egy feladatfüggvény-szerepkör nyújthat. Ha tulajdonosi szerepkört kell hozzárendelnie, fontolja meg egy feltétel hozzáadását a szerepkör-hozzárendelés korlátozásához.

1. Rendelje hozzá a tulajdonosi szerepkört az előfizetés hatókörében feltételekkel a felhasználóhoz.

2. Távolítsa el a Rendszergazda istratort.

Felkészülés a service Rendszergazda istrator kivonására

Ha továbbra is rendelkezik klasszikus rendszergazdával, az alábbi lépésekkel felkészülhet a Service Rendszergazda istrator szerepkör kivonására. A Szolgáltatás Rendszergazda istrator eltávolításához legalább egy olyan felhasználóval kell rendelkeznie, aki az előfizetés hatókörében tulajdonosi szerepkörrel rendelkezik anélkül, hogy feltételekkel rendelkezik volna az előfizetés árva állapotának elkerülése érdekében. Az előfizetések tulajdonosának ugyanolyan hozzáférése van, mint a szolgáltatásadminisztrátornak.

1. lépés: Az aktuális szolgáltatás Rendszergazda istrator áttekintése

1. Jelentkezzen be az Azure Portalra előfizetés tulajdonosaként.

2. Az Azure Portal vagy az Azure Resource Graph használatával listázhatja a szolgáltatás Rendszergazda istratort.

3. Tekintse át a Szolgáltatás Rendszergazda istrator bejelentkezési naplóit annak felméréséhez, hogy aktív felhasználó-e.

2. lépés: A jelenlegi számlázási fiók tulajdonosainak áttekintése

A Szolgáltatás Rendszergazda istrator szerepkörhöz hozzárendelt felhasználó ugyanaz a felhasználó is lehet, aki a számlázási fiók rendszergazdája. Tekintse át a jelenlegi számlázási fióktulajdonosokat, hogy továbbra is pontosak legyenek.

1. A számlázási fiók tulajdonosainak lekérése az Azure Portalon.

2. Tekintse át a számlázási fiókok tulajdonosainak listáját. Ha szükséges, frissítsen vagy adjon hozzá egy másik számlázási fióktulajdonost.

3. lépés: Meglévő szolgáltatás Rendszergazda istrator cseréje tulajdonosi szerepkörre

A szolgáltatás Rendszergazda istrator lehet Microsoft-fiók vagy Microsoft Entra-fiók. A Microsoft-fiók olyan személyes fiók, mint az Outlook, a OneDrive, az Xbox LIVE vagy a Microsoft 365. A Microsoft Entra-fiók a Microsoft Entra-azonosítón keresztül létrehozott identitás.

1. Ha a Service Rendszergazda istrator felhasználó Egy Microsoft-fiók, és azt szeretné, hogy a felhasználó ugyanazokat az engedélyeket tartsa meg, rendelje hozzá a tulajdonosi szerepkört ehhez a felhasználóhoz előfizetési hatókörben feltételek nélkül.

2. Ha a Service Rendszergazda istrator-felhasználó Egy Microsoft Entra-fiók, és azt szeretné, hogy a felhasználó ugyanazokat az engedélyeket tartsa meg, rendelje hozzá a tulajdonosi szerepkört ehhez a felhasználóhoz előfizetési hatókörben, feltételek nélkül.

3. Ha a Szolgáltatás Rendszergazda istrator felhasználót egy másik felhasználóra szeretné módosítani, a tulajdonosi szerepkört az előfizetés hatókörében, feltételek nélkül rendelje hozzá az új felhasználóhoz.

4. Távolítsa el a service Rendszergazda istratort.

Klasszikus rendszergazdák listázása

Azure Portalra

Az alábbi lépéseket követve listázhatja az Azure Portalon az előfizetéshez tartozó service Rendszergazda istrator és co-Rendszergazda istrators szolgáltatást.

1. Jelentkezzen be az Azure Portalra előfizetés tulajdonosaként.

2. Nyissa meg az Előfizetések nézetet, és válasszon ki egy előfizetést.

3. Válassza a Hozzáférés-vezérlés (IAM) lehetőséget.

4. A Klasszikus rendszergazdák fülre kattintva megtekintheti a társ-Rendszergazda istratorok listáját.

   

Azure Resource Graph

Az alábbi lépéseket követve listázhatja az Előfizetések szolgáltatás-Rendszergazda istrator- és társ-Rendszergazda istratorainak számát az Azure Resource Graph használatával.

1. Jelentkezzen be az Azure Portalra előfizetés tulajdonosaként.

2. Nyissa meg az Azure Resource Graph Explorert.

3. Válassza a Hatókör lehetőséget, és állítsa be a lekérdezés hatókörét.

   Állítsa a hatókört címtárra a teljes bérlő lekérdezéséhez, de a hatókört bizonyos előfizetésekre szűkítheti.

   

4. Válassza az Engedélyezési hatókör beállítása lehetőséget, és állítsa az engedélyezési hatókört at, above és below értékre az összes erőforrás lekérdezéséhez a megadott hatókörben.

   

5. Futtassa a következő lekérdezést a service Rendszergazda istrators és co-Rendszergazda istrators számnak a hatókör alapján történő listázásához.

   authorizationresources
   | where type == "microsoft.authorization/classicadministrators"
   | mv-expand role = parse_json(properties).role
   | mv-expand adminState = parse_json(properties).adminState
   | where adminState == "Enabled"
   | where role in ("ServiceAdministrator", "CoAdministrator")
   | summarize count() by subscriptionId, tostring(role)
   

   Az alábbiakban egy példa látható az eredményekre. A count_ oszlop az előfizetéshez tartozó Szolgáltatás Rendszergazda istratorok vagy Társ-Rendszergazda istratorok száma.

   

Társadminisztrátor eltávolítása

Fontos

A klasszikus erőforrásokat és a klasszikus rendszergazdákat 2024. augusztus 31-én kivonjuk. 2024. április 3-tól nem fog tudni új társadminisztrátorokat hozzáadni. Ezt a határidőt nemrég meghosszabbítottuk. Távolítsa el a szükségtelen társadminisztrátorokat, és használja az Azure RBAC-t a részletes hozzáférés-vezérléshez.

Kövesse az alábbi lépéseket a társ-Rendszergazda istrator eltávolításához.

1. Jelentkezzen be az Azure Portalra előfizetés tulajdonosaként.

2. Nyissa meg az Előfizetések nézetet, és válasszon ki egy előfizetést.

3. Válassza a Hozzáférés-vezérlés (IAM) lehetőséget.

4. A Klasszikus rendszergazdák fülre kattintva megtekintheti a társ-Rendszergazda istratorok listáját.

5. Tegyen egy pipát az eltávolítani kívánt társadminisztrátor neve mellé.

6. Válassza az Eltávolítás lehetőséget.

7. A megjelenő üzenetben kattintson az Igen gombra.

   

Társadminisztrátor hozzáadása

Fontos

A klasszikus erőforrásokat és a klasszikus rendszergazdákat 2024. augusztus 31-én kivonjuk. 2024. április 3-tól nem fog tudni új társadminisztrátorokat hozzáadni. Ezt a határidőt nemrég meghosszabbítottuk. Távolítsa el a szükségtelen társadminisztrátorokat, és használja az Azure RBAC-t a részletes hozzáférés-vezérléshez.

Csak akkor kell hozzáadnia egy társ-Rendszergazda istratort, ha a felhasználónak a klasszikus Azure-üzemelő példányokat az Azure Service Management PowerShell-modullal kell kezelnie. Ha a felhasználó kizárólag az Azure Portalon keresztül végzi a klasszikus erőforrások felügyeletét, nem szükséges klasszikus adminisztrátort hozzáadni a felhasználóhoz.

1. Jelentkezzen be az Azure Portalra előfizetés tulajdonosaként.

2. Nyissa meg az Előfizetések nézetet, és válasszon ki egy előfizetést.

   A társ-Rendszergazda istratorok csak az előfizetés hatókörében rendelhetők hozzá.

3. Válassza a Hozzáférés-vezérlés (IAM) lehetőséget.

4. Válassza a Klasszikus adminisztrátorok lapot.

   

5. A Társadminisztrátorok hozzáadása panel megnyitásához válassza a Hozzáadás>Társadminisztrátor hozzáadása lehetőséget.

   Ha a Társadminisztrátor hozzáadása lehetőség le van tiltva, nincs engedélye.

6. Jelölje ki a hozzáadni kívánt felhasználót, majd válassza a Hozzáadás lehetőséget.

   

Vendégfelhasználó hozzáadása társadminisztrátorként

Ha vendégfelhasználót szeretne hozzáadni társadminisztrátorként, kövesse az előző Társadminisztrátor hozzáadása szakasz lépéseit. A vendégfelhasználónak meg kell felelnie a következő feltételeknek:

• A vendégfelhasználónak szerepelnie kell a címtárban. Ez azt jelenti, hogy a felhasználó meg lett hívva a címtárba, és elfogadta a meghívást.

További információ a vendégfelhasználók címtárhoz való hozzáadásáról: Microsoft Entra B2B együttműködési felhasználók hozzáadása az Azure Portalon.

Mielőtt eltávolít egy vendégfelhasználót a címtárból, először távolítsa el az adott vendégfelhasználó szerepkör-hozzárendeléseit. További információ: Külső felhasználó eltávolítása a címtárból.

Különbségek a vendégfelhasználók esetében

Előfordulhat, hogy a társadminisztrátori szerepkörhöz rendelt vendégfelhasználók mást látnak, mint a társadminisztrátori szerepkörrel rendelkező tagfelhasználók. Vegyük például a következő esetet:

• A Microsoft Entra-fiókkal (munkahelyi vagy iskolai fiókkal) rendelkező "A" felhasználó egy Azure-előfizetés szolgáltatás Rendszergazda istratorja.
• A B felhasználó rendelkezik Microsoft-fiókkal.
• Az A felhasználó hozzárendeli a Társ-Rendszergazda istrator szerepkört a B felhasználóhoz.
• A B felhasználó szinte mindenre képes, de nem tud alkalmazásokat regisztrálni vagy felhasználókat keresni a Microsoft Entra címtárban.

Azt várná, hogy a B felhasználó mindent képes kezelni. A különbség oka az, hogy a Microsoft-fiók vendégfelhasználóként, nem pedig tagfelhasználóként kerül az előfizetésbe. A vendégfelhasználók eltérő alapértelmezett engedélyekkel rendelkeznek a Microsoft Entra-azonosítóban a tagfelhasználókhoz képest. A tagfelhasználók például olvashatnak más felhasználókat a Microsoft Entra-azonosítóban, a vendégfelhasználók pedig nem. A tagfelhasználók új szolgáltatásneveket regisztrálhatnak a Microsoft Entra-azonosítóban, a vendégfelhasználók pedig nem.

Ha egy vendégfelhasználónak el kell tudnia végezni ezeket a feladatokat, lehetséges megoldásként hozzárendelheti a vendégfelhasználó által igényelt adott Microsoft Entra-szerepköröket. Az előző forgatókönyvben például hozzárendelheti a Címtárolvasó szerepkört más felhasználók olvasásához, és hozzárendelheti az alkalmazásfejlesztői szerepkört a szolgáltatásnevek létrehozásához. További információ a tag- és vendégfelhasználókról, valamint azok engedélyeiről: Mik az alapértelmezett felhasználói engedélyek a Microsoft Entra-azonosítóban?. További információ a vendégfelhasználók hozzáférésének biztosításáról: Azure-szerepkörök hozzárendelése külső felhasználókhoz az Azure Portal használatával.

Vegye figyelembe, hogy az Azure beépített szerepkörei eltérnek a Microsoft Entra szerepkörökétől. A beépített szerepkörök nem biztosítanak hozzáférést a Microsoft Entra-azonosítóhoz. További információ: A különböző szerepkörök ismertetése.

A tagfelhasználókat és a vendégfelhasználókat összehasonlító információkért lásd : Mik az alapértelmezett felhasználói engedélyek a Microsoft Entra-azonosítóban?.

A szolgáltatásadminisztrátor módosítása

Csak a fiókadminisztrátor módosíthatja az előfizetések szolgáltatásadminisztrátorát. Amikor Azure-előfizetésre regisztrál, a szolgáltatásadminisztrátor alapértelmezés szerint megegyezik a fiókadminisztrátorral.

A fiókadminisztrátori szerepkörrel rendelkező felhasználó hozzáfér az Azure Portalhoz, és kezelheti a számlázást, de nem mondhatja le az előfizetéseket. A szolgáltatásadminisztrátori szerepkörrel rendelkező felhasználó teljes hozzáféréssel rendelkezik az Azure Portalhoz, és lemondhatja az előfizetéseket. A fiókadminisztrátor szolgáltatásadminisztrátorrá teheti magát.

Az alábbi lépéseket követve módosíthatja a Service Rendszergazda istratort az Azure Portalon.

1. Jelentkezzen be az Azure Portalra fiókadminisztrátorként.

2. Nyissa meg a Költségkezelés + Számlázás elemet, és válasszon ki egy előfizetést.

3. A bal oldali navigációs menüben válassza a Tulajdonságok elemet.

4. Válassza a Szolgáltatásadminisztrátor módosítása lehetőséget.

   

5. A Szolgáltatásadminisztrátor szerkesztése oldalon adja meg az új szolgáltatásadminisztrátor e-mail-címét.

   

6. A módosítások mentéséhez kattintson az OK gombra.

A szolgáltatásadminisztrátor eltávolítása

A Szolgáltatás Rendszergazda istrator eltávolításához olyan felhasználóval kell rendelkeznie, aki az előfizetés hatókörében tulajdonosi szerepkörrel rendelkezik anélkül, hogy feltételekkel lenne elárvulni az előfizetésben. Az előfizetések tulajdonosának ugyanolyan hozzáférése van, mint a szolgáltatásadminisztrátornak.

1. Jelentkezzen be az Azure Portalra előfizetés tulajdonosaként.

2. Nyissa meg az Előfizetések nézetet, és válasszon ki egy előfizetést.

3. Válassza a Hozzáférés-vezérlés (IAM) lehetőséget.

4. Válassza a Klasszikus adminisztrátorok lapot.

5. Tegyen egy pipát a szolgáltatásadminisztrátor neve mellé.

6. Válassza az Eltávolítás lehetőséget.

7. A megjelenő üzenetben kattintson az Igen gombra.

   

Ha a Szolgáltatás Rendszergazda istrator felhasználója nem szerepel a címtárban, a szolgáltatás Rendszergazda istrator eltávolításakor a következő hibaüzenet jelenhet meg:

Call GSM to delete service admin on subscription <subscriptionId> failed. Exception: Cannot delete user <principalId> since they are not the service administrator. Please retry with the right service administrator user PUID.

Ha a Szolgáltatás Rendszergazda istrator-felhasználó nincs a címtárban, próbálja meg módosítani a Szolgáltatás Rendszergazda istratort egy meglévő felhasználóra, majd próbálja meg eltávolítani a Szolgáltatás Rendszergazda istratort.

Következő lépések

• A különböző szerepkörök ismertetése
• Azure-szerepkörök hozzárendelése az Azure Portalon
• A Microsoft-ügyfélszerződéshez tartozó felügyeleti szerepkörök ismertetése az Azure-ban