Administrator langganan klasik Azure

Penting

Sumber daya klasik dan administrator klasik akan dihentikan pada 31 Agustus 2024. Mulai 3 April 2024, Anda tidak akan dapat menambahkan Co-Administrator baru. Tanggal ini baru saja diperpanjang. Hapus Co-Administrator yang tidak perlu dan gunakan Azure RBAC untuk kontrol akses terperinci.

Microsoft menyarankan Agar Anda mengelola akses ke sumber daya Azure menggunakan kontrol akses berbasis peran Azure (Azure RBAC). Namun, jika Anda masih menggunakan model penyebaran klasik, Anda harus menggunakan peran administrator langganan klasik: Administrator Layanan dan Administrator Bersama. Untuk informasi tentang cara memigrasikan sumber daya Anda dari penyebaran klasik ke penyebaran Resource Manager, lihat Penyebaran Azure Resource Manager vs. klasik.

Jika Anda masih memiliki administrator klasik, Anda harus menghapus penetapan peran ini sebelum tanggal pensiun. Artikel ini menjelaskan cara mempersiapkan penghentian peran Administrator Bersama dan Administrator Layanan dan cara menghapus atau mengubah penetapan peran ini.

Tanya jawab umum

Apakah Administrator Bersama dan Administrator Layanan akan kehilangan akses setelah 31 Agustus 2024?

• Mulai 31 Agustus 2024, Microsoft akan memulai proses untuk menghapus akses bagi Administrator Bersama dan Administrator Layanan.

Bagaimana cara mengetahui langganan apa yang memiliki administrator klasik?

• Anda bisa menggunakan kueri Azure Resource Graph untuk mencantumkan langganan dengan Administrator Layanan atau penetapan peran Administrator Bersama. Untuk langkah-langkahnya, lihat Mencantumkan administrator klasik.

Apa peran Azure yang setara yang harus saya tetapkan untuk Co-Administrator?

• Peran pemilik di cakupan langganan memiliki akses yang setara. Namun, Pemilik adalah peran administrator istimewa dan memberikan akses penuh untuk mengelola sumber daya Azure. Anda harus mempertimbangkan peran fungsi pekerjaan dengan lebih sedikit izin, mengurangi cakupan, atau menambahkan kondisi.

Apa peran Azure yang setara yang harus saya tetapkan untuk Administrator Layanan?

• Peran pemilik di cakupan langganan memiliki akses yang setara.

Mengapa saya perlu bermigrasi ke Azure RBAC?

• Administrator klasik akan dihentikan. Azure RBAC menawarkan kontrol akses terperinci, kompatibilitas dengan Microsoft Entra Privileged Identity Management (PIM), dan dukungan log audit penuh. Semua investasi di masa mendatang akan berada di Azure RBAC.

Bagaimana dengan peran Administrator Akun?

• Administrator Akun adalah pengguna utama untuk akun penagihan Anda. Administrator Akun tidak ditolak dan Anda tidak perlu mengganti penetapan peran ini. Administrator Akun dan Administrator Layanan mungkin pengguna yang sama. Namun, Anda hanya perlu menghapus penetapan peran Administrator Layanan.

Apa yang harus saya lakukan jika saya memiliki dependensi yang kuat pada Co-Administrator atau Administrator Layanan?

• Kirim email ACARDeprecation@microsoft.com dan jelaskan skenario Anda.

Bersiap untuk penghentian Co-Administrator

Jika Anda masih memiliki administrator klasik, gunakan langkah-langkah berikut untuk membantu Anda mempersiapkan penghentian peran Administrator Bersama.

Langkah 1: Tinjau Rekan Administrator Anda saat ini

1. Masuk ke portal Azure sebagai Pemilik langganan.

2. Gunakan portal Azure atau Azure Resource Graph untuk mencantumkan Co-Administrator Anda.

3. Tinjau log masuk untuk Co-Administrator Anda untuk menilai apakah mereka pengguna aktif.

Langkah 2: Hapus Co-Administrator yang tidak lagi memerlukan akses

1. Jika pengguna tidak lagi berada di perusahaan Anda, hapus Co-Administrator.

2. Jika pengguna dihapus, tetapi penetapan Co-Administrator mereka tidak dihapus, hapus Co-Administrator.

   Pengguna yang telah dihapus biasanya menyertakan teks (Pengguna tidak ditemukan di direktori ini).

   

3. Setelah meninjau aktivitas pengguna, jika pengguna tidak lagi aktif, hapus Co-Administrator.

Langkah 3: Ganti Co-Administrator yang ada dengan peran fungsi pekerjaan

Sebagian besar pengguna tidak memerlukan izin yang sama dengan Administrator Bersama. Pertimbangkan peran fungsi pekerjaan sebagai gantinya.

1. Jika pengguna masih memerlukan beberapa akses, tentukan peran fungsi pekerjaan yang sesuai yang mereka butuhkan.

2. Tentukan kebutuhan pengguna cakupan .

3. Ikuti langkah-langkah untuk menetapkan peran fungsi pekerjaan kepada pengguna.

4. Hapus Co-Administrator.

Langkah 4: Ganti Co-Administrator yang ada dengan peran dan kondisi Pemilik

Beberapa pengguna mungkin memerlukan lebih banyak akses daripada apa yang dapat disediakan peran fungsi pekerjaan. Jika Anda harus menetapkan peran Pemilik , pertimbangkan untuk menambahkan kondisi untuk membatasi penetapan peran.

1. Tetapkan peran Pemilik di cakupan langganan dengan kondisi kepada pengguna.

2. Hapus Co-Administrator.

Bersiap untuk penghentian Administrator Layanan

Jika Anda masih memiliki administrator klasik, gunakan langkah-langkah berikut untuk membantu Anda mempersiapkan penghentian peran Administrator Layanan. Untuk menghapus Administrator Layanan, Anda harus memiliki setidaknya satu pengguna yang diberi peran Pemilik di cakupan langganan tanpa syarat untuk menghindari penetapan langganan. Pemilik langganan memiliki akses yang sama dengan Administrator Layanan.

Langkah 1: Tinjau Administrator Layanan Anda saat ini

1. Masuk ke portal Azure sebagai Pemilik langganan.

2. Gunakan portal Azure atau Azure Resource Graph untuk mencantumkan Administrator Layanan Anda.

3. Tinjau log masuk untuk Administrator Layanan Anda untuk menilai apakah mereka pengguna aktif.

Langkah 2: Tinjau pemilik akun Penagihan Anda saat ini

Pengguna yang diberi peran Administrator Layanan mungkin juga pengguna yang sama yang merupakan administrator untuk akun penagihan Anda. Anda harus meninjau pemilik akun Penagihan Anda saat ini untuk memastikan mereka masih akurat.

1. Gunakan portal Azure untuk mendapatkan pemilik akun Penagihan Anda.

2. Tinjau daftar pemilik akun Penagihan Anda. Jika perlu, perbarui atau tambahkan pemilik akun Penagihan lain.

Langkah 3: Ganti Administrator Layanan yang ada dengan peran Pemilik

Administrator Layanan Anda mungkin merupakan akun Microsoft atau akun Microsoft Entra. Akun Microsoft adalah akun pribadi seperti Outlook, OneDrive, Xbox LIVE, atau Microsoft 365. Akun Microsoft Entra adalah identitas yang dibuat melalui ID Microsoft Entra.

1. Jika pengguna Administrator Layanan adalah akun Microsoft dan Anda ingin pengguna ini mempertahankan izin yang sama, tetapkan peran Pemilik kepada pengguna ini di cakupan langganan tanpa kondisi.

2. Jika pengguna Administrator Layanan adalah akun Microsoft Entra dan Anda ingin pengguna ini mempertahankan izin yang sama, tetapkan peran Pemilik kepada pengguna ini di cakupan langganan tanpa kondisi.

3. Jika Anda ingin mengubah pengguna Administrator Layanan ke pengguna lain, tetapkan peran Pemilik untuk pengguna baru ini di cakupan langganan tanpa kondisi.

4. Hapus Administrator Layanan.

Mencantumkan administrator klasik

Portal Azure

Ikuti langkah-langkah ini untuk mencantumkan Administrator Layanan dan Administrator Bersama untuk langganan menggunakan portal Azure.

1. Masuk ke portal Azure sebagai Pemilik langganan.

2. Buka Langganan dan pilih langganan.

3. Pilih Kontrol Akses (IAM) .

4. Pilih tab Administrator klasik untuk melihat daftar Co-Administrator.

   

Azure Resource Graph

Ikuti langkah-langkah ini untuk mencantumkan jumlah Administrator Layanan dan Administrator Bersama dalam langganan Anda menggunakan Azure Resource Graph.

1. Masuk ke portal Azure sebagai Pemilik langganan.

2. Buka Azure Resource Graph Explorer.

3. Pilih Cakupan dan atur cakupan untuk kueri.

   Atur cakupan ke Direktori untuk mengkueri seluruh penyewa Anda, tetapi Anda bisa mempersempit cakupan ke langganan tertentu.

   

4. Pilih Atur cakupan otorisasi dan atur cakupan otorisasi ke Pada, di atas dan di bawah ini untuk mengkueri semua sumber daya pada cakupan yang ditentukan.

   

5. Jalankan kueri berikut untuk mencantumkan nomor Administrator Layanan dan Administrator Bersama berdasarkan cakupan.

   authorizationresources
   | where type == "microsoft.authorization/classicadministrators"
   | mv-expand role = parse_json(properties).role
   | mv-expand adminState = parse_json(properties).adminState
   | where adminState == "Enabled"
   | where role in ("ServiceAdministrator", "CoAdministrator")
   | summarize count() by subscriptionId, tostring(role)
   

   Berikut ini memperlihatkan contoh hasilnya. Kolom count_ adalah jumlah Administrator Layanan atau Administrator Bersama untuk langganan.

   

Menghapus Administrator Bersama

Penting

Sumber daya klasik dan administrator klasik akan dihentikan pada 31 Agustus 2024. Mulai 3 April 2024, Anda tidak akan dapat menambahkan Co-Administrator baru. Tanggal ini baru saja diperpanjang. Hapus Co-Administrator yang tidak perlu dan gunakan Azure RBAC untuk kontrol akses terperinci.

Ikuti langkah-langkah ini untuk menghapus Co-Administrator.

1. Masuk ke portal Azure sebagai Pemilik langganan.

2. Buka Langganan dan pilih langganan.

3. Pilih Kontrol Akses (IAM) .

4. Pilih tab Administrator klasik untuk melihat daftar Co-Administrator.

5. Tambahkan tanda centang di sebelah Administrator Bersama yang ingin Anda hapus.

6. Pilih Hapus.

7. Di kotak pesan yang muncul, pilih Ya.

   

Menambah Co-Administrator

Penting

Sumber daya klasik dan administrator klasik akan dihentikan pada 31 Agustus 2024. Mulai 3 April 2024, Anda tidak akan dapat menambahkan Co-Administrator baru. Tanggal ini baru saja diperpanjang. Hapus Co-Administrator yang tidak perlu dan gunakan Azure RBAC untuk kontrol akses terperinci.

Anda hanya perlu menambahkan Administrator Bersama jika pengguna perlu mengelola penyebaran klasik Azure menggunakan Modul Azure Service Management PowerShell. Jika pengguna hanya menggunakan portal Azure untuk mengelola sumber daya klasik, Anda tidak perlu menambahkan administrator klasik untuk pengguna.

1. Masuk ke portal Azure sebagai Pemilik langganan.

2. Buka Langganan dan pilih langganan.

   Administrator Bersama hanya dapat ditetapkan di cakupan langganan.

3. Pilih Kontrol Akses (IAM) .

4. Pilih tab Administrator klasik.

   

5. Pilih Tambahkan>Tambahkan co-administrator untuk membuka panel Tambahkan co-administrator.

   Jika opsi Tambahkan administrator bersama dinonaktifkan, Anda tidak memiliki izin.

6. Pilih pengguna yang ingin Anda tambahkan dan pilih Tambahkan.

   

Menambahkan pengguna tamu sebagai Administrator Bersama

Untuk menambahkan pengguna tamu sebagai Administrator Bersama, ikuti langkah yang sama seperti di bagian Tambahkan Administrator Bersama sebelumnya. Pengguna tamu harus memenuhi kriteria berikut:

• Pengguna tamu harus ada di direktori Anda. Artinya pengguna diundang ke direktori Anda dan menerima undangan.

Untuk informasi selengkapnya, tentang cara menambahkan pengguna tamu ke direktori Anda, lihat Menambahkan pengguna kolaborasi Microsoft Entra B2B di portal Azure.

Sebelum menghapus pengguna tamu dari direktori, Anda harus terlebih dahulu menghapus penetapan peran apa pun untuk pengguna tamu tersebut. Untuk informasi selengkapnya, lihat Menghapus pengguna eksternal dari direktori Anda.

Perbedaan untuk pengguna tamu

Pengguna tamu yang sudah diberi peran Administrator Bersama mungkin melihat beberapa perbedaan dibandingkan dengan pengguna anggota dengan Administrator Bersama Anda. Pertimbangkan skenario berikut:

• Pengguna A dengan akun Microsoft Entra (akun kerja atau sekolah) adalah Administrator Layanan untuk langganan Azure.
• Pengguna B memiliki akun Microsoft.
• Pengguna A menetapkan peran Administrator Bersama ke pengguna B.
• Pengguna B dapat melakukan hampir semua hal, tetapi tidak dapat mendaftarkan aplikasi atau mencari pengguna di direktori Microsoft Entra.

Anda berharap bahwa pengguna B dapat mengelola semuanya. Alasan perbedaan ini adalah akun Microsoft ditambahkan ke langganan sebagai pengguna tamu, bukan pengguna anggota. Pengguna tamu memiliki izin default yang berbeda di MICROSOFT Entra ID dibandingkan dengan pengguna anggota. Misalnya, pengguna anggota dapat membaca pengguna lain di ID Microsoft Entra dan pengguna tamu tidak dapat. Pengguna anggota dapat mendaftarkan perwakilan layanan baru di ID Microsoft Entra dan pengguna tamu tidak dapat.

Jika pengguna tamu harus dapat melakukan tugas-tugas ini, solusi yang mungkin adalah menetapkan peran Microsoft Entra tertentu yang dibutuhkan pengguna tamu. Misalnya, dalam skenario sebelumnya, Anda dapat menetapkan peran Pembaca Direktori untuk membaca pengguna lain dan menetapkan peran Pengembang Aplikasi agar dapat membuat perwakilan layanan. Untuk informasi selengkapnya tentang pengguna anggota dan tamu serta izin mereka, lihat Apa saja izin pengguna default di ID Microsoft Entra?. Untuk informasi selengkapnya tentang memberikan akses untuk pengguna tamu, lihat Menetapkan peran Azure kepada pengguna eksternal menggunakan portal Azure.

Perhatikan bahwa peran bawaan Azure berbeda dari peran Microsoft Entra. Peran bawaan tidak memberikan akses apa pun ke ID Microsoft Entra. Untuk informasi selengkapnya, lihat Memahami berbagai peran.

Untuk informasi yang membandingkan pengguna anggota dan pengguna tamu, lihat Apa saja izin pengguna default di ID Microsoft Entra?.

Mengubah Administrator Layanan

Hanya Administrator Akun yang bisa mengubah Administrator Layanan untuk langganan. Secara default, saat Anda mendaftar langganan Azure, Administrator Layanan sama dengan Administrator Akun.

Pengguna dengan peran Administrator Akun dapat mengakses portal Azure dan mengelola tagihan, tetapi mereka tidak dapat membatalkan langganan. Pengguna dengan peran Administrator Layanan memiliki akses penuh ke portal Azure dan mereka dapat membatalkan langganan. Administrator Akun dapat menjadikan diri mereka Administrator Layanan.

Ikuti langkah-langkah ini untuk mengubah Administrator Layanan di portal Azure.

1. Masuk ke portal Microsoft Azure sebagai Administrator Akun

2. Buka Manajemen Biaya + Tagihan dan pilih langganan.

3. Di menu navigasi sebelah kiri, pilih Properti.

4. Pilih Ubah admin layanan.

   

5. Di halaman Edit admin layanan, masukkan alamat email untuk Administrator Layanan baru.

   

6. Pilih OK untuk menyimpan perubahan.

Menghapus Administrator Layanan

Untuk menghapus Administrator Layanan, Anda harus memiliki pengguna yang diberi peran Pemilik di cakupan langganan tanpa syarat untuk menghindari penetapan langganan. Pemilik langganan memiliki akses yang sama dengan Administrator Layanan.

1. Masuk ke portal Azure sebagai Pemilik langganan.

2. Buka Langganan dan pilih langganan.

3. Pilih Kontrol Akses (IAM) .

4. Pilih tab Administrator klasik.

5. Tambahkan tanda centang di samping Administrator Layanan.

6. Pilih Hapus.

7. Di kotak pesan yang muncul, pilih Ya.

   

Jika pengguna Administrator Layanan tidak berada di direktori, Anda mungkin mendapatkan kesalahan berikut saat mencoba menghapus Administrator Layanan:

Call GSM to delete service admin on subscription <subscriptionId> failed. Exception: Cannot delete user <principalId> since they are not the service administrator. Please retry with the right service administrator user PUID.

Jika pengguna Administrator Layanan tidak berada di direktori, coba ubah Administrator Layanan ke pengguna yang sudah ada lalu coba hapus Administrator Layanan.

Langkah berikutnya

• Memahami berbagai peran
• Menetapkan peran Azure menggunakan portal Microsoft Azure
• Memahami peran administratif Perjanjian Pelanggan Microsoft di Azure