Bagikan melalui


Memecahkan masalah Azure RBAC

Artikel ini menjelaskan beberapa solusi umum untuk masalah yang terkait dengan kontrol akses berbasis peran Azure (Azure RBAC).

Penetapan peran Azure

Gejala - Opsi Tambahkan penetapan peran dinonaktifkan

Anda tidak dapat menetapkan peran dalam portal Azure kontrol Akses (IAM) karena opsi Tambahkan>penetapan peran dinonaktifkan

Penyebab

Saat ini Anda masuk dengan pengguna yang tidak memiliki izin untuk menetapkan peran pada cakupan yang dipilih.

Solusi

Periksa apakah Anda saat ini masuk dengan pengguna yang diberi peran yang memiliki Microsoft.Authorization/roleAssignments/write izin seperti Administrator Kontrol Akses Berbasis Peran pada cakupan yang Anda coba tetapkan perannya.

Gejala - Peran atau prinsipal tidak tercantum

Ketika Anda mencoba menetapkan peran di portal Azure, beberapa peran atau prinsipal tidak tercantum. Misalnya, pada tab Peran , Anda akan melihat sekumpulan peran yang dikurangi.

Cuplikan layar penetapan peran yang dibatasi untuk peran tertentu.

Atau, pada panel Pilih anggota , Anda akan melihat sekumpulan prinsipal yang dikurangi.

Cuplikan layar penetapan peran yang dibatasi untuk grup tertentu.

Penyebab

Ada batasan pada penetapan peran yang dapat Anda tambahkan. Misalnya, Anda dibatasi dalam peran yang dapat Anda tetapkan atau batasi dalam prinsipal yang dapat Anda tetapkan perannya.

Solusi

Lihat peran yang ditetapkan untuk Anda. Periksa apakah ada kondisi yang membatasi penetapan peran yang dapat Anda tambahkan. Untuk informasi selengkapnya, lihat Mendelegasikan manajemen akses Azure kepada orang lain.

Cuplikan layar penetapan peran yang menyertakan kondisi.

Gejala - Tidak dapat menetapkan peran

Anda tidak dapat menetapkan peran dan Anda mendapatkan kesalahan yang mirip dengan yang berikut ini:

Failed to add {securityPrincipal} as {role} for {scope} : The client '{clientName}' with object id '{objectId}' does not have authorization or an ABAC condition not fulfilled to perform action 'Microsoft.Authorization/roleAssignments/write' over scope '/subscriptions/{subscriptionId}/Microsoft.Authorization/roleAssignments/{roleAssignmentId}' or the scope is invalid. If access was recently granted, please refresh your credentials.

Penyebab 1

Saat ini Anda masuk dengan pengguna yang tidak memiliki izin untuk menetapkan peran pada cakupan yang dipilih.

Solusi 1

Periksa apakah Anda saat ini masuk dengan pengguna yang diberi peran yang memiliki Microsoft.Authorization/roleAssignments/write izin seperti Administrator Kontrol Akses Berbasis Peran pada cakupan yang Anda coba tetapkan perannya.

Penyebab 2

Ada batasan pada penetapan peran yang dapat Anda tambahkan. Misalnya, Anda dibatasi dalam peran yang dapat Anda tetapkan atau batasi dalam prinsipal yang dapat Anda tetapkan perannya.

Solusi 2

Lihat peran yang ditetapkan untuk Anda. Periksa apakah ada kondisi yang membatasi penetapan peran yang dapat Anda tambahkan. Untuk informasi selengkapnya, lihat Mendelegasikan manajemen akses Azure kepada orang lain.

Cuplikan layar penetapan peran yang menyertakan kondisi.

Gejala - Tidak dapat menetapkan peran menggunakan perwakilan layanan dengan Azure CLI

Anda menggunakan perwakilan layanan untuk menetapkan peran dengan Azure CLI dan Anda mendapatkan kesalahan berikut:

Insufficient privileges to complete the operation

Misalnya, Anda memiliki perwakilan layanan yang telah diberi peran Pemilik dan Anda mencoba membuat penetapan peran berikut sebagai perwakilan layanan menggunakan Azure CLI:

az login --service-principal --username "SPNid" --password "password" --tenant "tenantid"
az role assignment create --assignee "userupn" --role "Contributor"  --scope "/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}"

Penyebab

Kemungkinan Azure CLI mencoba mencari identitas penerima tugas di ID Microsoft Entra dan perwakilan layanan tidak dapat membaca ID Microsoft Entra secara default.

Solusi

Ada dua cara untuk berpotensi mengatasi kesalahan ini. Cara pertama adalah menetapkan peran Pembaca Direktori ke perwakilan layanan sehingga dapat membaca data di direktori.

Cara kedua untuk mengatasi kesalahan ini adalah dengan membuat penetapan peran dengan menggunakan --assignee-object-id parameter sebagai gantinya --assignee. Dengan menggunakan --assignee-object-id, Azure CLI akan melewati pencarian Microsoft Entra. Anda harus mendapatkan ID objek pengguna, grup, atau aplikasi yang ingin Anda tetapkan perannya. Untuk informasi selengkapnya, lihat Tetapkan peran Azure menggunakan Azure CLI.

az role assignment create --assignee-object-id 11111111-1111-1111-1111-111111111111  --role "Contributor" --scope "/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}"

Gejala - Menetapkan peran ke prinsipal baru terkadang gagal

Anda membuat pengguna, grup, atau perwakilan layanan baru dan segera mencoba menetapkan peran ke prinsipal tersebut dan penetapan peran terkadang gagal. Anda mendapatkan pesan yang mirip dengan kesalahan berikut:

PrincipalNotFound
Principal {principalId} does not exist in the directory {tenantId}. Check that you have the correct principal ID. If you are creating this principal and then immediately assigning a role, this error might be related to a replication delay. In this case, set the role assignment principalType property to a value, such as ServicePrincipal, User, or Group.  See https://aka.ms/docs-principaltype

Penyebab

Alasannya kemungkinan penundaan replikasi. Prinsipal dibuat di satu wilayah; namun, penetapan peran mungkin terjadi di wilayah lain yang belum mereplikasi perwakilan.

Solusi 1

Jika Anda membuat pengguna atau perwakilan layanan baru menggunakan REST API atau templat ARM, atur principalType properti saat membuat penetapan peran menggunakan Penetapan Peran - Buat API.

principalType apiVersion
User 2020-03-01-preview atau yang lebih baru
ServicePrincipal 2018-09-01-preview atau yang lebih baru

Untuk informasi selengkapnya, lihat Menetapkan peran Azure ke perwakilan layanan baru menggunakan REST API atau Menetapkan peran Azure ke perwakilan layanan baru menggunakan template Azure Resource Manager.

Solusi 2

Jika Anda membuat pengguna atau perwakilan layanan baru menggunakan Azure PowerShell, atur ObjectType parameter ke User atau ServicePrincipal saat membuat penetapan peran menggunakan New-AzRoleAssignment. Pembatasan versi API yang mendasar yang sama dari Solusi 1 masih berlaku. Untuk informasi selengkapnya, lihat Menetapkan peran Azure menggunakan Azure PowerShell.

Solusi 3

Jika Anda membuat grup baru, tunggu beberapa menit sebelum membuat penetapan peran.

Gejala - Penetapan peran templat ARM mengembalikan status BadRequest

Ketika Anda mencoba menyebarkan file Bicep atau templat ARM yang menetapkan peran ke perwakilan layanan, Anda mendapatkan kesalahan:

Tenant ID, application ID, principal ID, and scope are not allowed to be updated. (code: RoleAssignmentUpdateNotPermitted)

Misalnya, jika Anda membuat penetapan peran untuk identitas terkelola, maka Anda menghapus identitas terkelola dan membuatnya kembali, identitas terkelola baru memiliki ID utama yang berbeda. Jika Anda mencoba menyebarkan penetapan peran lagi dan menggunakan nama penetapan peran yang sama, penyebaran gagal.

Penyebab

Penetapan name peran tidak unik, dan ditampilkan sebagai pembaruan.

Penetapan peran secara unik diidentifikasi dengan namanya, yang merupakan pengidentifikasi unik global (GUID). Anda tidak dapat membuat dua penetapan peran dengan nama yang sama, bahkan di langganan Azure yang berbeda. Anda juga tidak dapat mengubah properti penetapan peran yang ada.

Solusi

Berikan nilai unik idempotensi untuk penetapan nameperan . Ini adalah praktik yang baik untuk membuat GUID yang menggunakan cakupan, ID prinsipal, dan ID peran secara bersamaan. Sebaiknya gunakan fungsi guid() untuk membantu Anda membuat GUID deterministik untuk nama penetapan peran Anda, seperti dalam contoh ini:

resource roleAssignment 'Microsoft.Authorization/roleAssignments@2020-10-01-preview' = {
  name: guid(resourceGroup().id, principalId, roleDefinitionId)
  properties: {
    roleDefinitionId: roleDefinitionId
    principalId: principalId
    principalType: principalType
  }
}

Untuk informasi selengkapnya, lihat Membuat sumber daya Azure RBAC dengan menggunakan Bicep.

Gejala - Penetapan peran dengan identitas tidak ditemukan

Dalam daftar penetapan peran untuk portal Azure, Anda melihat bahwa prinsip keamanan (pengguna, grup, perwakilan layanan, atau identitas terkelola) tercantum sebagai Identitas tidak ditemukan dengan jenis Tidak Diketahui.

Identitas tidak ditemukan tercantum dalam penetapan peran Azure

Jika Anda mencantumkan penetapan peran ini menggunakan Azure PowerShell, Anda mungkin melihat nilai kosong DisplayName dan , atau nilai untuk ObjectType Unknown.SignInName Misalnya, Get-AzRoleAssignment mengembalikan penetapan peran yang mirip dengan output berikut:

RoleAssignmentId   : /subscriptions/11111111-1111-1111-1111-111111111111/providers/Microsoft.Authorization/roleAssignments/22222222-2222-2222-2222-222222222222
Scope              : /subscriptions/11111111-1111-1111-1111-111111111111
DisplayName        :
SignInName         :
RoleDefinitionName : Storage Blob Data Contributor
RoleDefinitionId   : ba92f5b4-2d11-453d-a403-e96b0029c9fe
ObjectId           : 33333333-3333-3333-3333-333333333333
ObjectType         : User
CanDelegate        : False

Demikian pula, jika Anda mencantumkan penetapan peran ini menggunakan Azure CLI, Anda mungkin melihat yang kosong principalName. Misalnya, daftar penetapan peran az mengembalikan penetapan peran yang mirip dengan output berikut:

{
    "canDelegate": null,
    "id": "/subscriptions/11111111-1111-1111-1111-111111111111/providers/Microsoft.Authorization/roleAssignments/22222222-2222-2222-2222-222222222222",
    "name": "22222222-2222-2222-2222-222222222222",
    "principalId": "33333333-3333-3333-3333-333333333333",
    "principalName": "",
    "roleDefinitionId": "/subscriptions/11111111-1111-1111-1111-111111111111/providers/Microsoft.Authorization/roleDefinitions/ba92f5b4-2d11-453d-a403-e96b0029c9fe",
    "roleDefinitionName": "Storage Blob Data Contributor",
    "scope": "/subscriptions/11111111-1111-1111-1111-111111111111",
    "type": "Microsoft.Authorization/roleAssignments"
}

Penyebab 1

Anda baru-baru ini mengundang pengguna saat membuat penetapan peran dan prinsip keamanan ini masih dalam proses replikasi di seluruh wilayah.

Solusi 1

Tunggu beberapa saat dan refresh daftar penetapan peran.

Penyebab 2

Anda menghapus prinsip keamanan yang memiliki penetapan peran. Jika Anda menetapkan peran kepada perwakilan keamanan dan kemudian Anda kemudian menghapus perwakilan keamanan itu tanpa terlebih dahulu menghapus tugas peran, perwakilan keamanan akan terdaftar sebagai Identitas tidak ditemukan dan jenis Yang Tidak Diketahui.

Solusi 2

Tidak masalah untuk meninggalkan tugas peran ini di mana perwakilan keamanan telah dihapus. Jika Anda inginkan, Anda dapat menghapus penetapan peran ini menggunakan langkah-langkah yang mirip dengan penetapan peran lainnya. Untuk informasi tentang cara menghapus penetapan peran, lihat Hapus penetapan peran Azure.

Di PowerShell, jika Anda mencoba menghapus penetapan peran menggunakan ID objek dan nama definisi peran, dan lebih dari satu penetapan peran cocok dengan parameter Anda, Anda akan mendapatkan pesan kesalahan: The provided information does not map to a role assignment. Output berikut menunjukkan contoh pesan kesalahan:

PS C:\> Remove-AzRoleAssignment -ObjectId 33333333-3333-3333-3333-333333333333 -RoleDefinitionName "Storage Blob Data Contributor"

Remove-AzRoleAssignment : The provided information does not map to a role assignment.
At line:1 char:1
+ Remove-AzRoleAssignment -ObjectId 33333333-3333-3333-3333-333333333333 ...
+ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
+ CategoryInfo          : CloseError: (:) [Remove-AzRoleAssignment], KeyNotFoundException
+ FullyQualifiedErrorId : Microsoft.Azure.Commands.Resources.RemoveAzureRoleAssignmentCommand

Jika Anda mendapatkan pesan kesalahan ini, pastikan Anda juga menentukan -Scope atau -ResourceGroupName parameternya.

PS C:\> Remove-AzRoleAssignment -ObjectId 33333333-3333-3333-3333-333333333333 -RoleDefinitionName "Storage Blob Data Contributor" -Scope /subscriptions/11111111-1111-1111-1111-111111111111

Gejala - Tidak dapat menghapus penetapan peran Pemilik terakhir

Anda mencoba menghapus penetapan peran Pemilik terakhir untuk langganan dan Anda melihat kesalahan berikut:

Cannot delete the last RBAC admin assignment

Penyebab

Menghapus penetapan peran Pemilik terakhir untuk langganan tidak didukung untuk menghindari penyewaan langganan.

Solusi

Untuk informasi tentang cara membatalkan langganan Anda, lihat Batalkan langganan Azure Anda.

Anda diizinkan untuk menghapus penetapan peran Pemilik (atau Administrator Akses Pengguna) terakhir di cakupan langganan, jika Anda adalah Administrator Global untuk penyewa atau administrator klasik (Administrator Layanan atau Administrator Bersama) untuk langganan. Dalam hal ini, tidak ada batasan untuk penghapusan. Namun, jika panggilan berasal dari beberapa prinsipal lain, maka Anda tidak akan dapat menghapus penetapan peran Pemilik terakhir pada cakupan langganan.

Gejala - Penetapan peran tidak dipindahkan setelah memindahkan sumber daya

Penyebab

Jika Anda memindahkan sumber daya yang memiliki peran Azure yang ditetapkan langsung ke sumber daya (atau sumber daya anak), penetapan peran tidak dipindahkan dan menjadi yatim piatu.

Solusi

Setelah memindahkan sumber daya, Anda harus membuat ulang penetapan peran. Akhirnya, penetapan peran yatim piatu akan dihapus secara otomatis, tetapi ini adalah praktik terbaik untuk menghapus penetapan peran sebelum memindahkan sumber daya. Untuk informasi tentang cara memindahkan sumber daya, lihat Pindahkan sumber daya ke grup sumber daya atau langganan baru.

Gejala - Perubahan penetapan peran tidak terdeteksi

Anda baru saja menambahkan atau memperbarui penetapan peran, tetapi perubahan tidak terdeteksi. Anda mungkin melihat pesan Status: 401 (Unauthorized).

Penyebab 1

Azure Resource Manager terkadang menyimpan konfigurasi dan data untuk meningkatkan performa.

Solusi 1

Saat Anda menetapkan peran atau menghapus penetapan peran, diperlukan waktu hingga 10 menit agar perubahan diterapkan. Jika Anda menggunakan portal Azure, Azure PowerShell, atau Azure CLI, Anda dapat memaksa refresh perubahan penetapan peran Anda dengan keluar dan masuk. Jika Anda membuat perubahan penetapan peran dengan panggilan REST API, Anda dapat memaksa refresh dengan me-refresh token akses Anda.

Penyebab 2

Anda menambahkan identitas terkelola ke grup dan menetapkan peran ke grup tersebut. Layanan back-end untuk identitas terkelola mempertahankan cache per URI sumber daya selama sekitar 24 jam.

Solusi 2

Diperlukan waktu beberapa jam agar perubahan pada grup identitas terkelola atau keanggotaan peran diterapkan. Untuk informasi selengkapnya, lihat Batasan penggunaan identitas terkelola untuk otorisasi.

Gejala - Perubahan penetapan peran pada cakupan grup manajemen tidak terdeteksi

Anda baru saja menambahkan atau memperbarui penetapan peran di cakupan grup manajemen, tetapi perubahan tidak terdeteksi.

Penyebab

Azure Resource Manager terkadang menyimpan konfigurasi dan data untuk meningkatkan performa.

Solusi

Saat Anda menetapkan peran atau menghapus penetapan peran, diperlukan waktu hingga 10 menit agar perubahan diterapkan. Jika Anda menambahkan atau menghapus penetapan peran bawaan di cakupan grup manajemen dan peran bawaan memiliki DataActions, akses pada bidang data mungkin tidak diperbarui selama beberapa jam. Hal ini hanya berlaku untuk cakupan grup manajemen dan data pesawat. Peran kustom dengan DataActions tidak dapat ditetapkan di cakupan grup manajemen.

Gejala - Penetapan peran untuk perubahan grup manajemen tidak terdeteksi

Anda membuat grup manajemen anak baru dan penetapan peran pada grup manajemen induk tidak terdeteksi untuk grup manajemen anak.

Penyebab

Azure Resource Manager terkadang menyimpan konfigurasi dan data untuk meningkatkan performa.

Solusi

Diperlukan waktu hingga 10 menit agar penetapan peran agar grup manajemen anak berlaku. Jika Anda menggunakan portal Microsoft Azure, Azure PowerShell, atau Azure CLI, Anda dapat memaksa refresh perubahan penetapan peran Anda dengan keluar dan masuk. Jika Anda membuat perubahan penetapan peran dengan panggilan REST API, Anda dapat memaksa penyegaran dengan menyegarkan token akses Anda.

Gejala - Menghapus penetapan peran menggunakan PowerShell membutuhkan waktu beberapa menit

Anda menggunakan perintah Remove-AzRoleAssignment untuk menghapus penetapan peran. Anda kemudian menggunakan perintah Get-AzRoleAssignment untuk memverifikasi bahwa penetapan peran dihapus untuk prinsip keamanan. Contohnya:

Get-AzRoleAssignment -ObjectId $securityPrincipalObject.Id

Perintah Get-AzRoleAssignment menunjukkan bahwa penetapan peran tidak dihapus. Namun, jika Anda menunggu 5-10 menit dan menjalankan Get-AzRoleAssignment lagi, output menunjukkan penetapan peran dihapus.

Penyebab

Penetapan peran telah dihapus. Namun, untuk meningkatkan performa, PowerShell menggunakan cache saat mencantumkan penetapan peran. Mungkin ada penundaan sekitar 10 menit agar cache disegarkan.

Solusi

Alih-alih mencantumkan penetapan peran untuk prinsip keamanan, cantumkan semua penetapan peran di cakupan langganan dan filter output. Misalnya, perintah berikut:

$validateRemovedRoles = Get-AzRoleAssignment -ObjectId $securityPrincipalObject.Id 

Dapat diganti dengan perintah ini sebagai gantinya:

$validateRemovedRoles = Get-AzRoleAssignment -Scope /subscriptions/$subId | Where-Object -Property ObjectId -EQ $securityPrincipalObject.Id

Peran kustom

Gejala - Tidak dapat memperbarui atau menghapus peran kustom

Anda tidak dapat memperbarui atau menghapus peran kustom yang ada.

Penyebab 1

Saat ini Anda masuk dengan pengguna yang tidak memiliki izin untuk memperbarui atau menghapus peran kustom.

Solusi 1

Periksa apakah Anda saat ini masuk dengan pengguna yang diberi peran yang memiliki Microsoft.Authorization/roleDefinitions/write izin seperti Administrator Akses Pengguna.

Penyebab 2

Peran kustom menyertakan langganan dalam cakupan yang dapat ditetapkan dan langganan tersebut dalam status dinonaktifkan.

Solusi 2

Aktifkan kembali langganan yang dinonaktifkan dan perbarui peran kustom sesuai kebutuhan. Untuk mengetahui informasi selengkapnya, lihat Mengaktifkan kembali langganan Azure yang dinonaktifkan.

Gejala - Tidak dapat membuat atau memperbarui peran kustom

Saat mencoba membuat atau memperbarui peran kustom, Anda mendapatkan kesalahan yang mirip dengan berikut ini:

The client '<clientName>' with object id '<objectId>' has permission to perform action 'Microsoft.Authorization/roleDefinitions/write' on scope '/subscriptions/<subscriptionId>'; however, it does not have permission to perform action 'Microsoft.Authorization/roleDefinitions/write' on the linked scope(s)'/subscriptions/<subscriptionId1>,/subscriptions/<subscriptionId2>,/subscriptions/<subscriptionId3>' or the linked scope(s)are invalid

Penyebab

Kesalahan ini biasanya menunjukkan bahwa Anda tidak memiliki izin ke satu atau beberapa cakupan yang dapat ditetapkan dalam peran kustom.

Solusi

Cobalah langkah-langkah berikut:

  • Tinjau Siapa yang dapat membuat, menghapus, memperbarui, atau melihat peran kustom dan memeriksa apakah Anda memiliki izin untuk membuat atau memperbarui peran kustom untuk semua cakupan yang dapat ditetapkan.
  • Jika Anda tidak memiliki izin, minta administrator untuk menetapkan peran yang memiliki Microsoft.Authorization/roleDefinitions/write tindakan, seperti Administrator Akses Pengguna, pada cakupan cakupan yang dapat ditetapkan.
  • Periksa apakah semua cakupan yang dapat ditetapkan dalam peran kustom valid. Jika tidak, hapus cakupan yang dapat ditetapkan tidak valid.

Untuk informasi selengkapnya, lihat tutorial peran kustom menggunakan portal Azure, Azure PowerShell, atau Azure CLI.

Gejala - Tidak dapat menghapus peran kustom

Anda tidak dapat menghapus peran kustom dan mendapatkan pesan kesalahan berikut:

There are existing role assignments referencing role (code: RoleDefinitionHasAssignments)

Penyebab

Ada penetapan peran yang masih menggunakan peran kustom.

Solusi

Hapus penetapan peran yang menggunakan peran kustom dan coba hapus peran kustom lagi. Untuk informasi selengkapnya, lihat Menemukan penetapan peran untuk menghapus peran kustom.

Gejala - Tidak dapat menambahkan lebih dari satu grup manajemen sebagai cakupan yang dapat ditetapkan

Saat mencoba membuat atau memperbarui peran kustom, Anda tidak dapat menambahkan lebih dari satu grup manajemen sebagai cakupan yang dapat ditetapkan.

Penyebab

Anda hanya dapat menentukan satu kelompok pengelolaan dalam AssignableScopes peran kustom.

Solusi

Tentukan satu grup manajemen dalam AssignableScopes peran kustom Anda. Untuk informasi selengkapnya tentang peran kustom dan grup manajemen, lihat Atur sumber daya Anda dengan grup manajemen Azure.

Gejala - Tidak dapat menambahkan tindakan data ke peran kustom

Saat mencoba membuat atau memperbarui peran kustom, Anda tidak dapat menambahkan tindakan data atau Anda melihat pesan berikut:

You cannot add data action permissions when you have a management group as an assignable scope

Penyebab

Anda mencoba membuat peran kustom dengan tindakan data dan grup manajemen sebagai cakupan yang dapat ditetapkan. Peran kustom dengan DataActions tidak dapat ditetapkan di cakupan grup manajemen.

Solusi

Buat peran kustom dengan satu atau beberapa langganan sebagai cakupan yang dapat ditetapkan. Untuk informasi selengkapnya tentang peran kustom dan grup manajemen, lihat Atur sumber daya Anda dengan grup manajemen Azure.

Akses ditolak atau kesalahan izin

Gejala - Otorisasi gagal

Saat mencoba membuat sumber daya, Anda mendapatkan pesan kesalahan berikut:

The client with object id does not have authorization to perform action over scope (code: AuthorizationFailed)

Penyebab 1

Saat ini Anda masuk dengan pengguna yang tidak memiliki izin tulis ke sumber daya pada cakupan yang dipilih.

Solusi 1

Periksa apakah Saat ini Anda masuk dengan pengguna yang diberi peran yang memiliki izin tulis ke sumber daya pada cakupan yang dipilih. Misalnya, untuk mengelola komputer virtual dalam grup sumber daya, Anda harus memiliki peran Kontributor Komputer Virtual pada grup sumber daya (atau lingkup induk). Untuk daftar izin pada setiap peran bawaan, lihat Peran bawaan untuk sumber daya Azure.

Penyebab 2

Pengguna yang saat ini masuk memiliki penetapan peran dengan kriteria berikut:

Solusi 2

Saat ini, Anda tidak dapat memiliki penetapan peran dengan tindakan data Microsoft.Storage dan kondisi ABAC yang menggunakan operator perbandingan GUID. Berikut adalah beberapa opsi untuk mengatasi kesalahan ini:

  • Jika peran adalah peran kustom, hapus tindakan data Microsoft.Storage apa pun
  • Ubah kondisi penetapan peran agar tidak menggunakan operator perbandingan GUID

Gejala - Pengguna tamu gagal mendapatkan otorisasi

Saat pengguna tamu mencoba mengakses sumber daya, mereka mendapatkan pesan kesalahan yang mirip dengan yang berikut ini:

The client '<client>' with object id '<objectId>' does not have authorization to perform action '<action>' over scope '<scope>' or the scope is invalid.

Penyebab

Pengguna tamu tidak memiliki izin ke sumber daya pada cakupan yang dipilih.

Solusi

Periksa apakah pengguna tamu diberi peran dengan izin hak istimewa paling sedikit ke sumber daya pada cakupan yang dipilih. Untuk informasi selengkapnya, Tetapkan peran Azure ke pengguna eksternal menggunakan portal Azure.

Gejala - Tidak dapat membuat permintaan dukungan

Saat mencoba membuat atau memperbarui tiket dukungan, Anda mendapatkan pesan kesalahan berikut:

You don't have permission to create a support request

Penyebab

Saat ini Anda masuk dengan pengguna yang tidak memiliki izin untuk membuat permintaan dukungan.

Solusi

Periksa apakah Saat ini Anda masuk dengan pengguna yang diberi peran yang memiliki Microsoft.Support/supportTickets/write izin, seperti Kontributor Permintaan Dukungan.

Fitur Azure dinonaktifkan

Gejala - Beberapa fitur aplikasi web dinonaktifkan

Pengguna memiliki akses baca ke aplikasi web dan beberapa fitur dinonaktifkan.

Penyebab

Jika Anda memberikan akses baca pengguna ke aplikasi web, beberapa fitur dinonaktifkan yang mungkin tidak Anda harapkan. Kemampuan manajemen berikut memerlukan akses tulis ke aplikasi web dan tidak tersedia dalam skenario baca-saja.

  • Perintah (seperti mulai, berhenti, dll.)
  • Ubah pengaturan seperti konfigurasi umum, pengaturan skala, pengaturan cadangan, dan pengaturan pemantauan
  • Mengakses informasi masuk penerbitan dan rahasia lain seperti pengaturan aplikasi dan string koneksi
  • Log streaming
  • Mengonfigurasi log sumber daya
  • Konsol (perintah)
  • Penyebaran aktif dan terbaru (untuk penyebaran berkelanjutan git lokal)
  • Perkiraan Pembelanjaan
  • Pengujian Web
  • Jaringan virtual (hanya dapat dilihat oleh pembaca jika jaringan virtual sebelumnya telah dikonfigurasi oleh pengguna dengan akses tulis).

Solusi

Tetapkan Kontributor atau peran bawaan Azure lainnya dengan izin tulis untuk aplikasi web.

Gejala - Beberapa sumber daya aplikasi web dinonaktifkan

Pengguna memiliki akses tulis ke aplikasi web dan beberapa fitur dinonaktifkan.

Penyebab

Aplikasi web dipersulit dengan kehadiran beberapa sumber daya berbeda yang saling mempengaruhi. Berikut adalah grup sumber daya umum dengan beberapa situs web:

Grup Sumber Daya Aplikasi Web

Akibatnya, jika Anda memberi seseorang akses hanya ke aplikasi web, banyak fungsi pada bilah situs web di portal Microsoft Azure dinonaktifkan.

Item ini memerlukan akses tulis ke paket Layanan Aplikasi yang sesuai dengan situs web Anda:

  • Menampilkan tingkat harga aplikasi web (Gratis atau Standar)
  • Mengonfigurasi skala (jumlah instans, ukuran komputer virtual, pengaturan skala otomatis)
  • Kuota (penyimpanan, bandwidth, CPU)

Item ini memerlukan akses tulis ke seluruh grup Sumber Daya yang berisi situs web Anda:

  • Sertifikat dan pengikatan TLS/SSL (sertifikat TLS/SSL dapat dibagikan antar situs dalam grup sumber daya dan lokasi geografis yang sama)
  • Aturan peringatan
  • Pengaturan skala otomatis
  • Komponen Application Insights
  • Pengujian Web

Solusi

Tetapkan peran bawaan Azure dengan izin tulis untuk paket layanan aplikasi atau grup sumber daya.

Gejala - Beberapa fitur komputer virtual dinonaktifkan

Pengguna memiliki akses ke komputer virtual dan beberapa fitur dinonaktifkan.

Penyebab

Mirip dengan aplikasi web, beberapa fitur pada bilah komputer virtual memerlukan akses tulis ke komputer virtual, atau ke sumber daya lain di grup sumber daya.

Komputer virtual terkait dengan nama Domain, jaringan virtual, akun penyimpanan, dan aturan peringatan.

Item-item ini memerlukan akses tulis ke mesin virtual:

  • Titik akhir
  • alamat IP
  • Disk
  • Ekstensi

Ini memerlukan akses tulis ke komputer virtual, dan grup sumber daya (bersama dengan nama Domain) yang ada di:

  • Rangkaian ketersediaan
  • Memuat set seimbang
  • Aturan peringatan

Jika Anda tidak dapat mengakses salah satu petak ini, Anda perlu meminta administrator untuk akses Kontributor ke grup sumber daya.

Solusi

Tetapkan peran bawaan Azure dengan izin tulis untuk komputer virtual atau grup sumber daya.

Gejala - Beberapa fitur aplikasi fungsi dinonaktifkan

Pengguna memiliki akses ke aplikasi fungsi dan beberapa fitur dinonaktifkan. Misalnya, mereka dapat mengklik tab Fitur platform lalu mengklik Semua pengaturan untuk melihat beberapa pengaturan yang terkait dengan aplikasi fungsi (mirip dengan aplikasi web), tetapi tidak dapat mengubah salah satu pengaturan ini.

Penyebab

Beberapa fitur Azure Functions memerlukan akses tulis. Misalnya, jika pengguna diberi peran Pembaca , mereka tidak akan dapat melihat fungsi dalam aplikasi fungsi. Portal menampilkan (Tidak ada akses).

Aplikasi fungsi tanpa akses

Solusi

Tetapkan peran bawaan Azure dengan izin tulis untuk aplikasi fungsi atau grup sumber daya.

Transfer langganan ke direktori lain

Gejala - Semua penetapan peran dihapus setelah mentransfer langganan

Penyebab

Saat Anda mentransfer langganan Azure ke direktori Microsoft Entra yang berbeda, semua penetapan peran dihapus secara permanen dari direktori Microsoft Entra sumber dan tidak dimigrasikan ke direktori Microsoft Entra target.

Solusi

Anda harus membuat ulang penetapan peran Anda di direktori target. Anda juga harus membuat ulang identitas terkelola secara manual untuk sumber daya Azure. Untuk informasi selengkapnya, lihat Mentransfer langganan Azure ke direktori dan FAQ Microsoft Entra yang berbeda dan masalah yang diketahui dengan identitas terkelola.

Gejala - Tidak dapat mengakses langganan setelah mentransfer langganan

Solusi

Jika Anda adalah Administrator Global Microsoft Entra dan Anda tidak memiliki akses ke langganan setelah ditransfer antar direktori, gunakan tombol Manajemen akses untuk sumber daya Azure untuk meningkatkan akses Anda untuk sementara waktu untuk mendapatkan akses ke langganan.

Administrator langganan klasik

Penting

Mulai 31 Agustus 2024, peran administrator klasik Azure (bersama dengan sumber daya klasik Azure dan Azure Service Manager) dihentikan dan tidak lagi didukung. Jika Anda masih memiliki penetapan peran Co-Administrator atau Administrator Layanan yang aktif, segera konversikan penetapan peran ini ke Azure RBAC.

Untuk informasi selengkapnya, lihat Administrator langganan klasik Azure.

Langkah berikutnya