Amministratori della sottoscrizione classica di Azure

Importante

A partire dal 31 agosto 2024, i ruoli di amministratore di Azure della versione classica (insieme alle risorse classiche di Azure e Azure Service Manager) sono stati ritirati e non sono più supportati. Se sono ancora presenti assegnazioni di ruolo di coamministratore o amministratore del servizio attive, convertire immediatamente questi ruoli in Controllo degli accessi in base al ruolo di Azure.

Microsoft consiglia di gestire l'accesso alle risorse di Azure usando il controllo degli accessi in base al ruolo di Azure. Se si usa ancora il modello di distribuzione classica, è necessario eseguire la migrazione delle risorse dalla distribuzione classica alla distribuzione di Resource Manager. Per altre informazioni, vedere Distribuzione Azure Resource Manager o classica.

Questo articolo descrive il ritiro dei ruoli di coamministratore e amministratore del servizio e come convertire queste assegnazioni di ruolo.

Domande frequenti

Cosa accade alle assegnazioni di ruolo di amministratore della versione classica dopo il 31 agosto 2024?

• I ruoli di coamministratore e amministratore del servizio vengono ritirati e non sono più supportati. È consigliabile convertire immediatamente queste assegnazioni di ruolo in Controllo degli accessi in base al ruolo di Azure.

Come faccio a sapere in quali sottoscrizioni sono presenti amministratori della versione classica?

• È possibile usare una query di Azure Resource Graph per elencare le sottoscrizioni con le assegnazioni di ruolo di amministratore del servizio o coamministratore. Per i passaggi, vedere Elencare gli amministratori della versione classica.

Qual è il ruolo di Azure equivalente da assegnare per i coamministratori?

• Il ruolo di proprietario nell'ambito della sottoscrizione ha l'accesso equivalente. Tuttavia, il proprietario è un ruolo di amministratore con privilegi e concede l'accesso completo per gestire le risorse di Azure. È consigliabile prendere in considerazione un ruolo di funzione di processo con meno autorizzazioni, ridurre l'ambito o aggiungere una condizione.

Qual è il ruolo di Azure equivalente da assegnare per l'amministratore del servizio?

• Il ruolo di proprietario nell'ambito della sottoscrizione ha l'accesso equivalente.

Perché è necessario eseguire la migrazione al Controllo degli accessi in base al ruolo di Azure?

• Il Controllo degli accessi in base al ruolo di Azure offre un controllo di accesso con granularità fine, la compatibilità con Microsoft Entra Privileged Identity Management (PIM) e il supporto completo dei log di controllo. Tutti gli investimenti futuri saranno nel Controllo degli accessi in base al ruolo di Azure.

Che ne sarà del ruolo di amministratore account?

• L'amministratore account è l'utente primario per l'account di fatturazione. L'amministratore account non verrà deprecato e non è necessario convertire questa assegnazione di ruolo. L'amministratore account e l'amministratore del servizio potrebbero essere lo stesso utente. Tuttavia, è necessario convertire solo l'assegnazione di ruolo di amministratore del servizio.

Cosa è necessario fare se si perde l'accesso a una sottoscrizione?

• Se si rimuovono gli amministratori della versione classica senza avere almeno un'assegnazione di ruolo di proprietario per una sottoscrizione, si perderà l'accesso alla sottoscrizione e la sottoscrizione rimarrà orfana. Per ottenere nuovamente l'accesso a una sottoscrizione, è possibile eseguire le operazioni seguenti:

  • Seguire i passaggi per Eseguire l'accesso con privilegi elevati per gestire tutte le sottoscrizioni in un tenant.
  • Assegnare il ruolo di proprietario nell'ambito della sottoscrizione per un utente.
  • Rimuove l'accesso con privilegi elevati.

Cosa è necessario fare se si ha una forte dipendenza dai coamministratori o dall'amministratore del servizio?

• Inviare messaggi di posta elettronica a ACARDeprecation@microsoft.com e descrivere lo scenario.

Elencare gli amministratori della versione classica

Azure portal

Seguire questa procedura per elencare l'amministratore del servizio e i coamministratori per una sottoscrizione usando il portale di Azure.

1. Accedere al portale di Azure come proprietario di una sottoscrizione.

2. Aprire Sottoscrizioni e selezionare una sottoscrizione.

3. Selezionare Controllo di accesso (IAM) .

4. Selezionare la scheda Amministratori della versione classica per visualizzare un elenco di coamministratori.

   

Azure Resource Graph

Seguire questa procedura per elencare il numero di amministratori del servizio e coamministratori nelle sottoscrizioni usando Azure Resource Graph.

1. Accedere al portale di Azure come proprietario di una sottoscrizione.

2. Aprire Azure Resource Graph Explorer.

3. Selezionare Ambito e impostare l'ambito per la query.

   Impostare l'ambito su Directory per eseguire query sull'intero tenant, ma è possibile limitare l'ambito a sottoscrizioni specifiche.

   

4. Selezionare Imposta ambito di autorizzazione e impostare l'ambito di autorizzazione su In corrispondenza, al di sopra e al di sotto per eseguire query su tutte le risorse nell'ambito specificato.

   

5. Eseguire la query seguente per elencare il numero di amministratori del servizio e coamministratori in base all'ambito.

   Kusto

   authorizationresources
   | where type == "microsoft.authorization/classicadministrators"
   | mv-expand role = parse_json(properties).role
   | mv-expand adminState = parse_json(properties).adminState
   | where adminState == "Enabled"
   | where role in ("ServiceAdministrator", "CoAdministrator")
   | summarize count() by subscriptionId, tostring(role)
   

   Di seguito è riportato un esempio dei risultati. La colonna count_ è il numero di amministratori del servizio o coamministratori per una sottoscrizione.

   

Ritiro di coamministratori

Se si dispone ancora di amministratori della versione classica, seguire questa procedura per convertire le assegnazioni di ruolo di coamministratore.

Passaggio 1: Esaminare i coamministratori correnti

1. Accedere al portale di Azure come proprietario di una sottoscrizione.

2. Usare il portale di Azure o Azure Resource Graph per visualizzare l'elenco di coamministratori.

3. Esaminare i log di accesso dei coamministratori per valutare se sono utenti attivi.

Passaggio 2: Rimuovere i coamministratori che non necessitano più dell'accesso

1. Se l'utente non fa più parte dell'organizzazione, rimuovere il coamministratore.

2. Se l'utente è stato eliminato, ma l'assegnazione di coamministratore non è stata rimossa, rimuovere il coamministratore.

   Gli utenti eliminati in genere includono il testo (l'utente non è stato trovato in questa directory).

   

3. Dopo aver esaminato l'attività dell'utente, se l'utente non è più attivo, rimuovere il coamministratore.

Passaggio 3: Convertire i coamministratori in ruoli di funzione di processo

La maggior parte degli utenti non ha bisogno delle stesse autorizzazioni di un coamministratore. Si consideri invece un ruolo di funzione di processo.

1. Se un utente ha ancora bisogno di accesso, determinare il ruolo di funzione di processo appropriato necessario.

2. Determinare l'ambito necessario per l'utente.

3. Seguire la procedura per assegnare un ruolo di funzione di processo all'utente.

4. Rimuovere il coamministratore.

Passaggio 4: Convertire i coamministratori nel ruolo di proprietario con condizioni

Alcuni utenti potrebbero avere bisogno di un accesso maggiore rispetto a quello che può fornire un ruolo di funzione di processo. Se è necessario assegnare il ruolo di proprietario, provare ad aggiungere una condizione o usare Microsoft Entra Privileged Identity Management (PIM) per vincolare l'assegnazione di ruolo.

1. Assegnare il ruolo di proprietario con condizioni.

   Ad esempio, assegnare il ruolo di proprietario nell'ambito della sottoscrizione con condizioni. Se si dispone di PIM, rendere l'utente idoneo per l'assegnazione di ruolo di proprietario.

2. Rimuovere il coamministratore.

Passaggio 5: Convertire i coamministratori nel ruolo di proprietario

Per rendere un utente amministratore di una sottoscrizione, assegnargli il ruolo di proprietario nell'ambito della sottoscrizione.

• Seguire i passaggi descritti in Come convertire un coamministratore nel ruolo di proprietario.

Come convertire un coamministratore nel ruolo di proprietario

Il modo più semplice per convertire un'assegnazione di ruolo di coamministratore nel ruolo di proprietario nell'ambito della sottoscrizione consiste nell'usare i passaggi di correzione.

1. Accedere al portale di Azure come proprietario di una sottoscrizione.

2. Aprire Sottoscrizioni e selezionare una sottoscrizione.

3. Selezionare Controllo di accesso (IAM) .

4. Selezionare la scheda Amministratori della versione classica per visualizzare un elenco di coamministratori.

5. Per il coamministratore che si vuole convertire nel ruolo di proprietario, nella colonna Correggi selezionare il collegamento Assegnare il ruolo Controllo degli accessi in base al ruolo.

6. Nel riquadro Aggiungi assegnazione di ruolo esaminare l'assegnazione di ruolo.

   

7. Selezionare Rivedi e assegna per assegnare il ruolo di proprietario e rimuovere l'assegnazione di ruolo di coamministratore.

Come rimuovere un coamministratore

Seguire questa procedura per rimuovere un coamministratore.

1. Accedere al portale di Azure come proprietario di una sottoscrizione.

2. Aprire Sottoscrizioni e selezionare una sottoscrizione.

3. Selezionare Controllo di accesso (IAM) .

4. Selezionare la scheda Amministratori della versione classica per visualizzare un elenco di coamministratori.

5. Aggiungere un segno di spunta accanto al coamministratore che si desidera rimuovere.

6. Selezionare Elimina.

7. Nella finestra di messaggio visualizzata fare clic su Sì.

   

Ritiro dell'amministratore del servizio

Se si dispone ancora di amministratori della versione classica, seguire questa procedura per convertire l'assegnazione di ruolo di amministratore del servizio. Prima di rimuovere l'amministratore del servizio, è necessario avere almeno un utente a cui è assegnato il ruolo di proprietario nell'ambito della sottoscrizione senza condizioni per evitare di lasciare orfana la sottoscrizione. Un proprietario della sottoscrizione ha lo stesso accesso dell'amministratore del servizio.

Passaggio 1: Esaminare l'amministratore del servizio corrente

1. Accedere al portale di Azure come proprietario di una sottoscrizione.

2. Usare il portale di Azure o Azure Resource Graph per elencare l'amministratore del servizio.

3. Esaminare i log di accesso dell'amministratore del servizio per valutare se si tratta di un utente attivo.

Passaggio 2: Esaminare i proprietari dell'account di fatturazione correnti

L'utente a cui è assegnato il ruolo di amministratore del servizio potrebbe anche essere lo stesso utente che è l'amministratore dell'account di fatturazione. È consigliabile esaminare i proprietari correnti dell'account di fatturazione per assicurarsi che siano ancora accurati.

1. Usare il portale di Azure per ottenere i proprietari dell'account di fatturazione.

2. Esaminare l'elenco dei proprietari dell'account di fatturazione. Se necessario, aggiornare o aggiungere un altro proprietario dell'account di fatturazione.

Passaggio 3: Convertire l'amministratore del servizio nel ruolo di proprietario

L'amministratore del servizio potrebbe essere un account Microsoft o un account Microsoft Entra. Un account Microsoft è un account personale, ad esempio Outlook, OneDrive, Xbox LIVE o Microsoft 365. Un account Microsoft Entra è un'identità creata tramite Microsoft Entra ID.

1. Se l'utente amministratore del servizio è un account Microsoft e si vuole che l'utente mantenga le stesse autorizzazioni, convertire l'amministratore del servizio nel ruolo di proprietario.

2. Se l'utente amministratore del servizio è un account Microsoft Entra e si vuole che l'utente mantenga le stesse autorizzazioni, convertire l'amministratore del servizio nel ruolo di proprietario.

3. Se si vuole cambiare l'utente amministratore del servizio con un altro utente, assegnare il ruolo di proprietario a questo nuovo utente nell'ambito della sottoscrizione senza condizioni. Quindi rimuovere l'amministratore del servizio.

Come convertire l'amministratore del servizio nel ruolo di proprietario

Il modo più semplice per convertire l'assegnazione di ruolo di amministratore del servizio nel ruolo di proprietario nell'ambito della sottoscrizione consiste nell'usare i passaggi di correzione.

1. Accedere al portale di Azure come proprietario di una sottoscrizione.

2. Aprire Sottoscrizioni e selezionare una sottoscrizione.

3. Selezionare Controllo di accesso (IAM) .

4. Selezionare la scheda Amministratori della versione classica per visualizzare l'amministratore del servizio.

5. Per l'amministratore del servizio, nella colonna Correggi selezionare il collegamento Assegnare il ruolo Controllo degli accessi in base al ruolo.

6. Nel riquadro Aggiungi assegnazione di ruolo esaminare l'assegnazione di ruolo.

   

7. Selezionare Rivedi e assegna per assegnare il ruolo di proprietario e rimuovere l'assegnazione di ruolo di amministratore del servizio.

Come rimuovere l'amministratore del servizio

Importante

Per rimuovere l'amministratore del servizio, è necessario avere un utente a cui è assegnato il ruolo di proprietario nell'ambito della sottoscrizione senza condizioni per evitare di lasciare orfana la sottoscrizione. Un proprietario della sottoscrizione ha lo stesso accesso dell'amministratore del servizio.

1. Accedere al portale di Azure come proprietario di una sottoscrizione.

2. Aprire Sottoscrizioni e selezionare una sottoscrizione.

3. Selezionare Controllo di accesso (IAM) .

4. Fare clic sulla scheda Amministratori (versione classica) .

5. Aggiungere un segno di spunta accanto all'amministratore del servizio.

6. Selezionare Elimina.

7. Nella finestra di messaggio visualizzata fare clic su Sì.

   

Passaggi successivi

• Informazioni sui diversi ruoli
• Assegnare ruoli di Azure usando il portale di Azure
• Informazioni sui ruoli amministrativi per il Contratto del cliente Microsoft in Azure