Condividi tramite

Gestire i criteri di sottoscrizione di Azure

Questo articolo illustra come configurare i criteri di sottoscrizione di Azure per controllare lo spostamento delle sottoscrizioni di Azure da e in directory. Il comportamento predefinito di questi due criteri è impostato su Consenti tutti. Si noti che l'impostazione Consenti tutti consente a tutti gli utenti autorizzati, inclusi gli utenti guest autorizzati in una sottoscrizione di essere in grado di trasferirli. Non significa tutti gli utenti di una directory.

Prerequisiti

  • Solo gli amministratori globali della directory con assegnazione di ruolo diretta possono modificare i criteri di sottoscrizione. Prima di modificare i criteri di sottoscrizione, l'amministratore globale deve elevare l'accesso per gestire tutte le sottoscrizioni e i gruppi di gestione di Azure. Possono quindi modificare i criteri di sottoscrizione.
  • Tutti gli altri utenti possono leggere solo l'impostazione corrente dei criteri.
  • Le sottoscrizioni trasferite in una directory o all'esterno di una directory devono rimanere associate a un tenant di fatturazione per garantire che la fatturazione venga eseguita correttamente.

Impostazioni dei criteri di sottoscrizione disponibili

Usare le impostazioni della politica seguenti per controllare lo spostamento delle sottoscrizioni di Azure tra directory.

Sottoscrizioni in uscita da una directory di Microsoft Entra ID

La politica consente o impedisce agli utenti di spostare le sottoscrizioni dalla directory corrente. I proprietaridelle sottoscrizioni possono modificare la directory di una sottoscrizione di Azure o usare le funzionalità di trasferimento disponibili nel portale di Azure e nelle API in un'altra directory in cui sono membri. Gli amministratori globali possono consentire o impedire agli utenti della directory di modificare la directory o il trasferimento delle sottoscrizioni.

  • Impostare questo criterio su Non consentire a nessuno se non si desidera trasferire le sottoscrizioni all'esterno della directory. Questo criterio si applica a tutti gli utenti delle sottoscrizioni autorizzate, inclusi gli utenti guest autorizzati della directory.
  • Impostare questo criterio su Consenti a tutti se si vuole che tutti gli utenti autorizzati, inclusi gli utenti guest autorizzati, possano trasferire le sottoscrizioni dalla directory.

Sottoscrizioni in ingresso a una directory di Microsoft Entra ID

Il criterio consente o impedisce agli utenti di altre directory, che hanno accesso nella directory corrente, di spostare le sottoscrizioni nella directory corrente. I proprietaridelle sottoscrizioni possono modificare la directory di una sottoscrizione di Azure o trasferirli in un'altra directory in cui sono membri. Gli amministratori globali possono consentire o impedire agli utenti della directory di trasferire queste sottoscrizioni.

  • Impostare questo criterio su Non consentire a nessuno se non si desidera trasferire le sottoscrizioni nella directory. Questo criterio si applica a tutti gli utenti autorizzati, inclusi gli utenti guest autorizzati della directory.
  • Impostare questo criterio su Consenti a tutti se si desidera che tutti gli utenti autorizzati, inclusi gli utenti guest autorizzati nella directory possano trasferire le sottoscrizioni nella directory.

Utenti esentati

Per motivi di governance, gli amministratori globali possono bloccare tutti gli spostamenti della directory di sottoscrizione, all'interno o all'esterno della directory corrente. Tuttavia, potrebbero voler consentire a utenti specifici di eseguire entrambe le operazioni. Per entrambe le situazioni, possono configurare un elenco di utenti esentati che consentono a questi utenti di ignorare tutte le impostazioni dei criteri applicabili a tutti gli altri utenti.

Nota importante

Gli utenti autorizzati (inclusi gli utenti guest) nella directory possono creare sottoscrizioni di Azure in un'altra directory in cui dispongono delle autorizzazioni di fatturazione e quindi trasferire tali sottoscrizioni nella directory Entra ID. Se non si vuole consentire questa operazione, è necessario impostare uno o entrambi i criteri seguenti:

  • Le sottoscrizioni che lasciano la directory Entra ID devono essere impostate su Non consentire a nessuno.
  • Le sottoscrizioni in ingresso in una directory Entra ID devono essere impostate su Non consentire a nessuno.

Impostazione dei criteri di sottoscrizione

  1. Accedi al portale di Azure.
  2. Passare a Sottoscrizioni. La finestra Gestisci criteri viene visualizzata sulla barra dei comandi.
    Screenshot che mostra la gestione dei criteri nelle sottoscrizioni.
  3. Selezionare Gestisci criteri per visualizzare i dettagli sui criteri di sottoscrizione correnti impostati per la directory. Un amministratore globale con autorizzazioni elevate può apportare modifiche alle impostazioni, inclusa l'aggiunta o la rimozione di utenti esentati.
    Screenshot che mostra impostazioni di criteri specifiche ed utenti esentati.
  4. Selezionare Salva modifiche nella parte inferiore per salvare le modifiche. Le modifiche sono effettive immediatamente.

Leggere i criteri di sottoscrizione

Gli amministratori non globali possono comunque passare all'area dei criteri di sottoscrizione per visualizzare le impostazioni dei criteri della directory. Non possono apportare modifiche. Non possono visualizzare l'elenco degli utenti esentati per motivi di privacy. Possono consultare gli amministratori globali per inoltrare richieste di modifiche ai criteri, affinché le impostazioni della directory lo consentano.

Screenshot che mostra l'opzione Gestisci criteri in Sottoscrizioni come lettore.

Passaggi successivi

  • Last updated on