Amministratori della sottoscrizione classica di Azure

Importante

Le risorse classiche e gli amministratori classici verranno ritirati il 31 agosto 2024. A partire dal 3 aprile 2024, non sarà possibile aggiungere nuovi co-amministratori. Questa data è stata estesa di recente. Rimuovere i co-amministratori non necessari e usare il controllo degli accessi in base al ruolo di Azure per il controllo degli accessi con granularità fine.

Microsoft consiglia di gestire l'accesso alle risorse di Azure usando il controllo degli accessi in base al ruolo di Azure. Tuttavia, se si usa ancora il modello di distribuzione classica, è necessario usare un ruolo di amministratore della sottoscrizione classica: Service Amministrazione istrator e Co-Amministrazione istrator. Per informazioni su come eseguire la migrazione delle risorse dalla distribuzione classica alla distribuzione di Resource Manager, vedere Distribuzione di Azure Resource Manager e distribuzione classica.

Se si dispone ancora di amministratori classici, è necessario rimuovere queste assegnazioni di ruolo prima della data di ritiro. Questo articolo descrive come preparare il ritiro dei ruoli co-Amministrazione istrator e service Amministrazione istrator e come rimuovere o modificare queste assegnazioni di ruolo.

Domande frequenti

I co-Amministrazione istrators e service Amministrazione istrator perderanno l'accesso dopo il 31 agosto 2024?

• A partire dal 31 agosto 2024, Microsoft avvierà il processo di rimozione dell'accesso per co-Amministrazione istrator e service Amministrazione istrator.

Ricerca per categorie sapere quali sottoscrizioni hanno amministratori classici?

• È possibile usare una query di Azure Resource Graph per elencare le sottoscrizioni con service Amministrazione istrator o co-Amministrazione istrator assegnazioni di ruolo. Per i passaggi, vedere Elencare gli amministratori classici.

Qual è il ruolo di Azure equivalente da assegnare per co-Amministrazione istrator?

• Il ruolo proprietario nell'ambito della sottoscrizione ha l'accesso equivalente. Tuttavia, il proprietario è un ruolo di amministratore con privilegi e concede l'accesso completo per gestire le risorse di Azure. È consigliabile prendere in considerazione un ruolo della funzione di processo con un minor numero di autorizzazioni, ridurre l'ambito o aggiungere una condizione.

Qual è il ruolo di Azure equivalente da assegnare per Service Amministrazione istrator?

• Il ruolo proprietario nell'ambito della sottoscrizione ha l'accesso equivalente.

Perché è necessario eseguire la migrazione al controllo degli accessi in base al ruolo di Azure?

• Gli amministratori classici verranno ritirati. Il controllo degli accessi in base al ruolo di Azure offre un controllo di accesso granulare, la compatibilità con Microsoft Entra Privileged Identity Management (PIM) e il supporto completo dei log di controllo. Tutti gli investimenti futuri saranno nel controllo degli accessi in base al ruolo di Azure.

Che ne dici del ruolo account Amministrazione istrator?

• L'account Amministrazione istrator è l'utente principale per l'account di fatturazione. L'account Amministrazione istrator non è deprecato e non è necessario sostituire questa assegnazione di ruolo. Account Amministrazione istrator e Service Amministrazione istrator potrebbero essere lo stesso utente. Tuttavia, è sufficiente rimuovere l'assegnazione di ruolo service Amministrazione istrator.

Cosa è necessario fare se si ha una forte dipendenza da co-Amministrazione istrator o service Amministrazione istrator?

• Inviare un messaggio di posta elettronica ACARDeprecation@microsoft.com e descrivere lo scenario.

Prepararsi per il ritiro co-Amministrazione istrators

Se si dispone ancora di amministratori classici, seguire questa procedura per prepararsi al ritiro del ruolo Co-Amministrazione istrator.

Passaggio 1: Esaminare i co-Amministrazione istrator correnti

1. Accedere al portale di Azure come proprietario di una sottoscrizione.

2. Usare il portale di Azure o Azure Resource Graph per elencare i co-Amministrazione istrator.

3. Esaminare i log di accesso per i co-Amministrazione istrator per valutare se sono utenti attivi.

Passaggio 2: Rimuovere co-Amministrazione istrator che non necessitano più dell'accesso

1. Se l'utente non è più nell'azienda, rimuovere Co-Amministrazione istrator.

2. Se l'utente è stato eliminato, ma l'assegnazione co-Amministrazione istrator non è stata rimossa, rimuovere co-Amministrazione istrator.

   Gli utenti eliminati in genere includono il testo (l'utente non è stato trovato in questa directory).

   

3. Dopo aver esaminato l'attività dell'utente, se l'utente non è più attivo, rimuovere Co-Amministrazione istrator.

Passaggio 3: Sostituire co-Amministrazione istrator esistenti con i ruoli della funzione del processo

La maggior parte degli utenti non ha bisogno delle stesse autorizzazioni di un co-Amministrazione istrator. Si consideri invece un ruolo della funzione del processo.

1. Se un utente ha ancora bisogno di accesso, determinare il ruolo di funzione del processo appropriato necessario.

2. Determinare le esigenze dell'utente dell'ambito.

3. Seguire la procedura per assegnare un ruolo della funzione di processo all'utente.

4. Rimuovere co-Amministrazione istrator.

Passaggio 4: Sostituire co-Amministrazione istrator esistenti con ruolo proprietario e condizioni

Alcuni utenti potrebbero avere bisogno di più accesso rispetto a ciò che può fornire un ruolo della funzione del processo. Se è necessario assegnare il ruolo Proprietario , è consigliabile aggiungere una condizione per vincolare l'assegnazione di ruolo.

1. Assegnare il ruolo Proprietario nell'ambito della sottoscrizione con condizioni all'utente.

2. Rimuovere co-Amministrazione istrator.

Preparare il ritiro di Service Amministrazione istrator

Se si dispone ancora di amministratori classici, seguire questa procedura per prepararsi al ritiro del ruolo di service Amministrazione istrator. Per rimuovere il servizio Amministrazione istrator, è necessario avere almeno un utente a cui è assegnato il ruolo Proprietario nell'ambito della sottoscrizione senza condizioni per evitare l'orfano della sottoscrizione. Un proprietario della sottoscrizione ha lo stesso accesso dell'amministratore del servizio.

Passaggio 1: Esaminare l'Amministrazione istrator del servizio corrente

1. Accedere al portale di Azure come proprietario di una sottoscrizione.

2. Usare il portale di Azure o Azure Resource Graph per elencare il Amministrazione istrator del servizio.

3. Esaminare i log di accesso per l'Amministrazione istrator del servizio per valutare se sono un utente attivo.

Passaggio 2: Esaminare i proprietari dell'account di fatturazione corrente

L'utente a cui è assegnato il ruolo Service Amministrazione istrator potrebbe anche essere lo stesso utente che è l'amministratore per l'account di fatturazione. È consigliabile esaminare i proprietari correnti dell'account di fatturazione per assicurarsi che siano ancora accurati.

1. Usare il portale di Azure per ottenere i proprietari dell'account di fatturazione.

2. Esaminare l'elenco dei proprietari dell'account di fatturazione. Se necessario, aggiornare o aggiungere un altro proprietario dell'account di fatturazione.

Passaggio 3: Sostituire il Amministrazione istrator del servizio esistente con il ruolo Proprietario

Il servizio Amministrazione istrator potrebbe essere un account Microsoft o un account Microsoft Entra. Un account Microsoft è un account personale, ad esempio Outlook, OneDrive, Xbox LIVE o Microsoft 365. Un account Microsoft Entra è un'identità creata tramite Microsoft Entra ID.

1. Se l'utente di Service Amministrazione istrator è un account Microsoft e si vuole che l'utente mantenga le stesse autorizzazioni, assegnare il ruolo Proprietario a questo utente nell'ambito della sottoscrizione senza condizioni.

2. Se l'utente di Service Amministrazione istrator è un account Microsoft Entra e si vuole che l'utente mantenga le stesse autorizzazioni, assegnare il ruolo Proprietario all'utente nell'ambito della sottoscrizione senza condizioni.

3. Se si vuole modificare l'utente di Service Amministrazione istrator in un altro utente, assegnare il ruolo Proprietario a questo nuovo utente nell'ambito della sottoscrizione senza condizioni.

4. Rimuovere il Amministrazione istrator del servizio.

Elencare gli amministratori classici

Azure portal

Seguire questa procedura per elencare service Amministrazione istrator e co-Amministrazione istrators per una sottoscrizione usando il portale di Azure.

1. Accedere al portale di Azure come proprietario di una sottoscrizione.

2. Aprire Sottoscrizioni e selezionare una sottoscrizione.

3. Selezionare Controllo di accesso (IAM) .

4. Selezionare la scheda Amministratori classici per visualizzare un elenco dei co-Amministrazione istrator.

   

Azure Resource Graph

Seguire questa procedura per elencare il numero di service Amministrazione istrator e co-Amministrazione istrator nelle sottoscrizioni usando Azure Resource Graph.

1. Accedere al portale di Azure come proprietario di una sottoscrizione.

2. Aprire Azure Resource Graph Explorer.

3. Selezionare Ambito e impostare l'ambito per la query.

   Impostare l'ambito su Directory per eseguire query sull'intero tenant, ma è possibile limitare l'ambito a sottoscrizioni specifiche.

   

4. Selezionare Imposta ambito di autorizzazione e impostare l'ambito di autorizzazione su At, sopra e sotto per eseguire query su tutte le risorse nell'ambito specificato.

   

5. Eseguire la query seguente per elencare il numero di service Amministrazione istrators e co-Amministrazione istrator in base all'ambito.

   authorizationresources
   | where type == "microsoft.authorization/classicadministrators"
   | mv-expand role = parse_json(properties).role
   | mv-expand adminState = parse_json(properties).adminState
   | where adminState == "Enabled"
   | where role in ("ServiceAdministrator", "CoAdministrator")
   | summarize count() by subscriptionId, tostring(role)
   

   Di seguito è riportato un esempio dei risultati. La colonna count_ è il numero di service Amministrazione istrators o co-Amministrazione istrators per una sottoscrizione.

   

Rimuovere un coamministratore

Importante

Le risorse classiche e gli amministratori classici verranno ritirati il 31 agosto 2024. A partire dal 3 aprile 2024, non sarà possibile aggiungere nuovi co-amministratori. Questa data è stata estesa di recente. Rimuovere i co-amministratori non necessari e usare il controllo degli accessi in base al ruolo di Azure per il controllo degli accessi con granularità fine.

Seguire questa procedura per rimuovere un co-Amministrazione istrator.

1. Accedere al portale di Azure come proprietario di una sottoscrizione.

2. Aprire Sottoscrizioni e selezionare una sottoscrizione.

3. Selezionare Controllo di accesso (IAM) .

4. Selezionare la scheda Amministratori classici per visualizzare un elenco dei co-Amministrazione istrator.

5. Aggiungere un segno di spunta accanto al coamministratore che si desidera rimuovere.

6. Selezionare Rimuovi.

7. Nella finestra di messaggio visualizzata fare clic su Sì.

   

Aggiungere un coamministratore

Importante

Le risorse classiche e gli amministratori classici verranno ritirati il 31 agosto 2024. A partire dal 3 aprile 2024, non sarà possibile aggiungere nuovi co-amministratori. Questa data è stata estesa di recente. Rimuovere i co-amministratori non necessari e usare il controllo degli accessi in base al ruolo di Azure per il controllo degli accessi con granularità fine.

È necessario aggiungere un coamministratore solo se l'utente deve gestire distribuzioni classiche di Azure tramite il modulo PowerShell di gestione del servizio Azure. Se l'utente usa il portale di Azure solo per gestire le risorse classiche, non è necessario aggiungere il ruolo amministratore classico per l'utente.

1. Accedere al portale di Azure come proprietario di una sottoscrizione.

2. Aprire Sottoscrizioni e selezionare una sottoscrizione.

   I coamministratori possono essere assegnati solo nell'ambito della sottoscrizione.

3. Selezionare Controllo di accesso (IAM) .

4. Fare clic sulla scheda Amministratori (versione classica) .

   

5. Fare clic su Aggiungi>Aggiungi coamministratore per aprire il riquadro Aggiungi coamministratori.

   Se l'opzione Aggiungi coamministratore è disabilitata, non si dispone delle autorizzazioni.

6. Selezionare l'utente da aggiungere e quindi Aggiungi.

   

Aggiungere un utente guest come coamministratore

Per aggiungere un utente guest come coamministratore, seguire gli stessi passaggi della procedura precedente Aggiungi coamministratore. L'utente guest deve soddisfare i criteri seguenti:

• L'utente guest deve avere una presenza nella directory. Ciò significa che l'utente è stato invitato nella directory e ha accettato l'invito.

Per altre informazioni su come aggiungere un utente guest alla directory, vedere Aggiungere utenti di Collaborazione B2B di Microsoft Entra nel portale di Azure.

Prima di rimuovere un utente guest dalla directory, è necessario rimuovere tutte le assegnazioni di ruolo per l'utente guest. Per altre informazioni, vedere Rimuovere un utente esterno dalla directory.

Differenze per gli utenti guest

Gli utenti guest a cui è stato assegnato il ruolo di coamministratore potrebbero notare alcune differenze rispetto agli utenti membri con ruolo di coamministratore. Prendi in considerazione lo scenario seguente:

• L'utente A con un account Microsoft Entra (account aziendale o dell'istituto di istruzione) è l'Amministrazione istrator del servizio per una sottoscrizione di Azure.
• L'utente B ha un account Microsoft.
• L'utente A assegna il ruolo di coamministratore all'utente B.
• L'utente B può eseguire quasi tutto, ma non è in grado di registrare le applicazioni o cercare gli utenti nella directory Microsoft Entra.

Ci si aspetta che l'utente B possa gestire tutto. Il motivo di questa differenza è che l'account Microsoft viene aggiunto alla sottoscrizione come utente guest invece di utente membro. Gli utenti guest hanno autorizzazioni predefinite diverse in Microsoft Entra ID rispetto agli utenti membri. Ad esempio, gli utenti membri possono leggere altri utenti in Microsoft Entra ID e gli utenti guest non possono. Gli utenti membri possono registrare nuove entità servizio in Microsoft Entra ID e gli utenti guest non possono.

Se un utente guest deve essere in grado di eseguire queste attività, una possibile soluzione consiste nell'assegnare i ruoli specifici di Microsoft Entra necessari all'utente guest. Ad esempio, nello scenario precedente è possibile assegnare i ruoli con autorizzazioni di lettura nella directory per leggere altri utenti e assegnare il ruolo sviluppatore di applicazioni per poter creare le entità servizio. Per altre informazioni sugli utenti membri e guest e sulle relative autorizzazioni, vedere Che cosa sono le autorizzazioni utente predefinite in Microsoft Entra ID?. Per altre informazioni sulla concessione dell'accesso per gli utenti guest, vedere Assegnare ruoli di Azure a utenti esterni usando il portale di Azure.

Si noti che i ruoli predefiniti di Azure sono diversi dai ruoli di Microsoft Entra. I ruoli predefiniti non concedono l'accesso a Microsoft Entra ID. Per altre informazioni, vedere Informazioni sui diversi ruoli.

Per informazioni che confrontano utenti membri e utenti guest, vedere Quali sono le autorizzazioni utente predefinite in Microsoft Entra ID?.

Modificare l'amministratore del servizio

Solo l'amministratore account può modificare l'amministratore del servizio per una sottoscrizione. Per impostazione predefinita, al momento della sottoscrizione di un abbonamento di Azure, l'amministratore del servizio corrisponde all'amministratore dell'account.

L'utente con il ruolo Amministratore account può accedere al portale di Azure e gestire la fatturazione, ma non può annullare le sottoscrizioni. L'amministratore con il ruolo di amministratore del servizio ha pieno accesso al portale di Azure e può annullare le sottoscrizioni. L'amministratore dell'account può assegnare a sé stesso il ruolo di amministratore del servizio.

Seguire questa procedura per modificare il Amministrazione istrator del servizio nel portale di Azure.

1. Accedere al portale di Azure come amministratore account.

2. Aprire Gestione dei costi e fatturazione e selezionare una sottoscrizione.

3. Nel menu di spostamento a sinistra selezionare Proprietà.

4. Selezionare Cambia amministratore del servizio.

   

5. Nella paginaCambia amministratore del servizio immettere l'indirizzo di posta elettronica del nuovo amministratore del servizio.

   

6. Per salvare le modifiche, fare clic su OK.

Rimuovere l'amministratore del servizio

Per rimuovere il servizio Amministrazione istrator, è necessario disporre di un utente a cui è assegnato il ruolo Proprietario nell'ambito della sottoscrizione senza condizioni per evitare l'orfano della sottoscrizione. Un proprietario della sottoscrizione ha lo stesso accesso dell'amministratore del servizio.

1. Accedere al portale di Azure come proprietario di una sottoscrizione.

2. Aprire Sottoscrizioni e selezionare una sottoscrizione.

3. Selezionare Controllo di accesso (IAM) .

4. Fare clic sulla scheda Amministratori (versione classica) .

5. Aggiungere un segno di spunta accanto all'amministratore del servizio.

6. Selezionare Rimuovi.

7. Nella finestra di messaggio visualizzata fare clic su Sì.

   

Se l'utente del servizio Amministrazione istrator non si trova nella directory, è possibile che venga visualizzato l'errore seguente quando si tenta di rimuovere il Amministrazione istrator del servizio:

Call GSM to delete service admin on subscription <subscriptionId> failed. Exception: Cannot delete user <principalId> since they are not the service administrator. Please retry with the right service administrator user PUID.

Se l'utente del servizio Amministrazione istrator non si trova nella directory, provare a modificare il Amministrazione istrator del servizio in un utente esistente e quindi provare a rimuovere il Amministrazione istrator del servizio.

Passaggi successivi

• Informazioni sui diversi ruoli
• Assegnare ruoli di Azure usando il portale di Azure
• Informazioni sui ruoli amministrativi per il Contratto del cliente Microsoft in Azure