Risolvere i problemi relativi al controllo degli accessi in base al ruolo di Azure

Questo articolo descrive alcune soluzioni comuni per i problemi relativi al controllo degli accessi in base al ruolo di Azure.

Assegnazioni di ruolo di Azure

Sintomo : l'opzione Aggiungi assegnazione di ruolo è disabilitata

Non è possibile assegnare un ruolo nel portale di Azure controllo di accesso (IAM) perché l'opzione Aggiungi assegnazione>di ruolo è disabilitata

Causa

L'accesso è stato eseguito con un utente che non ha l'autorizzazione per assegnare ruoli nell'ambito selezionato.

Soluzione

Verificare di aver eseguito l'accesso con un utente a cui è assegnato un ruolo con l'autorizzazioneMicrosoft.Authorization/roleAssignments/write, ad esempio Role Based Controllo di accesso Amministrazione istrator nell'ambito che si sta tentando di assegnare il ruolo.

Sintomo: i ruoli o le entità non sono elencati

Quando si tenta di assegnare un ruolo nella portale di Azure, alcuni ruoli o entità non sono elencati. Ad esempio, nella scheda Ruolo viene visualizzato un set ridotto di ruoli.

In alternativa, nel riquadro Seleziona membri viene visualizzato un set ridotto di entità.

Causa

Esistono restrizioni per le assegnazioni di ruolo che è possibile aggiungere. Ad esempio, si è vincolati nei ruoli a cui è possibile assegnare o limitare le entità a cui è possibile assegnare i ruoli.

Soluzione

Visualizzare i ruoli assegnati all'utente. Controllare se esiste una condizione che vincola le assegnazioni di ruolo che è possibile aggiungere. Per altre informazioni, vedere Delegare la gestione degli accessi di Azure ad altri utenti.

Sintomo - Impossibile assegnare un ruolo

Non è possibile assegnare un ruolo e viene visualizzato un errore simile al seguente:

Failed to add {securityPrincipal} as {role} for {scope} : The client '{clientName}' with object id '{objectId}' does not have authorization or an ABAC condition not fulfilled to perform action 'Microsoft.Authorization/roleAssignments/write' over scope '/subscriptions/{subscriptionId}/Microsoft.Authorization/roleAssignments/{roleAssignmentId}' or the scope is invalid. If access was recently granted, please refresh your credentials.

Causa 1

È stato eseguito l'accesso con un utente che non dispone dell'autorizzazione per assegnare ruoli nell'ambito selezionato.

Soluzione 1

Verificare di aver eseguito l'accesso con un utente a cui è assegnato un ruolo con l'autorizzazioneMicrosoft.Authorization/roleAssignments/write, ad esempio Role Based Controllo di accesso Amministrazione istrator nell'ambito che si sta tentando di assegnare il ruolo.

Causa 2

Esistono restrizioni per le assegnazioni di ruolo che è possibile aggiungere. Ad esempio, si è vincolati nei ruoli a cui è possibile assegnare o limitare le entità a cui è possibile assegnare i ruoli.

Soluzione 2

Visualizzare i ruoli assegnati all'utente. Controllare se esiste una condizione che vincola le assegnazioni di ruolo che è possibile aggiungere. Per altre informazioni, vedere Delegare la gestione degli accessi di Azure ad altri utenti.

Sintomo: non è possibile assegnare un ruolo usando un'entità servizio con l'interfaccia della riga di comando di Azure

Si usa un'entità servizio per assegnare ruoli con l'interfaccia della riga di comando di Azure e viene visualizzato l'errore seguente:

Insufficient privileges to complete the operation

Si supponga, ad esempio, di avere un'entità servizio a cui è stato assegnato il ruolo Proprietario e di provare a creare l'assegnazione di ruolo seguente come entità servizio tramite l'interfaccia della riga di comando di Azure:

az login --service-principal --username "SPNid" --password "password" --tenant "tenantid"
az role assignment create --assignee "userupn" --role "Contributor"  --scope "/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}"

Causa

È probabile che l'interfaccia della riga di comando di Azure tenti di cercare l'identità assegnatario in Microsoft Entra ID e l'entità servizio non possa leggere l'ID Microsoft Entra per impostazione predefinita.

Soluzione

Esistono due modi per risolvere questo errore. Il primo consiste nell'assegnare il ruolo Lettori directory all'entità servizio in modo che possa leggere i dati nella directory.

Il secondo modo per risolvere questo errore consiste nel creare l'assegnazione di ruolo usando il --assignee-object-id parametro anziché --assignee. Usando --assignee-object-id, l'interfaccia della riga di comando di Azure ignorerà la ricerca di Microsoft Entra. Sarà necessario ottenere l'ID oggetto dell'utente, del gruppo o dell'applicazione a cui si vuole assegnare il ruolo. Per altre informazioni, vedere Assegnare ruoli di Azure tramite l'interfaccia della riga di comando di Azure.

az role assignment create --assignee-object-id 11111111-1111-1111-1111-111111111111  --role "Contributor" --scope "/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}"

Sintomo: l'assegnazione di un ruolo a una nuova entità a volte ha esito negativo

Si crea un nuovo utente, gruppo o entità servizio e si tenta immediatamente di assegnare un ruolo a tale entità e l'assegnazione di ruolo a volte non riesce. Viene visualizzato un messaggio simile all'errore seguente:

PrincipalNotFound
Principal {principalId} does not exist in the directory {tenantId}. Check that you have the correct principal ID. If you are creating this principal and then immediately assigning a role, this error might be related to a replication delay. In this case, set the role assignment principalType property to a value, such as ServicePrincipal, User, or Group.  See https://aka.ms/docs-principaltype

Causa

Il motivo è probabilmente un ritardo di replica. L'entità viene creata in un'area; Tuttavia, l'assegnazione di ruolo potrebbe verificarsi in un'area diversa che non ha ancora replicato l'entità.

Soluzione 1

Se si sta creando un nuovo utente o un'entità servizio usando l'API REST o il modello di Resource Manager, impostare la principalType proprietà quando si crea l'assegnazione di ruolo usando l'API Assegnazioni di ruolo - Crea .

principalType	apiVersion
User	2020-03-01-preview o versioni successive
ServicePrincipal	2018-09-01-preview o versioni successive

Per altre informazioni, vedere Assegnare ruoli di Azure a una nuova entità servizio usando l'API REST o Assegnare ruoli di Azure a una nuova entità servizio usando i modelli di Azure Resource Manager.

Soluzione 2

Se si sta creando un nuovo utente o un'entità servizio usando Azure PowerShell, impostare il ObjectType parametro su User o ServicePrincipal quando si crea l'assegnazione di ruolo usando New-AzRoleAssignment. Le stesse restrizioni della versione dell'API sottostante della soluzione 1 sono ancora valide. Per altre informazioni, vedere Assegnare ruoli di Azure con Azure PowerShell.

Soluzione 3

Se si crea un nuovo gruppo, attendere alcuni minuti prima di creare l'assegnazione di ruolo.

Sintomo : l'assegnazione di ruolo del modello di Resource Manager restituisce lo stato BadRequest

Quando si tenta di distribuire un file Bicep o un modello di Resource Manager che assegna un ruolo a un'entità servizio, viene visualizzato l'errore:

Tenant ID, application ID, principal ID, and scope are not allowed to be updated. (code: RoleAssignmentUpdateNotPermitted)

Ad esempio, se si crea un'assegnazione di ruolo per un'identità gestita, eliminare l'identità gestita e ricrearla, la nuova identità gestita ha un ID entità diverso. Se si tenta di distribuire di nuovo l'assegnazione di ruolo e si usa lo stesso nome di assegnazione di ruolo, la distribuzione non riesce.

Causa

L'assegnazione name di ruolo non è univoca e viene visualizzata come aggiornamento.

Le assegnazioni di ruolo vengono identificate in modo univoco dal nome, ovvero un identificatore univoco globale (GUID). Non è possibile creare due assegnazioni di ruolo con lo stesso nome, anche in sottoscrizioni di Azure diverse. Non è inoltre possibile modificare le proprietà di un'assegnazione di ruolo esistente.

Soluzione

Specificare un valore univoco idempotente per l'assegnazione namedi ruolo . È consigliabile creare un GUID che usi l'ambito, l'ID entità e l'ID ruolo insieme. È consigliabile usare la guid() funzione per creare un GUID deterministico per i nomi delle assegnazioni di ruolo, come in questo esempio:

Bicep

resource roleAssignment 'Microsoft.Authorization/roleAssignments@2020-10-01-preview' = {
  name: guid(resourceGroup().id, principalId, roleDefinitionId)
  properties: {
    roleDefinitionId: roleDefinitionId
    principalId: principalId
    principalType: principalType
  }
}

Modello ARM

{
  "type": "Microsoft.Authorization/roleAssignments",
  "apiVersion": "2020-10-01-preview",
  "name": "[guid(resourceGroup().id, variables('principalId'), variables('roleDefinitionId'))]",
  "properties": {
    "roleDefinitionId": "[variables('roleDefinitionId')]",
    "principalId": "[variables('principalId')]",
    "principalType": "[variables('principalType')]"
  }
}

Per altre informazioni, vedere Creare risorse di Controllo degli accessi in base al ruolo di Azure usando Bicep.

Sintomo - Assegnazioni di ruolo con identità non trovata

Nell'elenco delle assegnazioni di ruolo per il portale di Azure si nota che l'entità di sicurezza (utente, gruppo, entità servizio o identità gestita) è elencata come Identità non trovata con un tipo Sconosciuto.

Se si elenca questa assegnazione di ruolo usando Azure PowerShell, è possibile che venga visualizzato un valore vuoto DisplayName e SignInNameoppure un valore per ObjectType .Unknown Ad esempio, Get-AzRoleAssignment restituisce un'assegnazione di ruolo simile all'output seguente:

RoleAssignmentId   : /subscriptions/11111111-1111-1111-1111-111111111111/providers/Microsoft.Authorization/roleAssignments/22222222-2222-2222-2222-222222222222
Scope              : /subscriptions/11111111-1111-1111-1111-111111111111
DisplayName        :
SignInName         :
RoleDefinitionName : Storage Blob Data Contributor
RoleDefinitionId   : ba92f5b4-2d11-453d-a403-e96b0029c9fe
ObjectId           : 33333333-3333-3333-3333-333333333333
ObjectType         : User
CanDelegate        : False

Analogamente, se si elenca questa assegnazione di ruolo usando l'interfaccia della riga di comando di Azure, il campo di principalName potrebbe essere vuoto. Ad esempio, az role assignment list restituisce un'assegnazione di ruolo simile all'output seguente:

{
    "canDelegate": null,
    "id": "/subscriptions/11111111-1111-1111-1111-111111111111/providers/Microsoft.Authorization/roleAssignments/22222222-2222-2222-2222-222222222222",
    "name": "22222222-2222-2222-2222-222222222222",
    "principalId": "33333333-3333-3333-3333-333333333333",
    "principalName": "",
    "roleDefinitionId": "/subscriptions/11111111-1111-1111-1111-111111111111/providers/Microsoft.Authorization/roleDefinitions/ba92f5b4-2d11-453d-a403-e96b0029c9fe",
    "roleDefinitionName": "Storage Blob Data Contributor",
    "scope": "/subscriptions/11111111-1111-1111-1111-111111111111",
    "type": "Microsoft.Authorization/roleAssignments"
}

Causa 1

Di recente è stato invitato un utente durante la creazione di un'assegnazione di ruolo e questa entità di sicurezza è ancora nel processo di replica tra aree.

Soluzione 1

Attendere alcuni istanti e aggiornare l'elenco delle assegnazioni di ruolo.

Causa 2

È stata eliminata un'entità di sicurezza con un'assegnazione di ruolo. Se si assegna un ruolo a un'entità di sicurezza e successivamente la si elimina senza prima rimuovere l'assegnazione di ruolo, l'entità di sicurezza verrà elencata come Identità non trovata e di tipo Sconosciuto.

Soluzione 2

Non è un problema lasciare queste assegnazioni di ruolo in cui l'entità di sicurezza è stata eliminata. Se si preferisce, è possibile rimuovere queste assegnazioni di ruolo usando passaggi simili ad altre assegnazioni di ruolo. Per informazioni su come rimuovere le assegnazioni di ruolo, vedere Rimuovere le assegnazioni di ruolo di Azure.

In PowerShell, se si tenta di rimuovere le assegnazioni di ruolo usando l'ID oggetto e il nome della definizione del ruolo e più assegnazioni di ruolo corrispondono ai parametri, verrà visualizzato il messaggio di errore: The provided information does not map to a role assignment. L'output seguente mostra un esempio del messaggio di errore:

PS C:\> Remove-AzRoleAssignment -ObjectId 33333333-3333-3333-3333-333333333333 -RoleDefinitionName "Storage Blob Data Contributor"

Remove-AzRoleAssignment : The provided information does not map to a role assignment.
At line:1 char:1
+ Remove-AzRoleAssignment -ObjectId 33333333-3333-3333-3333-333333333333 ...
+ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
+ CategoryInfo          : CloseError: (:) [Remove-AzRoleAssignment], KeyNotFoundException
+ FullyQualifiedErrorId : Microsoft.Azure.Commands.Resources.RemoveAzureRoleAssignmentCommand

Se viene visualizzato questo messaggio di errore, assicurarsi di specificare anche i -Scope parametri o -ResourceGroupName .

PS C:\> Remove-AzRoleAssignment -ObjectId 33333333-3333-3333-3333-333333333333 -RoleDefinitionName "Storage Blob Data Contributor" - Scope /subscriptions/11111111-1111-1111-1111-111111111111

Sintomo: non è possibile eliminare l'ultima assegnazione di ruolo proprietario

Si tenta di rimuovere l'ultima assegnazione di ruolo Proprietario per una sottoscrizione e viene visualizzato l'errore seguente:

Cannot delete the last RBAC admin assignment

Causa

La rimozione dell'ultima assegnazione di ruolo Proprietario per una sottoscrizione non è supportata per evitare l'orfanità della sottoscrizione.

Soluzione

Se si desidera annullare la sottoscrizione di Azure, vedere Annullare la sottoscrizione di Azure.

È possibile rimuovere l'ultima assegnazione di ruolo Proprietario (o Accesso utenti Amministrazione istrator) nell'ambito della sottoscrizione, se si è un Amministrazione istrator globale per il tenant o un amministratore classico (service Amministrazione istrator o co-Amministrazione istrator) per la sottoscrizione. In questo caso, non esiste alcun vincolo per l'eliminazione. Tuttavia, se la chiamata proviene da un'altra entità, non sarà possibile rimuovere l'ultima assegnazione di ruolo Proprietario nell'ambito della sottoscrizione.

Sintomo: l'assegnazione di ruolo non viene spostata dopo lo spostamento di una risorsa

Causa

Se si sposta una risorsa con un ruolo di Azure assegnato direttamente alla risorsa (o a una risorsa figlio), l'assegnazione di ruolo non viene spostata e viene isolata.

Soluzione

Dopo aver spostato una risorsa, è necessario ricreare l'assegnazione di ruolo. Infine, l'assegnazione di ruolo orfana verrà rimossa automaticamente, ma è consigliabile rimuovere l'assegnazione di ruolo prima di spostare la risorsa. Per informazioni sullo spostamento di risorse, vedere Spostare le risorse in un gruppo di risorse o una sottoscrizione nuovi.

Sintomo: le modifiche all'assegnazione di ruolo non vengono rilevate

È stata aggiunta o aggiornata di recente un'assegnazione di ruolo, ma le modifiche non vengono rilevate. È possibile che venga visualizzato il messaggio Status: 401 (Unauthorized).

Causa 1

In alcuni casi, Azure Resource Manager memorizza nella cache le configurazioni e i dati per migliorare le prestazioni.

Soluzione 1

Quando si assegnano ruoli o si rimuovono le assegnazioni di ruolo, possono essere necessari fino a 10 minuti prima che le modifiche siano effettive. Se si usano le portale di Azure, Azure PowerShell o l'interfaccia della riga di comando di Azure, è possibile forzare un aggiornamento delle modifiche dell'assegnazione di ruolo disconnessione e accesso. Se si apportano modifiche all'assegnazione di ruolo con le chiamate API REST, è possibile forzare un aggiornamento aggiornando il token di accesso.

Causa 2

Sono state aggiunte identità gestite a un gruppo e è stato assegnato un ruolo a tale gruppo. I servizi back-end per le identità gestite mantengono una cache per ogni URI di risorsa per circa 24 ore.

Soluzione 2

L'applicazione delle modifiche apportate al gruppo o all'appartenenza a ruoli di un'identità gestita può richiedere diverse ore. Per altre informazioni, vedere Limitazione dell'uso di identità gestite per l'autorizzazione.

Sintomo: le modifiche all'assegnazione di ruolo nell'ambito del gruppo di gestione non vengono rilevate

È stata aggiunta o aggiornata di recente un'assegnazione di ruolo nell'ambito del gruppo di gestione, ma le modifiche non vengono rilevate.

Causa

In alcuni casi, Azure Resource Manager memorizza nella cache le configurazioni e i dati per migliorare le prestazioni.

Soluzione

Quando si assegnano ruoli o si rimuovono le assegnazioni di ruolo, possono essere necessari fino a 10 minuti prima che le modifiche siano effettive. Se si aggiunge o si rimuove un'assegnazione di ruolo predefinita nell'ambito del gruppo di gestione e il ruolo predefinito ha DataActions, l'accesso sul piano dati potrebbe non essere aggiornato per diverse ore. Questo si applica solo all'ambito del gruppo di gestione e al piano dati. I ruoli personalizzati con DataActions non possono essere assegnati all'ambito del gruppo di gestione.

Sintomo: le assegnazioni di ruolo per le modifiche del gruppo di gestione non vengono rilevate

È stato creato un nuovo gruppo di gestione figlio e l'assegnazione di ruolo nel gruppo di gestione padre non viene rilevata per il gruppo di gestione figlio.

Causa

In alcuni casi, Azure Resource Manager memorizza nella cache le configurazioni e i dati per migliorare le prestazioni.

Soluzione

L'applicazione dell'assegnazione di ruolo al gruppo di gestione figlio può richiedere fino a 10 minuti. Se si usa il portale di Azure, Azure PowerShell o l'interfaccia della riga di comando di Azure, è possibile forzare l'aggiornamento delle modifiche alle assegnazioni di ruolo effettuando la disconnessione e quindi di nuovo l'accesso. Se si apportano modifiche alle assegnazioni di ruolo con chiamate all'API REST, è possibile forzare l'aggiornamento semplicemente aggiornando il token di accesso.

Sintomo: la rimozione delle assegnazioni di ruolo con PowerShell richiede alcuni minuti

Usare il comando Remove-AzRoleAssignment per rimuovere un'assegnazione di ruolo. Usare quindi il comando Get-AzRoleAssignment per verificare che l'assegnazione di ruolo sia stata rimossa per un'entità di sicurezza. Ad esempio:

Get-AzRoleAssignment -ObjectId $securityPrincipalObject.Id

Il comando Get-AzRoleAssignment indica che l'assegnazione di ruolo non è stata rimossa. Tuttavia, se si attende 5-10 minuti ed esegui nuovamente Get-AzRoleAssignment , l'output indica che l'assegnazione di ruolo è stata rimossa.

Causa

L'assegnazione di ruolo è stata rimossa. Tuttavia, per migliorare le prestazioni, PowerShell usa una cache quando si elencano le assegnazioni di ruolo. L'aggiornamento della cache può richiedere circa 10 minuti.

Soluzione

Anziché elencare le assegnazioni di ruolo per un'entità di sicurezza, elencare tutte le assegnazioni di ruolo nell'ambito della sottoscrizione e filtrare l'output. Ad esempio, il comando seguente:

$validateRemovedRoles = Get-AzRoleAssignment -ObjectId $securityPrincipalObject.Id 

Può essere sostituito con questo comando:

$validateRemovedRoles = Get-AzRoleAssignment -Scope /subscriptions/$subId | Where-Object -Property ObjectId -EQ $securityPrincipalObject.Id

Ruoli personalizzati

Sintomo - Impossibile aggiornare o eliminare un ruolo personalizzato

Non è possibile aggiornare o eliminare un ruolo personalizzato esistente.

Causa 1

È stato eseguito l'accesso con un utente che non dispone dell'autorizzazione per aggiornare o eliminare ruoli personalizzati.

Soluzione 1

Verificare di aver eseguito l'accesso con un utente a cui è assegnato un ruolo con l'autorizzazioneMicrosoft.Authorization/roleDefinitions/write, ad esempio Accesso utente Amministrazione istrator.

Causa 2

Il ruolo personalizzato include una sottoscrizione in ambiti assegnabili e tale sottoscrizione è in uno stato disabilitato.

Soluzione 2

Riattivare la sottoscrizione disabilitata e aggiornare il ruolo personalizzato in base alle esigenze. Per altre informazioni, vedere Riattivare una sottoscrizione di Azure disabilitata.

Sintomo - Impossibile creare o aggiornare un ruolo personalizzato

Quando si tenta di creare o aggiornare un ruolo personalizzato, viene visualizzato un errore simile al seguente:

The client '<clientName>' with object id '<objectId>' has permission to perform action 'Microsoft.Authorization/roleDefinitions/write' on scope '/subscriptions/<subscriptionId>'; however, it does not have permission to perform action 'Microsoft.Authorization/roleDefinitions/write' on the linked scope(s)'/subscriptions/<subscriptionId1>,/subscriptions/<subscriptionId2>,/subscriptions/<subscriptionId3>' or the linked scope(s)are invalid

Causa

Questo errore indica in genere che non si dispone delle autorizzazioni per uno o più ambiti assegnabili nel ruolo personalizzato.

Soluzione

Attenersi alla procedura seguente:

• Vedere Chi può creare, eliminare, aggiornare o visualizzare un ruolo personalizzato e verificare di disporre delle autorizzazioni per creare o aggiornare il ruolo personalizzato per tutti gli ambiti assegnabili.
• Se non si dispone delle autorizzazioni, chiedere all'amministratore di assegnare un ruolo con l'azioneMicrosoft.Authorization/roleDefinitions/write, ad esempio Accesso utente Amministrazione istrator, nell'ambito dell'ambito dell'ambito assegnabile.
• Verificare che tutti gli ambiti assegnabili nel ruolo personalizzato siano validi. In caso contrario, rimuovere eventuali ambiti assegnabili non validi.

Per altre informazioni, vedere le esercitazioni sui ruoli personalizzati usando il portale di Azure, Azure PowerShell o l'interfaccia della riga di comando di Azure.

Sintomo - Impossibile eliminare un ruolo personalizzato

Non è possibile eliminare un ruolo personalizzato e ottenere il messaggio di errore seguente:

There are existing role assignments referencing role (code: RoleDefinitionHasAssignments)

Causa

Esistono assegnazioni di ruolo che usano ancora il ruolo personalizzato.

Soluzione

Rimuovere le assegnazioni di ruolo che usano il ruolo personalizzato e provare a eliminare di nuovo il ruolo personalizzato. Per altre informazioni, vedere Trovare assegnazioni di ruolo per eliminare un ruolo personalizzato.

Sintomo: impossibile aggiungere più di un gruppo di gestione come ambito assegnabile

Quando si tenta di creare o aggiornare un ruolo personalizzato, non è possibile aggiungere più di un gruppo di gestione come ambito assegnabile.

Causa

È possibile definire un solo gruppo di gestione in AssignableScopes per un ruolo personalizzato.

Soluzione

Definire un gruppo di gestione nel AssignableScopes ruolo personalizzato. Per altre informazioni sui ruoli personalizzati e i gruppi di gestione, vedere Organizzare le risorse con i gruppi di gestione di Azure.

Sintomo - Impossibile aggiungere azioni di dati al ruolo personalizzato

Quando si tenta di creare o aggiornare un ruolo personalizzato, non è possibile aggiungere azioni dati o viene visualizzato il messaggio seguente:

You cannot add data action permissions when you have a management group as an assignable scope

Causa

Si sta tentando di creare un ruolo personalizzato con azioni di dati e un gruppo di gestione come ambito assegnabile. I ruoli personalizzati con DataActions non possono essere assegnati all'ambito del gruppo di gestione.

Soluzione

Creare il ruolo personalizzato con una o più sottoscrizioni come ambito assegnabile. Per altre informazioni sui ruoli personalizzati e i gruppi di gestione, vedere Organizzare le risorse con i gruppi di gestione di Azure.

Accesso negato o errori di autorizzazione

Sintomo - Autorizzazione non riuscita

Quando si tenta di creare una risorsa, viene visualizzato il messaggio di errore seguente:

The client with object id does not have authorization to perform action over scope (code: AuthorizationFailed)

Causa 1

È stato eseguito l'accesso con un utente che non dispone dell'autorizzazione di scrittura per la risorsa nell'ambito selezionato.

Soluzione 1

Verificare di aver eseguito l'accesso con un utente a cui è stata assegnata un'autorizzazione di scrittura per la risorsa nell'ambito selezionato. Ad esempio, per gestire le macchine virtuali in un gruppo di risorse, è necessario disporre del ruolo collaboratore macchina virtuale nel gruppo di risorse (o nell'ambito padre). Per un elenco delle autorizzazioni per ogni ruolo predefinito, vedere Ruoli predefiniti di Azure.

Causa 2

L'utente attualmente connesso ha un'assegnazione di ruolo con i criteri seguenti:

• Il ruolo include un'azione dati Microsoft.Archiviazione
• L'assegnazione di ruolo include una condizione ABAC che usa operatori di confronto GUID

Soluzione 2

Al momento, non è possibile avere un'assegnazione di ruolo con Microsoft. Archiviazione'azione dati e una condizione ABAC che usa un operatore di confronto GUID. Ecco alcune opzioni per risolvere questo errore:

• Se il ruolo è un ruolo personalizzato, rimuovere qualsiasi Microsoft. Archiviazione azioni di dati
• Modificare la condizione di assegnazione di ruolo in modo che non usi operatori di confronto GUID

Sintomo - L'utente guest ottiene l'autorizzazione non riuscita

Quando un utente guest tenta di accedere a una risorsa, viene visualizzato un messaggio di errore simile al seguente:

The client '<client>' with object id '<objectId>' does not have authorization to perform action '<action>' over scope '<scope>' or the scope is invalid.

Causa

L'utente guest non dispone delle autorizzazioni per la risorsa nell'ambito selezionato.

Soluzione

Verificare che all'utente guest sia assegnato un ruolo con autorizzazioni con privilegi minimi per la risorsa nell'ambito selezionato. Per altre informazioni, Assegnare ruoli di Azure a utenti esterni usando il portale di Azure.

Sintomo - Impossibile creare una richiesta di supporto

Quando si tenta di creare o aggiornare un ticket di supporto, viene visualizzato il messaggio di errore seguente:

You don't have permission to create a support request

Causa

È stato eseguito l'accesso con un utente che non dispone dell'autorizzazione per la creazione delle richieste di supporto.

Soluzione

Verificare di aver eseguito l'accesso con un utente a cui è assegnato un ruolo con l'autorizzazione Microsoft.Support/supportTickets/write , ad esempio Collaboratore richiesta di supporto.

Le funzionalità di Azure sono disabilitate

Sintomo: alcune funzionalità dell'app Web sono disabilitate

Un utente ha accesso in lettura a un'app Web e alcune funzionalità sono disabilitate.

Causa

Se si concede a un utente l'accesso in lettura a un'app Web, alcune funzionalità sono disabilitate che potrebbero non essere previste. Le funzionalità di gestione seguenti richiedono l'accesso in scrittura a un'app Web e non sono disponibili in uno scenario di sola lettura.

• Comandi (quali avvio, interruzione e così via)
• Modifica di impostazioni quali la configurazione generale, le impostazioni di scalabilità, di backup e di monitoraggio.
• Accesso a credenziali di pubblicazione e altri segreti, quali le impostazioni delle app e le stringhe di connessione.
• Streaming dei log
• Configurazione dei log delle risorse
• Console (prompt dei comandi)
• Distribuzioni attive e recenti, per la distribuzione continua del Git locale
• Spesa prevista
• Test Web
• Rete virtuale, visibile per un lettore solo se in precedenza era già stata configurata una rete virtuale da un utente con accesso in scrittura.

Soluzione

Assegnare il ruolo predefinito Collaboratore o un altro azure con autorizzazioni di scrittura per l'app Web.

Sintomo: alcune risorse dell'app Web sono disabilitate

Un utente ha accesso in scrittura a un'app Web e alcune funzionalità sono disabilitate.

Causa

La complessità delle app Web è accentuata dalle interazioni tra alcune risorse diverse. Ecco un gruppo di risorse tipico con un paio di siti Web:

Quindi, se si concede l'accesso solo all'app Web, la maggior parte delle funzionalità del pannello del sito Web nel portale di Azure viene disabilitata.

Questi elementi richiedono l'accesso in scrittura al piano servizio app che corrisponde al sito Web:

• Visualizzazione del piano tariffario dell'app Web, che può essere Gratuito o Standard
• Configurazione di scalabilità, ossia numero di istanze, dimensione della macchina virtuale, impostazioni di scalabilità automatica
• Quote, ad esempio archiviazione, larghezza di banda e CPU

Gli elementi seguenti richiedono accesso in scrittura all'intero gruppo di risorse che contiene il sito Web:

• Certificati e associazioni TLS/SSL. I certificati TLS/SSL possono essere condivisi tra siti appartenenti allo stesso gruppo di risorse e area geografica.
• Regole di avviso
• Impostazioni di scalabilità automatica
• Componenti di Application Insights
• Test Web

Soluzione

Assegnare un ruolo predefinito di Azure con autorizzazioni di scrittura per il piano di servizio app o il gruppo di risorse.

Sintomo: alcune funzionalità della macchina virtuale sono disabilitate

Un utente ha accesso a una macchina virtuale e alcune funzionalità sono disabilitate.

Causa

Analogamente a quanto accade con le app Web, alcune funzionalità del blade della macchina virtuale richiedono l'accesso in scrittura alla macchina virtuale o ad altre risorse del gruppo di risorse.

Le macchine virtuali sono correlate a nomi di dominio, reti virtuali, account di archiviazione e regole di avviso.

Gli elementi seguenti richiedono l'accesso in scrittura alla macchina virtuale:

• Endpoint
• Indirizzi IP
• Dischi
• Estensioni

Questi richiedono l'accesso in scrittura sia alla macchina virtuale che al gruppo di risorse (insieme al nome di dominio) in cui si trova:

• Set di disponibilità
• Set con carico bilanciato
• Regole di avviso

Se non è possibile accedere a nessuno di questi riquadri, richiedere all'amministratore l'accesso come Collaboratore al gruppo di risorse.

Soluzione

Assegnare un ruolo predefinito di Azure con autorizzazioni di scrittura per la macchina virtuale o il gruppo di risorse.

Sintomo: alcune funzionalità dell'app per le funzioni sono disabilitate

Un utente ha accesso a un'app per le funzioni e alcune funzionalità sono disabilitate. Ad esempio, possono fare clic sulla scheda Funzionalità della piattaforma e quindi su Tutte le impostazioni per visualizzare alcune impostazioni correlate a un'app per le funzioni (simile a un'app Web), ma non possono modificare alcuna di queste impostazioni.

Causa

Alcune funzionalità di Funzioni di Azure richiedono l'accesso in scrittura. Ad esempio, se a un utente viene assegnato il ruolo Lettore , non sarà possibile visualizzare le funzioni all'interno di un'app per le funzioni. Il portale visualizza (Nessun accesso).

Soluzione

Assegnare un ruolo predefinito di Azure con autorizzazioni di scrittura per l'app per le funzioni o il gruppo di risorse.

Trasferimento di una sottoscrizione a una directory diversa

Sintomo: tutte le assegnazioni di ruolo vengono eliminate dopo il trasferimento di una sottoscrizione

Causa

Quando si trasferisce una sottoscrizione di Azure in un'altra directory di Microsoft Entra, tutte le assegnazioni di ruolo vengono eliminate definitivamente dalla directory Microsoft Entra di origine e non vengono migrate nella directory Microsoft Entra di destinazione.

Soluzione

È necessario creare nuovamente le assegnazioni di ruolo nella directory di destinazione. È anche necessario ricreare manualmente le identità gestite per le risorse di Azure. Per altre informazioni, vedere Trasferire una sottoscrizione di Azure a un'altra directory di Microsoft Entra e domande frequenti e problemi noti relativi alle identità gestite.

Sintomo : non è possibile accedere alla sottoscrizione dopo il trasferimento di una sottoscrizione

Soluzione

Se si è un microsoft Entra Global Amministrazione istrator e non si ha accesso a una sottoscrizione dopo il trasferimento tra le directory, usare l'interruttore Gestione degli accessi per le risorse di Azure per elevare temporaneamente l'accesso per ottenere l'accesso alla sottoscrizione.

Amministratori di sottoscrizioni classiche

Importante

Le risorse classiche e gli amministratori classici verranno ritirati il 31 agosto 2024. A partire dal 3 aprile 2024, non sarà possibile aggiungere nuovi co-Amministrazione istratori. Questa data è stata estesa di recente. Rimuovere i co-Amministrazione istratori non necessari e usare il controllo degli accessi in base al ruolo di Azure per il controllo degli accessi con granularità fine.

Per altre informazioni, vedere Amministratori della sottoscrizione classica di Azure.

Passaggi successivi

• Risolvere i problemi relativi agli utenti esterni
• Assegnare ruoli di Azure usando il portale di Azure
• Visualizzare i log attività per le modifiche del controllo degli accessi in base al ruolo di Azure