Comprendere quando può essere necessario elevare temporaneamente i propri privilegi di accesso
L'amministratore della sottoscrizione di Azure del reparto marketing ha lasciato di recente l'organizzazione. In quanto amministratore globale, non si è autorizzati ad accedere a questa sottoscrizione. È ora necessario concedere l'accesso con privilegi di amministratore per la sottoscrizione a un'altra persona del reparto marketing.
In questa unità si esaminerà quando potrebbe essere necessario elevare i propri privilegi di accesso.
Quando elevare i privilegi di accesso
Per impostazione predefinita, un amministratore globale non ha accesso alle risorse di Azure. L'amministratore globale di Microsoft Entra ID può elevare temporaneamente le proprie autorizzazioni al ruolo Amministratore Accesso utenti di Azure. Questa azione concede le autorizzazioni di controllo degli accessi in base al ruolo di Azure necessarie per gestire le risorse di Azure. Il ruolo Amministratore Accesso utenti viene assegnato con ambito radice. Il ruolo può visualizzare tutte le risorse in e assegnare l'accesso a qualsiasi sottoscrizione o gruppo di gestione in tale organizzazione Microsoft Entra.
Il diagramma seguente mostra le risorse che l'amministratore globale può visualizzare quando le sue autorizzazioni vengono elevate al ruolo Amministratore Accesso utenti.
In quanto amministratore globale, potrebbe essere necessario elevare le proprie autorizzazioni per:
- Recuperare l'accesso perso a una sottoscrizione o a un gruppo di gestione di Azure.
- Concedere a un altro utente o a se stesso l'accesso a una sottoscrizione o a un gruppo di gestione di Azure.
- Visualizzare tutte le sottoscrizioni o i gruppi di gestione di Azure in un'organizzazione.
- Concedere a un'app di automazione l'accesso a tutti i gruppi di gestione o sottoscrizioni di Azure.
Dopo aver elevato le proprie autorizzazioni al ruolo Amministratore Accesso utenti, l'amministratore globale può concedere ad altri utenti le autorizzazioni del controllo degli accessi in base al ruolo di Azure necessarie per controllare e gestire le risorse di Azure. Una volta completata l'attività, l'amministratore globale dovrebbe revocare le autorizzazioni elevate.
Assegnare a un utente l'accesso come amministratore a una sottoscrizione di Azure
Per assegnare a un utente l'accesso amministrativo a una sottoscrizione, è necessario disporre delle autorizzazioni Microsoft.Authorization/roleAssignments/write e Microsoft.Authorization/roleAssignments/delete a livello dell'ambito della sottoscrizione. Gli utenti con il ruolo Proprietario della sottoscrizione o Amministratore Accesso utenti hanno queste autorizzazioni.
Nell'unità successiva si apprenderà come assegnare un ruolo usando il portale di Azure dopo aver elevato le autorizzazioni per l'accesso utente Amministrazione istrator. È comunque possibile assegnare ruoli usando Azure PowerShell, l'interfaccia della riga di comando di Azure o l'API REST.
Nelle sezioni seguenti verranno brevemente esaminati i comandi da usare per assegnare il ruolo Proprietario in Azure PowerShell o nell'interfaccia della riga di comando di Azure.
Assegnare il ruolo usando Azure PowerShell
Il comando seguente mostra come assegnare il ruolo Proprietario a livello di ambito della sottoscrizione usando Azure PowerShell:
New-AzRoleAssignment `
-SignInName rbacuser@example.com `
-RoleDefinitionName "Owner" `
-Scope "/subscriptions/<subscriptionID>"
Assegnare il ruolo usando l'interfaccia della riga di comando di Azure
Il comando seguente mostra come assegnare il ruolo Proprietario a livello di ambito della sottoscrizione usando l'interfaccia della riga di comando di Azure:
az role assignment create \
--assignee rbacuser@example.com \
--role "Owner" \
--scope /subscriptions/<subscription_id>/resourceGroups/<resource_group_name> \
--subscription <subscription_name_or_id>