Klassieke abonnementsbeheerders van Azure

Belangrijk

Klassieke resources en klassieke beheerders worden op 31 augustus 2024 buiten gebruik gesteld. Vanaf 3 april 2024 kunt u geen nieuwe co-beheerders toevoegen. Deze datum is onlangs verlengd. Verwijder overbodige co-beheerders en gebruik Azure RBAC voor gedetailleerd toegangsbeheer.

Microsoft raadt u aan om de toegang tot Azure-resources te beheren met behulp van op rollen gebaseerd toegangsbeheer van Azure (Azure RBAC). Als u echter nog steeds het klassieke implementatiemodel gebruikt, moet u een klassieke abonnementsbeheerdersrol gebruiken: Service Beheer istrator en Co-Beheer istrator. Zie Azure Resource Manager versus klassieke implementatie voor meer informatie over het migreren van uw resources van klassieke implementatie naar Resource Manager-implementatie.

Als u nog steeds klassieke beheerders hebt, moet u deze roltoewijzingen vóór de buitengebruikstellingsdatum verwijderen. In dit artikel wordt beschreven hoe u zich voorbereidt op de buitengebruikstelling van de rollen Co-Beheer istrator en Service Beheer istrator en hoe u deze roltoewijzingen verwijdert of wijzigt.

Veelgestelde vragen

Hebben Co-Beheer istrators en Service Beheer istrator na 31 augustus 2024 geen toegang meer?

• Vanaf 31 augustus 2024 start Microsoft het proces om de toegang voor co-Beheer istrators en service-Beheer istrator te verwijderen.

Hoe kan ik weten welke abonnementen klassieke beheerders hebben?

• U kunt een Azure Resource Graph-query gebruiken om abonnementen weer te geven met Service Beheer istrator- of Co-Beheer istrator-roltoewijzingen. Zie Klassieke beheerders weergeven voor stappen.

Wat is de equivalente Azure-rol die ik moet toewijzen voor co-Beheer istrators?

• De rol Van eigenaar in het abonnementsbereik heeft de equivalente toegang. Eigenaar is echter een bevoorrechte beheerdersrol en verleent volledige toegang tot het beheren van Azure-resources. Overweeg een functierol met minder machtigingen, verklein het bereik of voeg een voorwaarde toe.

Wat is de equivalente Azure-rol die ik moet toewijzen voor Service Beheer istrator?

• De rol Van eigenaar in het abonnementsbereik heeft de equivalente toegang.

Waarom moet ik migreren naar Azure RBAC?

• Klassieke beheerders worden buiten gebruik gesteld. Azure RBAC biedt fijnmazige toegangsbeheer, compatibiliteit met Microsoft Entra Privileged Identity Management (PIM) en volledige ondersteuning voor auditlogboeken. Alle toekomstige investeringen zijn in Azure RBAC.

Hoe zit het met de rol Account Beheer istrator?

• De account-Beheer istrator is de primaire gebruiker voor uw factureringsrekening. Account Beheer istrator wordt niet afgeschaft en u hoeft deze roltoewijzing niet te vervangen. Account Beheer istrator en Service Beheer istrator kunnen dezelfde gebruiker zijn. U hoeft echter alleen de roltoewijzing service Beheer istrator te verwijderen.

Wat moet ik doen als ik een sterke afhankelijkheid heb van Co-Beheer istrators of Service Beheer istrator?

• E-mail ACARDeprecation@microsoft.com en beschrijf uw scenario.

Voorbereiden op buitengebruikstelling van co-Beheer isten

Als u nog steeds klassieke beheerders hebt, gebruikt u de volgende stappen om u voor te bereiden op de buitengebruikstelling van de co-Beheer istrator-rol.

Stap 1: Bekijk uw huidige co-Beheer istrators

1. Meld u als eigenaar van een abonnement aan bij Azure Portal.

2. Gebruik Azure Portal of Azure Resource Graph om een lijst met uw co-Beheer istrators weer te geven.

3. Controleer de aanmeldingslogboeken voor uw co-Beheer istrators om te beoordelen of ze actieve gebruikers zijn.

Stap 2: Co-Beheer istrators verwijderen die geen toegang meer nodig hebben

1. Als de gebruiker zich niet meer in uw onderneming bevindt, verwijdert u Co-Beheer istrator.

2. Als de gebruiker is verwijderd, maar de toewijzing van co-Beheer istrator niet is verwijderd, verwijdert u Co-Beheer istrator.

   Gebruikers die zijn verwijderd, bevatten doorgaans de tekst (de gebruiker is niet gevonden in deze map).

   

3. Nadat u de activiteit van de gebruiker hebt bekeken en de gebruiker niet meer actief is, verwijdert u Co-Beheer istrator.

Stap 3: Bestaande co-Beheer istrators vervangen door functierollen voor taken

De meeste gebruikers hebben niet dezelfde machtigingen nodig als een co-Beheer istrator. Overweeg in plaats daarvan een functierol.

1. Als een gebruiker nog steeds toegang nodig heeft, bepaalt u de juiste functierol die hij of zij nodig heeft.

2. Bepaal de behoeften van de gebruiker voor het bereik .

3. Volg de stappen om een functierol aan de gebruiker toe te wijzen.

4. Co-Beheer istrator verwijderen.

Stap 4: Bestaande co-Beheer istrators vervangen door de rol en voorwaarden van eigenaar

Sommige gebruikers hebben mogelijk meer toegang nodig dan wat een functierol van een functie kan bieden. Als u de rol Eigenaar moet toewijzen, kunt u overwegen een voorwaarde toe te voegen om de roltoewijzing te beperken.

1. Wijs de rol Eigenaar toe aan het abonnementsbereik met voorwaarden aan de gebruiker.

2. Co-Beheer istrator verwijderen.

Voorbereiden op buitengebruikstelling van service Beheer istrator

Als u nog steeds klassieke beheerders hebt, gebruikt u de volgende stappen om u voor te bereiden op buitengebruikstelling van de service-Beheer istrator-rol. Als u de Service-Beheer istrator wilt verwijderen, moet u ten minste één gebruiker hebben die de rol Eigenaar in het abonnementsbereik heeft toegewezen zonder voorwaarden om zwevende inhoud van het abonnement te voorkomen. Een abonnementseigenaar heeft dezelfde toegang als de servicebeheerder.

Stap 1: Uw huidige service-Beheer istrator controleren

1. Meld u als eigenaar van een abonnement aan bij Azure Portal.

2. Gebruik Azure Portal of Azure Resource Graph om uw service-Beheer istrator weer te geven.

3. Controleer de aanmeldingslogboeken voor uw Service-Beheer istrator om te beoordelen of ze een actieve gebruiker zijn.

Stap 2: De eigenaren van uw huidige factureringsrekening controleren

De gebruiker aan wie de rol Service Beheer istrator is toegewezen, is mogelijk ook dezelfde gebruiker als de beheerder voor uw factureringsaccount. Controleer de huidige eigenaren van uw factureringsrekening om er zeker van te zijn dat ze nog steeds correct zijn.

1. Gebruik Azure Portal om eigenaren van uw factureringsaccount op te halen.

2. Bekijk uw lijst met eigenaren van factureringsaccounts. Werk indien nodig een andere eigenaar van het factureringsaccount bij of voeg deze toe.

Stap 3: Bestaande service Beheer istrator vervangen door de rol Eigenaar

Uw service Beheer istrator kan een Microsoft-account of een Microsoft Entra-account zijn. Een Microsoft-account is een persoonlijk account, zoals Outlook, OneDrive, Xbox LIVE of Microsoft 365. Een Microsoft Entra-account is een identiteit die is gemaakt via Microsoft Entra-id.

1. Als service-Beheer gebruiker een Microsoft-account is en u wilt dat deze gebruiker dezelfde machtigingen behoudt, wijst u de rol Eigenaar zonder voorwaarden toe aan deze gebruiker op abonnementsniveau.

2. Als de service-Beheer istrator-gebruiker een Microsoft Entra-account is en u wilt dat deze gebruiker dezelfde machtigingen behoudt, wijst u de rol Eigenaar zonder voorwaarden toe aan deze gebruiker in het abonnementsbereik.

3. Als u de gebruiker van de service Beheer istrator wilt wijzigen in een andere gebruiker, wijst u de rol Eigenaar toe aan deze nieuwe gebruiker in het abonnementsbereik zonder voorwaarden.

4. Verwijder de service Beheer istrator.

Klassieke beheerders weergeven

Azure-portal

Volg deze stappen om de service-Beheer istrator en co-Beheer istrators voor een abonnement weer te geven met behulp van Azure Portal.

1. Meld u als eigenaar van een abonnement aan bij Azure Portal.

2. Open Abonnementen en selecteer een abonnement.

3. Klik op Toegangsbeheer (IAM) .

4. Selecteer het tabblad Klassieke beheerders om een lijst met co-Beheer istrators weer te geven.

   

Azure Resource Graph

Volg deze stappen om het aantal Service Beheer istrator- en co-Beheer istrators in uw abonnementen weer te geven met behulp van Azure Resource Graph.

1. Meld u als eigenaar van een abonnement aan bij Azure Portal.

2. Open Azure Resource Graph Explorer.

3. Selecteer Bereik en stel het bereik voor de query in.

   Stel het bereik in op Directory om een query uit te voeren op uw hele tenant, maar u kunt het bereik beperken tot bepaalde abonnementen.

   

4. Selecteer Autorisatiebereik instellen en stel het autorisatiebereik in op At, boven en hieronder om een query uit te voeren op alle resources in het opgegeven bereik.

   

5. Voer de volgende query uit om het aantal service-Beheer istrators en co-Beheer istrators weer te geven op basis van het bereik.

   authorizationresources
   | where type == "microsoft.authorization/classicadministrators"
   | mv-expand role = parse_json(properties).role
   | mv-expand adminState = parse_json(properties).adminState
   | where adminState == "Enabled"
   | where role in ("ServiceAdministrator", "CoAdministrator")
   | summarize count() by subscriptionId, tostring(role)
   

   Hieronder ziet u een voorbeeld van de resultaten. De kolom count_ is het aantal Service Beheer istrators of Co-Beheer istrators voor een abonnement.

   

Een co-beheerder verwijderen

Belangrijk

Klassieke resources en klassieke beheerders worden op 31 augustus 2024 buiten gebruik gesteld. Vanaf 3 april 2024 kunt u geen nieuwe co-beheerders toevoegen. Deze datum is onlangs verlengd. Verwijder overbodige co-beheerders en gebruik Azure RBAC voor gedetailleerd toegangsbeheer.

Volg deze stappen om een co-Beheer istrator te verwijderen.

1. Meld u als eigenaar van een abonnement aan bij Azure Portal.

2. Open Abonnementen en selecteer een abonnement.

3. Klik op Toegangsbeheer (IAM) .

4. Selecteer het tabblad Klassieke beheerders om een lijst met co-Beheer istrators weer te geven.

5. Voeg een vinkje toe naast de Co-beheerder die u wilt verwijderen.

6. Selecteer Verwijderen.

7. Selecteer Ja in het berichtvak dat verschijnt.

   

Een co-beheerder toevoegen

Belangrijk

Klassieke resources en klassieke beheerders worden op 31 augustus 2024 buiten gebruik gesteld. Vanaf 3 april 2024 kunt u geen nieuwe co-beheerders toevoegen. Deze datum is onlangs verlengd. Verwijder overbodige co-beheerders en gebruik Azure RBAC voor gedetailleerd toegangsbeheer.

U hoeft alleen een co-Beheer istrator toe te voegen als de gebruiker klassieke Azure-implementaties moet beheren met behulp van de PowerShell-module van Azure Service Management. Als de gebruiker de Azure Portal alleen gebruikt voor het beheren van de klassieke resources, hoeft u de klassieke beheerder niet toe te voegen voor de gebruiker.

1. Meld u als eigenaar van een abonnement aan bij Azure Portal.

2. Open Abonnementen en selecteer een abonnement.

   Co-Beheer istrators kunnen alleen worden toegewezen aan het abonnementsbereik.

3. Klik op Toegangsbeheer (IAM) .

4. Selecteer het tabblad Klassieke beheerders.

   

5. Selecteer Toevoegen>Co-beheerder toevoegen om het deelvenster Co-beheerders toevoegen te openen.

   Als de optie Co-beheerder toevoegen is uitgeschakeld, hebt u geen machtigingen.

6. Selecteer de gebruiker die u wilt toevoegen en selecteer Toevoegen.

   

Een gastgebruiker toevoegen als co-beheerder

Als u een gastgebruiker als co-beheerder wilt toevoegen, volgt u dezelfde stappen als in de vorige sectie Een co-beheerder toevoegen. De gastgebruiker moet voldoen aan de volgende criteria:

• De gastgebruiker moet aanwezig zijn in uw directory. Dit betekent dat de gebruiker is uitgenodigd voor uw directory en de uitnodiging heeft geaccepteerd.

Zie Microsoft Entra B2B-samenwerkingsgebruikers toevoegen in Azure Portal voor meer informatie over het toevoegen van een gastgebruiker aan uw directory.

Voordat u een gastgebruiker uit uw directory verwijdert, moet u eerst roltoewijzingen voor die gastgebruiker verwijderen. Zie Een externe gebruiker verwijderen uit uw directory voor meer informatie.

Verschillen voor gastgebruikers

Gastgebruikers aan wie de rol Co-beheerder is toegewezen, zien mogelijk enkele verschillen ten opzichte van lidgebruikers met de rol co-beheerder. Bekijk het volgende scenario:

• Gebruiker A met een Microsoft Entra-account (werk- of schoolaccount) is de Service Beheer istrator voor een Azure-abonnement.
• Gebruiker B heeft een Microsoft-account.
• Gebruiker A wijst de rol Co-Beheer istrator toe aan gebruiker B.
• Gebruiker B kan bijna alles doen, maar kan geen toepassingen registreren of gebruikers opzoeken in de Microsoft Entra-directory.

U zou verwachten dat gebruiker B alles kan beheren. De reden voor dit verschil is dat het Microsoft-account als gastgebruiker wordt toegevoegd aan het abonnement in plaats van een lidgebruiker. Gastgebruikers hebben verschillende standaardmachtigingen in Microsoft Entra ID in vergelijking met lidgebruikers. Leden kunnen bijvoorbeeld andere gebruikers lezen in Microsoft Entra ID en gastgebruikers niet. Leden kunnen nieuwe service-principals registreren in Microsoft Entra ID en gastgebruikers niet.

Als een gastgebruiker deze taken moet kunnen uitvoeren, is een mogelijke oplossing om de specifieke Microsoft Entra-rollen toe te wijzen die de gastgebruiker nodig heeft. In het vorige scenario kunt u bijvoorbeeld de rol Directory Readers toewijzen om andere gebruikers te lezen en de rol Toepassingsontwikkelaar toe te wijzen om service-principals te kunnen maken. Zie Wat zijn de standaardgebruikersmachtigingen in Microsoft Entra ID voor meer informatie over lid- en gastgebruikers en hun machtigingen. Zie Azure-rollen toewijzen aan externe gebruikers met behulp van Azure Portal voor meer informatie over het verlenen van toegang voor gastgebruikers.

Houd er rekening mee dat de ingebouwde Azure-rollen verschillen van de Microsoft Entra-rollen. De ingebouwde rollen verlenen geen toegang tot Microsoft Entra-id. Zie Inzicht in de verschillende rollen voor meer informatie.

Zie Wat zijn de standaardgebruikers in Microsoft Entra ID voor informatie over het vergelijken van lidgebruikers en gastgebruikers.

De servicebeheerder wijzigen

Alleen de accountbeheerder kan de servicebeheerder wijzigen voor een abonnement. Wanneer u zich voor een Azure-abonnement registreert, is de servicebeheerder standaard hetzelfde als de accountbeheerder.

De gebruiker met de rol Accountbeheerder heeft toegang tot de Azure Portal en beheert facturering, maar kan geen abonnementen annuleren. De gebruiker met de rol Servicebeheerder heeft volledige toegang tot de Azure Portal en kan abonnementen annuleren. De accountbeheerder zichzelf de servicebeheerder maken.

Volg deze stappen om de Service Beheer istrator te wijzigen in Azure Portal.

1. Meld u als accountbeheerder aan bij Azure Portal.

2. Open Cost Management + Billing en selecteer een abonnement.

3. Selecteer in het linkernavigatievenster de optie Eigenschappen.

4. Selecteer Servicebeheerder wijzigen.

   

5. Voer op de pagina Servicebeheerder bewerken het e-mailadres voor de nieuwe servicebeheerder in.

   

6. Selecteer OK om de wijziging op te slaan.

De servicebeheerder verwijderen

Als u de service Beheer istrator wilt verwijderen, moet u een gebruiker hebben die de rol Eigenaar in het abonnementsbereik zonder voorwaarden heeft toegewezen om zwevende inhoud van het abonnement te voorkomen. Een abonnementseigenaar heeft dezelfde toegang als de servicebeheerder.

1. Meld u als eigenaar van een abonnement aan bij Azure Portal.

2. Open Abonnementen en selecteer een abonnement.

3. Klik op Toegangsbeheer (IAM) .

4. Selecteer het tabblad Klassieke beheerders.

5. Voeg een vinkje toe naast de servicebeheerder.

6. Selecteer Verwijderen.

7. Selecteer Ja in het berichtvak dat verschijnt.

   

Als de service-Beheer istratorgebruiker zich niet in de directory bevindt, krijgt u mogelijk de volgende fout wanneer u de Service Beheer istrator probeert te verwijderen:

Call GSM to delete service admin on subscription <subscriptionId> failed. Exception: Cannot delete user <principalId> since they are not the service administrator. Please retry with the right service administrator user PUID.

Als de service-Beheer istratorgebruiker zich niet in de directory bevindt, probeert u de Service-Beheer istrator te wijzigen in een bestaande gebruiker en probeert u vervolgens de Service-Beheer istrator te verwijderen.

Volgende stappen

• Inzicht in de verschillende rollen
• Azure-rollen toewijzen met behulp van het Azure Portal
• Informatie over beheerdersrollen voor Microsoft-klantovereenkomsten in Azure