Klasyczni administratorzy subskrypcji platformy Azure

Ważne

Od 31 sierpnia 2024 r. klasyczne role administratora platformy Azure (wraz z klasycznymi zasobami platformy Azure i programem Azure Service Manager) są wycofane i nie są już obsługiwane. Jeśli nadal masz aktywne przypisania roli Współadministrator lub Administrator usługi, przekonwertuj te przypisania ról na kontrolę dostępu opartą na rolach platformy Azure natychmiast.

Firma Microsoft zaleca zarządzanie dostępem do zasobów platformy Azure przy użyciu kontroli dostępu na podstawie ról (RBAC platformy Azure). Jeśli nadal używasz klasycznego modelu wdrażania, musisz przeprowadzić migrację zasobów z wdrożenia klasycznego do wdrożenia przy użyciu usługi Resource Manager. Aby uzyskać więcej informacji, zobacz Azure Resource Manager a wdrożenie klasyczne.

W tym artykule opisano wycofanie ról współadministratora i administratora usługi oraz sposób konwertowania tych przypisań ról.

Często zadawane pytania

Co się stanie z przypisaniami ról administratora klasycznego po 31 sierpnia 2024 r.?

• Role współadministratora i administratora usługi są wycofywane i nie są już obsługiwane. Te przypisania ról należy przekonwertować natychmiast na kontrolę dostępu opartą na rolach platformy Azure.

Jak mogę wiedzieć, jakie subskrypcje mają administratorów klasycznych?

• Możesz użyć zapytania usługi Azure Resource Graph, aby wyświetlić listę subskrypcji przy użyciu przypisań ról administratora usługi lub współadministratora. Aby uzyskać instrukcje, zobacz Wyświetlanie listy administratorów klasycznych.

Jaka jest równoważna rola platformy Azure, jaką należy przypisać dla współadministratorów?

• Rola właściciela w zakresie subskrypcji ma równoważny dostęp. Jednak właściciel jest rolą uprzywilejowanego administratora i udziela pełnego dostępu do zarządzania zasobami platformy Azure. Należy rozważyć rolę funkcji zadania z mniejszą liczbą uprawnień, zmniejszyć zakres lub dodać warunek.

Jaka jest równoważna rola platformy Azure, jaką należy przypisać dla administratora usługi?

• Rola właściciela w zakresie subskrypcji ma równoważny dostęp.

Dlaczego muszę przeprowadzić migrację do kontroli dostępu opartej na rolach platformy Azure?

• Kontrola dostępu oparta na rolach platformy Azure oferuje szczegółową kontrolę dostępu, zgodność z usługą Microsoft Entra Privileged Identity Management (PIM) i obsługą pełnych dzienników inspekcji. Wszystkie przyszłe inwestycje będą znajdować się w kontroli dostępu opartej na rolach platformy Azure.

Co z rolą administratora konta?

• Administrator konta jest użytkownikiem podstawowym konta rozliczeniowego. Administrator konta nie jest przestarzały i nie musisz konwertować tego przypisania roli. Administrator konta i administrator usługi mogą być tym samym użytkownikiem. Jednak wystarczy przekonwertować przypisanie roli Administrator usługi.

Co zrobić, jeśli utracę dostęp do subskrypcji?

• Jeśli usuniesz klasycznych administratorów bez co najmniej jednego przypisania roli Właściciel dla subskrypcji, utracisz dostęp do subskrypcji, a subskrypcja zostanie oddzielona. Aby odzyskać dostęp do subskrypcji, możesz wykonać następujące czynności:

  • Wykonaj kroki, aby podnieść poziom dostępu do zarządzania wszystkimi subskrypcjami w dzierżawie.
  • Przypisz rolę Właściciel w zakresie subskrypcji dla użytkownika.
  • Usuń podwyższony poziom dostępu.

Co zrobić, jeśli mam silną zależność od współadministratorów lub administratora usługi?

• Wyślij wiadomość e-mail ACARDeprecation@microsoft.com i opisz swój scenariusz.

Wyświetlanie listy administratorów klasycznych

Witryna Azure Portal

Wykonaj następujące kroki, aby wyświetlić listę administratorów usług i współadministratorów subskrypcji przy użyciu witryny Azure Portal.

1. Zaloguj się w witrynie Azure Portal jako właściciel subskrypcji.

2. Otwórz blok Subskrypcje i wybierz subskrypcję.

3. Wybierz pozycję Kontrola dostępu (IAM) .

4. Wybierz kartę Administratorzy klasyczni, aby wyświetlić listę współadministratorów.

   

Azure Resource Graph

Wykonaj następujące kroki, aby wyświetlić listę liczby administratorów usług i współadministratorów w subskrypcjach przy użyciu usługi Azure Resource Graph.

1. Zaloguj się w witrynie Azure Portal jako właściciel subskrypcji.

2. Otwórz Eksploratora usługi Azure Resource Graph.

3. Wybierz pozycję Zakres i ustaw zakres zapytania.

   Ustaw zakres na Katalog , aby wykonać zapytanie względem całej dzierżawy, ale możesz zawęzić zakres do określonych subskrypcji.

   

4. Wybierz pozycję Ustaw zakres autoryzacji i ustaw zakres autoryzacji na Wartość W, powyżej i poniżej , aby wysłać zapytanie do wszystkich zasobów w określonym zakresie.

   

5. Uruchom następujące zapytanie, aby wyświetlić listę administratorów usług i współadministratorów usług na podstawie zakresu.

   authorizationresources
   | where type == "microsoft.authorization/classicadministrators"
   | mv-expand role = parse_json(properties).role
   | mv-expand adminState = parse_json(properties).adminState
   | where adminState == "Enabled"
   | where role in ("ServiceAdministrator", "CoAdministrator")
   | summarize count() by subscriptionId, tostring(role)
   

   Poniżej przedstawiono przykład wyników. Kolumna count_ to liczba administratorów usług lub współadministratorów subskrypcji.

   

Wycofanie współadministratorów

Jeśli nadal masz administratorów klasycznych, wykonaj następujące kroki, aby ułatwić konwertowanie przypisań ról współadministratora.

Krok 1. Przeglądanie bieżących współadministratorów

1. Zaloguj się w witrynie Azure Portal jako właściciel subskrypcji.

2. Użyj witryny Azure Portal lub usługi Azure Resource Graph, aby wyświetlić listę współadministratorów.

3. Przejrzyj dzienniki logowania dla współadministratorów, aby ocenić, czy są aktywnymi użytkownikami.

Krok 2. Usuwanie współadministratorów, którzy nie potrzebują już dostępu

1. Jeśli użytkownik nie znajduje się już w przedsiębiorstwie, usuń współadministratora.

2. Jeśli użytkownik został usunięty, ale jego przypisanie współadministratora nie zostało usunięte, usuń współadministratora.

   Użytkownicy, którzy zostali usunięci, zazwyczaj zawierają tekst (użytkownik nie został znaleziony w tym katalogu).

   

3. Po przejrzeniu aktywności użytkownika, jeśli użytkownik nie jest już aktywny, usuń współadministratora.

Krok 3. Konwertowanie współadministratorów na role funkcji zadania

Większość użytkowników nie potrzebuje tych samych uprawnień co współadministrator. Rozważ zamiast tego rolę funkcji zadania.

1. Jeśli użytkownik nadal potrzebuje dostępu, określ odpowiednią rolę funkcji zadania, której potrzebują.

2. Określ zakres potrzeb użytkownika.

3. Wykonaj kroki, aby przypisać rolę funkcji zadania do użytkownika.

4. Usuń współadministratora.

Krok 4. Konwertowanie współadministratorów na rolę właściciela z warunkami

Niektórzy użytkownicy mogą potrzebować większego dostępu niż rola funkcji zadania. Jeśli musisz przypisać rolę Właściciel , rozważ dodanie warunku lub użycie usługi Microsoft Entra Privileged Identity Management (PIM), aby ograniczyć przypisanie roli.

1. Przypisz rolę Właściciel z warunkami.

   Na przykład przypisz rolę Właściciela w zakresie subskrypcji z warunkami. Jeśli masz usługę PIM, upewnij się, że użytkownik kwalifikuje się do przypisania roli Właściciel.

2. Usuń współadministratora.

Krok 5. Konwertowanie współadministratorów na rolę właściciela

Jeśli użytkownik musi być administratorem subskrypcji, przypisz rolę Właściciela w zakresie subskrypcji.

• Wykonaj kroki opisane w temacie Jak przekonwertować współadministratora z rolą właściciela.

Jak przekonwertować rolę współadministratora na rolę właściciela

Najprostszym sposobem ukrycia przypisania roli współadministratora do roli Właściciel w zakresie subskrypcji jest użycie kroków korygowania .

1. Zaloguj się w witrynie Azure Portal jako właściciel subskrypcji.

2. Otwórz blok Subskrypcje i wybierz subskrypcję.

3. Wybierz pozycję Kontrola dostępu (IAM) .

4. Wybierz kartę Administratorzy klasyczni, aby wyświetlić listę współadministratorów.

5. Dla współadministratora, który chcesz przekonwertować na rolę Właściciel, w kolumnie Korygowanie wybierz link Przypisz rolę RBAC.

6. W okienku Dodawanie przypisania roli przejrzyj przypisanie roli.

   

7. Wybierz pozycję Przejrzyj i przypisz , aby przypisać rolę właściciela i usunąć przypisanie roli Współadministrator.

Jak usunąć współadministratora

Wykonaj następujące kroki, aby usunąć współadministratora.

1. Zaloguj się w witrynie Azure Portal jako właściciel subskrypcji.

2. Otwórz blok Subskrypcje i wybierz subskrypcję.

3. Wybierz pozycję Kontrola dostępu (IAM) .

4. Wybierz kartę Administratorzy klasyczni, aby wyświetlić listę współadministratorów.

5. Dodaj znacznik wyboru obok współadministratora, którego chcesz usunąć.

6. Wybierz Usuń.

7. W wyświetlonym oknie z komunikatem wybierz opcję Tak.

   

Wycofanie administratora usługi

Jeśli nadal masz administratorów klasycznych, wykonaj następujące kroki, aby ułatwić konwertowanie przypisania roli administratora usługi. Przed usunięciem administratora usługi musisz mieć co najmniej jednego użytkownika, który ma przypisaną rolę Właściciel w zakresie subskrypcji bez warunków, aby uniknąć oddzielonia subskrypcji. Właściciel subskrypcji ma takie same uprawnienia dostępu jak administrator usługi.

Krok 1. Przeglądanie bieżącego administratora usługi

1. Zaloguj się w witrynie Azure Portal jako właściciel subskrypcji.

2. Użyj witryny Azure Portal lub usługi Azure Resource Graph, aby wyświetlić listę administratorów usługi.

3. Przejrzyj dzienniki logowania administratora usługi, aby sprawdzić, czy są aktywnym użytkownikiem.

Krok 2. Przeglądanie bieżących właścicieli kont rozliczeniowych

Użytkownik, któremu przypisano rolę Administratora usługi, może być również tym samym użytkownikiem, który jest administratorem konta rozliczeniowego. Należy przejrzeć bieżących właścicieli kont rozliczeniowych, aby upewnić się, że są one nadal dokładne.

1. Użyj witryny Azure Portal, aby uzyskać właścicieli kont rozliczeniowych.

2. Przejrzyj listę właścicieli kont rozliczeniowych. W razie potrzeby zaktualizuj lub dodaj innego właściciela konta rozliczeniowego.

Krok 3. Konwertowanie administratora usługi na rolę właściciela

Administrator usługi może być kontem Microsoft lub kontem Microsoft Entra. Konto Microsoft to konto osobiste, takie jak Outlook, OneDrive, Xbox LIVE lub Microsoft 365. Konto Microsoft Entra to tożsamość utworzona za pomocą identyfikatora Entra firmy Microsoft.

1. Jeśli użytkownik administratora usługi jest kontem Microsoft i chcesz, aby ten użytkownik zachował te same uprawnienia, przekonwertuj rolę administrator usługi na rolę właściciela.

2. Jeśli użytkownik administrator usługi jest kontem firmy Microsoft Entra i chcesz, aby ten użytkownik zachował te same uprawnienia, przekonwertuj administratora usługi na rolę właściciela.

3. Jeśli chcesz zmienić użytkownika administratora usługi na innego użytkownika, przypisz rolę Właściciela do tego nowego użytkownika w zakresie subskrypcji bez warunków. Następnie usuń administratora usługi.

Jak przekonwertować rolę administratora usługi na rolę właściciela

Najprostszym sposobem przekonwertowania przypisania roli administratora usługi do roli Właściciel w zakresie subskrypcji jest użycie kroków korygowania .

1. Zaloguj się w witrynie Azure Portal jako właściciel subskrypcji.

2. Otwórz blok Subskrypcje i wybierz subskrypcję.

3. Wybierz pozycję Kontrola dostępu (IAM) .

4. Wybierz kartę Klasyczni administratorzy , aby wyświetlić administratora usługi.

5. W polu Administrator usługi w kolumnie Korygowanie wybierz link Przypisz rolę RBAC.

6. W okienku Dodawanie przypisania roli przejrzyj przypisanie roli.

   

7. Wybierz pozycję Przejrzyj i przypisz , aby przypisać rolę Właściciela i usunąć przypisanie roli Administrator usługi.

Jak usunąć administratora usługi

Ważne

Aby usunąć administratora usługi, musisz mieć użytkownika, który ma przypisaną rolę Właściciel w zakresie subskrypcji bez warunków, aby uniknąć oddzielonia subskrypcji. Właściciel subskrypcji ma takie same uprawnienia dostępu jak administrator usługi.

1. Zaloguj się w witrynie Azure Portal jako właściciel subskrypcji.

2. Otwórz blok Subskrypcje i wybierz subskrypcję.

3. Wybierz pozycję Kontrola dostępu (IAM) .

4. Wybierz kartę Administratorzy klasyczni.

5. Dodaj znacznik wyboru obok administratora usługi.

6. Wybierz Usuń.

7. W wyświetlonym oknie z komunikatem wybierz opcję Tak.

   

Następne kroki

• Omówienie różnych ról
• Przypisywanie ról platformy Azure przy użyciu witryny Azure Portal
• Understand Microsoft Customer Agreement administrative roles in Azure (Omówienie ról administracyjnych dla Umowy klienta firmy Microsoft na platformie Azure)