Informacje o tym, kiedy może zajść potrzeba podniesienia poziomu dostępu
Administrator subskrypcji platformy Azure działu marketingu opuścił ostatnio organizację. Jako administrator globalny, nie masz dostępu do tej subskrypcji. Teraz musisz udzielić dostępu administratora do subskrypcji innej osobie z działu marketingu.
W tej części dowiesz się, kiedy konieczne jest podwyższenie własnego poziomu dostępu.
Podwyższanie poziomu dostępu
Domyślnie administrator globalny nie ma dostępu do zasobów platformy Azure. Globalny Administracja istrator dla firmy Microsoft Entra ID może tymczasowo podnieść swoje uprawnienia do roli platformy Azure Administracja istratora dostępu użytkowników. Ta akcja przyznaje uprawnienia kontroli dostępu opartej na rolach (RBAC) platformy Azure, które muszą zarządzać zasobami platformy Azure. Administrator dostępu użytkowników jest przypisany do zakresu głównego. Rola może wyświetlać wszystkie zasoby i przypisywać dostęp do dowolnej subskrypcji lub grupy zarządzania w tej organizacji firmy Microsoft Entra.
Na poniższym diagramie przedstawiono zasoby, które administrator globalny może wyświetlać w przypadku podniesionych uprawnień administratora dostępu użytkowników.
Jako administrator globalny, możesz potrzebować podwyższenia poziomu swoich uprawnień, aby:
- Odzyskać utracony dostęp do subskrypcji platformy Azure lub grupy zarządzania.
- Udzielić innemu użytkownikowi lub sobie dostępu do subskrypcji platformy Azure lub grupy zarządzania.
- Wyświetlić wszystkie subskrypcje platformy Azure lub grupy zarządzania w organizacji.
- Udzielić aplikacji automatyzacji dostępu do wszystkich subskrypcji platformy Azure lub grup zarządzania.
Po podwyższeniu uprawnień z administratora globalnego do administratora dostępu użytkowników może on udzielić innym użytkownikom uprawnień kontroli RBAC platformy Azure, które są potrzebne do kontrolowania zasobów platformy Azure i zarządzania nimi. Po zakończeniu zadania administrator globalny powinien odwołać własne podwyższone uprawnienia.
Przypisywanie użytkownikowi dostępu administracyjnego do subskrypcji platformy Azure
Aby przypisać użytkownikowi dostęp administracyjny do subskrypcji, musisz mieć uprawnienie Microsoft.Authorization/roleAssignments/write i Microsoft.Authorization/roleAssignments/delete w zakresie subskrypcji. Te uprawnienia są dostępne dla użytkowników z rolami właściciela subskrypcji lub administratora dostępu użytkowników.
W następnej lekcji dowiesz się, jak przypisać rolę przy użyciu witryny Azure Portal po podwyższeniu poziomu uprawnień do Administracja istratora dostępu użytkowników. Można jednak również przypisywać role przy użyciu programu Azure PowerShell, interfejsu wiersza polecenia platformy Azure lub interfejsu API REST.
W kolejnych sekcjach krótko przejrzymy polecenia używane do przypisywania roli właściciela w programie Azure PowerShell lub interfejsie wiersza polecenia platformy Azure.
Przypisywanie roli przy użyciu programu Azure PowerShell
Następujące polecenie pokazuje, jak przypisać rolę właściciela do użytkownika w zakresie subskrypcji przy użyciu programu Azure PowerShell:
New-AzRoleAssignment `
-SignInName rbacuser@example.com `
-RoleDefinitionName "Owner" `
-Scope "/subscriptions/<subscriptionID>"
Przypisywanie roli przy użyciu interfejsu wiersza polecenia platformy Azure
Następujące polecenie pokazuje, jak przypisać rolę właściciela do użytkownika w zakresie subskrypcji przy użyciu interfejsu wiersza polecenia platformy Azure:
az role assignment create \
--assignee rbacuser@example.com \
--role "Owner" \
--scope /subscriptions/<subscription_id>/resourceGroups/<resource_group_name> \
--subscription <subscription_name_or_id>