Классические администраторы подписок Azure

  • Статья

Внимание

Классические ресурсы и классические администраторы будут прекращены 31 августа 2024 г. Начиная с 3 апреля 2024 г., вы не сможете добавлять новых соадминистраторов. Этот срок был недавно продлен. Удалите ненужных соадминистраторов и используйте Azure RBAC для детализированного управления доступом.

Корпорация Майкрософт рекомендует применять для контроля доступа к ресурсам Azure механизм управления доступом на основе ролей (Azure RBAC). Однако если вы по-прежнему используете классическую модель развертывания, вам потребуется использовать классическую роль администратора подписки: service Администратор istrator и Co-Администратор istrator. Сведения о переносе ресурсов из классического развертывания в развертывание Resource Manager см. в статье Azure Resource Manager и классическое развертывание.

Если у вас по-прежнему есть классические администраторы, необходимо удалить эти назначения ролей до даты выхода на пенсию. В этой статье описывается, как подготовиться к выходу ролей co-Администратор istrator и service Администратор istrator и как удалить или изменить эти назначения ролей.

Часто задаваемые вопросы

Будут ли совместно Администратор istrator и Service Администратор istrator потерять доступ после 31 августа 2024 года?

  • Начиная с 31 августа 2024 года корпорация Майкрософт начнет процесс удаления доступа для совместного Администратор istrator и службы Администратор istrator.

Разделы справки знать, какие подписки имеют классические администраторы?

  • Запрос Azure Resource Graph можно использовать для перечисления подписок с помощью службы Администратор istrator или назначений ролей со-Администратор istrator. Инструкции см. в разделе "Список классических администраторов".

Что такое эквивалентная роль Azure, назначаемая для совместного Администратор istrator?

  • Роль владельца в область подписки имеет эквивалентный доступ. Однако владелец является привилегированной ролью администратора и предоставляет полный доступ к управлению ресурсами Azure. Следует рассмотреть роль функции задания с меньшим количеством разрешений, уменьшить область или добавить условие.

Что такое эквивалентная роль Azure, назначаемая для службы Администратор istrator?

Почему нужно выполнить миграцию в Azure RBAC?

  • Классические администраторы будут прекращены. Azure RBAC обеспечивает точное управление доступом, совместимость с Microsoft Entra управление привилегированными пользователями (PIM) и полную поддержку журналов аудита. Все будущие инвестиции будут находиться в Azure RBAC.

Что касается роли Администратор istrator учетной записи?

  • Учетная запись Администратор istrator является основным пользователем для учетной записи выставления счетов. Учетная запись Администратор istrator не рекомендуется использовать, и вам не нужно заменить назначение этой роли. Учетная запись Администратор istrator и service Администратор istrator может быть одинаковым пользователем. Однако необходимо удалить только назначение роли Администратор istrator службы.

Что делать, если у меня есть сильная зависимость от со-Администратор istrator или service Администратор istrator?

  • Электронная почта ACARDeprecation@microsoft.com и описание сценария.

Подготовка к выходу на пенсию со-Администратор istrator

Если у вас по-прежнему есть классические администраторы, выполните следующие действия, чтобы подготовиться к выходу на пенсию роли со-Администратор istrator.

Шаг 1. Просмотр текущих совместно Администратор istrators

  1. Войдите в портал Azure в качестве владельца подписки.

  2. Используйте портал Azure или Azure Resource Graph, чтобы получить список со-Администратор istratorов.

  3. Просмотрите журналы входа для со-Администратор istrators, чтобы оценить, активны ли они пользователи.

Шаг 2. Удаление совместного Администратор istrator, которые больше не нуждаются в доступе

  1. Если пользователь больше не находится в вашей организации, удалите co-Администратор istrator.

  2. Если пользователь был удален, но его назначение Co-Администратор istrator не было удалено, удалите со-Администратор istrator.

    Пользователи, которые были удалены, обычно включают текст (пользователь не найден в этом каталоге).

    Снимок экрана: пользователь не найден в каталоге и с ролью Co-Администратор istrator.

  3. После проверки действия пользователя, если пользователь больше не активен, удалите co-Администратор istrator.

Шаг 3. Замена существующих совместного Администратор istrator с ролями функции задания

Большинству пользователей не нужны те же разрешения, что и со-Администратор istrator. Вместо этого рассмотрим роль функции задания.

  1. Если пользователю по-прежнему нужен доступ, определите нужную роль функции задания.

  2. Определите потребности пользователя область.

  3. Выполните действия, чтобы назначить роль функции задания пользователю.

  4. Удалите со-Администратор istrator.

Шаг 4. Замена существующих совместно Администратор istrator с ролью и условиями владельца

Некоторым пользователям может потребоваться больше доступа, чем может предоставить роль функции задания. Если необходимо назначить роль владельца , попробуйте добавить условие, чтобы ограничить назначение роли.

  1. Назначьте роль владельца в область подписки с условиями для пользователя.

  2. Удалите со-Администратор istrator.

Подготовка к выходу Администратор istrator службы

Если у вас по-прежнему есть классические администраторы, выполните следующие действия, чтобы помочь вам подготовиться к выходу роли Администратор istrator службы. Чтобы удалить службу Администратор istrator, необходимо иметь по крайней мере одного пользователя, которому назначена роль владельца в подписке область без условий, чтобы избежать удаления подписки. Владелец подписки имеет те же права доступа, что и администратор служб.

Шаг 1. Просмотр текущей службы Администратор istrator

  1. Войдите в портал Azure в качестве владельца подписки.

  2. Используйте портал Azure или Azure Resource Graph для перечисления Администратор istrator службы.

  3. Просмотрите журналы входа для службы Администратор istrator, чтобы оценить, является ли он активным пользователем.

Шаг 2. Просмотр текущих владельцев учетной записи выставления счетов

Пользователь, которому назначена роль службы Администратор istrator, также может быть тем же пользователем, который является администратором учетной записи выставления счетов. Вы должны просмотреть текущих владельцев учетной записи выставления счетов, чтобы убедиться, что они по-прежнему точны.

  1. Используйте портал Azure, чтобы получить владельцев учетной записи выставления счетов.

  2. Просмотрите список владельцев учетных записей выставления счетов. При необходимости обновите или добавьте другого владельца учетной записи выставления счетов.

Шаг 3. Замена существующей службы Администратор istrator ролью владельца

Служба Администратор istrator может быть учетной записью Майкрософт или учетной записью Microsoft Entra. Учетная запись Майкрософт — это личная учетная запись, например Outlook, OneDrive, Xbox LIVE или Microsoft 365. Учетная запись Microsoft Entra — это удостоверение, созданное с помощью идентификатора Microsoft Entra.

  1. Если пользователь службы Администратор istrator является учетной записью Майкрософт, и вы хотите, чтобы этот пользователь сохранял те же разрешения, назначьте этому пользователю роль владельца в область подписки без условий.

  2. Если пользователь Service Администратор istrator является учетной записью Microsoft Entra, и вы хотите, чтобы этот пользователь сохранял те же разрешения, назначьте этому пользователю роль владельца в подписке область без условий.

  3. Если вы хотите изменить пользователя service Администратор istrator на другого пользователя, назначьте роль владельца этому новому пользователю в подписке область без условий.

  4. Удалите службу Администратор istrator.

Вывод списка классических администраторов

Выполните следующие действия, чтобы получить список Администратор istrator и со-Администратор istrator для подписки с помощью портал Azure.

  1. Войдите в портал Azure в качестве владельца подписки.

  2. Откройте раздел Подписки и выберите нужную подписку.

  3. Выберите Управление доступом (IAM) .

  4. Перейдите на вкладку "Классические администраторы", чтобы просмотреть список со-Администратор istratorов.

    Снимок экрана: страница управления доступом (IAM) с выбранной вкладкой

Удаление соадминистратора

Внимание

Классические ресурсы и классические администраторы будут прекращены 31 августа 2024 г. Начиная с 3 апреля 2024 г., вы не сможете добавлять новых соадминистраторов. Этот срок был недавно продлен. Удалите ненужных соадминистраторов и используйте Azure RBAC для детализированного управления доступом.

Выполните следующие действия, чтобы удалить со-Администратор istrator.

  1. Войдите в портал Azure в качестве владельца подписки.

  2. Откройте раздел Подписки и выберите нужную подписку.

  3. Выберите Управление доступом (IAM) .

  4. Перейдите на вкладку "Классические администраторы", чтобы просмотреть список со-Администратор istratorов.

  5. Установите флажок рядом с тем соадминистратором, которого вы намерены удалить.

  6. Щелкните Удалить.

  7. В появившемся сообщении выберите Да.

    Снимок экрана: окно сообщения при удалении со-Администратор istrator.

Добавление соадминистратора

Внимание

Классические ресурсы и классические администраторы будут прекращены 31 августа 2024 г. Начиная с 3 апреля 2024 г., вы не сможете добавлять новых соадминистраторов. Этот срок был недавно продлен. Удалите ненужных соадминистраторов и используйте Azure RBAC для детализированного управления доступом.

Соадминистратор необходим только в тех случаях, когда пользователю нужно управлять классическими развертываниями Azure с помощью модуля PowerShell для управления службами Azure. Если пользователь управляет классическими ресурсами только с помощью портала Azure, добавлять классического администратора не требуется.

  1. Войдите в портал Azure в качестве владельца подписки.

  2. Откройте раздел Подписки и выберите нужную подписку.

    Соадминистраторов можно назначать только в области подписки.

  3. Выберите Управление доступом (IAM) .

  4. Перейдите на вкладку Классические администраторы.

    Снимок экрана: страница управления доступом (IAM) с выбранной вкладкой

  5. Выберите Добавить>Добавить соадминистратора, чтобы открыть панель добавления соадминистраторов.

    Если параметр "Добавить соадминистратор" отключен, у вас нет разрешений.

  6. Выберите пользователя, которого необходимо добавить, и выберите Добавить.

    Снимок экрана: панель добавления соадминистратора для добавления со-Администратор istrator.

Добавление гостевого пользователя с правами соадминистратора

Чтобы добавить гостевого пользователя в качестве соадминистратора, выполните те же действия, что и в предыдущем разделе Добавление соадминистратора. Гостевой пользователь должен удовлетворять следующим критериям.

  • Гостевой пользователь должен быть указан в вашем каталоге. Это означает, что пользователь был приглашен в ваш каталог и принял приглашение.

Дополнительные сведения о добавлении гостевого пользователя в каталог см. в разделе "Добавление пользователей совместной работы Microsoft Entra B2B" в портал Azure.

Перед удалением гостевого пользователя из каталога необходимо сначала удалить все назначения ролей для этого гостевого пользователя. Дополнительные сведения см. в разделе "Удаление внешнего пользователя из каталога".

Отличия гостевых пользователей

Гостевые пользователи, которым назначена роль соадминистратора, могут наблюдать некоторые отличия по сравнению с пользователями-участниками с той же ролью. Рассмотрим следующий сценарий:

  • Пользователь A с учетной записью Microsoft Entra (рабочей или учебной учетной записью) — это служба Администратор istrator для подписки Azure.
  • Пользователь B имеет учетную запись Майкрософт.
  • Пользователь А назначает роль соадминистратора пользователю B.
  • Пользователь B может сделать почти все, но не может зарегистрировать приложения или найти пользователей в каталоге Microsoft Entra.

Можно ожидать, что пользователь В будет управлять всем. Это различие связано с тем, что учетная запись Майкрософт добавляется к подписке в качестве гостевого пользователя вместо пользователя-участника. Гостевые пользователи имеют разные разрешения по умолчанию в идентификаторе Microsoft Entra по сравнению с пользователями-участниками. Например, пользователи-члены могут читать других пользователей в идентификаторе Microsoft Entra и гостевых пользователях. Пользователи-члены могут регистрировать новые субъекты-службы в идентификаторе Microsoft Entra и гостевых пользователях.

Если гостевой пользователь должен иметь возможность выполнять эти задачи, возможно, можно назначить определенные роли Microsoft Entra, необходимые гостевым пользователям. Например, в приведенном выше сценарии можно было назначить роли Читатели каталогов считывать других пользователей, а роли Разработчик приложения — создавать субъекты-службы. Дополнительные сведения о участниках и гостевых пользователях и их разрешениях см. в разделе "Что такое разрешения пользователей по умолчанию в идентификаторе Microsoft Entra?". Дополнительные сведения о предоставлении доступа гостевым пользователям см. в статье "Назначение ролей Azure внешним пользователям с помощью портал Azure".

Обратите внимание, что встроенные роли Azure отличаются от ролей Microsoft Entra. Встроенные роли не предоставляют доступ к идентификатору Microsoft Entra. Дополнительные сведения см. в статье Роли классического администратора подписки, роли RBAC Azure и роли администратора Azure AD.

Сведения, которые сравнивают пользователей-участников и гостевых пользователей, см. в разделе "Что такое разрешения пользователей по умолчанию в идентификаторе Microsoft Entra ID?".

Изменение администратора служб

Только администратор учетной записи может изменить администратора службы для подписки. По умолчанию при оформлении подписки Azure администратору учетной записи назначается и роль администратора служб.

Пользователь с ролью администратора учетной записи может получать доступ к порталу Azure и управлять выставлением счетов, но не может отменять подписки. Пользователь с ролью администратора служб получает полный доступ к порталу Azure и может отменять подписки. Администратор учетной записи может сделать себя администратором службы.

Выполните следующие действия, чтобы сменить администратора службы на портале Azure.

  1. Войдите на портал Azure в качестве администратора учетной записи.

  2. Откройте Управление затратами + выставление счетов и выберите подписку.

  3. В области навигации слева щелкнуть Свойства.

  4. Выберите Смена администратора службы.

    Снимок экрана: страница свойств подписки, на котором показано, как изменить службу Администратор istrator.

  5. На странице Изменение администратора службы введите адрес электронной почты для нового администратора службы.

    Снимок экрана: панель

  6. Выберите ОК, чтобы сохранить изменения.

Удаление администратора служб

Чтобы удалить службу Администратор istrator, необходимо иметь пользователя, которому назначена роль владельца в подписке область без условий, чтобы избежать удаления подписки. Владелец подписки имеет те же права доступа, что и администратор служб.

  1. Войдите в портал Azure в качестве владельца подписки.

  2. Откройте раздел Подписки и выберите нужную подписку.

  3. Выберите Управление доступом (IAM) .

  4. Перейдите на вкладку Классические администраторы.

  5. Установите флажок рядом с администратором служб.

  6. Щелкните Удалить.

  7. В появившемся сообщении выберите Да.

    Снимок экрана: удаление классического сообщения администратора при удалении службы Администратор istrator.

Если пользователь service Администратор istrator не находится в каталоге, при попытке удалить службу Администратор istrator может возникнуть следующая ошибка:

Call GSM to delete service admin on subscription <subscriptionId> failed. Exception: Cannot delete user <principalId> since they are not the service administrator. Please retry with the right service administrator user PUID.

Если пользователь service Администратор istrator не находится в каталоге, попробуйте изменить Администратор istrator службы на существующего пользователя, а затем попытаться удалить службу Администратор istrator.

Следующие шаги