Поделиться через


Классические администраторы подписок Azure

Внимание

По состоянию на 31 августа 2024 г. классические роли администратора Azure (а также классические ресурсы Azure и Azure Service Manager) не поддерживаются. Если у вас все еще есть активные назначения ролей соадминистратора или администратора службы, преобразуйте эти назначения ролей в Azure RBAC немедленно.

Корпорация Майкрософт рекомендует применять для контроля доступа к ресурсам Azure механизм управления доступом на основе ролей (Azure RBAC). Если вы по-прежнему используете классическую модель развертывания, вам потребуется перенести ресурсы из классического развертывания в развертывание Resource Manager. Дополнительные сведения см. в статье Azure Resource Manager и классическое развертывание: сведения о моделях развертывания и состоянии ресурсов.

В этой статье описывается прекращение работы ролей соадминистратора и администратора служб и преобразование этих назначений ролей.

Часто задаваемые вопросы

Что происходит с назначениями ролей классического администратора после 31 августа 2024 г.?

  • Роли соадминистратора и администратора служб больше не поддерживаются. Эти назначения ролей следует преобразовать в Azure RBAC немедленно.

Разделы справки знать, какие подписки имеют классические администраторы?

  • Запрос Azure Resource Graph можно использовать для перечисления подписок с назначениями ролей администратора службы или соадминистратора. Инструкции см. в разделе "Список классических администраторов".

Что такое эквивалентная роль Azure, назначаемая для соадминистраторов?

  • Роль владельца в области подписки имеет эквивалентный доступ. Однако владелец является привилегированной ролью администратора и предоставляет полный доступ к управлению ресурсами Azure. Следует рассмотреть роль функции задания с меньшим количеством разрешений, уменьшить область действия или добавить условие.

Что такое эквивалентная роль Azure, назначаемая администратору службы?

Почему нужно выполнить миграцию в Azure RBAC?

  • Azure RBAC обеспечивает точное управление доступом, совместимость с Microsoft Entra управление привилегированными пользователями (PIM) и полную поддержку журналов аудита. Все будущие инвестиции будут находиться в Azure RBAC.

Как насчет роли администратора учетной записи?

  • Администратор учетной записи является основным пользователем для учетной записи выставления счетов. Администратор учетной записи не рекомендуется использовать, и вам не нужно преобразовывать это назначение роли. Администратор учетной записи и администратор службы могут быть одинаковыми пользователями. Однако необходимо преобразовать только назначение роли администратора службы.

Что делать, если я потеряю доступ к подписке?

  • Если вы удалите классических администраторов без назначения по крайней мере одной роли владельца для подписки, вы потеряете доступ к подписке, а подписка будет потеряна. Чтобы восстановить доступ к подписке, сделайте следующее:

Что делать, если у меня есть сильная зависимость от соадминистраторов или администратора службы?

  • Электронная почта ACARDeprecation@microsoft.com и описание сценария.

Вывод списка классических администраторов

Выполните следующие действия, чтобы получить список администраторов служб и соадминистраторов для подписки с помощью портал Azure.

  1. Войдите в портал Azure в качестве владельца подписки.

  2. Откройте раздел Подписки и выберите нужную подписку.

  3. Выберите Управление доступом (IAM) .

  4. Перейдите на вкладку "Классические администраторы", чтобы просмотреть список соадминистраторов .

    Снимок экрана: страница управления доступом (IAM) с выбранной вкладкой

Выход соадминистраторов

Если у вас по-прежнему есть классические администраторы, выполните следующие действия, чтобы помочь вам преобразовать назначения ролей соадминистратора.

Шаг 1. Просмотр текущих соадминистраторов

  1. Войдите в портал Azure в качестве владельца подписки.

  2. Используйте портал Azure или Azure Resource Graph, чтобы получить список соадминистраторов.

  3. Просмотрите журналы входа для соадминистраторов , чтобы оценить, активны ли они пользователи.

Шаг 2. Удаление соадминистраторов, которым больше не нужен доступ

  1. Если пользователь больше не находится в организации, удалите соадминистратора.

  2. Если пользователь был удален, но их назначение соадминистратора не было удалено, удалите соадминистратора.

    Пользователи, которые были удалены, обычно включают текст (пользователь не найден в этом каталоге).

    Снимок экрана: пользователь не найден в каталоге и с ролью соадминистратора.

  3. После просмотра действий пользователя, если пользователь больше не активен, удалите соадминистратора.

Шаг 3. Преобразование соадминистраторов в роли функции задания

Большинству пользователей не нужны те же разрешения, что и соадминистратор. Вместо этого рассмотрим роль функции задания.

  1. Если пользователю по-прежнему нужен доступ, определите нужную роль функции задания.

  2. Определите потребности пользователя в области .

  3. Выполните действия, чтобы назначить роль функции задания пользователю.

  4. Удалите соадминистратора.

Шаг 4. Преобразование соадминистраторов в роль владельца с условиями

Некоторым пользователям может потребоваться больше доступа, чем может предоставить роль функции задания. Если необходимо назначить роль владельца, попробуйте добавить условие или использовать Microsoft Entra управление привилегированными пользователями (PIM), чтобы ограничить назначение роли.

  1. Назначьте роль владельца условий.

    Например, назначьте роль владельца в области подписки с условиями. Если у вас есть PIM, укажите пользователю право на назначение роли владельца.

  2. Удалите соадминистратора.

Шаг 5. Преобразование соадминистраторов в роль владельца

Если пользователь должен быть администратором подписки, назначьте роль владельца в области подписки.

Преобразование соадминистратора в роль владельца

Самый простой способ скрыть назначение роли соадминистратора роли владельца в области подписки — использовать действия по исправлению .

  1. Войдите в портал Azure в качестве владельца подписки.

  2. Откройте раздел Подписки и выберите нужную подписку.

  3. Выберите Управление доступом (IAM) .

  4. Перейдите на вкладку "Классические администраторы", чтобы просмотреть список соадминистраторов .

  5. Для соадминистратора, который вы хотите преобразовать в роль владельца, в столбце "Исправление " выберите ссылку "Назначить роль RBAC ".

  6. В области добавления назначения ролей просмотрите назначение роли.

    Снимок экрана: панель добавления назначения ролей после нажатия ссылки на назначение роли RBAC.

  7. Выберите "Проверка и назначение" для назначения роли владельца и удаления назначения роли соадминистратора.

Удаление соадминистратора

Выполните следующие действия, чтобы удалить соадминистратора.

  1. Войдите в портал Azure в качестве владельца подписки.

  2. Откройте раздел Подписки и выберите нужную подписку.

  3. Выберите Управление доступом (IAM) .

  4. Перейдите на вкладку "Классические администраторы", чтобы просмотреть список соадминистраторов .

  5. Установите флажок рядом с тем соадминистратором, которого вы намерены удалить.

  6. Выберите команду Удалить.

  7. В появившемся сообщении выберите Да.

    Снимок экрана: окно сообщения при удалении соадминистратора.

Выход администратора службы

Если у вас по-прежнему есть классические администраторы, выполните следующие действия, чтобы преобразовать назначение роли администратора службы. Перед удалением администратора службы необходимо иметь по крайней мере одного пользователя, которому назначена роль владельца в области подписки без условий, чтобы избежать удаления подписки. Владелец подписки имеет те же права доступа, что и администратор служб.

Шаг 1. Просмотр текущего администратора службы

  1. Войдите в портал Azure в качестве владельца подписки.

  2. Используйте портал Azure или Azure Resource Graph для перечисления администратора службы.

  3. Просмотрите журналы входа администратора службы, чтобы оценить, является ли он активным пользователем.

Шаг 2. Просмотр текущих владельцев учетной записи выставления счетов

Пользователь, которому назначена роль администратора службы, также может быть тем же пользователем, который является администратором учетной записи выставления счетов. Вы должны просмотреть текущих владельцев учетной записи выставления счетов, чтобы убедиться, что они по-прежнему точны.

  1. Используйте портал Azure, чтобы получить владельцев учетной записи выставления счетов.

  2. Просмотрите список владельцев учетных записей выставления счетов. При необходимости обновите или добавьте другого владельца учетной записи выставления счетов.

Шаг 3. Преобразование администратора службы в роль владельца

Администратор службы может быть учетной записью Майкрософт или учетной записью Microsoft Entra. Учетная запись Майкрософт — это личная учетная запись, например Outlook, OneDrive, Xbox LIVE или Microsoft 365. Учетная запись Microsoft Entra — это удостоверение, созданное с помощью идентификатора Microsoft Entra.

  1. Если администратор службы является учетной записью Майкрософт, и вы хотите, чтобы этот пользователь сохранял те же разрешения, преобразуйте администратора службы в роль владельца.

  2. Если пользователь администратора службы является учетной записью Microsoft Entra, и вы хотите, чтобы этот пользователь сохранял те же разрешения, преобразуйте администратора службы в роль владельца.

  3. Если вы хотите изменить пользователя администратора службы на другого пользователя, назначьте роль владельца этому новому пользователю в области подписки без условий. Затем удалите администратора службы.

Как преобразовать администратора службы в роль владельца

Самый простой способ преобразовать назначение роли администратора службы в роль владельца в области подписки — использовать действия по исправлению .

  1. Войдите в портал Azure в качестве владельца подписки.

  2. Откройте раздел Подписки и выберите нужную подписку.

  3. Выберите Управление доступом (IAM) .

  4. Перейдите на вкладку "Классические администраторы", чтобы просмотреть администратора службы.

  5. Для администратора службы в столбце "Исправление " выберите ссылку "Назначение роли RBAC".

  6. В области добавления назначения ролей просмотрите назначение роли.

    Снимок экрана: панель добавления назначения ролей после нажатия ссылки на назначение роли RBAC.

  7. Выберите "Проверка и назначение" для назначения роли владельца и удаления назначения роли администратора службы.

Удаление администратора службы

Внимание

Чтобы удалить администратора службы, необходимо иметь пользователя, которому назначена роль владельца в области подписки без условий, чтобы избежать удаления подписки. Владелец подписки имеет те же права доступа, что и администратор служб.

  1. Войдите в портал Azure в качестве владельца подписки.

  2. Откройте раздел Подписки и выберите нужную подписку.

  3. Выберите Управление доступом (IAM) .

  4. Перейдите на вкладку Классические администраторы.

  5. Установите флажок рядом с администратором служб.

  6. Выберите команду Удалить.

  7. В появившемся сообщении выберите Да.

    Снимок экрана: удаление классического сообщения администратора при удалении администратора службы.

Следующие шаги