Ситуации, в которых может потребоваться повысить уровень доступа

  • 7 мин

Администратор подписки Azure отдела маркетинга недавно покинул организацию. У вас как у глобального администратора нет доступа к этой подписке. Вам нужно предоставить доступ к подписке с правами администратора другому сотруднику из отдела маркетинга.

На этом уроке вы узнаете, когда может понадобиться повысить свой уровень доступа.

Когда следует повышать уровень доступа

По умолчанию глобальный администратор не имеет доступа к ресурсам Azure. Глобальный Администратор istrator для идентификатора Microsoft Entra может временно повысить свои разрешения на роль Azure Администратор istrator доступа пользователей. Это действие предоставляет разрешения на управление доступом на основе ролей Azure (Azure RBAC) для управления ресурсами Azure. Роль "Администратор доступа пользователей" назначается в корневой области действия. Роль может просматривать все ресурсы и назначать доступ к любой подписке или группе управления в этой организации Microsoft Entra.

На приведенной ниже схеме показаны ресурсы, которые глобальный администратор может просматривать, когда его разрешения повышаются до уровня "Администратор доступа пользователей".

Diagram of User Access Administrator elevated permissions.

Глобальному администратору может потребоваться повысить свой уровень разрешений в следующих целях:

  • чтобы восстановить доступ к подписке или группе управления Azure;
  • чтобы предоставить другому пользователю или самому себе доступ к подписке или группе управления Azure;
  • чтобы просмотреть все подписки или группы управления Azure в организации;
  • чтобы предоставить приложению автоматизации доступ ко всем подпискам или группам управления Azure.

После повышения уровня своих разрешений до роли "Администратор доступа пользователей" глобальный администратор может предоставить другим пользователям разрешения RBAC Azure, необходимые для управления ресурсами Azure. После выполнения этой задачи глобальный администратор должен отменить повышенный уровень разрешений.

Назначение пользователя администратором подписки Azure

Чтобы предоставить пользователю доступ к подписке с правами администратора, необходимо иметь разрешения Microsoft.Authorization/roleAssignments/write и Microsoft.Authorization/roleAssignments/delete в области подписки. Они есть у пользователей с ролями "Владелец" или "Администратор доступа пользователей" для подписки.

В следующем уроке вы узнаете, как назначить роль с помощью портал Azure после повышения разрешений на доступ пользователей Администратор istrator. Однако можно также назначать роли с помощью Azure PowerShell, Azure CLI или REST API.

В следующих разделах мы вкратце рассмотрим команды для назначения роли владельца в Azure PowerShell или Azure CLI.

Назначение роли с помощью Azure PowerShell

Ниже показана команда, позволяющая назначить пользователю роль владельца в области подписки с помощью Azure PowerShell.

  New-AzRoleAssignment `
    -SignInName rbacuser@example.com `
    -RoleDefinitionName "Owner" `
    -Scope "/subscriptions/<subscriptionID>"

Назначение роли с помощью Azure CLI

Ниже показана команда, позволяющая назначить пользователю роль владельца в области подписки с помощью Azure CLI.

  az role assignment create \
    --assignee rbacuser@example.com \
    --role "Owner" \
    --scope /subscriptions/<subscription_id>/resourceGroups/<resource_group_name> \
    --subscription <subscription_name_or_id>

Проверьте свои знания

1.

Пользователь с правами владельца подписки уволился из вашей компании. Доступа к этой подписке больше ни у кого нет. Как предоставить доступ к ней другому сотруднику?

2.

В настоящее время у руководителя есть доступ к подписке, используемой для рабочей среды организации. Этому менеджеру также требуется доступ с правами владельца к подписке, используемой для среды разработки. Как можно предоставить этот доступ?