Klassiska Azure-prenumerationsadministratörer

Viktigt!

Klassiska resurser och klassiska administratörer dras tillbaka den 31 augusti 2024. Från och med den 3 april 2024 kan du inte lägga till nya medadministratörer. Det här datumet har nyligen förlängts. Ta bort onödiga medadministratörer och använd Azure RBAC för detaljerad åtkomstkontroll.

Microsoft rekommenderar att du hanterar åtkomst till Azure-resurser med rollbaserad åtkomstkontroll i Azure (Azure RBAC). Men om du fortfarande använder den klassiska distributionsmodellen måste du använda en klassisk prenumerationsadministratörsroll: Tjänstadministratör och medadministratör. Information om hur du migrerar dina resurser från klassisk distribution till Resource Manager-distribution finns i Azure Resource Manager jämfört med klassisk distribution.

Om du fortfarande har klassiska administratörer bör du ta bort dessa rolltilldelningar före slutdatumet. Den här artikeln beskriver hur du förbereder för att dra tillbaka rollerna Medadministratör och Tjänstadministratör och hur du tar bort eller ändrar dessa rolltilldelningar.

Vanliga frågor och svar

Kommer medadministratörer och tjänstadministratör att förlora åtkomsten efter den 31 augusti 2024?

• Från och med den 31 augusti 2024 startar Microsoft processen för att ta bort åtkomst för medadministratörer och tjänstadministratör.

Hur gör jag för att vet du vilka prenumerationer som har klassiska administratörer?

• Du kan använda en Azure Resource Graph-fråga för att visa prenumerationer med rolltilldelningar som tjänstadministratör eller medadministratör. Anvisningar finns i Lista klassiska administratörer.

Vilken är motsvarande Azure-roll som jag bör tilldela för medadministratörer?

• Ägarrollen i prenumerationsomfånget har motsvarande åtkomst. Ägaren är dock en privilegierad administratörsroll och ger fullständig åtkomst för att hantera Azure-resurser. Du bör överväga en jobbfunktionsroll med färre behörigheter, minska omfånget eller lägga till ett villkor.

Vilken är motsvarande Azure-roll som jag bör tilldela för tjänstadministratör?

• Ägarrollen i prenumerationsomfånget har motsvarande åtkomst.

Varför behöver jag migrera till Azure RBAC?

• Klassiska administratörer dras tillbaka. Azure RBAC erbjuder detaljerad åtkomstkontroll, kompatibilitet med Microsoft Entra Privileged Identity Management (PIM) och fullständigt stöd för granskningsloggar. Alla framtida investeringar kommer att finnas i Azure RBAC.

Hur är det med rollen Kontoadministratör?

• Kontoadministratören är den primära användaren för ditt faktureringskonto. Kontoadministratören är inte inaktuell och du behöver inte ersätta den här rolltilldelningen. Kontoadministratör och tjänstadministratör kan vara samma användare. Du behöver dock bara ta bort rolltilldelningen Tjänstadministratör.

Vad ska jag göra om jag har ett starkt beroende av medadministratörer eller tjänstadministratör?

• Skicka e-post ACARDeprecation@microsoft.com och beskriv ditt scenario.

Förbereda för att medadministratörer ska gå i pension

Om du fortfarande har klassiska administratörer kan du använda följande steg för att förbereda dig för att ta bort rollen som medadministratör.

Steg 1: Granska dina nuvarande medadministratörer

1. Logga in på Azure-portalen som ägare av en prenumeration.

2. Använd Azure-portalen eller Azure Resource Graph för att visa en lista över dina medadministratörer.

3. Granska inloggningsloggarna för dina medadministratörer för att bedöma om de är aktiva användare.

Steg 2: Ta bort medadministratörer som inte längre behöver åtkomst

1. Om användaren inte längre finns i företaget tar du bort medadministratören.

2. Om användaren har tagits bort, men deras medadministratörstilldelning inte har tagits bort, tar du bort medadministratören.

   Användare som har tagits bort inkluderar vanligtvis texten (användaren hittades inte i den här katalogen).

   

3. När du har granskat användarens aktivitet tar du bort medadministratör om användaren inte längre är aktiv.

Steg 3: Ersätt befintliga medadministratörer med jobbfunktionsroller

De flesta användare behöver inte samma behörigheter som en medadministratör. Överväg en jobbfunktionsroll i stället.

1. Om en användare fortfarande behöver viss åtkomst kan du bestämma vilken jobbfunktionsroll de behöver.

2. Fastställa omfångsanvändarnas behov.

3. Följ stegen för att tilldela en jobbfunktionsroll till användaren.

4. Ta bort medadministratör.

Steg 4: Ersätt befintliga medadministratörer med ägarroll och villkor

Vissa användare kan behöva mer åtkomst än vad en jobbfunktionsroll kan ge. Om du måste tilldela rollen Ägare kan du överväga att lägga till ett villkor för att begränsa rolltilldelningen.

1. Tilldela rollen Ägare i prenumerationsomfånget med villkor till användaren.

2. Ta bort medadministratör.

Förbereda för tjänstadministratörsavgång

Om du fortfarande har klassiska administratörer kan du använda följande steg för att förbereda dig för tjänstadministratörsrollens tillbakadragning. Om du vill ta bort tjänstadministratören måste du ha minst en användare som har tilldelats rollen Ägare i prenumerationsomfånget utan villkor för att undvika överblivna prenumerationer. En prenumerationsägare har samma åtkomst som tjänstadministratören.

Steg 1: Granska din nuvarande tjänstadministratör

1. Logga in på Azure-portalen som ägare av en prenumeration.

2. Använd Azure-portalen eller Azure Resource Graph för att visa en lista över tjänstadministratören.

3. Granska inloggningsloggarna för tjänstadministratören för att utvärdera om de är en aktiv användare.

Steg 2: Granska dina nuvarande ägare av faktureringskonton

Användaren som har tilldelats rollen Tjänstadministratör kan också vara samma användare som är administratör för ditt faktureringskonto. Du bör granska dina nuvarande faktureringskontoägare för att säkerställa att de fortfarande är korrekta.

1. Använd Azure-portalen för att hämta dina faktureringskontoägare.

2. Granska din lista över faktureringskontoägare. Uppdatera eller lägg till en annan faktureringskontoägare om det behövs.

Steg 3: Ersätt befintlig tjänstadministratör med ägarrollen

Tjänstadministratören kan vara ett Microsoft-konto eller ett Microsoft Entra-konto. Ett Microsoft-konto är ett personligt konto som Outlook, OneDrive, Xbox LIVE eller Microsoft 365. Ett Microsoft Entra-konto är en identitet som skapats via Microsoft Entra-ID.

1. Om tjänstadministratörsanvändaren är ett Microsoft-konto och du vill att den här användaren ska behålla samma behörigheter tilldelar du rollen Ägare till den här användaren i prenumerationsomfånget utan villkor.

2. Om tjänstadministratörsanvändaren är ett Microsoft Entra-konto och du vill att den här användaren ska behålla samma behörigheter tilldelar du rollen Ägare till den här användaren i prenumerationsomfånget utan villkor.

3. Om du vill ändra tjänstadministratörsanvändaren till en annan användare tilldelar du rollen Ägare till den nya användaren i prenumerationsomfånget utan villkor.

4. Ta bort tjänstadministratören.

Lista klassiska administratörer

Azure-portalen

Följ de här stegen för att visa en lista över tjänstadministratörer och medadministratörer för en prenumeration med hjälp av Azure-portalen.

1. Logga in på Azure-portalen som ägare av en prenumeration.

2. Öppna Prenumerationer och välj en prenumeration.

3. Välj Åtkomstkontroll (IAM) .

4. Välj fliken Klassiska administratörer för att visa en lista över medadministratörer.

   

Azure Resource Graph

Följ de här stegen för att visa antalet tjänstadministratörer och medadministratörer i dina prenumerationer med Hjälp av Azure Resource Graph.

1. Logga in på Azure-portalen som ägare av en prenumeration.

2. Öppna Azure Resource Graph Explorer.

3. Välj Omfång och ange omfånget för frågan.

   Ange omfång till Katalog för att fråga hela klientorganisationen, men du kan begränsa omfånget till vissa prenumerationer.

   

4. Välj Ange auktoriseringsomfång och ange auktoriseringsomfånget till At, ovan och nedan för att fråga alla resurser i det angivna omfånget.

   

5. Kör följande fråga för att visa antalet tjänstadministratörer och medadministratörer baserat på omfånget.

   authorizationresources
   | where type == "microsoft.authorization/classicadministrators"
   | mv-expand role = parse_json(properties).role
   | mv-expand adminState = parse_json(properties).adminState
   | where adminState == "Enabled"
   | where role in ("ServiceAdministrator", "CoAdministrator")
   | summarize count() by subscriptionId, tostring(role)
   

   Följande visar ett exempel på resultatet. Kolumnen count_ är antalet tjänstadministratörer eller medadministratörer för en prenumeration.

   

Ta bort en medadministratör

Viktigt!

Klassiska resurser och klassiska administratörer dras tillbaka den 31 augusti 2024. Från och med den 3 april 2024 kan du inte lägga till nya medadministratörer. Det här datumet har nyligen förlängts. Ta bort onödiga medadministratörer och använd Azure RBAC för detaljerad åtkomstkontroll.

Följ de här stegen för att ta bort en medadministratör.

1. Logga in på Azure-portalen som ägare av en prenumeration.

2. Öppna Prenumerationer och välj en prenumeration.

3. Välj Åtkomstkontroll (IAM) .

4. Välj fliken Klassiska administratörer för att visa en lista över medadministratörer.

5. Lägg till en bock bredvid den medadministratör som du vill ta bort.

6. Välj Ta bort.

7. I meddelanderutan som visas väljer du Ja.

   

Lägga till en medadministratör

Viktigt!

Klassiska resurser och klassiska administratörer dras tillbaka den 31 augusti 2024. Från och med den 3 april 2024 kan du inte lägga till nya medadministratörer. Det här datumet har nyligen förlängts. Ta bort onödiga medadministratörer och använd Azure RBAC för detaljerad åtkomstkontroll.

Du behöver bara lägga till en medadministratör om användaren behöver hantera klassiska Azure-distributioner med hjälp av Azure Service Management PowerShell-modulen. Om användaren bara använder Azure-portalen till att hantera klassiska resurser behöver du inte lägga till en klassisk administratör för användaren.

1. Logga in på Azure-portalen som ägare av en prenumeration.

2. Öppna Prenumerationer och välj en prenumeration.

   Medadministratörer kan bara tilldelas i prenumerationsomfånget.

3. Välj Åtkomstkontroll (IAM) .

4. Välj fliken Klassiska administratörer.

   

5. Välj Lägg till>Lägg till medadministratör, så öppnas fönstret Lägg till medadministratörer.

   Om alternativet Lägg till medadministratör är inaktiverat har du inte behörighet.

6. Välj den användare du vill lägga till och välj Lägg till.

   

Lägga till en gästanvändare som medadministratör

Om du vill lägga till en gästanvändare som medadministratör följer du samma steg som i avsnittet Lägga till en medadministratör ovan. Gästanvändaren måste uppfylla följande villkor:

• Gästanvändaren måste finnas i din katalog. Det innebär att användaren har bjudits in till din katalog och accepterat inbjudan.

Mer information om hur du lägger till en gästanvändare i din katalog finns i Lägga till Microsoft Entra B2B-samarbetsanvändare i Azure-portalen.

Innan du tar bort en gästanvändare från katalogen bör du först ta bort eventuella rolltilldelningar för gästanvändaren. Mer information finns i Ta bort en extern användare från din katalog.

Skillnader för gästanvändare

Gästanvändare som har tilldelats rollen Medadministratör kan se vissa skillnader jämfört med medlemsanvändare med rollen Medadministratör. Föreställ dig följande scenario:

• Användare A med ett Microsoft Entra-konto (arbets- eller skolkonto) är tjänstadministratör för en Azure-prenumeration.
• Användare B har ett Microsoft-konto.
• Användare A tilldelar rollen medadministratör till användare B.
• Användare B kan göra nästan allt, men kan inte registrera program eller söka efter användare i Microsoft Entra-katalogen.

Du kan förvänta dig att användare B kan hantera allt. Orsaken till den här skillnaden är att Microsoft-kontot läggs till i prenumerationen som gästanvändare i stället för en medlemsanvändare. Gästanvändare har olika standardbehörigheter i Microsoft Entra-ID jämfört med medlemsanvändare. Medlemsanvändare kan till exempel läsa andra användare i Microsoft Entra-ID och gästanvändare kan inte göra det. Medlemsanvändare kan registrera nya tjänsthuvudnamn i Microsoft Entra-ID och gästanvändare kan inte göra det.

Om en gästanvändare behöver kunna utföra dessa uppgifter är en möjlig lösning att tilldela specifika Microsoft Entra-roller som gästanvändaren behöver. I föregående scenario kan du till exempel tilldela rollen Katalogläsare för att läsa andra användare och tilldela rollen Programutvecklare för att kunna skapa tjänstens huvudnamn. Mer information om medlemmar och gästanvändare och deras behörigheter finns i Vad är standardanvändarbehörigheter i Microsoft Entra-ID?. Mer information om hur du beviljar åtkomst för gästanvändare finns i Tilldela Azure-roller till externa användare med hjälp av Azure-portalen.

Observera att de inbyggda Rollerna i Azure skiljer sig från Microsoft Entra-rollerna. De inbyggda rollerna ger ingen åtkomst till Microsoft Entra-ID. Mer information finns i Förstå de olika rollerna.

Information som jämför medlemsanvändare och gästanvändare finns i Vad är standardanvändarbehörigheterna i Microsoft Entra-ID?.

Ändra tjänstadministratör

Endast kontoadministratören kan ändra tjänstadministratör för en prenumeration. När du registrerar dig för en Azure-prenumeration är tjänstadministratören som standard samma som kontoadministratören.

Användare med rollen Kontoadministratör har åtkomst till Azure-portalen och kan hantera fakturering, men de kan inte avsluta prenumerationer. Användare med rollen Tjänstadministratör har fullständig åtkomst till Azure-portalen och kan avsluta prenumerationer. Kontoadministratören kan göra sig själv till tjänstadministratör.

Följ de här stegen för att ändra tjänstadministratören i Azure-portalen.

1. Logga in på Azure-portalen som kontoadministratör.

2. Öppna Cost Management + Billing och välj en prenumeration.

3. Välj Egenskaper i det vänstra navigeringsfönstret.

4. Välj Ändra tjänstadministratör.

   

5. På sidan Redigera tjänstadministratör anger du e-postadressen för den nya tjänstadministratören.

   

6. Välj OK för att spara ändringen.

Ta bort tjänstadministratören

Om du vill ta bort tjänstadministratören måste du ha en användare som har tilldelats rollen Ägare i prenumerationsomfånget utan villkor för att undvika överblivna prenumerationen. En prenumerationsägare har samma åtkomst som tjänstadministratören.

1. Logga in på Azure-portalen som ägare av en prenumeration.

2. Öppna Prenumerationer och välj en prenumeration.

3. Välj Åtkomstkontroll (IAM) .

4. Välj fliken Klassiska administratörer.

5. Lägg till en bock bredvid tjänstadministratören.

6. Välj Ta bort.

7. I meddelanderutan som visas väljer du Ja.

   

Om tjänstadministratörsanvändaren inte finns i katalogen kan du få följande fel när du försöker ta bort tjänstadministratören:

Call GSM to delete service admin on subscription <subscriptionId> failed. Exception: Cannot delete user <principalId> since they are not the service administrator. Please retry with the right service administrator user PUID.

Om tjänstadministratörsanvändaren inte finns i katalogen kan du försöka ändra tjänstadministratören till en befintlig användare och sedan försöka ta bort tjänstadministratören.

Nästa steg

• Förstå de olika rollerna
• Tilldela Azure-roller med hjälp av Azure-portalen
• Förstå administrativa roller för Microsoft-kundavtal i Azure