Klassiska Azure-prenumerationsadministratörer

Viktigt!

Från och med den 31 augusti 2024 dras klassiska Azure-administratörsroller (tillsammans med klassiska Azure-resurser och Azure Service Manager) tillbaka och stöds inte längre. Om du fortfarande har aktiva rolltilldelningar som medadministratör eller tjänstadministratör konverterar du dessa rolltilldelningar till Azure RBAC omedelbart.

Microsoft rekommenderar att du hanterar åtkomst till Azure-resurser med rollbaserad åtkomstkontroll i Azure (Azure RBAC). Om du fortfarande använder den klassiska distributionsmodellen måste du migrera dina resurser från den klassiska distributionen till Resource Manager-distributionen. Mer information finns i Azure Resource Manager jämfört med klassisk distribution.

Den här artikeln beskriver tillbakadragandet av rollerna Medadministratör och Tjänstadministratör och hur du konverterar dessa rolltilldelningar.

Vanliga frågor och svar

Vad händer med klassiska administratörsrolltilldelningar efter den 31 augusti 2024?

• Medadministratörs- och tjänstadministratörsroller har dragits tillbaka och stöds inte längre. Du bör konvertera dessa rolltilldelningar till Azure RBAC omedelbart.

Hur gör jag för att vet du vilka prenumerationer som har klassiska administratörer?

• Du kan använda en Azure Resource Graph-fråga för att visa prenumerationer med rolltilldelningar som tjänstadministratör eller medadministratör. Anvisningar finns i Lista klassiska administratörer.

Vilken är motsvarande Azure-roll som jag bör tilldela för medadministratörer?

• Ägarrollen i prenumerationsomfånget har motsvarande åtkomst. Ägaren är dock en privilegierad administratörsroll och ger fullständig åtkomst för att hantera Azure-resurser. Du bör överväga en jobbfunktionsroll med färre behörigheter, minska omfånget eller lägga till ett villkor.

Vilken är motsvarande Azure-roll som jag bör tilldela för tjänstadministratör?

• Ägarrollen i prenumerationsomfånget har motsvarande åtkomst.

Varför behöver jag migrera till Azure RBAC?

• Azure RBAC erbjuder detaljerad åtkomstkontroll, kompatibilitet med Microsoft Entra Privileged Identity Management (PIM) och fullständigt stöd för granskningsloggar. Alla framtida investeringar kommer att finnas i Azure RBAC.

Hur är det med rollen Kontoadministratör?

• Kontoadministratören är den primära användaren för ditt faktureringskonto. Kontoadministratören är inte inaktuell och du behöver inte konvertera den här rolltilldelningen. Kontoadministratör och tjänstadministratör kan vara samma användare. Du behöver dock bara konvertera rolltilldelningen Tjänstadministratör.

Vad ska jag göra om jag förlorar åtkomsten till en prenumeration?

• Om du tar bort dina klassiska administratörer utan att ha minst en ägarrolltilldelning för en prenumeration förlorar du åtkomsten till prenumerationen och prenumerationen blir överbliven. Om du vill få åtkomst till en prenumeration igen kan du göra följande:

  • Följ stegen för att öka åtkomsten för att hantera alla prenumerationer i en klientorganisation.
  • Tilldela rollen Ägare i prenumerationsomfånget för en användare.
  • Ta bort förhöjd åtkomst.

Vad ska jag göra om jag har ett starkt beroende av medadministratörer eller tjänstadministratör?

• Skicka e-post ACARDeprecation@microsoft.com och beskriv ditt scenario.

Lista klassiska administratörer

Azure-portalen

Följ de här stegen för att visa en lista över tjänstadministratörer och medadministratörer för en prenumeration med hjälp av Azure Portal.

1. Logga in på Azure Portal som ägare av en prenumeration.

2. Öppna Prenumerationer och välj en prenumeration.

3. Välj Åtkomstkontroll (IAM) .

4. Välj fliken Klassiska administratörer för att visa en lista över medadministratörer.

   

Azure Resource Graph

Följ de här stegen för att visa antalet tjänstadministratörer och medadministratörer i dina prenumerationer med Hjälp av Azure Resource Graph.

1. Logga in på Azure Portal som ägare av en prenumeration.

2. Öppna Azure Resource Graph Explorer.

3. Välj Omfång och ange omfånget för frågan.

   Ange omfång till Katalog för att fråga hela klientorganisationen, men du kan begränsa omfånget till vissa prenumerationer.

   

4. Välj Ange auktoriseringsomfång och ange auktoriseringsomfånget till At, ovan och nedan för att fråga alla resurser i det angivna omfånget.

   

5. Kör följande fråga för att visa antalet tjänstadministratörer och medadministratörer baserat på omfånget.

   authorizationresources
   | where type == "microsoft.authorization/classicadministrators"
   | mv-expand role = parse_json(properties).role
   | mv-expand adminState = parse_json(properties).adminState
   | where adminState == "Enabled"
   | where role in ("ServiceAdministrator", "CoAdministrator")
   | summarize count() by subscriptionId, tostring(role)
   

   Följande visar ett exempel på resultatet. Kolumnen count_ är antalet tjänstadministratörer eller medadministratörer för en prenumeration.

   

Medadministratörer går i pension

Om du fortfarande har klassiska administratörer kan du använda följande steg för att konvertera rolltilldelningar som medadministratör.

Steg 1: Granska dina nuvarande medadministratörer

1. Logga in på Azure Portal som ägare av en prenumeration.

2. Använd Azure Portal eller Azure Resource Graph för att visa en lista över dina medadministratörer.

3. Granska inloggningsloggarna för dina medadministratörer för att bedöma om de är aktiva användare.

Steg 2: Ta bort medadministratörer som inte längre behöver åtkomst

1. Om användaren inte längre finns i företaget tar du bort medadministratören.

2. Om användaren har tagits bort, men deras medadministratörstilldelning inte har tagits bort, tar du bort medadministratören.

   Användare som har tagits bort inkluderar vanligtvis texten (användaren hittades inte i den här katalogen).

   

3. När du har granskat användarens aktivitet tar du bort medadministratör om användaren inte längre är aktiv.

Steg 3: Konvertera medadministratörer till jobbfunktionsroller

De flesta användare behöver inte samma behörigheter som en medadministratör. Överväg en jobbfunktionsroll i stället.

1. Om en användare fortfarande behöver viss åtkomst kan du bestämma vilken jobbfunktionsroll de behöver.

2. Fastställa omfångsanvändarnas behov.

3. Följ stegen för att tilldela en jobbfunktionsroll till användaren.

4. Ta bort medadministratör.

Steg 4: Konvertera medadministratörer till ägarroll med villkor

Vissa användare kan behöva mer åtkomst än vad en jobbfunktionsroll kan ge. Om du måste tilldela rollen Ägare kan du överväga att lägga till ett villkor eller använda Microsoft Entra Privileged Identity Management (PIM) för att begränsa rolltilldelningen.

1. Tilldela rollen Ägare med villkor.

   Du kan till exempel tilldela rollen Ägare i prenumerationsomfånget med villkor. Om du har PIM gör du användaren berättigad till rolltilldelningen Ägare.

2. Ta bort medadministratör.

Steg 5: Konvertera medadministratörer till ägarroll

Om en användare måste vara administratör för en prenumeration tilldelar du rollen Ägare i prenumerationsomfånget.

• Följ stegen i Konvertera en medadministratör med rollen Ägare.

Så här konverterar du en medadministratör till rollen Ägare

Det enklaste sättet att dölja en rolltilldelning med medadministratör till rollen Ägare i prenumerationsomfånget är att använda reparationsstegen.

1. Logga in på Azure Portal som ägare av en prenumeration.

2. Öppna Prenumerationer och välj en prenumeration.

3. Välj Åtkomstkontroll (IAM) .

4. Välj fliken Klassiska administratörer för att visa en lista över medadministratörer.

5. För den medadministratör som du vill konvertera till rollen Ägare går du till kolumnen Reparation och väljer länken Tilldela RBAC-roll .

6. Granska rolltilldelningen i fönstret Lägg till rolltilldelning .

   

7. Välj Granska + tilldela för att tilldela rollen Ägare och ta bort rolltilldelningen Medadministratör.

Så här tar du bort en medadministratör

Följ de här stegen för att ta bort en medadministratör.

1. Logga in på Azure Portal som ägare av en prenumeration.

2. Öppna Prenumerationer och välj en prenumeration.

3. Välj Åtkomstkontroll (IAM) .

4. Välj fliken Klassiska administratörer för att visa en lista över medadministratörer.

5. Lägg till en bock bredvid den medadministratör som du vill ta bort.

6. Välj Ta bort.

7. I meddelanderutan som visas väljer du Ja.

   

Tjänstadministratören dras tillbaka

Om du fortfarande har klassiska administratörer kan du använda följande steg för att konvertera rolltilldelningen Tjänstadministratör. Innan du tar bort tjänstadministratören måste du ha minst en användare som har tilldelats rollen Ägare i prenumerationsomfånget utan villkor för att undvika överblivna prenumerationen. En prenumerationsägare har samma åtkomst som tjänstadministratören.

Steg 1: Granska din nuvarande tjänstadministratör

1. Logga in på Azure Portal som ägare av en prenumeration.

2. Använd Azure Portal eller Azure Resource Graph för att visa en lista över tjänstadministratören.

3. Granska inloggningsloggarna för tjänstadministratören för att utvärdera om de är en aktiv användare.

Steg 2: Granska dina nuvarande ägare av faktureringskonton

Användaren som har tilldelats rollen Tjänstadministratör kan också vara samma användare som är administratör för ditt faktureringskonto. Du bör granska dina nuvarande faktureringskontoägare för att säkerställa att de fortfarande är korrekta.

1. Använd Azure Portal för att hämta dina faktureringskontoägare.

2. Granska din lista över faktureringskontoägare. Uppdatera eller lägg till en annan faktureringskontoägare om det behövs.

Steg 3: Konvertera tjänstadministratör till ägarroll

Tjänstadministratören kan vara ett Microsoft-konto eller ett Microsoft Entra-konto. Ett Microsoft-konto är ett personligt konto som Outlook, OneDrive, Xbox LIVE eller Microsoft 365. Ett Microsoft Entra-konto är en identitet som skapats via Microsoft Entra-ID.

1. Om tjänstadministratörsanvändare är ett Microsoft-konto och du vill att den här användaren ska behålla samma behörigheter konverterar du tjänstadministratören till rollen Ägare.

2. Om tjänstadministratörsanvändare är ett Microsoft Entra-konto och du vill att den här användaren ska behålla samma behörigheter konverterar du tjänstadministratören till rollen Ägare.

3. Om du vill ändra tjänstadministratörsanvändaren till en annan användare tilldelar du rollen Ägare till den nya användaren i prenumerationsomfånget utan villkor. Ta sedan bort tjänstadministratören.

Så här konverterar du tjänstadministratören till rollen Ägare

Det enklaste sättet att konvertera rolltilldelningen Tjänstadministratör till rollen Ägare i prenumerationsomfånget är att använda åtgärdsstegen.

1. Logga in på Azure Portal som ägare av en prenumeration.

2. Öppna Prenumerationer och välj en prenumeration.

3. Välj Åtkomstkontroll (IAM) .

4. Välj fliken Klassiska administratörer för att visa tjänstadministratören.

5. För tjänstadministratören går du till kolumnen Reparation och väljer länken Tilldela RBAC-roll .

6. Granska rolltilldelningen i fönstret Lägg till rolltilldelning .

   

7. Välj Granska + tilldela för att tilldela rollen Ägare och ta bort rolltilldelningen Tjänstadministratör.

Ta bort tjänstadministratören

Viktigt!

Om du vill ta bort tjänstadministratören måste du ha en användare som har tilldelats rollen Ägare i prenumerationsomfånget utan villkor för att undvika överblivna prenumerationen. En prenumerationsägare har samma åtkomst som tjänstadministratören.

1. Logga in på Azure Portal som ägare av en prenumeration.

2. Öppna Prenumerationer och välj en prenumeration.

3. Välj Åtkomstkontroll (IAM) .

4. Välj fliken Klassiska administratörer.

5. Lägg till en bock bredvid tjänstadministratören.

6. Välj Ta bort.

7. I meddelanderutan som visas väljer du Ja.

   

Nästa steg

• Förstå de olika rollerna
• Tilldela Azure-roller med hjälp av Azure-portalen
• Förstå administrativa roller för Microsoft-kundavtal i Azure