管理 Azure 訂用帳戶原則
本文可協助您設定訂用帳戶作業的 Azure 訂用帳戶原則,以控制 Azure 訂用帳戶移入和移出目錄。
必要條件
- 只有目錄全域管理員可以編輯訂用帳戶原則。 編輯訂用帳戶原則之前,全域管理員必須先提高存取權,才能管理所有 Azure 訂用帳戶和管理群組。 然後,他們可以編輯訂用帳戶原則。
- 所有其他使用者只能讀取目前的原則設定。
可用的訂用帳戶原則設定
使用下列原則設定來控制 Azure 訂用帳戶移入和移出目錄。
保留 Microsoft Entra ID 目錄的訂用帳戶
此原則可允許或阻止使用者將訂用帳戶移出目前的目錄。 訂用帳戶擁有者可以將 Azure 訂用帳戶的目錄變更為其所屬的另一個訂用帳戶。 這會造成治理挑戰,因此全域管理員可允許或禁止目錄使用者變更目錄。
輸入 Microsoft Entra ID 目錄的訂用帳戶
此原則可允許或阻止在目前目錄中具有存取權的其他目錄使用者,將訂用帳戶移至目前的目錄中。 訂用帳戶擁有者可以將 Azure 訂用帳戶的目錄變更為其所屬的另一個訂用帳戶。 這會造成治理挑戰,因此全域管理員可允許或禁止目錄使用者變更目錄。
豁免的使用者
基於治理因素,全域管理員可以封鎖所有訂用帳戶目錄的移動 - 移入或移出目前的目錄。 不過,他們可允許特定使用者執行任一作業。 不論是哪一種情況,他們都可以設定豁免的使用者清單,讓使用者略過套用至其他每個人的原則設定。
設定訂用帳戶原則
- 登入 Azure 入口網站。
- 瀏覽至 [訂用帳戶]。 [管理原則] 會顯示在命令列上。
- 選取 [管理原則] 以檢視為目錄設定的目前訂用帳戶原則詳細資料。 具有較高權限的全域管理員可以編輯設定,包括新增或移除豁免的使用者。
- 選取底部的 [儲存變更] 以儲存變更。 這些變更會立即生效。
讀取訂用帳戶原則
非全域管理員仍可瀏覽至訂用帳戶原則區域,以檢視目錄的原則設定。 他們無法進行任何編輯。 基於隱私權考慮,他們看不到豁免的使用者清單。 只要目錄設定允許,他們即可檢視其全域管理員以提交原則變更的要求。
