分享方式:


管理 Azure 訂用帳戶原則

本文可協助您設定訂用帳戶作業的 Azure 訂用帳戶原則,以控制 Azure 訂用帳戶移入和移出目錄。

必要條件

可用的訂用帳戶原則設定

使用下列原則設定來控制 Azure 訂用帳戶移入和移出目錄。

保留 Microsoft Entra ID 目錄的訂用帳戶

此原則可允許或阻止使用者將訂用帳戶移出目前的目錄。 訂用帳戶擁有者可以將 Azure 訂用帳戶的目錄變更為其所屬的另一個訂用帳戶。 這會造成治理挑戰,因此全域管理員可允許或禁止目錄使用者變更目錄。

輸入 Microsoft Entra ID 目錄的訂用帳戶

此原則可允許或阻止在目前目錄中具有存取權的其他目錄使用者,將訂用帳戶移至目前的目錄中。 訂用帳戶擁有者可以將 Azure 訂用帳戶的目錄變更為其所屬的另一個訂用帳戶。 這會造成治理挑戰,因此全域管理員可允許或禁止目錄使用者變更目錄。

豁免的使用者

基於治理因素,全域管理員可以封鎖所有訂用帳戶目錄的移動 - 移入或移出目前的目錄。 不過,他們可允許特定使用者執行任一作業。 不論是哪一種情況,他們都可以設定豁免的使用者清單,讓使用者略過套用至其他每個人的原則設定。

設定訂用帳戶原則

  1. 登入 Azure 入口網站
  2. 瀏覽至 [訂用帳戶]。 [管理原則] 會顯示在命令列上。
    Screenshot showing Manage Polices in Subscriptions.
  3. 選取 [管理原則] 以檢視為目錄設定的目前訂用帳戶原則詳細資料。 具有較高權限的全域管理員可以編輯設定,包括新增或移除豁免的使用者。
    Screenshot showing specific policy settings and exempted users.
  4. 選取底部的 [儲存變更] 以儲存變更。 這些變更會立即生效。

讀取訂用帳戶原則

非全域管理員仍可瀏覽至訂用帳戶原則區域,以檢視目錄的原則設定。 他們無法進行任何編輯。 基於隱私權考慮,他們看不到豁免的使用者清單。 只要目錄設定允許,他們即可檢視其全域管理員以提交原則變更的要求。

Screenshot showing the Manage policies in Subscriptions as a reader.

下一步