Azure 傳統訂用帳戶管理員

重要

傳統資源和傳統系統管理員將於 2024 年 8 月 31 日淘汰。 從 2024 年 4 月 3 日起，您將無法新增新的共同管理員。 此日期最近已延長。 移除不必要的共同管理員，並使用 Azure RBAC 進行更精細的存取控制。

Microsoft 建議您使用 Azure 角色型存取控制 （Azure RBAC） 來管理 Azure 資源的存取權。 不過，如果您仍在使用傳統部署模型，則必須使用傳統訂用帳戶管理員角色：服務 管理員 istrator 和共同 管理員 istrator。 如需如何將資源從傳統部署移轉至 Resource Manager 部署的相關信息，請參閱 Azure Resource Manager 與傳統部署。

如果您仍然擁有傳統系統管理員，您應該在淘汰日期之前移除這些角色指派。 本文說明如何準備淘汰共同 管理員 istrator 和服務 管理員 istrator 角色，以及如何移除或變更這些角色指派。

常見問題集

Co-管理員 istrators 和服務 管理員 istrator 是否會在 2024 年 8 月 31 日之後失去存取權？

• 從 2024 年 8 月 31 日起，Microsoft 將會開始移除共同 管理員 istrators 和服務 管理員 istrator 的存取權。

如何? 知道哪些訂用帳戶具有傳統系統管理員？

• 您可以使用 Azure Resource Graph 查詢來列出具有 Service 管理員 istrator 或 Co-管理員 istrator 角色指派的訂用帳戶。 如需步驟，請參閱 列出傳統系統管理員。

我應該為共同 管理員 istrators 指派哪些對等的 Azure 角色？

• 訂用帳戶範圍的擁有者 角色具有對等的存取權。 不過，擁有者是 具有特殊許可權的系統管理員角色 ，並授與管理 Azure 資源的完整存取權。 您應該考慮具有較少許可權、減少範圍或新增條件的作業函式角色。

我應該為 Service 管理員 istrator 指派哪些對等的 Azure 角色？

• 訂用帳戶範圍的擁有者 角色具有對等的存取權。

為什麼我需要遷移至 Azure RBAC？

• 傳統系統管理員將會淘汰。 Azure RBAC 提供精細的訪問控制、與 Microsoft Entra Privileged Identity Management （PIM） 的相容性，以及完整的稽核記錄支援。 所有未來的投資都將在 Azure RBAC 中。

帳戶 管理員 istrator 角色呢？

• 帳戶 管理員 istrator 是您計費帳戶的主要使用者。 帳戶 管理員 istrator 未被取代，您不需要取代此角色指派。 帳戶 管理員 istrator 和服務 管理員 istrator 可能是相同的使用者。 不過，您只需要移除服務 管理員 istrator 角色指派。

如果我與共同 管理員 管理員或服務 管理員 istrator 有很強的相依性，該怎麼辦？

• 傳送電子郵件 ACARDeprecation@microsoft.com 並描述您的案例。

準備共同 管理員 議員退休

如果您仍然擁有傳統系統管理員，請使用下列步驟來協助您準備淘汰共同 管理員 istrator 角色。

步驟 1：檢閱您目前的共同 管理員

1. 以訂用帳戶的擁有者身分登入 Azure 入口網站。

2. 使用 Azure 入口網站 或 Azure Resource Graph 來列出共同 管理員 管理員。

3. 檢閱共同 管理員 管理員的登入記錄，以評估其是否為使用中使用者。

步驟 2：移除不再需要存取權的共同 管理員 管理員

1. 如果使用者不再在您的企業中，請移除共同 管理員 istrator。

2. 如果使用者已刪除，但未移除其共同 管理員 istrator 指派，請移除共同 管理員 istrator。

   已刪除的使用者通常會包含文字（在此目錄中找不到使用者）。

   

3. 檢閱用戶的活動之後，如果使用者不再使用中，請移除共同 管理員 istrator。

步驟 3：將現有的共同 管理員 istrators 取代為作業函式角色

大部分的使用者不需要與共同 管理員 istrator 相同的許可權。 請改為考慮作業函式角色。

1. 如果使用者仍然需要某些存取權，請判斷他們需要的適當 作業函式角色 。

2. 判斷範圍使用者需求。

3. 請依照步驟 將作業函式角色指派給使用者。

4. 拿掉共同 管理員 istrator。

步驟 4：以擁有者角色和條件取代現有的共同 管理員 管理員

某些使用者可能需要比作業功能角色所能提供更多的存取權。 如果您必須指派 擁有者 角色，請考慮新增條件來限制角色指派。

1. 在 具有條件 的訂用帳戶範圍指派擁有者角色給使用者。

2. 拿掉共同 管理員 istrator。

準備服務 管理員 istrator 淘汰

如果您仍然擁有傳統系統管理員，請使用下列步驟來協助您準備淘汰服務 管理員 istrator 角色。 若要移除服務 管理員 istrator，您必須至少有一位在訂用帳戶範圍指派擁有者角色的使用者，而不需要條件，以避免孤立訂閱。 訂用帳戶擁有者具有與服務系統管理員相同的存取權。

步驟 1：檢閱您目前的服務 管理員 istrator

1. 以訂用帳戶的擁有者身分登入 Azure 入口網站。

2. 使用 Azure 入口網站 或 Azure Resource Graph 來列出您的服務 管理員 istrator。

3. 檢閱 Service 管理員 istrator 的登入記錄，以評估其是否為使用中使用者。

步驟 2：檢閱您目前的計費帳戶擁有者

獲指派 Service 管理員 istrator 角色的使用者，也可能是計費帳戶系統管理員的相同使用者。 您應該檢閱您目前的計費帳戶擁有者，以確保它們仍然正確無誤。

1. 使用 Azure 入口網站 來取得您的計費帳戶擁有者。

2. 檢閱您的計費帳戶擁有者清單。 如有必要， 請更新或新增另一個計費帳戶擁有者。

步驟 3：將現有的服務 管理員 istrator 取代為擁有者角色

您的服務 管理員 istrator 可能是 Microsoft 帳戶或 Microsoft Entra 帳戶。 Microsoft 帳戶是個人帳戶，例如 Outlook、OneDrive、Xbox LIVE 或 Microsoft 365。 Microsoft Entra 帳戶是透過 Microsoft Entra 識別碼建立的身分識別。

1. 如果 Service 管理員 istrator 使用者是 Microsoft 帳戶，而且您希望此使用者保留相同的許可權，請在訂用帳戶範圍中將擁有者角色指派給此使用者，而不需要條件。

2. 如果 Service 管理員 istrator 使用者是 Microsoft Entra 帳戶，而且您希望此使用者保留相同的許可權，請在訂用帳戶範圍內將擁有者角色指派給此使用者，而不需要條件。

3. 如果您想要將 Service 管理員 istrator 使用者變更為不同的使用者，請在訂用帳戶範圍中將擁有者角色指派給這個新使用者，而不需要條件。

4. 拿掉 Service 管理員 istrator。

列出傳統系統管理員

Azure 入口網站

請遵循下列步驟，使用 Azure 入口網站 列出訂用帳戶的服務 管理員 istrator 和共同 管理員 istrators。

1. 以訂用帳戶的擁有者身分登入 Azure 入口網站。

2. 開啟訂用帳戶，並選取訂用帳戶。

3. 選取存取控制 (IAM)。

4. 選取 [傳統系統管理員] 索引標籤，以檢視共同 管理員 管理員的清單。

   

Azure Resource Graph

請遵循下列步驟，使用 Azure Resource Graph 列出訂用帳戶中的 Service 管理員 istrator 和 Co-管理員 istrators 數目。

1. 以訂用帳戶的擁有者身分登入 Azure 入口網站。

2. 開啟 Azure Resource Graph 總管。

3. 選取 [ 範圍 ] 並設定查詢的範圍。

   將範圍設定為 [ 目錄 ] 以查詢整個租使用者，但您可以將範圍縮小至特定訂用帳戶。

   

4. 選取 [設定授權範圍 ]，並將授權範圍設定為 [At]，在上方和下方 查詢指定範圍的所有資源。

   

5. 執行下列查詢，根據範圍列出 Service 管理員 istrators 和 Co-管理員 istrators 數目。

   authorizationresources
   | where type == "microsoft.authorization/classicadministrators"
   | mv-expand role = parse_json(properties).role
   | mv-expand adminState = parse_json(properties).adminState
   | where adminState == "Enabled"
   | where role in ("ServiceAdministrator", "CoAdministrator")
   | summarize count() by subscriptionId, tostring(role)
   

   下列顯示結果的範例。 count_數據行是訂用帳戶的 Service 管理員 istrators 或 Co-管理員 istrators 數目。

   

移除共同管理員

重要

傳統資源和傳統系統管理員將於 2024 年 8 月 31 日淘汰。 從 2024 年 4 月 3 日起，您將無法新增新的共同管理員。 此日期最近已延長。 移除不必要的共同管理員，並使用 Azure RBAC 進行更精細的存取控制。

請遵循下列步驟來移除共同 管理員 istrator。

1. 以訂用帳戶的擁有者身分登入 Azure 入口網站。

2. 開啟訂用帳戶，並選取訂用帳戶。

3. 選取存取控制 (IAM)。

4. 選取 [傳統系統管理員] 索引標籤，以檢視共同 管理員 管理員清單。

5. 在要移除的共同管理員旁邊新增核取記號。

6. 選取移除。

7. 在出現的訊息方塊中，選取是。

   

新增共同管理員

重要

傳統資源和傳統系統管理員將於 2024 年 8 月 31 日淘汰。 從 2024 年 4 月 3 日起，您將無法新增新的共同管理員。 此日期最近已延長。 移除不必要的共同管理員，並使用 Azure RBAC 進行更精細的存取控制。

如果使用者需要使用 Azure 服務管理 PowerShell 模組來管理 Azure 傳統部署，您只需要新增共同 管理員 istrator。 如果使用者僅使用 Azure 入口網站來管理傳統資源，則不需要針對使用者新增傳統系統管理員。

1. 以訂用帳戶的擁有者身分登入 Azure 入口網站。

2. 開啟訂用帳戶，並選取訂用帳戶。

   共同 管理員 istrators 只能在訂用帳戶範圍指派。

3. 選取存取控制 (IAM)。

4. 選取傳統管理員索引標籤。

   

5. 選取新增>新增共同管理員以開啟 [新增共同管理員] 窗格。

   如果 [新增共同管理員] 選項已停用，您就沒有許可權。

6. 選取要新增的使用者，然後選取新增。

   

將來賓使用者新增為共同管理員

若要將來賓使用者新增為共同管理員，請遵循上方新增共同管理員區段中的相同步驟。 來賓用戶必須符合下列準則：

• 來賓使用者必須存在於您的目錄中。 這表示使用者已受邀使用您的目錄，並接受邀請。

如需如何將來賓使用者新增至目錄的詳細資訊，請參閱在 Azure 入口網站 中新增 Microsoft Entra B2B 共同作業使用者。

在您從目錄中移除來賓使用者之前，請先移除該來賓使用者的任何角色指派。 如需詳細資訊，請參閱 從目錄移除外部使用者。

來賓用戶的差異

與具備「共同管理員」角色的成員使用者相比，獲派「共同管理員」角色的來賓使用者可能會發現其中有些差異。 試想以下情況：

• 具有 Microsoft Entra 帳戶（公司或學校帳戶）的使用者 A 是 Azure 訂用帳戶的服務 管理員 istrator。
• 使用者 B 具有 Microsoft 帳戶。
• 使用者 A 會將共同 管理員 istrator 角色指派給使用者 B。
• 使用者 B 幾乎可以執行所有作業，但無法註冊應用程式或查閱 Microsoft Entra 目錄中的使用者。

您預期使用者 B 可以管理所有專案。 此差異的原因是 Microsoft 帳戶會新增至訂用帳戶作為來賓使用者，而不是成員使用者。 相較於成員使用者，來賓使用者在 Microsoft Entra ID 中有不同的預設許可權。 例如，成員使用者可以讀取 Microsoft Entra ID 和來賓使用者中的其他使用者。 成員用戶可以在 Microsoft Entra ID 中註冊新的服務主體，而且來賓用戶無法註冊。

如果來賓用戶必須能夠執行這些工作，可能的解決方法是指派來賓使用者所需的特定 Microsoft Entra 角色。 例如，在上一個案例中，您可以將目錄讀取者角色指派給讀取其他使用者，並指派應用程式開發人員角色，以建立服務主體。 如需成員和來賓使用者及其許可權的詳細資訊，請參閱 什麼是 Microsoft Entra ID 中的預設用戶許可權？。 如需授與來賓使用者存取權的詳細資訊，請參閱使用 Azure 入口網站 將 Azure 角色指派給外部使用者。

請注意， Azure 內建角色 與 Microsoft Entra 角色不同。 內建角色不會授與 Microsoft Entra ID 的任何存取權。 如需詳細資訊，請參閱 瞭解不同的角色。

如需比較成員使用者和來賓使用者的資訊，請參閱 Microsoft Entra ID 中的預設使用者許可權為何？。

變更服務系統管理員

只有帳戶管理員可以變更訂用帳戶的服務系統管理員。 根據預設，註冊 Azure 訂用帳戶時系統會將服務系統管理員與帳戶管理員設為同一人。

具有帳戶管理員角色的使用者可以存取 Azure 入口網站並管理帳單，但無法取消訂用帳戶。 具有服務系統管理員角色的使用者具有 Azure 入口網站的完整存取權，而且可以取消訂用帳戶。 帳戶管理員可以將自己設為服務系統管理員。

請遵循下列步驟來變更 Azure 入口網站 中的 Service 管理員 istrator。

1. 以帳戶管理員身分登入 Azure 入口網站。

2. 開啟成本管理 + 計費，然後選取訂用帳戶。

3. 在左側導覽中，選取屬性。

4. 選取變更服務管理員。

   

5. 在編輯服務系統管理員頁面中，輸入新服務系統管理員的電子郵件地址。

   

6. 選取確定來儲存變更。

移除服務系統管理員

若要移除服務 管理員 istrator，您必須在訂用帳戶範圍指派擁有者角色的使用者，而不需要條件，以避免孤立訂閱。 訂用帳戶擁有者具有與服務系統管理員相同的存取權。

1. 以訂用帳戶的擁有者身分登入 Azure 入口網站。

2. 開啟訂用帳戶，並選取訂用帳戶。

3. 選取存取控制 (IAM)。

4. 選取傳統管理員索引標籤。

5. 在服務系統管理員旁新增核取記號。

6. 選取移除。

7. 在出現的訊息方塊中，選取是。

   

如果 Service 管理員 istrator 使用者不在目錄中，當您嘗試移除 Service 管理員 istrator 時，可能會收到下列錯誤：

Call GSM to delete service admin on subscription <subscriptionId> failed. Exception: Cannot delete user <principalId> since they are not the service administrator. Please retry with the right service administrator user PUID.

如果 Service 管理員 istrator 使用者不在目錄中，請嘗試將 Service 管理員 istrator 變更為現有的使用者，然後嘗試移除 Service 管理員 istrator。

下一步

• 瞭解不同的角色
• 使用 Azure 入口網站指派 Azure 角色
• 了解 Azure 中的 Microsoft 客戶合約管理角色