Azure 傳統訂用帳戶管理員

重要

自 2024 年 8 月 31 日起，Azure 傳統管理員角色 (以及 Azure 傳統資源和 Azure Service Manager) 已淘汰且不再提供支援。 如果您仍然有作用中的共同管理員或服務管理員角色指派，請立即將這些角色指派轉換為 Azure RBAC。

Microsoft 建議您使用 Azure 角色型存取控制 (Azure RBAC) 來管理 Azure 資源的存取權。 如果您仍在使用傳統部署模型，則必須將資源從傳統部署移轉至 Resource Manager 部署。 如需詳細資訊，請參閱 Azure Resource Manager 與傳統部署。

本文描述共同管理員和服務管理員角色的淘汰，以及如何轉換這些角色指派。

常見問題集

2024 年 8 月 31 日之後，傳統管理員角色指派會發生什麼變化？

• 共同管理員和服務管理員角色已淘汰且不再受到支援。 您應該立即將這些角色指派轉換為 Azure RBAC。

如何知道哪些訂用帳戶具有傳統管理員？

• 您可以使用 Azure Resource Graph 查詢來列出具有服務管理員或共同管理員角色指派的訂用帳戶。 如需步驟，請參閱列出傳統管理員 (部分機器翻譯)。

我應該為共同管理員指派哪個對等的 Azure 角色？

• 符合訂用帳戶範圍的擁有者角色具有對等的存取權。 不過，擁有者是具有特殊權限的管理員角色，可授予管理 Azure 資源的完整存取權。 您應該考慮具有較少權限的工作職能角色、減少範圍或新增條件。

我應該為服務管理員指派哪個對等的 Azure 角色？

• 符合訂用帳戶範圍的擁有者角色具有對等的存取權。

為什麼我需要移轉至 Azure RBAC？

• Azure RBAC 提供精細的存取控制、與 Microsoft Entra Privileged Identity Management (PIM) 的相容性，以及完整的稽核記錄支援。 所有未來的投資都會在 Azure RBAC 中。

帳戶管理員角色呢？

• 帳戶管理員是計費帳戶的主要使用者。 帳戶管理員沒有被取代，您不需要轉換此角色指派。 帳戶管理員和服務管理員可能是相同的使用者。 不過，您只需要轉換服務管理員角色指派。

如果我失去訂用帳戶的存取權，該怎麼辦？

• 如果您在未針對訂用帳戶指派至少一個擁有者角色的情況下移除傳統管理員，您將失去該訂用帳戶的存取權，而且該訂用帳戶將會是孤立的。 如果要重新取得訂用帳戶的存取權，您可以執行下列動作：

  • 請遵循步驟提高存取權，以管理租用戶中的所有訂用帳戶 (部分機器翻譯)。
  • 為使用者指派符合訂用帳戶範圍的擁有者角色。
  • 移除已提高的存取權。

如果我對共同管理員或服務管理員有很強的相依性，該怎麼辦？

• 寄送電子郵件給 ACARDeprecation@microsoft.com 並描述您的案例。

列出傳統管理員

Azure 入口網站

請遵循下列步驟，使用 Azure 入口網站列出訂用帳戶的服務管理員和共同管理員。

1. 以訂用帳戶的擁有者身分登入 Azure 入口網站。

2. 開啟訂用帳戶，並選取訂用帳戶。

3. 選取存取控制 (IAM)。

4. 選取 [傳統管理員] 索引標籤以檢視共同管理員的清單。

   

Azure Resource Graph

請遵循下列步驟，使用 Azure Resource Graph 列出訂用帳戶中的服務管理員和共同管理員數目。

1. 以訂用帳戶的擁有者身分登入 Azure 入口網站。

2. 開啟 [Azure Resource Graph 總管]。

3. 選取 [範圍] 並設定查詢的範圍。

   將範圍設定為 [目錄] 以查詢整個租用戶，但您可以將範圍縮小至特定訂用帳戶。

   

4. 選取 [設定授權範圍]，並將授權範圍設定為 [符合、高於和低於] 以查詢在指定範圍的所有資源。

   

5. 執行下列查詢，以根據範圍列出服務管理員和共同管理員的數目。

   authorizationresources
   | where type == "microsoft.authorization/classicadministrators"
   | mv-expand role = parse_json(properties).role
   | mv-expand adminState = parse_json(properties).adminState
   | where adminState == "Enabled"
   | where role in ("ServiceAdministrator", "CoAdministrator")
   | summarize count() by subscriptionId, tostring(role)
   

   以下顯示結果範例。 [count_] 資料行是訂用帳戶的服務管理員或共同管理員數目。

   

共同管理員淘汰

如果您仍然擁有傳統管理員，請使用下列步驟來協助您轉換共同管理員角色指派。

步驟 1：檢閱您目前的共同管理員

1. 以訂用帳戶的擁有者身分登入 Azure 入口網站。

2. 使用 Azure 入口網站或 Azure Resource Graph 列出您的共同管理員。

3. 檢閱登入記錄，讓共同管理員評估其是否為活躍使用者。

步驟 2：移除不再需要存取權的共同管理員

1. 如果使用者已不在企業中，請移除共同管理員。

2. 如果使用者已刪除，但其共同管理員指派尚未移除，請移除共同管理員。

   已刪除的使用者通常會包含文字 (在此目錄中找不到使用者)。

   

3. 檢閱使用者的活動之後，如果使用者不再處於活躍狀態，請移除共同管理員。

步驟 3：將共同管理員轉換為工作職能角色

大部分的使用者不需要與共同管理員相同的權限。 請改為考慮工作職能角色。

1. 如果使用者仍然需要某些存取權，請決定所需的適當工作職能角色。

2. 決定使用者所需的範圍。

3. 請遵循步驟將工作職能角色指派給使用者。

4. 移除共同管理員。

步驟 4：在使用條件的情況下將共同管理員轉換為擁有者角色

某些使用者可能需要比工作職能角色所能提供更多的存取權。 如果您必須指派擁有者角色，請考慮新增條件或使用 Microsoft Entra Privileged Identity Management (PIM) 來限制角色指派。

1. 在使用條件的情況下指派擁有者角色。

   例如，在使用條件的情況下指派符合訂用帳戶範圍的擁有者角色。 如果您有 PIM，請讓使用者符合擁有者角色指派的資格。

2. 移除共同管理員。

步驟 5：將共同管理員轉換為擁有者角色

如果使用者必須是訂用帳戶管理員，請指派符合訂用帳戶範圍的擁有者角色。

• 請遵循如何轉換具有擁有者角色的共同管理員中的步驟 (部分機器翻譯)。

如何將共同管理員轉換為擁有者角色

如果要將共同管理員角色指派轉換為符合訂用帳戶範圍的擁有者角色，最簡單的方式是使用補救步驟。

1. 以訂用帳戶的擁有者身分登入 Azure 入口網站。

2. 開啟訂用帳戶，並選取訂用帳戶。

3. 選取存取控制 (IAM)。

4. 選取 [傳統管理員] 索引標籤以檢視共同管理員的清單。

5. 針對您要轉換為擁有者角色的共同管理員，請在 [補救] 資料行底下，選取 [指派 RBAC 角色] 連結。

6. 在 [新增角色指派] 窗格中，檢閱角色指派。

   

7. 選取 [檢閱 + 指派] 以指派擁有者角色並移除共同管理員角色指派。

如何移除共同管理員

請遵循下列步驟來移除共同管理員。

1. 以訂用帳戶的擁有者身分登入 Azure 入口網站。

2. 開啟訂用帳戶，並選取訂用帳戶。

3. 選取存取控制 (IAM)。

4. 選取 [傳統管理員] 索引標籤以檢視共同管理員的清單。

5. 在要移除的共同管理員旁邊新增核取記號。

6. 選取 [刪除]。

7. 在出現的訊息方塊中，選取是。

   

服務管理員淘汰

如果您仍然擁有傳統管理員，請使用下列步驟來協助您轉換服務管理員角色指派。 移除服務管理員之前，您必須在不使用條件的情況下，將至少一個使用者指派為符合訂用帳戶範圍的擁有者角色，以避免孤立訂用帳戶。 訂用帳戶擁有者具有與服務系統管理員相同的存取權。

步驟 1：檢閱您目前的服務管理員

1. 以訂用帳戶的擁有者身分登入 Azure 入口網站。

2. 使用 Azure 入口網站或 Azure Resource Graph 列出您的服務管理員。

3. 檢閱登入記錄，讓服務管理員評估其是否為活躍使用者。

步驟 2：檢閱您目前的計費帳戶擁有者

獲指派為服務管理員角色的使用者，也可能是計費帳戶管理員的相同使用者。 您應檢閱目前的計費帳戶擁有者，以確保他們仍然正確無誤。

1. 使用 Azure 入口網站取得您的計費帳戶擁有者。

2. 檢閱您的計費帳戶擁有者清單。 如有必要，更新或新增另一個計費帳戶擁有者。

步驟 3：將服務管理員轉換為擁有者角色

您的服務管理員可能是 Microsoft 帳戶或 Microsoft Entra 帳戶。 Microsoft 帳戶是個人帳戶，例如 Outlook、OneDrive、Xbox LIVE 或 Microsoft 365。 Microsoft Entra 帳戶是透過 Microsoft Entra ID 建立的身分識別。

1. 如果服務管理員使用者是 Microsoft 帳戶，而且您希望此使用者保留相同的權限，請將服務管理員轉換為擁有者角色。

2. 如果服務管理員使用者是 Microsoft Entra 帳戶，而且您希望此使用者保留相同的權限，請將服務管理員轉換為擁有者角色。

3. 如果您想要將服務管理員使用者變更為不同的使用者，請在不使用條件的情況下指派擁有者角色給這個符合訂用帳戶範圍的新使用者。 然後，移除服務管理員。

如何將服務管理員轉換為擁有者角色

如果要將服務管理員角色指派轉換為符合訂用帳戶範圍的擁有者角色，最簡單的方式是使用補救步驟。

1. 以訂用帳戶的擁有者身分登入 Azure 入口網站。

2. 開啟訂用帳戶，並選取訂用帳戶。

3. 選取存取控制 (IAM)。

4. 選取 [傳統管理員] 索引標籤以檢視服務管理員。

5. 針對 [服務管理員]，在 [補救] 資料行底下，選取 [指派 RBAC 角色] 連結。

6. 在 [新增角色指派] 窗格中，檢閱角色指派。

   

7. 選取 [檢閱 + 指派] 以指派擁有者角色並移除服務管理員角色指派。

如何移除服務管理員

重要

如果要移除服務管理員，您必須在不使用條件的情況下，將一個使用者指派為符合訂用帳戶範圍的擁有者角色，以避免孤立訂用帳戶。 訂用帳戶擁有者具有與服務系統管理員相同的存取權。

1. 以訂用帳戶的擁有者身分登入 Azure 入口網站。

2. 開啟訂用帳戶，並選取訂用帳戶。

3. 選取存取控制 (IAM)。

4. 選取傳統管理員索引標籤。

5. 在服務系統管理員旁新增核取記號。

6. 選取 [刪除]。

7. 在出現的訊息方塊中，選取是。

   

下一步

• 了解不同的角色
• 使用 Azure 入口網站指派 Azure 角色
• 了解 Azure 中的 Microsoft 客戶合約管理角色