了解何時可能需要提高您的存取權

7 分鐘

營銷部門的 Azure 訂用帳戶管理員最近離開組織。身為「全域管理員」，您沒有此訂用帳戶的存取權。您現在必須將該訂用帳戶的系統管理員存取權授與行銷部門中其他人。

在此單元中，您將會探索何時可能需要提高您自己的存取權。

提高存取權的時機

根據預設，「全域管理員」無法存取 Azure 資源。 Microsoft Entra ID 的「全域管理員」可以暫時將其權限提高至「使用者存取系統管理員」的 Azure 角色。此動作會授與管理 Azure 資源所需的 Azure 角色型存取控制（Azure RBAC）許可權。「使用者存取系統管理員」是在根範圍中指派的。角色可以檢視中的所有資源，並將存取權指派給該 Microsoft Entra 組織中的任何訂用帳戶或管理群組。

下圖顯示當「全域管理員」的權限提高為「使用者存取系統管理員」時可以檢視的資源。

Diagram of User Access Administrator elevated permissions.

身為「全域管理員」，您可能需要提高您的權限以：

重新取得遺失的 Azure 訂用帳戶或管理群組存取權。
將 Azure 訂用帳戶或管理群組的存取權授與其他使用者或您自己。
檢視組織中的所有 Azure 訂用帳戶或管理群組。
將自動化應用程式存取權授與所有 Azure 訂用帳戶或管理群組。

「全域管理員」將其權限提高至「使用者存取系統管理員」之後，即可授與其他使用者控制及管理 Azure 資源所需的 Azure RBAC 權限。當此工作完成時，「全域管理員」應該撤銷自己提高的權限。

將 Azure 訂用帳戶的系統管理員存取權指派給使用者

若要將訂用帳戶的系統管理員存取權指派給使用者，您必須擁有訂用帳戶範圍的 Microsoft.Authorization/roleAssignments/write 與 Microsoft.Authorization/roleAssignments/delete 權限。具有訂用帳戶「擁有者」或「使用者存取系統管理員」角色的使用者具有這些權限。

在下一個單元中，您將瞭解如何在將許可權提升為User Access 管理員 istrator 之後，使用 Azure 入口網站來指派角色。不過，您也可以使用 Azure PowerShell、Azure CLI 或 REST API 來指派角色。

在下列章節中，我們將簡短地檢閱您可在 Azure PowerShell 或 Azure CLI 中用來指派「擁有者」角色的命令。

使用 Azure PowerShell 指派角色

下列命令示範如何使用 Azure PowerShell，在訂用帳戶範圍將「擁有者」角色指派給使用者：

  New-AzRoleAssignment `
    -SignInName rbacuser@example.com `
    -RoleDefinitionName "Owner" `
    -Scope "/subscriptions/<subscriptionID>"

使用 Azure CLI 指派角色

下列命令示範如何使用 Azure CLI，在訂用帳戶範圍將「擁有者」角色指派給使用者：

  az role assignment create \
    --assignee rbacuser@example.com \
    --role "Owner" \
    --scope /subscriptions/<subscription_id>/resourceGroups/<resource_group_name> \
    --subscription <subscription_name_or_id>

檢定您的知識

擁有訂用帳戶「擁有者」存取權的使用者已離開您的公司。沒有其他人可以存取此訂用帳戶。您要如何將此訂用帳戶的存取權授與另一個員工？

使用 Azure 入口網站提高您自己的存取權。

向前任員工詢問其密碼。

要求前任員工登入，並選取不同員工來授與其使用權限。

經理目前有權存取組織生產環境所使用的訂用帳戶。這位管理員也需要擁有組織開發環境所用訂閱的「擁有者」存取權。如何授與此存取權？

具有開發環境之「擁有者」或「使用者存取系統管理員」存取權的系統管理員，可以將該訂用帳戶的存取權授與經理。

經理應該移至 Azure 入口網站中的 [切換目錄] 選項，然後選取訂用帳戶。

經理應該使用 PowerShell，將訂用帳戶的「擁有者」存取權指派給自己。

您必須先回答所有問題，才能檢查進度。

繼續