Verwaltung von Azure-Abonnements im klassischen Bereitstellungsmodell

Wichtig

Klassische Ressourcen und klassische Administratoren werden am 31. August 2024 eingestellt. Ab dem 3. April 2024 können Sie keine neuen Co-Admins mehr hinzufügen. Dieser Termin wurde kürzlich verlängert. Entfernen Sie unnötige Co-Administratoren, und verwenden Sie Azure RBAC für eine differenzierte Zugriffssteuerung.

Microsoft empfiehlt das Verwalten des Zugriffs auf Azure-Ressourcen mithilfe der rollenbasierten Zugriffssteuerung in Azure (Azure Role-Based Access Control, Azure RBAC). Wenn Sie jedoch immer noch das klassische Bereitstellungsmodell verwenden, müssen Sie eine klassische Rolle des Typs „Abonnementadministrator“ verwenden: Dienstadministrator und Co-Administrator. Informationen zum Migrieren Ihrer Ressourcen von der klassischen Bereitstellung zur Resource Manager-Bereitstellung finden Sie unter Azure Resource Manager und klassische Bereitstellung.

Wenn Sie noch über klassische Administratoren verfügen, sollten Sie diese Rollenzuweisungen vor dem Deaktivierungsdatum entfernen. In diesem Artikel wird beschrieben, wie Sie sich auf die Einstellung der Rollen „Co-Administrator“ und „Dienstadministrator“ vorbereiten und wie Sie diese Rollenzuweisungen entfernen oder ändern.

Häufig gestellte Fragen

Verlieren Co-Administratoren und Dienstadministratoren nach dem 31. August 2024 den Zugriff?

• Ab dem 31. August 2024 startet Microsoft den Prozess zum Entfernen des Zugriffs für Co-Administratoren und Dienstadministratoren.

Wie kann ich herausfinden, welche Abonnements über klassische Administratoren verfügen?

• Sie können eine Azure Resource Graph-Abfrage verwenden, um Abonnements mit Rollenzuweisungen vom Typ „Dienstadministrator“ oder „Co-Admin“ aufzulisten. Eine entsprechende Anleitung finden Sie unter Auflisten klassischer Administratoren.

Welche entsprechende Azure-Rolle sollte ich für Co-Administratoren zuweisen?

• Die Rolle Besitzer im Abonnementbereich hat gleichwertigen Zugriff. „Besitzer“ ist jedoch eine privilegierte Administratorrolle und gewährt Vollzugriff zur Verwaltung von Azure-Ressourcen. Sie sollten eine Auftragsfunktionsrolle mit weniger Berechtigungen in Betracht ziehen, den Bereich reduzieren oder eine Bedingung hinzufügen.

Welche entsprechende Azure-Rolle sollte ich für Dienstadministratoren zuweisen?

• Die Rolle Besitzer im Abonnementbereich hat gleichwertigen Zugriff.

Warum muss ich zu Azure RBAC migrieren?

• Die Unterstützung klassischer Administratoren wird eingestellt. Azure RBAC bietet eine differenzierte Zugriffssteuerung, Kompatibilität mit Microsoft Entra Privileged Identity Management (PIM) sowie uneingeschränkte Unterstützung von Überwachungsprotokollen. Alle zukünftigen Investitionen werden für Azure RBAC getätigt.

Was ist mit der Rolle „Kontoadministrator“?

• Der Kontoadministrator ist der primäre Benutzer für Ihr Abrechnungskonto. Die Rolle „Kontoadministrator“ wird nicht als veraltet eingestuft. Daher muss diese Rollenzuweisung nicht ersetzt werden. Kontoadministrator und Dienstadministrator können der gleiche Benutzer sein. Sie müssen jedoch nur die Rollenzuweisung für den Dienstadministrator entfernen.

Was sollte ich tun, wenn eine starke Abhängigkeit von Co-Administratoren oder Dienstadministratoren vorliegt?

• Senden Sie eine E-Mail an ACARDeprecation@microsoft.com, und beschreiben Sie Ihr Szenario.

Vorbereiten der Einstellung von Co-Administratoren

Falls Sie noch über klassische Administratoren verfügen, führen Sie die folgenden Schritte aus, um sich auf die Deaktivierung der Rolle „Co-Admin“ vorzubereiten.

Schritt 1: Überprüfen Ihrer aktuellen Co-Administratoren

1. Melden Sie sich beim Azure-Portal als Besitzer eines Abonnements an.

2. Verwenden Sie das Azure-Portal oder Azure Resource Graph, um eine Liste Ihrer Co-Admins abzurufen.

3. Überprüfen Sie die Anmeldeprotokolle für Ihre Co-Administratoren, um zu beurteilen, ob sie aktive Benutzer sind.

Schritt 2: Entfernen von Co-Administratoren, die keinen Zugriff mehr benötigen

1. Wenn sich der Benutzer nicht mehr in Ihrem Unternehmen befindet, entfernen Sie den Co-Administrator.

2. Wenn der Benutzer gelöscht, aber seine Co-Administrator-Zuweisung nicht entfernt wurde, entfernen Sie den Co-Administrator.

   Für Benutzer, die gelöscht wurden, wird in der Regel (Der Benutzer wurde in diesem Verzeichnis nicht gefunden.) angezeigt.

   

3. Wenn Sie die Benutzeraktivität überprüft und festgestellt haben, dass ein Benutzer nicht mehr aktiv ist, entfernen Sie den Co-Administrator.

Schritt 3: Ersetzen vorhandener Co-Administratoren durch Auftragsfunktionsrolle

Die meisten Benutzer benötigen nicht dieselben Berechtigungen wie ein Co-Administrator. Erwägen Sie stattdessen eine Auftragsfunktionsrolle.

1. Wenn ein Benutzer weiterhin Zugriff benötigt, ermitteln Sie die entsprechende Auftragsfunktionsrolle, die sie benötigen.

2. Definieren Sie den Bereich, den der Benutzer benötigt.

3. Führen Sie die Schritte zum Zuweisen einer Auftragsfunktionsrolle zum Benutzer aus.

4. Entfernen Sie den Co-Administrator.

Schritt 4: Ersetzen vorhandener Co-Administratoren durch die Rolle „Besitzer“ und Bedingungen

Einige Benutzer benötigen möglicherweise umfassenderen Zugriff, als mit einer Auftragsfunktionsrolle bereitgestellt werden kann. Wenn Sie die Rolle Besitzer zuweisen müssen, sollten Sie ggf. eine Bedingung hinzufügen, um die Rollenzuweisung einzuschränken.

1. Weisen Sie dem Benutzer die Rolle „Besitzer“ im Abonnementbereich mit Bedingungen zu.

2. Entfernen Sie den Co-Administrator.

Vorbereiten auf die Ausmusterung des Dienstadministrators

Falls Sie noch über klassische Administratoren verfügen, führen Sie die folgenden Schritte aus, um sich auf die Deaktivierung der Rolle „Dienstadministrator“ vorzubereiten. Wenn Sie den Dienstadministrator entfernen möchten, müssen Sie über mindestens einen Benutzer verfügen, dem im Abonnementbereich die Rolle „Besitzer“ ohne Bedingungen zugewiesen ist. Auf diese Weise wird vermieden, dass das Abonnement verwaist. Ein Abonnementbesitzer hat den gleichen Zugriff wie der Dienstadministrator.

Schritt 1: Überprüfen des aktuellen Dienstadministrators

1. Melden Sie sich beim Azure-Portal als Besitzer eines Abonnements an.

2. Verwenden Sie das Azure-Portal oder Azure Resource Graph, um Ihren Dienstadministrator aufzulisten.

3. Überprüfen Sie die Anmeldeprotokolle für den Dienstadministrator, um zu beurteilen, ob er ein aktiver Benutzer ist.

Schritt 2: Überprüfen des aktuellen Abrechnungskontobesitzers

Der Benutzer, dem die Rolle „Dienstadministrator“ zugewiesen ist, kann auch derselbe Benutzer sein, der Administrator für Ihr Abrechnungskonto ist. Sie sollten die aktuellen Abrechnungskontobesitzer überprüfen, um sicherzustellen, dass sie noch korrekt sind.

1. Verwenden Sie das Azure-Portal, um die Abrechnungskontobesitzer abzurufen.

2. Überprüfen Sie die Liste der Abrechnungskontobesitzer. Aktualisieren Sie ggf. die Abrechnungskontobesitzer, oder fügen Sie einen weiteren Abrechnungskontobesitzer hinzu.

Schritt 3: Ersetzen eines vorhandenen Dienstadministrators durch die Rolle „Besitzer“

Ihr Dienstadministrator ist möglicherweise ein Microsoft-Konto oder ein Microsoft Entra-Konto. Ein Microsoft-Konto ist ein persönliches Konto wie Outlook, OneDrive, Xbox LIVE oder Microsoft 365. Ein Microsoft Entra-Konto ist eine Identität, die über Microsoft Entra ID erstellt wurde.

1. Wenn der Dienstadministratorbenutzer ein Microsoft-Konto ist und dieser Benutzer dieselben Berechtigungen behalten soll, müssen Sie diesem Benutzer im Abonnementbereich ohne Bedingungen die Rolle „Besitzer“ zuweisen.

2. Wenn der Dienstadministratorbenutzer ein Microsoft Entra-Konto ist und dieser Benutzer dieselben Berechtigungen behalten soll, müssen Sie diesem Benutzer im Abonnementbereich ohne Bedingungen die Rolle „Besitzer“ zuweisen.

3. Wenn Sie den Dienstadministratorbenutzer in einen anderen Benutzer ändern möchten, müssen Sie diesem neuen Benutzer im Abonnementbereich ohne Bedingungen die Rolle „Besitzer“ zuweisen.

4. Entfernen Sie den Dienstadministrator.

Auflisten klassischer Administratoren

Azure portal

Führen Sie die folgenden Schritte aus, um den Dienstadministrator und die Co-Admins für ein Abonnement mithilfe des Azure-Portals anzuzeigen.

1. Melden Sie sich beim Azure-Portal als Besitzer eines Abonnements an.

2. Öffnen Sie Abonnements, und wählen Sie ein Abonnement aus.

3. Wählen Sie Zugriffssteuerung (IAM) aus.

4. Wählen Sie die Registerkarte Klassische Administratoren aus, um eine Liste der Co-Administratoren anzuzeigen.

   

Azure Resource Graph

Führen Sie die folgenden Schritte aus, um die Anzahl von Dienstadministratoren und Co-Admins für ein Abonnement mithilfe von Azure Resource Graph anzuzeigen.

1. Melden Sie sich beim Azure-Portal als Besitzer eines Abonnements an.

2. Öffnen Sie den Azure Resource Graph-Explorer.

3. Wählen Sie Bereich aus, und legen Sie den Bereich für die Abfrage fest.

   Legen Sie den Bereich auf Verzeichnis fest, um Ihren gesamten Mandanten abzufragen. Der Bereich kann allerdings auch auf bestimmte Abonnements beschränkt werden.

   

4. Wählen Sie Autorisierungsbereich festlegen aus, und legen Sie den Autorisierungsbereich auf Bei, oberhalb oder unterhalb fest, um alle Ressourcen im angegebenen Bereich abzufragen.

   

5. Führen Sie die folgende Abfrage aus, um die Anzahl von Dienstadministratoren und Co-Admins basierend auf dem Bereich aufzulisten:

   authorizationresources
   | where type == "microsoft.authorization/classicadministrators"
   | mv-expand role = parse_json(properties).role
   | mv-expand adminState = parse_json(properties).adminState
   | where adminState == "Enabled"
   | where role in ("ServiceAdministrator", "CoAdministrator")
   | summarize count() by subscriptionId, tostring(role)
   

   Hier sehen Sie ein Beispiel der Ergebnisse: Die Spalte count_ enthält die Anzahl von Dienstadministratoren oder Co-Admins für ein Abonnement.

   

Entfernen eines Co-Administrators

Wichtig

Klassische Ressourcen und klassische Administratoren werden am 31. August 2024 eingestellt. Ab dem 3. April 2024 können Sie keine neuen Co-Admins mehr hinzufügen. Dieser Termin wurde kürzlich verlängert. Entfernen Sie unnötige Co-Administratoren, und verwenden Sie Azure RBAC für eine differenzierte Zugriffssteuerung.

Führen Sie die folgenden Schritte aus, um einen Co-Administrator zu entfernen.

1. Melden Sie sich beim Azure-Portal als Besitzer eines Abonnements an.

2. Öffnen Sie Abonnements, und wählen Sie ein Abonnement aus.

3. Wählen Sie Zugriffssteuerung (IAM) aus.

4. Wählen Sie die Registerkarte Klassische Administratoren aus, um eine Liste der Co-Administratoren anzuzeigen.

5. Fügen Sie ein Häkchen neben dem Co-Administrator hinzu, den Sie entfernen möchten.

6. Wählen Sie Entfernen.

7. Klicken Sie im angezeigten Meldungsfeld auf Ja.

   

Hinzufügen eines Co-Administrators

Wichtig

Klassische Ressourcen und klassische Administratoren werden am 31. August 2024 eingestellt. Ab dem 3. April 2024 können Sie keine neuen Co-Admins mehr hinzufügen. Dieser Termin wurde kürzlich verlängert. Entfernen Sie unnötige Co-Administratoren, und verwenden Sie Azure RBAC für eine differenzierte Zugriffssteuerung.

Sie müssen lediglich einen Co-Administrator hinzufügen, wenn der Benutzer klassische Azure-Bereitstellungen verwalten soll, indem Sie das PowerShell-Modul „Azure Service Management“ verwenden. Wenn der Benutzer nur das Azure-Portal zum Verwalten der klassischen Ressourcen verwenden, müssen Sie den klassischen Administrator für den Benutzer nicht hinzufügen.

1. Melden Sie sich beim Azure-Portal als Besitzer eines Abonnements an.

2. Öffnen Sie Abonnements, und wählen Sie ein Abonnement aus.

   Co-Administratoren können nur auf Abonnementebene zugewiesen werden.

3. Wählen Sie Zugriffssteuerung (IAM) aus.

4. Wählen Sie die Registerkarte Klassische Administratoren aus.

   

5. Wählen Sie Hinzufügen>Co-Administrator hinzufügen aus, um den Bereich „Co-Administratoren hinzufügen“ zu öffnen.

   Sollte die Option Co-Administrator hinzufügen deaktiviert sein, verfügen Sie nicht über die erforderlichen Berechtigungen.

6. Wählen Sie den Benutzer aus, den Sie hinzufügen möchten, und dann Hinzufügen aus.

   

Hinzufügen eines Gastbenutzers als Co-Administrator

Wenn Sie einen Gastbenutzer als Co-Administrator hinzufügen möchten, führen Sie dieselben Schritte wie im obigen Abschnitt Hinzufügen eines Co-Administrators aus. Der Gastbenutzer muss die folgenden Kriterien erfüllen:

• Der Gastbenutzer muss in Ihrem Verzeichnis vorhanden sein. Dies bedeutet, dass der Benutzer eine Einladung zu Ihrem Verzeichnis erhalten und diese akzeptiert haben muss.

Weitere Informationen zum Hinzufügen eines Gastbenutzers zu Ihrem Verzeichnis finden Sie unter Hinzufügen von Microsoft Entra B2B-Zusammenarbeitsbenutzern über das Azure-Portal.

Bevor Sie einen Gastbenutzer aus dem Verzeichnis entfernen, sollten Sie zunächst alle Rollenzuweisungen für diesen Gastbenutzer entfernen. Weitere Informationen finden Sie unter Entfernen eines externen Benutzers aus Ihrem Verzeichnis.

Unterschiede für Gastbenutzer

Bei Gastbenutzern mit der Rolle „Co-Administrator“ gibt es im Vergleich zu Mitgliedsbenutzern mit der Rolle „Co-Administrator“ unter Umständen gewisse Unterschiede. Nehmen Sie das folgende Szenario als Beispiel:

• Benutzer A verfügt über ein Microsoft Entra-Konto (Geschäfts-, Schul- oder Unikonto) und ist Dienstadministrator für ein Azure-Abonnement.
• Benutzer B verfügt über ein Microsoft-Konto.
• Benutzer A weist Benutzer B die Rolle „Co-Administrator“ zu.
• Benutzer B kann fast alle Aktionen ausführen, aber keine Anwendungen registrieren oder Benutzer im Microsoft Entra-Verzeichnis suchen.

Man würde erwarten, dass Benutzer B alles verwalten kann. Der Grund für den Unterschied ist, dass das Microsoft-Konto dem Abonnement nicht als Mitgliedsbenutzer, sondern als Gastbenutzer hinzugefügt wird. Gastbenutzer haben im Vergleich zu Mitgliedsbenutzern andere Standardberechtigungen in Microsoft Entra ID. So können Mitgliedsbenutzer im Gegensatz zu Gastbenutzern beispielsweise andere Benutzer in Microsoft Entra ID lesen. Mitgliedsbenutzer können neue Dienstprinzipale in Microsoft Entra ID registrieren, Gastbenutzer nicht.

Wenn ein Gastbenutzer in der Lage sein muss, diese Aufgaben auszuführen, können ihm die spezifischen Microsoft Entra-Rollen zugewiesen werden, die er benötigt. Im vorherigen Szenario könnten Sie ihm also die Rolle Verzeichnis lesen zum Lesen anderer Benutzer und die Rolle Anwendungsentwickler zum Erstellen von Dienstprinzipalen zuweisen. Weitere Informationen zu Mitglieds- und Gastbenutzern sowie zu deren Berechtigungen finden Sie unter Welche Standardbenutzerberechtigungen gibt es in Microsoft Entra ID?. Weitere Informationen zum Gewähren des Zugriffs für Benutzer finden Sie unter Zuweisen von Azure-Rollen zu externen Gastbenutzern mithilfe des Azure-Portals.

Beachten Sie, dass sich die integrierten Azure-Rollen von den Microsoft Entra-Rollen unterscheiden. Die integrierten Rollen ermöglichen keinerlei Microsoft Entra ID-Zugriff. Weitere Informationen finden Sie unter Grundlegendes zu den verschiedenen Rollen.

Eine vergleichende Betrachtung zu Mitglieds- und Gastbenutzern finden Sie unter Welche Standardbenutzerberechtigungen gibt es in Microsoft Entra ID?.

Ändern des Dienstadministrators

Nur der Kontoadministrator kann den Dienstadministrator für ein Abonnement ändern. Wenn Sie sich für ein Azure-Abonnement registrieren, ist der Dienstadministrator standardmäßig mit dem Kontoadministrator identisch.

Benutzer mit der Rolle „Kontoadministrator“ können auf das Azure-Portal zugreifen und die Abrechnung verwalten, aber keine Abonnements kündigen. Benutzer mit der Rolle „Dienstadministrator“ haben Vollzugriff auf das Azure-Portal und können auch Abonnements kündigen. Kontoadministratoren können sich selbst zu Dienstadministratoren machen.

Befolgen Sie diese Schritte, um den Dienstadministrator im Azure-Portal zu ändern.

1. Melden Sie sich als Kontoadministrator beim Azure-Portal an.

2. Öffnen Sie Cost Management + Billing, und wählen Sie ein Abonnement aus.

3. Wählen Sie im Navigationsmenü auf der linken Seite Eigenschaften aus.

4. Wählen Sie Dienstadministrator ändern aus.

   

5. Geben Sie auf der Seite Dienstadministrator bearbeiten die E-Mail-Adresse des neuen Dienstadministrators ein.

   

6. Wählen Sie OK aus, um die Änderung zu speichern.

Entfernen des Dienstadministrators

Wenn Sie den Dienstadministrator entfernen möchten, müssen Sie über einen Benutzer verfügen, dem im Abonnementbereich die Rolle Besitzer ohne Bedingungen zugewiesen ist. Auf diese Weise wird vermieden, dass das Abonnement verwaist. Ein Abonnementbesitzer hat den gleichen Zugriff wie der Dienstadministrator.

1. Melden Sie sich beim Azure-Portal als Besitzer eines Abonnements an.

2. Öffnen Sie Abonnements, und wählen Sie ein Abonnement aus.

3. Wählen Sie Zugriffssteuerung (IAM) aus.

4. Wählen Sie die Registerkarte Klassische Administratoren aus.

5. Fügen Sie ein Häkchen neben dem Dienstadministrator hinzu.

6. Wählen Sie Entfernen.

7. Klicken Sie im angezeigten Meldungsfeld auf Ja.

   

Wenn sich der Dienstadministratorbenutzer nicht im Verzeichnis befindet, wird beim Versuch, ihn zu entfernen, möglicherweise der folgende Fehler angezeigt:

Call GSM to delete service admin on subscription <subscriptionId> failed. Exception: Cannot delete user <principalId> since they are not the service administrator. Please retry with the right service administrator user PUID.

Wenn sich der Dienstadministratorbenutzer nicht im Verzeichnis befindet, versuchen Sie, den Dienstadministrator in einen vorhandenen Benutzer zu ändern, und versuchen Sie dann, den Dienstadministrator zu entfernen.

Nächste Schritte

• Grundlegendes zu den verschiedenen Rollen
• Zuweisen von Azure-Rollen über das Azure-Portal
• Grundlegendes zu Verwaltungsrollen für Microsoft-Kundenvereinbarungen in Azure