Azure classic subscription administrators (Administradores clásicos de la suscripción de Azure)

  • Artículo

Importante

Los recursos clásicos y los administradores clásicos serán retirados el 31 de agosto de 2024. A partir del 3 de abril de 2024, no podrá agregar nuevos coadministradores. Esta fecha se ha ampliado recientemente. Quite los coadministradores que no son necesarios y use RBAC de Azure para el control de acceso detallado.

Microsoft recomienda que administre el acceso a los recursos de Azure mediante el control de acceso basado en rol (RBAC) de Azure. Sin embargo, si sigue usando el modelo de implementación clásica, deberá usar un rol de administrador de suscripciones clásico: administrador de servicios y coadministrador. Para más información sobre cómo migrar los recursos de la implementación clásica a la implementación de Resource Manager, consulte Implementación con Azure Resource Manager en comparación con la implementación clásica.

Si todavía tiene administradores clásicos, debe quitar estas asignaciones de roles antes de la fecha de retirada. En este artículo se describe cómo prepararse para la retirada de los roles de coadministrador y administrador de servicios y cómo quitar o cambiar estas asignaciones de roles.

Preguntas más frecuentes

¿Los coadministradores y el administrador de servicios perderán el acceso después del 31 de agosto de 2024?

  • A partir del 31 de agosto de 2024, Microsoft iniciará el proceso para quitar el acceso a coadministradores y administradores de servicios.

¿Cómo sé qué suscripciones tienen administradores clásicos?

  • Puede usar una consulta de Azure Resource Graph para enumerar suscripciones con asignaciones de roles de administrador de servicios o coadministrador. Para ver los pasos, consulte Enumerar administradores clásicos.

¿Cuál es el rol equivalente de Azure que debo asignar a los coadministradores?

  • El rol de Propietario en el ámbito de la suscripción tiene el acceso equivalente. Sin embargo, el propietario es un rol Administrador con privilegios y concede acceso completo para administrar los recursos de Azure. Debe considerar un rol de función de trabajo con menos permisos, reducir el ámbito o agregar una condición.

¿Cuál es el rol equivalente de Azure que debo asignar para el administrador de servicios?

  • El rol de Propietario en el ámbito de la suscripción tiene el acceso equivalente.

¿Por qué necesito migrar a RBAC de Azure?

  • Los administradores clásicos se retirarán. RBAC de Azure ofrece un control de acceso específico, compatibilidad con Privileged Identity Management (PIM) de Microsoft Entra y compatibilidad completa con los registros de auditoría. Todas las inversiones futuras estarán en RBAC de Azure.

¿Qué ocurre con el rol Administrador de cuentas?

  • El Administrador de la cuenta es el usuario principal de la cuenta de facturación. El Administrador de cuentas no está en desuso y no es necesario reemplazar esta asignación de roles. El Administrador de cuentas y el Administrador de servicios pueden ser el mismo usuario. Sin embargo, solo tiene que quitar la asignación de roles de Administrador de servicios.

¿Qué debo hacer si tengo una fuerte dependencia en coadministradores o administradores de servicios?

  • Envíe un correo electrónico a ACARDeprecation@microsoft.com y describa su escenario.

Preparación para la retirada de coadministradores

Si todavía tiene administradores clásicos, siga estos pasos para ayudarle a prepararse para la retirada del rol de coadministrador.

Paso 1: Revisar los coadministradores actuales

  1. Inicie sesión en Azure Portal como propietario de una suscripción.

  2. Use Azure Portal o Azure Resource Graph para enumerar los coadministradores.

  3. Revise los registros de inicio de sesión para que los coadministradores evalúen si son usuarios activos.

Paso 2: Eliminar aquellos coadministradores que ya no necesitan acceso

  1. Si el usuario ya no está en su empresa, elimine su rol de coadministrador.

  2. Si se ha eliminado el usuario, pero no se quitó su asignación de coadministrador, quitar coadministrador.

    Los usuarios que se han eliminado normalmente incluyen el texto (No se ha encontrado al usuario en este directorio).

    Captura de pantalla del usuario no encontrado en el directorio y con el rol coadministrador.

  3. Después de revisar la actividad del usuario, si este ya no está activo, elimine el rol de coadministrador.

Paso 3: Reemplazar los coadministradores existentes por roles de función de trabajo

La mayoría de los usuarios no necesitan los mismos permisos que un coadministrador. Considere en su lugar un rol de función de trabajo.

  1. Si un usuario todavía necesita algún tipo de acceso, determine el rol de función de trabajo adecuado que necesita.

  2. Determine el ámbito que necesita el usuario.

  3. Siga los pasos para asignar un rol de función de trabajo al usuario.

  4. Elimine al coadministrador.

Paso 4: Reemplazar los coadministradores existentes por el rol de propietario y sus condiciones

Es posible que algunos usuarios necesiten más acceso del que puede proporcionar un rol de función de trabajo. Si debe asignar el rol Propietario, considere la posibilidad de agregar una condición para restringir la asignación de roles.

  1. Asigne el rol Propietario en el ámbito de la suscripción con condiciones al usuario.

  2. Elimine al coadministrador.

Preparación para la retirada del administrador de servicios

Si todavía tiene administradores clásicos, siga estos pasos para ayudarle a prepararse para la retirada del rol de Administrador de servicios. Para quitar el administrador de servicios, debe tener al menos un usuario al que se le haya asignado el rol Propietario en el ámbito de la suscripción sin condiciones para evitar que la suscripción huérfana. El propietario de una suscripción tiene el mismo acceso que el administrador de servicios.

Paso 1: Revisar el administrador de servicios actual

  1. Inicie sesión en Azure Portal como propietario de una suscripción.

  2. Use Azure Portal o Azure Resource Graph para enumerar los Administradores de servicios.

  3. Revise los registros de inicio de sesión para que el administrador de servicios evalúe si es un usuario activo.

Paso 2: Revisar los propietarios actuales de la cuenta de facturación

El usuario al que se asigna el rol Administrador de servicios también podría ser el mismo usuario que el administrador de la cuenta de facturación. Debe revisar los propietarios actuales de la cuenta de facturación para asegurarse de que siguen siendo precisos.

  1. Use Azure Portal para obtener su Propietarios de la cuenta de facturación.

  2. Revise la lista de propietarios de la cuenta de facturación. Si es necesario, actualizar o agregar otro propietario de la cuenta de facturación.

Paso 3: Reemplazar el administrador de servicios existente por el rol propietario

El administrador de servicios puede ser una cuenta Microsoft o una cuenta de Microsoft Entra. Una cuenta Microsoft es una cuenta personal como Outlook, OneDrive, Xbox LIVE o Microsoft 365. Una cuenta de Microsoft Entra es una identidad creada a través de Microsoft Entra ID.

  1. Si el usuario administrador de servicios es una cuenta Microsoft y quiere que este usuario mantenga los mismos permisos, asigne el rol Propietario a este usuario en el ámbito de la suscripción sin condiciones.qe

  2. Si el usuario administrador de servicios es una cuenta de Microsoft Entra y desea que este usuario mantenga los mismos permisos, asigne el rol Propietario a este usuario en el ámbito de la suscripción sin condiciones.

  3. Si desea cambiar el usuario administrador de servicios a otro usuario, asigne el rol Propietario a este nuevo usuario en el ámbito de la suscripción sin condiciones.

  4. Quitar el administrador de servicios.

Enumeración de administradores clásicos

Siga estos pasos para enumerar el administrador de servicios y los coadministradores de una suscripción mediante Azure Portal.

  1. Inicie sesión en Azure Portal como propietario de una suscripción.

  2. Abra Suscripciones y seleccione una suscripción.

  3. Seleccione Access Control (IAM) .

  4. Seleccione la pestaña Administradores clásicos para ver una lista de los coadministradores.

    Captura de pantalla de la página control de acceso (IAM) con la pestaña administradores clásicos seleccionada.

Eliminación de un coadministrador

Importante

Los recursos clásicos y los administradores clásicos serán retirados el 31 de agosto de 2024. A partir del 3 de abril de 2024, no podrá agregar nuevos coadministradores. Esta fecha se ha ampliado recientemente. Quite los coadministradores que no son necesarios y use RBAC de Azure para el control de acceso detallado.

Siga estos pasos para eliminar un coadministrador.

  1. Inicie sesión en Azure Portal como propietario de una suscripción.

  2. Abra Suscripciones y seleccione una suscripción.

  3. Seleccione Access Control (IAM) .

  4. Seleccione la pestaña Administradores clásicos para ver una lista de los coadministradores.

  5. Agregue una marca de verificación junto al coadministrador que desea quitar.

  6. Seleccione Quitar.

  7. En el cuadro de mensaje que aparece, seleccione .

    Captura de pantalla del cuadro de mensaje al quitar un coadministrador.

Adición de un coadministrador

Importante

Los recursos clásicos y los administradores clásicos serán retirados el 31 de agosto de 2024. A partir del 3 de abril de 2024, no podrá agregar nuevos coadministradores. Esta fecha se ha ampliado recientemente. Quite los coadministradores que no son necesarios y use RBAC de Azure para el control de acceso detallado.

Solo es necesario agregar un coadministrador si el usuario necesita administrar implementaciones clásicas de Azure mediante el módulo de PowerShell de Azure Service Management. Si el usuario solamente usa Azure Portal para administrar los recursos clásicos, no tendrá que agregar el administrador clásico para el usuario.

  1. Inicie sesión en Azure Portal como propietario de una suscripción.

  2. Abra Suscripciones y seleccione una suscripción.

    Solo se pueden asignar coadministradores en el ámbito de la suscripción.

  3. Seleccione Access Control (IAM) .

  4. Seleccione la pestaña Administradores clásicos.

    Captura de pantalla de la página control de acceso (IAM) con la pestaña administradores clásicos seleccionada.

  5. Seleccione Agregar>Agregar coadministrador para abrir el panel correspondiente.

    Si la opción Agregar nuevo coadministrador está deshabilitada, no tiene permisos.

  6. Seleccione el usuario que quiere agregar y elija Agregar.

    Captura de pantalla del panel Agregar coadministrador para agregar un coadministrador.

Adición de un usuario invitado como coadministrador

Para agregar un usuario invitado como coadministrador, siga los mismos pasos que en la sección Adición de un coadministrador. El usuario invitado debe cumplir los siguientes criterios:

  • Debe tener una presencia en el directorio. Esto significa que se ha invitado al usuario al directorio y ha aceptado la invitación.

Para más información sobre cómo agregar usuarios invitados a su directorio, consulte Incorporación de usuarios de colaboración B2B de Microsoft Entra en Azure Portal.

Antes de eliminar un usuario invitado del directorio, primero debe eliminar las asignaciones de roles de dicho usuario invitado. Para más información, consulte Eliminación de un usuario externo del directorio.

Diferencias para los usuarios invitados

Es posible que los usuarios invitados a los que se haya asignado el rol de coadministrador observen algunas diferencias con respecto a los usuarios miembros con este mismo rol. Imagine la siguiente situación:

  • El usuario A, con una cuenta de Microsoft Entra (profesional o educativa), es el administrador de servicios de una suscripción de Azure.
  • El usuario B tiene una cuenta de Microsoft.
  • El usuario A asigna el rol de coadministrador al usuario B.
  • El usuario B puede hacer casi todo, pero no puede registrar las aplicaciones ni buscar usuarios en el directorio de Microsoft Entra.

Sería de esperar que el usuario B pudiera administrarlo todo. Esta diferencia se debe a que la cuenta de Microsoft se agrega a la suscripción como usuario invitado y no como usuario miembro. En comparación con los usuarios miembros, los usuarios invitados tienen distintos permisos predeterminados en Microsoft Entra ID. Por ejemplo, los usuarios miembros pueden leer otros usuarios en Microsoft Entra ID y los usuarios invitados no. Los usuarios miembros pueden registrar nuevas entidades de servicio en Microsoft Entra ID y los usuarios invitados no.

Si un usuario invitado tiene que realizar estas tareas, una posible solución consiste en asignarle los roles de Microsoft Entra que el usuario invitado necesita. Por ejemplo, en el escenario anterior, podría asignarle el rol Lectores de directorios para que pueda leer otros usuarios y asignarle el rol Desarrollador de aplicaciones para que pueda crear entidades de servicio. Para más información sobre los usuarios miembros e invitados y sus permisos, consulte ¿Cuales son los permisos de usuario predeterminados en Microsoft Entra ID? Para obtener más información sobre cómo conceder acceso a los usuarios invitados, consulte Asignación de roles de Azure a usuarios externos mediante Azure Portal.

Tenga en cuenta que los roles integrados de Azure son diferentes de los roles de Microsoft Entra. Los roles integrados no conceden acceso a Microsoft Entra ID. Para más información, vea Descripción de los distintos roles.

Para más información que permita comparar los usuarios miembros y los usuarios invitados, consulte ¿Cuáles son los permisos de usuario predeterminados en Microsoft Entra ID?

Cambiar el administrador de servicios

Solo el administrador de cuenta puede cambiar el administrador de servicios de una suscripción. De forma predeterminada, al registrarse en una suscripción de Azure, el administrador de servicios es también el administrador de cuenta.

El usuario con el rol Administrador de cuenta puede acceder a Azure Portal y administrar la facturación, pero no puede cancelar suscripciones. El usuario con el rol Administrador de servicios tiene acceso total a Azure Portal y puede cancelar suscripciones. El administrador de cuenta puede hacerse administrador de servicios.

Siga estos pasos para cambiar el administrador de servicios en Azure Portal.

  1. Inicie sesión en Azure Portal como administrador de la cuenta.

  2. Abra Cost Management + Billing y seleccione una suscripción.

  3. En el menú de navegación de la izquierda, seleccione Propiedades.

  4. Seleccione Cambiar administrador del servicio.

    Captura de pantalla de la página de propiedades de la suscripción que muestra la opción para cambiar el administrador de servicios.

  5. En la página Edit service admin (Editar administrador de servicios) escriba la dirección de correo electrónico del nuevo administrador de servicios.

    Captura de pantalla del panel Editar administrador del servicio para cambiar el administrador de servicios.

  6. Haga clic en Aceptar para guardar el cambio.

Eliminación del administrador de servicios

Para quitar el administrador de servicios, debe tener un usuario con el rol Propietario asignado en el ámbito de la suscripción sin condiciones para evitar que la suscripción quede huérfana. El propietario de una suscripción tiene el mismo acceso que el administrador de servicios.

  1. Inicie sesión en Azure Portal como propietario de una suscripción.

  2. Abra Suscripciones y seleccione una suscripción.

  3. Seleccione Access Control (IAM) .

  4. Seleccione la pestaña Administradores clásicos.

  5. Active la marca de verificación junto al administrador de servicios.

  6. Seleccione Quitar.

  7. En el cuadro de mensaje que aparece, seleccione .

    Captura de pantalla del mensaje quitar el administrador clásico al quitar un administrador de servicios.

Si el usuario administrador de servicios no está en el directorio, es posible que reciba el siguiente error al intentar quitar el administrador de servicios:

Call GSM to delete service admin on subscription <subscriptionId> failed. Exception: Cannot delete user <principalId> since they are not the service administrator. Please retry with the right service administrator user PUID.

Si el usuario administrador de servicios no está en el directorio, intente cambiar el administrador de servicios a un usuario existente e intente quitar el administrador de servicios.

Pasos siguientes