Problemen in Azure RBAC oplossen

In dit artikel worden enkele veelvoorkomende oplossingen beschreven voor problemen met betrekking tot op rollen gebaseerd toegangsbeheer van Azure (Azure RBAC).

Limieten

Symptoom: er kunnen geen roltoewijzingen meer worden gemaakt

Wanneer u probeert een rol toe te wijzen, wordt het volgende foutbericht weergegeven:

No more role assignments can be created (code: RoleAssignmentLimitExceeded)

Oorzaak

Azure ondersteunt maximaal 2000 roltoewijzingen per abonnement. Deze limiet omvat roltoewijzingen voor het abonnement, de resourcegroep en het resourcebereik, maar niet voor het bereik van de beheergroep.

Notitie

Vanaf november 2021 wordt de limiet voor roltoewijzingen voor alle Azure-abonnementen automatisch verhoogd van 2000 tot 4000. Er is geen actie die u moet uitvoeren voor uw abonnement. De limietverhoging duurt enkele maanden.

Oplossing

Probeer het aantal roltoewijzingen in het abonnement te verminderen. Hier volgen enkele manieren waarop u het aantal roltoewijzingen kunt verminderen:

  • Voeg in plaats daarvan gebruikers toe aan groepen en wijs rollen toe aan de groepen.
  • Combineer meerdere ingebouwde rollen met een aangepaste rol.
  • Maak algemene roltoewijzingen met een hoger bereik, zoals een abonnement of beheergroep.
  • Als u een Azure AD Premium P2 hebt, moet u ervoor zorgen dat roltoewijzingen in aanmerking komen in Azure AD Privileged Identity Management in plaats van ze permanent toe te wijzen.
  • Voeg een extra abonnement toe.

Als u het aantal roltoewijzingen wilt weten, bekijkt u de grafiek op de pagina Toegangsbeheer (IAM) in Azure Portal. U kunt ook de volgende Azure PowerShell-opdrachten gebruiken:

$scope = "/subscriptions/<subscriptionId>"
$ras = Get-AzRoleAssignment -Scope $scope | Where-Object {$_.scope.StartsWith($scope)}
$ras.Count

Symptoom: er kunnen geen roltoewijzingen meer worden gemaakt binnen het bereik van de beheergroep

U kunt geen rol toewijzen binnen het bereik van de beheergroep.

Oorzaak

Azure ondersteunt maximaal 500 roltoewijzingen per beheergroep. Deze limiet verschilt van de limiet voor roltoewijzingen per abonnement.

Notitie

De limiet voor 500 roltoewijzingen per beheergroep is vast en kan niet worden verhoogd.

Oplossing

Probeer het aantal roltoewijzingen in de beheergroep te verminderen.

Azure-roltoewijzingen

Symptoom - Kan geen rol toewijzen

U kunt geen rol toewijzen in de Azure Portal op Toegangsbeheer (IAM), omdat de optie Roltoewijzing toevoegen> is uitgeschakeld of omdat u de volgende machtigingsfout krijgt:

The client with object id does not have authorization to perform action

Oorzaak

U bent momenteel aangemeld met een gebruiker die niet gemachtigd is om rollen toe te wijzen in het geselecteerde bereik.

Oplossing

Controleer of u momenteel bent aangemeld met een gebruiker waaraan een rol is toegewezen die de Microsoft.Authorization/roleAssignments/write machtiging heeft, zoals Eigenaar of Beheerder voor gebruikerstoegang in het bereik dat u probeert toe te wijzen.

Symptoom: kan geen rol toewijzen met behulp van een service-principal met Azure CLI

U gebruikt een service-principal om rollen toe te wijzen met Azure CLI en u krijgt de volgende fout:

Insufficient privileges to complete the operation

Stel dat u bijvoorbeeld een service-principal hebt aan wie de rol Eigenaar is toegewezen en dat u de volgende roltoewijzing als service-principal probeert te maken met behulp van Azure CLI:

az login --service-principal --username "SPNid" --password "password" --tenant "tenantid"
az role assignment create --assignee "userupn" --role "Contributor"  --scope "/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}"

Oorzaak

Azure CLI probeert waarschijnlijk de toegewezen identiteit in Azure AD op te zoeken en de service-principal kan Azure AD standaard niet lezen.

Oplossing

Er zijn twee manieren om deze fout mogelijk op te lossen. De eerste manier is om de rol Adreslijstlezers toe te wijzen aan de service-principal, zodat deze gegevens in de map kan lezen.

De tweede manier om deze fout op te lossen, is door de roltoewijzing te maken met behulp van de --assignee-object-id parameter in plaats van --assignee. Met behulp van --assignee-object-id slaat Azure CLI de Azure AD-zoekactie over. U moet de object-id krijgen van de gebruiker, groep of toepassing aan wie u de rol wilt toewijzen. Zie Azure-rollen toewijzen met behulp van Azure CLI voor meer informatie.

az role assignment create --assignee-object-id 11111111-1111-1111-1111-111111111111  --role "Contributor" --scope "/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}"

Symptoom: soms mislukt het toewijzen van een rol met REST API- of ARM-sjablonen

U maakt een nieuwe service-principal en probeert onmiddellijk een rol toe te wijzen aan die service-principal en de roltoewijzing mislukt soms.

Oorzaak

De reden hiervoor is waarschijnlijk een replicatievertraging. De service-principal wordt in één regio gemaakt; De roltoewijzing kan echter plaatsvinden in een andere regio die de service-principal nog niet heeft gerepliceerd.

Oplossing

Stel de eigenschap principalType in op bij ServicePrincipal het maken van de roltoewijzing. U moet ook de apiVersion van de roltoewijzing instellen op 2018-09-01-preview of hoger. Zie Azure-rollen toewijzen aan een nieuwe service-principal met behulp van de REST API of Azure-rollen toewijzen aan een nieuwe service-principal met behulp van Azure Resource Manager-sjablonen voor meer informatie.

Symptoom - Roltoewijzingen met identiteit niet gevonden

In de lijst met roltoewijzingen voor de Azure Portal ziet u dat de beveiligingsprincipaal (gebruiker, groep, service-principal of beheerde identiteit) wordt vermeld als Identiteit niet gevonden met een onbekend type.

Identiteit niet gevonden vermeld in Azure-roltoewijzingen

Als u deze roltoewijzing vermeldt met behulp van Azure PowerShell, ziet u mogelijk een lege DisplayName en , of een waarde voor UnknownObjectTypeSignInName. Get-AzRoleAssignment retourneert bijvoorbeeld een roltoewijzing die vergelijkbaar is met de volgende uitvoer:

RoleAssignmentId   : /subscriptions/11111111-1111-1111-1111-111111111111/providers/Microsoft.Authorization/roleAssignments/22222222-2222-2222-2222-222222222222
Scope              : /subscriptions/11111111-1111-1111-1111-111111111111
DisplayName        :
SignInName         :
RoleDefinitionName : Storage Blob Data Contributor
RoleDefinitionId   : ba92f5b4-2d11-453d-a403-e96b0029c9fe
ObjectId           : 33333333-3333-3333-3333-333333333333
ObjectType         : User
CanDelegate        : False

Als u deze roltoewijzing vermeldt met behulp van Azure CLI, ziet u mogelijk een lege principalName. az role assignment list retourneert bijvoorbeeld een roltoewijzing die vergelijkbaar is met de volgende uitvoer:

{
    "canDelegate": null,
    "id": "/subscriptions/11111111-1111-1111-1111-111111111111/providers/Microsoft.Authorization/roleAssignments/22222222-2222-2222-2222-222222222222",
    "name": "22222222-2222-2222-2222-222222222222",
    "principalId": "33333333-3333-3333-3333-333333333333",
    "principalName": "",
    "roleDefinitionId": "/subscriptions/11111111-1111-1111-1111-111111111111/providers/Microsoft.Authorization/roleDefinitions/ba92f5b4-2d11-453d-a403-e96b0029c9fe",
    "roleDefinitionName": "Storage Blob Data Contributor",
    "scope": "/subscriptions/11111111-1111-1111-1111-111111111111",
    "type": "Microsoft.Authorization/roleAssignments"
}

Oorzaak 1

U hebt onlangs een gebruiker uitgenodigd bij het maken van een roltoewijzing en deze beveiligingsprincipaal bevindt zich nog steeds in het replicatieproces tussen regio's.

Oplossing 1

Wacht even en vernieuw de lijst met roltoewijzingen.

Oorzaak 2

U hebt een beveiligingsprincipaal verwijderd met een roltoewijzing. Als u een rol toewijst aan een beveiligingsprincipal en u deze beveiligingsprincipal later verwijdert zonder eerst de roltoewijzing te verwijderen, wordt de beveiligingsprincipal vermeld als Identiteit niet gevonden en als type Onbekend.

Oplossing 2

Het is geen probleem om deze roltoewijzingen te verlaten waarbij de beveiligingsprincipaal is verwijderd. Als u wilt, kunt u deze roltoewijzingen verwijderen met behulp van stappen die vergelijkbaar zijn met andere roltoewijzingen. Zie Azure-roltoewijzingen verwijderen voor meer informatie over het verwijderen van roltoewijzingen.

Als u in PowerShell probeert de roltoewijzingen te verwijderen met behulp van de object-id en roldefinitienaam en meer dan één roltoewijzing overeenkomt met uw parameters, wordt het volgende foutbericht weergegeven: The provided information does not map to a role assignment In de volgende uitvoer ziet u een voorbeeld van het foutbericht:

PS C:\> Remove-AzRoleAssignment -ObjectId 33333333-3333-3333-3333-333333333333 -RoleDefinitionName "Storage Blob Data Contributor"

Remove-AzRoleAssignment : The provided information does not map to a role assignment.
At line:1 char:1
+ Remove-AzRoleAssignment -ObjectId 33333333-3333-3333-3333-333333333333 ...
+ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
+ CategoryInfo          : CloseError: (:) [Remove-AzRoleAssignment], KeyNotFoundException
+ FullyQualifiedErrorId : Microsoft.Azure.Commands.Resources.RemoveAzureRoleAssignmentCommand

Als u dit foutbericht krijgt, moet u ook de -Scope of -ResourceGroupName parameters opgeven.

PS C:\> Remove-AzRoleAssignment -ObjectId 33333333-3333-3333-3333-333333333333 -RoleDefinitionName "Storage Blob Data Contributor" - Scope /subscriptions/11111111-1111-1111-1111-111111111111

Symptoom: kan de laatste roltoewijzing van de eigenaar niet verwijderen

U probeert de laatste roltoewijzing eigenaar voor een abonnement te verwijderen en u ziet de volgende fout:

Cannot delete the last RBAC admin assignment

Oorzaak

Het verwijderen van de laatste toewijzing van de rol Eigenaar voor een abonnement wordt niet ondersteund om zwevende abonnementen te voorkomen.

Oplossing

Raadpleeg Uw Azure-abonnement annuleren als u uw Azure-abonnement wilt annuleren.

U mag de roltoewijzing van de laatste eigenaar (of beheerder van gebruikerstoegang) voor het abonnementsbereik verwijderen als u de globale beheerder voor de tenant bent. In dit geval is er geen beperking voor verwijdering. Als de aanroep echter afkomstig is van een andere principal, kunt u de laatste roltoewijzing eigenaar niet verwijderen binnen het abonnementsbereik.

Symptoom: roltoewijzing wordt niet verplaatst na het verplaatsen van een resource

Oorzaak

Als u een resource verplaatst met een Azure-rol die rechtstreeks is toegewezen aan de resource (of een onderliggende resource), wordt de roltoewijzing niet verplaatst en wordt deze zwevend.

Oplossing

Nadat u een resource hebt verplaatst, moet u de roltoewijzing opnieuw maken. Uiteindelijk wordt de zwevende roltoewijzing automatisch verwijderd, maar het is een best practice om de roltoewijzing te verwijderen voordat u de resource verplaatst. Zie Resources verplaatsen naar een nieuwe resourcegroep of een nieuw abonnement voor meer informatie over het verplaatsen van resources.

Symptoom: wijzigingen in roltoewijzing worden niet gedetecteerd

U hebt onlangs een roltoewijzing toegevoegd of bijgewerkt, maar de wijzigingen worden niet gedetecteerd.

Oorzaak

Azure Resource Manager slaat soms configuraties en gegevens op in de cache om de prestaties te verbeteren. Wanneer u rollen toewijst of roltoewijzingen verwijdert, kan het tot 30 minuten duren voordat de wijzigingen zijn doorgevoerd.

Oplossing

Als u de Azure Portal, Azure PowerShell of Azure CLI gebruikt, kunt u het vernieuwen van de wijzigingen in uw roltoewijzing forceren door u af te melden en weer aan te melden. Als u wijzigingen aan de roltoewijzing aanbrengt met behulp van REST API-aanroepen, kunt u een vernieuwing afdwingen door uw toegangstoken te vernieuwen.

Als u een roltoewijzing toevoegt aan of verwijdert uit het bereik van de beheergroep en de rol heeft DataActions, wordt de toegang op het gegevensvlak mogelijk enkele uren niet bijgewerkt. Dit geldt alleen voor het bereik van de beheergroep en het gegevensvlak.

Aangepaste rollen

Symptoom - Kan een aangepaste rol niet bijwerken

U kunt een bestaande aangepaste rol niet bijwerken.

Oorzaak

U bent momenteel aangemeld met een gebruiker die niet gemachtigd is om aangepaste rollen bij te werken.

Oplossing

Controleer of u momenteel bent aangemeld met een gebruiker waaraan een rol is toegewezen die de Microsoft.Authorization/roleDefinition/write machtiging heeft, zoals Eigenaar of Beheerder voor gebruikerstoegang.

Symptoom: kan geen aangepaste rol maken of bijwerken

Wanneer u een aangepaste rol probeert te maken of bij te werken, krijgt u een foutmelding die vergelijkbaar is met de volgende:

The client '<clientName>' with object id '<objectId>' has permission to perform action 'Microsoft.Authorization/roleDefinitions/write' on scope '/subscriptions/<subscriptionId>'; however, it does not have permission to perform action 'Microsoft.Authorization/roleDefinitions/write' on the linked scope(s)'/subscriptions/<subscriptionId1>,/subscriptions/<subscriptionId2>,/subscriptions/<subscriptionId3>' or the linked scope(s)are invalid

Oorzaak

Deze fout geeft meestal aan dat u geen machtigingen hebt voor een of meer van de toewijsbare bereiken in de aangepaste rol.

Oplossing

Probeer het volgende:

  • Controleer wie een aangepaste rol kan maken, verwijderen, bijwerken of weergeven en controleer of u gemachtigd bent om de aangepaste rol te maken of bij te werken voor alle toewijsbare bereiken.
  • Als u geen machtigingen hebt, vraagt u de beheerder om u een rol toe te wijzen met de Microsoft.Authorization/roleDefinitions/write actie, zoals Eigenaar of Beheerder voor gebruikerstoegang, binnen het bereik van het toewijsbare bereik.
  • Controleer of alle toewijsbare bereiken in de aangepaste rol geldig zijn. Als dat niet het geval is, verwijdert u ongeldige toewijsbare bereiken.

Zie de zelfstudies voor aangepaste rollen met behulp van de Azure Portal, Azure PowerShell of Azure CLI voor meer informatie.

Symptoom- Kan een aangepaste rol niet verwijderen

U kunt een aangepaste rol niet verwijderen en het volgende foutbericht ontvangen:

There are existing role assignments referencing role (code: RoleDefinitionHasAssignments)

Oorzaak

Er zijn nog steeds roltoewijzingen die gebruikmaken van de aangepaste rol.

Oplossing

Verwijder de roltoewijzingen die gebruikmaken van de aangepaste rol en probeer de aangepaste rol opnieuw te verwijderen. Zie Roltoewijzingen zoeken om een aangepaste rol te verwijderen voor meer informatie.

Symptoom: kan niet meer dan één beheergroep toevoegen als toewijsbaar bereik

Wanneer u een aangepaste rol probeert te maken of bij te werken, kunt u niet meer dan één beheergroep toevoegen als toewijsbaar bereik.

Oorzaak

U kunt slechts één beheergroep definiëren in AssignableScopes een aangepaste rol. Het toevoegen van een beheergroep aan AssignableScopes is momenteel in de preview-fase.

Oplossing

Definieer één beheergroep in AssignableScopes uw aangepaste rol. Zie Uw resources indelen met Azure-beheergroepen voor meer informatie over aangepaste rollen en beheergroepen.

Symptoom: kan geen gegevensacties toevoegen aan een aangepaste rol

Wanneer u een aangepaste rol probeert te maken of bij te werken, kunt u geen gegevensacties toevoegen of ziet u het volgende bericht:

You cannot add data action permissions when you have a management group as an assignable scope

Oorzaak

U probeert een aangepaste rol te maken met gegevensacties en een beheergroep als toewijsbaar bereik. Aangepaste rollen met DataActions kunnen niet worden toegewezen aan het bereik van de beheergroep.

Oplossing

Maak de aangepaste rol met een of meer abonnementen als het toewijsbare bereik. Zie Uw resources indelen met Azure-beheergroepen voor meer informatie over aangepaste rollen en beheergroepen.

Symptoom: er kunnen geen roldefinities meer worden gemaakt

Wanneer u een nieuwe aangepaste rol probeert te maken, wordt het volgende bericht weergegeven:

Role definition limit exceeded. No more role definitions can be created (code: RoleDefinitionLimitExceeded)

Oorzaak

Azure ondersteunt maximaal 5000 aangepaste rollen in een directory. (Voor Microsoft Azure Duitsland en Azure China 21Vianet geldt een limiet van 2000 aangepaste rollen.)

Oplossing

Probeer het aantal aangepaste rollen te verminderen.

Toegang geweigerd of machtigingsfouten

Symptoom - Autorisatie is mislukt

Wanneer u probeert een resource te maken, wordt het volgende foutbericht weergegeven:

The client with object id does not have authorization to perform action over scope (code: AuthorizationFailed)

Oorzaak

U bent momenteel aangemeld met een gebruiker die geen schrijfmachtiging heeft voor de resource in het geselecteerde bereik.

Oplossing

Controleer of u momenteel bent aangemeld met een gebruiker waaraan een rol is toegewezen die schrijfmachtiging heeft voor de resource in het geselecteerde bereik. Als u bijvoorbeeld virtuele machines in een resourcegroep wilt beheren, moet u de rol Inzender voor virtuele machines toewijzen aan de resourcegroep (of bovenliggend bereik). Voor een lijst met machtigingen voor elke ingebouwde rol, raadpleegt u Ingebouwde rollen voor Azure.

Symptoom- Kan geen ondersteuningsaanvraag maken

Wanneer u probeert een ondersteuningsticket te maken of bij te werken, wordt het volgende foutbericht weergegeven:

You don't have permission to create a support request

Oorzaak

U bent momenteel aangemeld met een gebruiker die geen machtiging heeft voor het maken van ondersteuningsaanvragen.

Oplossing

Controleer of u momenteel bent aangemeld met een gebruiker waaraan een rol is toegewezen die de Microsoft.Support/supportTickets/write machtiging heeft, zoals Inzender voor ondersteuningsaanvragen.

Azure-functies zijn uitgeschakeld

Symptoom: sommige web-app-functies zijn uitgeschakeld

Een gebruiker heeft leestoegang tot een web-app en sommige functies zijn uitgeschakeld.

Oorzaak

Als u een gebruiker leestoegang verleent tot een web-app, zijn sommige functies uitgeschakeld die u mogelijk niet verwacht. De volgende beheermogelijkheden vereisen schrijftoegang tot een web-app en zijn niet beschikbaar in een scenario met het kenmerk Alleen-lezen.

  • Opdrachten (zoals starten, stoppen, etc.)
  • Instellingen wijzigen zoals algemene configuratie, schaalinstellingen, back-upinstellingen en bewakingsinstellingen
  • Toegang tot publicatiereferenties en andere geheimen, zoals app-instellingen en verbindingsreeksen
  • Streaminglogboeken
  • Configuratie van resourcelogboeken
  • Console (opdrachtprompt)
  • Actieve en recente implementaties (voor continue implementatie van lokale Git)
  • Geschatte uitgaven
  • Webtests
  • Virtueel netwerk (alleen zichtbaar voor een lezer als een virtueel netwerk eerder is geconfigureerd door een gebruiker met schrijftoegang).

Oplossing

Wijs de inzender of een andere ingebouwde Azure-rol toe met schrijfmachtigingen voor de web-app.

Symptoom: sommige web-app-resources zijn uitgeschakeld

Een gebruiker heeft schrijftoegang tot een web-app en sommige functies zijn uitgeschakeld.

Oorzaak

Web-apps worden gecompliceerd door de aanwezigheid van een paar verschillende resources die een wisselwerking met elkaar hebben. Hier is een typische resourcegroep met een aantal websites:

Resourcegroep van web-app

Als u iemand alleen toegang verleent tot de web-app, is een groot deel van de functionaliteit op de blade van de website in Azure Portal uitgeschakeld.

Deze items vereisen schrijftoegang tot het App Service-plan dat overeenkomt met uw website:

  • De prijscategorie van de web-app weergeven (gratis of standaard)
  • Schaalconfiguratie (aantal exemplaren, grootte van virtuele machines, instellingen voor automatisch schalen)
  • Quota (opslag, bandbreedte, CPU)

Voor deze items is schrijftoegang vereist tot de hele resourcegroep die uw website bevat:

  • TLS/SSL-certificaten en -bindingen (TLS/SSL-certificaten kunnen worden gedeeld tussen sites in dezelfde resourcegroep en geografische locatie)
  • Waarschuwingsregels
  • Instellingen voor automatisch schalen
  • Application Insights-onderdelen
  • Webtests

Oplossing

Wijs een ingebouwde Azure-rol toe met schrijfmachtigingen voor het App Service-plan of de resourcegroep.

Symptoom: sommige functies van virtuele machines zijn uitgeschakeld

Een gebruiker heeft toegang tot een virtuele machine en sommige functies zijn uitgeschakeld.

Oorzaak

Net als bij web-apps vereisen sommige functies op de blade van de virtuele machine schrijftoegang tot de virtuele machine of andere resources in de resourcegroep.

Virtuele machines zijn gerelateerd aan domeinnamen, virtuele netwerken, opslagaccounts en waarschuwingsregels.

Voor deze items is schrijftoegang tot de virtuele machine vereist:

  • Eindpunten
  • IP-adressen
  • Disks
  • Extensies

Deze vereisen schrijftoegang tot zowel de virtuele machine als de resourcegroep (samen met de domeinnaam) waarin deze zich bevindt:

  • Beschikbaarheidsset
  • Set met gelijke taakverdeling
  • Waarschuwingsregels

Als u geen toegang hebt tot een van deze tegels, vraagt u de beheerder om toegang als Inzender voor de resourcegroep.

Oplossing

Wijs een ingebouwde Azure-rol toe met schrijfmachtigingen voor de virtuele machine of resourcegroep.

Symptoom: sommige functies van de functie-app zijn uitgeschakeld

Een gebruiker heeft toegang tot een functie-app en sommige functies zijn uitgeschakeld. Ze kunnen bijvoorbeeld op het tabblad Platformfuncties klikken en vervolgens op Alle instellingen klikken om bepaalde instellingen weer te geven die betrekking hebben op een functie-app (vergelijkbaar met een web-app), maar ze kunnen deze instellingen niet wijzigen.

Oorzaak

Sommige functies van Azure Functions vereisen schrijftoegang. Als aan een gebruiker bijvoorbeeld de rol Lezer is toegewezen, kunnen deze de functies in een functie-app niet zien. In de portal wordt (Geen toegang) weergegeven.

Geen toegang tot functie-apps

Oplossing

Wijs een ingebouwde Azure-rol toe met schrijfmachtigingen voor de functie-app of resourcegroep.

Een abonnement overdragen naar een andere map

Symptoom: alle roltoewijzingen worden verwijderd na het overdragen van een abonnement

Oorzaak

Wanneer u een Azure-abonnement overdraagt naar een andere Azure AD directory, worden alle roltoewijzingen permanent verwijderd uit de bronmap Azure AD map en worden ze niet gemigreerd naar de doel-Azure AD directory.

Oplossing

U moet uw roltoewijzingen opnieuw maken in de doeldirectory. U moet ook handmatig beheerde identiteiten voor Azure-resources opnieuw maken. Zie Een Azure-abonnement overdragen naar een andere Azure AD directory en veelgestelde vragen en bekende problemen met beheerde identiteiten voor meer informatie.

Symptoom: kan geen toegang krijgen tot het abonnement na het overdragen van een abonnement

Oplossing

Als u een Azure AD globale beheerder bent en u geen toegang hebt tot een abonnement nadat het is overgedragen tussen directory's, gebruikt u de wisselknop Toegangsbeheer voor Azure-resources om uw toegang tijdelijk te verhogen om toegang te krijgen tot het abonnement.

Klassieke abonnementsbeheerders

Als u problemen ondervindt met servicebeheerder of medebeheerders, raadpleegt u Beheerders van Azure-abonnementen en klassieke abonnementsbeheerders, Azure-rollen en Azure AD rollen toevoegen of wijzigen.

Volgende stappen