Klasyczni administratorzy subskrypcji platformy Azure

Ważne

Zasoby klasyczne i administratorzy klasyczni zostaną wycofane 31 sierpnia 2024 r. Od 3 kwietnia 2024 r. nie będzie można dodawać nowych współadministratorów. Ta data została niedawno przedłużona. Usuń niepotrzebnych współadministratorów i używaj RBAC platformy Azure na potrzeby szczegółowej kontroli dostępu.

Firma Microsoft zaleca zarządzanie dostępem do zasobów platformy Azure przy użyciu kontroli dostępu na podstawie ról (RBAC platformy Azure). Jeśli jednak nadal używasz klasycznego modelu wdrażania, musisz użyć klasycznej roli administratora subskrypcji: usługa Administracja istrator i współzarządzacz Administracja istrator. Aby uzyskać informacje na temat migrowania zasobów z wdrożenia klasycznego do wdrożenia przy użyciu usługi Resource Manager, zobacz Azure Resource Manager a wdrożenie klasyczne.

Jeśli nadal masz administratorów klasycznych, należy usunąć te przypisania ról przed datą wycofania. W tym artykule opisano sposób przygotowania do wycofania ról współd Administracja istratora i usługi Administracja istrator oraz sposobu usuwania lub zmieniania tych przypisań ról.

Często zadawane pytania

Czy współzarządzacze Administracja i usługa Administracja istrator utracą dostęp po 31 sierpnia 2024 r.?

• Począwszy od 31 sierpnia 2024 r., firma Microsoft rozpocznie proces usuwania dostępu dla współd Administracja istratorów i Administracja istratora usług.

Jak mogę wiedzieć, jakie subskrypcje mają administratorów klasycznych?

• Możesz użyć zapytania usługi Azure Resource Graph, aby wyświetlić listę subskrypcji za pomocą Administracja istratora usługi lub przypisań ról współd Administracja istratora. Aby uzyskać instrukcje, zobacz Wyświetlanie listy administratorów klasycznych.

Jaka jest równoważna rola platformy Azure, jaką należy przypisać dla współd Administracja istratorów?

• Rola właściciela w zakresie subskrypcji ma równoważny dostęp. Jednak właściciel jest rolą uprzywilejowanego administratora i udziela pełnego dostępu do zarządzania zasobami platformy Azure. Należy rozważyć rolę funkcji zadania z mniejszą liczbą uprawnień, zmniejszyć zakres lub dodać warunek.

Jaka jest równoważna rola platformy Azure, jaką należy przypisać dla Administracja istratora usługi?

• Rola właściciela w zakresie subskrypcji ma równoważny dostęp.

Dlaczego muszę przeprowadzić migrację do kontroli dostępu opartej na rolach platformy Azure?

• Administratorzy klasyczni zostaną wycofani. Kontrola dostępu oparta na rolach platformy Azure oferuje szczegółową kontrolę dostępu, zgodność z usługą Microsoft Entra Privileged Identity Management (PIM) i obsługą pełnych dzienników inspekcji. Wszystkie przyszłe inwestycje będą znajdować się w kontroli dostępu opartej na rolach platformy Azure.

Co z rolą Administracja istrator konta?

• Administracja istrator konta jest użytkownikiem podstawowym konta rozliczeniowego. Administracja istrator konta nie jest przestarzały i nie musisz zastępować tego przypisania roli. Konto Administracja istrator i Administracja istrator usługi może być tym samym użytkownikiem. Należy jednak usunąć tylko przypisanie roli service Administracja istrator.

Co należy zrobić, jeśli mam silną zależność od współzależnych Administracja istratorów lub Administracja istratora usługi?

• Wyślij wiadomość e-mail ACARDeprecation@microsoft.com i opisz swój scenariusz.

Przygotowanie do wycofania Administracja istratorów

Jeśli nadal masz administratorów klasycznych, wykonaj następujące kroki, aby ułatwić przygotowanie się do wycofania roli Współ-Administracja istrator.

Krok 1. Przeglądanie bieżących Administracja istratorów

1. Zaloguj się w witrynie Azure Portal jako właściciel subskrypcji.

2. Użyj witryny Azure Portal lub usługi Azure Resource Graph, aby wyświetlić listę współd Administracja istratorów.

3. Przejrzyj dzienniki logowania dla współautorów Administracja, aby ocenić, czy są aktywnymi użytkownikami.

Krok 2. Usuwanie współ Administracja istratorów, które nie potrzebują już dostępu

1. Jeśli użytkownik nie znajduje się już w przedsiębiorstwie, usuń współd Administracja istrator.

2. Jeśli użytkownik został usunięty, ale przypisanie współd Administracja istratora nie zostało usunięte, usuń Administracja istrator.

   Użytkownicy, którzy zostali usunięci, zazwyczaj zawierają tekst (użytkownik nie został znaleziony w tym katalogu).

   

3. Po przejrzeniu aktywności użytkownika, jeśli użytkownik nie jest już aktywny, usuń współd Administracja istrator.

Krok 3. Zastępowanie istniejących Administracja istratorów rolami funkcji zadania

Większość użytkowników nie potrzebuje tych samych uprawnień co współd Administracja istrator. Rozważ zamiast tego rolę funkcji zadania.

1. Jeśli użytkownik nadal potrzebuje dostępu, określ odpowiednią rolę funkcji zadania, której potrzebują.

2. Określ zakres potrzeb użytkownika.

3. Wykonaj kroki, aby przypisać rolę funkcji zadania do użytkownika.

4. Usuń współza Administracja istrator.

Krok 4. Zamień istniejące Administracja istratory na rolę właściciela i warunki

Niektórzy użytkownicy mogą potrzebować większego dostępu niż rola funkcji zadania. Jeśli musisz przypisać rolę Właściciel , rozważ dodanie warunku, aby ograniczyć przypisanie roli.

1. Przypisz rolę Właściciel w zakresie subskrypcji z warunkami do użytkownika.

2. Usuń współza Administracja istrator.

Przygotowanie do wycofania Administracja istratora usługi

Jeśli nadal masz administratorów klasycznych, wykonaj następujące kroki, aby ułatwić przygotowanie się do wycofania roli Administracja istrator usługi. Aby usunąć Administracja istrator usługi, musisz mieć co najmniej jednego użytkownika, który ma przypisaną rolę Właściciel w zakresie subskrypcji bez warunków, aby uniknąć oddzielonia subskrypcji. Właściciel subskrypcji ma takie same uprawnienia dostępu jak administrator usługi.

Krok 1. Przeglądanie bieżącego Administracja istratora usługi

1. Zaloguj się w witrynie Azure Portal jako właściciel subskrypcji.

2. Użyj witryny Azure Portal lub usługi Azure Resource Graph, aby wyświetlić listę Administracja istratora usługi.

3. Przejrzyj dzienniki logowania usługi Administracja istrator, aby sprawdzić, czy są aktywnym użytkownikiem.

Krok 2. Przeglądanie bieżących właścicieli kont rozliczeniowych

Użytkownik, któremu przypisano rolę service Administracja istrator, może być również tym samym użytkownikiem, który jest administratorem konta rozliczeniowego. Należy przejrzeć bieżących właścicieli kont rozliczeniowych, aby upewnić się, że są one nadal dokładne.

1. Użyj witryny Azure Portal, aby uzyskać właścicieli kont rozliczeniowych.

2. Przejrzyj listę właścicieli kont rozliczeniowych. W razie potrzeby zaktualizuj lub dodaj innego właściciela konta rozliczeniowego.

Krok 3. Zastąpienie istniejącego Administracja istratora usługi rolą właścicieli

Twój Administracja istrator usługi może być kontem Microsoft lub kontem Microsoft Entra. Konto Microsoft to konto osobiste, takie jak Outlook, OneDrive, Xbox LIVE lub Microsoft 365. Konto Microsoft Entra to tożsamość utworzona za pomocą identyfikatora Entra firmy Microsoft.

1. Jeśli użytkownik usługi Administracja istrator jest kontem Microsoft i chcesz, aby ten użytkownik zachował te same uprawnienia, przypisz tę rolę właściciela do tego użytkownika w zakresie subskrypcji bez warunków.

2. Jeśli użytkownik usługi Administracja istrator jest kontem firmy Microsoft Entra i chcesz, aby ten użytkownik zachował te same uprawnienia, przypisz rolę Właściciela do tego użytkownika w zakresie subskrypcji bez warunków.

3. Jeśli chcesz zmienić użytkownika usługi Administracja istrator na innego użytkownika, przypisz rolę Właściciela do tego nowego użytkownika w zakresie subskrypcji bez warunków.

4. Usuń Administracja istrator usługi.

Wyświetlanie listy administratorów klasycznych

Witryna Azure Portal

Wykonaj następujące kroki, aby wyświetlić listę Administracja istratora usług i współd Administracja istratorów dla subskrypcji przy użyciu witryny Azure Portal.

1. Zaloguj się w witrynie Azure Portal jako właściciel subskrypcji.

2. Otwórz blok Subskrypcje i wybierz subskrypcję.

3. Wybierz pozycję Kontrola dostępu (IAM) .

4. Wybierz kartę Administratorzy klasyczni, aby wyświetlić listę współd Administracja istratorów.

   

Azure Resource Graph

Wykonaj następujące kroki, aby wyświetlić listę liczby Administracja istratorów usług i współd Administracja istratorów w subskrypcjach przy użyciu usługi Azure Resource Graph.

1. Zaloguj się w witrynie Azure Portal jako właściciel subskrypcji.

2. Otwórz Eksploratora usługi Azure Resource Graph.

3. Wybierz pozycję Zakres i ustaw zakres zapytania.

   Ustaw zakres na Katalog , aby wykonać zapytanie względem całej dzierżawy, ale możesz zawęzić zakres do określonych subskrypcji.

   

4. Wybierz pozycję Ustaw zakres autoryzacji i ustaw zakres autoryzacji na Wartość W, powyżej i poniżej , aby wysłać zapytanie do wszystkich zasobów w określonym zakresie.

   

5. Uruchom następujące zapytanie, aby wyświetlić listę Administracja istratorów usługi i współd Administracja istratorów na podstawie zakresu.

   authorizationresources
   | where type == "microsoft.authorization/classicadministrators"
   | mv-expand role = parse_json(properties).role
   | mv-expand adminState = parse_json(properties).adminState
   | where adminState == "Enabled"
   | where role in ("ServiceAdministrator", "CoAdministrator")
   | summarize count() by subscriptionId, tostring(role)
   

   Poniżej przedstawiono przykład wyników. Kolumna count_ to liczba Administracja istratorów usługi lub współd Administracja istratorów dla subskrypcji.

   

Usuwanie współadministratora

Ważne

Zasoby klasyczne i administratorzy klasyczni zostaną wycofane 31 sierpnia 2024 r. Od 3 kwietnia 2024 r. nie będzie można dodawać nowych współadministratorów. Ta data została niedawno przedłużona. Usuń niepotrzebnych współadministratorów i używaj RBAC platformy Azure na potrzeby szczegółowej kontroli dostępu.

Wykonaj następujące kroki, aby usunąć Administracja istratora.

1. Zaloguj się w witrynie Azure Portal jako właściciel subskrypcji.

2. Otwórz blok Subskrypcje i wybierz subskrypcję.

3. Wybierz pozycję Kontrola dostępu (IAM) .

4. Wybierz kartę Administratorzy klasyczni, aby wyświetlić listę współd Administracja istratorów.

5. Dodaj znacznik wyboru obok współadministratora, którego chcesz usunąć.

6. Wybierz pozycję Usuń.

7. W wyświetlonym oknie z komunikatem wybierz opcję Tak.

   

Dodawanie współadministratora

Ważne

Zasoby klasyczne i administratorzy klasyczni zostaną wycofane 31 sierpnia 2024 r. Od 3 kwietnia 2024 r. nie będzie można dodawać nowych współadministratorów. Ta data została niedawno przedłużona. Usuń niepotrzebnych współadministratorów i używaj RBAC platformy Azure na potrzeby szczegółowej kontroli dostępu.

Wystarczy dodać współd Administracja istrator, jeśli użytkownik musi zarządzać wdrożeniami klasycznymi platformy Azure przy użyciu modułu Programu PowerShell zarządzania usługami platformy Azure. Jeśli użytkownik zarządza zasobami klasycznymi tylko za pomocą witryny Azure Portal, nie trzeba dodawać dla niego klasycznej roli administratora.

1. Zaloguj się w witrynie Azure Portal jako właściciel subskrypcji.

2. Otwórz blok Subskrypcje i wybierz subskrypcję.

   Współd Administracja istratory mogą być przypisywane tylko w zakresie subskrypcji.

3. Wybierz pozycję Kontrola dostępu (IAM) .

4. Wybierz kartę Administratorzy klasyczni.

   

5. Wybierz kolejno pozycje Dodaj>Dodaj współadministratora, aby otworzyć okienko Dodawanie współadministratorów.

   Jeśli opcja Dodaj współadministratora jest wyłączona, nie masz uprawnień.

6. Wybierz użytkownika, którego chcesz dodać, a następnie wybierz pozycję Dodaj.

   

Dodawanie użytkownika-gościa jako współadministratora

Aby dodać użytkownika-gościa jako współadministratora, wykonaj te same czynności, które opisano w poprzedniej sekcji Dodawanie współadministratora. Użytkownik-gość musi spełniać następujące kryteria:

• Użytkownik-gość musi znajdować się w Twoim katalogu. Oznacza to, że ten użytkownik został zaproszony do katalogu i zaakceptował zaproszenie.

Aby uzyskać więcej informacji na temat dodawania użytkownika-gościa do katalogu, zobacz Dodawanie użytkowników współpracy microsoft Entra B2B w witrynie Azure Portal.

Przed usunięciem użytkownika-gościa z katalogu należy najpierw usunąć wszystkie przypisania ról dla tego użytkownika-gościa. Aby uzyskać więcej informacji, zobacz Usuwanie użytkownika zewnętrznego z katalogu.

Różnice w przypadku użytkowników-gości

Użytkownicy-goście, którzy mają przypisaną rolę współadministratora, mogą zobaczyć pewne różnice w porównaniu ze współadministratorami będącymi członkami. Rozważmy następujący scenariusz:

• Użytkownik A z kontem Microsoft Entra (konto służbowe) to usługa Administracja istrator subskrypcji platformy Azure.
• Użytkownik B ma konto Microsoft.
• Użytkownik A przypisuje użytkownikowi B rolę współ Administracja istratora.
• Użytkownik B może wykonać prawie wszystko, ale nie może zarejestrować aplikacji lub wyszukać użytkowników w katalogu Microsoft Entra.

Oczekujesz, że użytkownik B będzie mógł zarządzać wszystkim. Przyczyną tej różnicy jest to, że konto Microsoft jest dodawane do subskrypcji jako użytkownik-gość zamiast użytkownika członkowskiego. Użytkownicy-goście mają różne uprawnienia domyślne w identyfikatorze Entra firmy Microsoft w porównaniu do użytkowników będących członkami. Na przykład użytkownicy będący członkami mogą odczytywać innych użytkowników w identyfikatorze Entra firmy Microsoft, a użytkownicy-goście nie mogą. Użytkownicy będący członkami mogą rejestrować nowe jednostki usługi w identyfikatorze Entra firmy Microsoft, a użytkownicy-goście nie mogą.

Jeśli użytkownik-gość musi mieć możliwość wykonywania tych zadań, możliwe rozwiązanie polega na przypisaniu określonych ról firmy Microsoft Entra, których potrzebuje użytkownik-gość. Na przykład w poprzednim scenariuszu można przypisać rolę Czytelnicy katalogu, aby odczytać innych użytkowników i przypisać rolę dewelopera aplikacji, aby móc tworzyć jednostki usługi. Aby uzyskać więcej informacji o członkach i użytkownikach-gościach i ich uprawnieniach, zobacz Jakie są domyślne uprawnienia użytkownika w usłudze Microsoft Entra ID?. Aby uzyskać więcej informacji na temat udzielania dostępu użytkownikom-gościom, zobacz Przypisywanie ról platformy Azure do użytkowników zewnętrznych przy użyciu witryny Azure Portal.

Należy pamiętać, że wbudowane role platformy Azure różnią się od ról firmy Microsoft Entra. Wbudowane role nie udzielają dostępu do identyfikatora Entra firmy Microsoft. Aby uzyskać więcej informacji, zobacz Omówienie różnych ról.

Aby uzyskać informacje, które porównują użytkowników członkowskich i użytkowników-gości, zobacz Jakie są domyślne uprawnienia użytkownika w usłudze Microsoft Entra ID?.

Zmienianie administratora usługi

Tylko administrator konta może zmienić administratora usługi w ramach subskrypcji. Domyślnie podczas tworzenia konta na potrzeby subskrypcji platformy Azure administratorem usługi zostaje administrator konta.

Użytkownik mający rolę administratora konta może uzyskać dostęp do witryny Azure Portal i zarządzać rozliczeniami, ale nie może anulować subskrypcji. Użytkownik z rolą administratora usługi ma pełny dostęp do witryny Azure Portal i może anulować subskrypcje. Administrator konta może nadać sobie rolę administratora usługi.

Wykonaj następujące kroki, aby zmienić Administracja istrator usługi w witrynie Azure Portal.

1. Zaloguj się w witrynie Azure Portal jako administrator konta.

2. Otwórz usługę Cost Management + Billing i wybierz subskrypcję.

3. W lewym obszarze nawigacji wybierz pozycję Właściwości.

4. Wybierz pozycję Zmień administratora usługi.

   

5. Na stronie Edycja administratora usługi wprowadź adres e-mail nowego administratora usługi.

   

6. Wybierz przycisk OK, aby zapisać zmianę.

Usuwanie administratora usługi

Aby usunąć Administracja istrator usługi, musisz mieć użytkownika, który ma przypisaną rolę Właściciel w zakresie subskrypcji bez warunków, aby uniknąć oddzielonia subskrypcji. Właściciel subskrypcji ma takie same uprawnienia dostępu jak administrator usługi.

1. Zaloguj się w witrynie Azure Portal jako właściciel subskrypcji.

2. Otwórz blok Subskrypcje i wybierz subskrypcję.

3. Wybierz pozycję Kontrola dostępu (IAM) .

4. Wybierz kartę Administratorzy klasyczni.

5. Dodaj znacznik wyboru obok administratora usługi.

6. Wybierz pozycję Usuń.

7. W wyświetlonym oknie z komunikatem wybierz opcję Tak.

   

Jeśli użytkownik usługi Administracja istrator nie znajduje się w katalogu, podczas próby usunięcia Administracja istratora usługi może wystąpić następujący błąd:

Call GSM to delete service admin on subscription <subscriptionId> failed. Exception: Cannot delete user <principalId> since they are not the service administrator. Please retry with the right service administrator user PUID.

Jeśli użytkownik usługi Administracja istrator nie znajduje się w katalogu, spróbuj zmienić Administracja istrator usługi na istniejącego użytkownika, a następnie spróbuj usunąć Administracja istrator usługi.

Następne kroki

• Omówienie różnych ról
• Przypisywanie ról platformy Azure przy użyciu witryny Azure Portal
• Understand Microsoft Customer Agreement administrative roles in Azure (Omówienie ról administracyjnych dla Umowy klienta firmy Microsoft na platformie Azure)