Klasičtí správci předplatných Azure

Důležité

Od 31. srpna 2024 se role klasického správce Azure (spolu s klasickými prostředky Azure a Azure Service Managerem) vyřadí z provozu a už se nepodporují. Pokud máte stále aktivní přiřazení rolí Co-Administrator nebo Service Administrator, okamžitě je převeďte na Azure RBAC.

Ke správě přístupu k prostředkům Azure doporučuje Microsoft využívat řízení přístupu na základě role v Azure (Azure RBAC). Pokud stále používáte klasický model nasazení, budete muset migrovat prostředky z klasického nasazení na nasazení Resource Manageru. Další informace najdete v tématu Modely nasazení Azure Resource Manager a Classic.

Tento článek popisuje vyřazení rolí spolusprávce a správce služeb a způsobu převodu těchto přiřazení rolí.

Nejčastější dotazy

Co se stane s klasickými přiřazeními rolí správce po 31. srpnu 2024?

• Role spolusprávce a správce služeb jsou vyřazeny z provozu a už se nepodporují. Tato přiřazení rolí byste měli okamžitě převést na Azure RBAC.

Jak zjistím, které předplatné má klasické správce?

• Pomocí dotazu Azure Resource Graph můžete zobrazit seznam předplatných s přiřazením rolí Správce služeb nebo Spolusprávce. Postup najdete v tématu Seznam klasických správců.

Jaká je ekvivalentní role Azure, kterou mám přiřadit spolusprávci?

• Role vlastníka v rozsahu předplatného má ekvivalentní přístup. Vlastník je však privilegovaná role správce a uděluje úplný přístup ke správě prostředků Azure. Měli byste zvážit roli pracovní funkce s menším počtem oprávnění, omezit rozsah nebo přidat podmínku.

Jaká je ekvivalentní role Azure, kterou mám přiřadit správci služeb?

• Role vlastníka v rozsahu předplatného má ekvivalentní přístup.

Proč je potřeba migrovat na Azure RBAC?

• Azure RBAC nabízí jemně odstupňované řízení přístupu, kompatibilitu s Microsoft Entra Privileged Identity Management (PIM) a plnou podporu protokolů auditu. Všechny budoucí investice budou v Azure RBAC.

A co role správce účtu?

• Správce účtu je primárním uživatelem vašeho fakturačního účtu. Správce účtu není zastaralý a toto přiřazení role nemusíte převádět. Roli správce účtu a správce služeb může zastávat stejný uživatel. Stačí však pouze převést přiřazení role Správce služeb.

Co mám dělat, když ztratím přístup k odběru?

• Pokud odeberete klasické správce, aniž byste měli k odběru přiřazenou alespoň jednu roli Vlastník, ztratíte k odběru přístup a odběr bude osamocený. Chcete-li obnovit přístup k odběru, můžete provést následující kroky:

  • Pokud chcete zvýšit úroveň přístupu, můžete spravovat všechna předplatná v tenantovi.
  • Přiřaďte roli vlastníka uživateli v oboru odběru.
  • Odeberte přístup se zvýšenými oprávněními.

Co mám dělat, když mám silnou závislost na spolusprávci nebo správci služeb?

• Pošlete e-mail na adresu ACARDeprecation@microsoft.com a popište svůj scénář.

Výpis klasických správců

Azure Portal

Následujícím postupem zobrazíte seznam správců služeb a spolusprávce předplatného pomocí webu Azure Portal.

1. Přihlaste se k webu Azure Portal jako vlastník odběru.

2. Otevřete Předplatná a vyberte předplatné.

3. Vyberte Řízení přístupu (IAM) .

4. Chcete-li zobrazit seznam spolusprávců, vyberte kartu Klasičtí správci.

   

Azure Resource Graph

Podle těchto kroků vypíšete počet správců služeb a spolusprávců ve vašich předplatných pomocí Azure Resource Graphu.

1. Přihlaste se k webu Azure Portal jako vlastník odběru.

2. Otevřete Azure Resource Graph Explorer.

3. Vyberte Obor a nastavte obor dotazu.

   Nastavte obor na Adresář pro dotazování celého tenanta, ale rozsah můžete zúžit na konkrétní předplatná.

   

4. Vyberte Nastavit obor autorizace a nastavte obor autorizace na Hodnotu At( Nahoře a níže ) a dotazujte se na všechny prostředky v zadaném oboru.

   

5. Spuštěním následujícího dotazu vypíšete počet správců služeb a spolusprávce na základě oboru.

   authorizationresources
   | where type == "microsoft.authorization/classicadministrators"
   | mv-expand role = parse_json(properties).role
   | mv-expand adminState = parse_json(properties).adminState
   | where adminState == "Enabled"
   | where role in ("ServiceAdministrator", "CoAdministrator")
   | summarize count() by subscriptionId, tostring(role)
   

   Následující příklad ukazuje příklad výsledků. Sloupec count_ je počet správců služeb nebo spolusprávce předplatného.

   

Vyřazení spolusprávců

Pokud stále máte klasické správce, pomocí následujících kroků můžete převést přiřazení rolí spolusprávce.

Krok 1: Zkontrolujte aktuální spolusprávce

1. Přihlaste se k webu Azure Portal jako vlastník odběru.

2. Pomocí webu Azure Portal nebo Azure Resource Graphu můžete zobrazit seznam spolusprávců.

3. Zkontrolujte protokoly přihlašování pro spolusprávce a vyhodnoťte, jestli jsou aktivní uživatelé.

Krok 2: Odeberte spolusprávce, kteří už nepotřebují přístup

1. Pokud už uživatel není ve vašem podniku, odeberte spolusprávce.

2. Pokud byl uživatel odstraněn, ale jeho přiřazení spolusprávce nebylo odebráno, odeberte spolusprávce.

   Uživatelé, kteří byli odstraněni, obvykle obsahují text (Uživatel nebyl v tomto adresáři nalezen).

   

3. Po posouzení aktivity uživatele, pokud už uživatel není aktivní, odeberte spolusprávce.

Krok 3: Převeďte spolusprávce na role funkcí úloh

Většina uživatelů nepotřebuje stejná oprávnění jako spolusprávce. Místo toho zvažte roli pracovní funkce.

1. Pokud uživatel stále potřebuje přístup, určete odpovídající roli pracovní funkce, kterou potřebuje.

2. Určete potřeby uživatele oboru.

3. Podle kroků přiřaďte uživateli roli pracovní funkce.

4. Odeberte spolusprávce.

Krok 4: Převeďte roli spolusprávce na roli Vlastník s podmínkami

Někteří uživatelé mohou potřebovat větší přístup, než jaký jim může poskytnout role pracovní funkce. Pokud musíte přiřadit roli Vlastník, zvažte přidání podmínky nebo použití nástroje Microsoft Entra Privileged Identity Management (PIM) k omezení přiřazení role.

1. Přiřaďte roli Vlastník s podmínkami.

   Například přiřaďte roli Vlastník v rozsahu odběru s podmínkami. Pokud máte PIM, udělte uživateli nárok na přiřazení role Vlastník.

2. Odeberte spolusprávce.

Krok 5: Převeďte roli spolusprávce na roli Vlastník

Pokud musí být uživatel správcem předplatného, přiřaďte roli Vlastník v oboru předplatného.

• Postupujte podle pokynů v části Jak převést spolusprávce s rolí Vlastník.

Jak převést roli Spolusprávce na roli Vlastník

Nejjednodušší způsob, jak překrýt přiřazení role Spolusprávce k roli Vlastník v oboru předplatného, je použít kroky k nápravě.

1. Přihlaste se k webu Azure Portal jako vlastník odběru.

2. Otevřete Předplatná a vyberte předplatné.

3. Vyberte Řízení přístupu (IAM) .

4. Chcete-li zobrazit seznam spolusprávců, vyberte kartu Klasičtí správci.

5. U role spolusprávce, kterou chcete převést na roli Vlastník, vyberte ve sloupci Náprava odkaz Přiřadit roli RBAC.

6. V podokně Přidat přiřazení role zkontrolujte přiřazení role.

   

7. Výběrem možnosti Zkontrolovat a přiřadit přiřaďte roli Vlastník a odeberte přiřazení role Spolusprávce.

Postup pro odebrání spolusprávce

Chcete-li odebrat spolusprávce, postupujte podle těchto kroků.

1. Přihlaste se k webu Azure Portal jako vlastník odběru.

2. Otevřete Předplatná a vyberte předplatné.

3. Vyberte Řízení přístupu (IAM) .

4. Chcete-li zobrazit seznam spolusprávců, vyberte kartu Klasičtí správci.

5. Přidejte značku zaškrtnutí vedle spolusprávce, kterého chcete odebrat.

6. Vyberte Odstranit.

7. V okně se zprávou, které se zobrazí, vyberte Ano.

   

Vyřazení správce služeb

Pokud stále máte klasické správce, pomocí následujícího postupu můžete převést přiřazení role Správce služeb. Než odeberete správce služeb, musíte mít uživatele s přiřazenou rolí Vlastník v rozsahu předplatného bez podmínek, aby nedošlo k osamocení předplatného. Vlastník předplatného má stejný přístup jako správce služeb.

Krok 1: Zkontrolujte aktuálního správce služeb

1. Přihlaste se k webu Azure Portal jako vlastník odběru.

2. Pomocí webu Azure Portal nebo Azure Resource Graphu vytvořte seznam správce služeb.

3. Zkontrolujte protokoly přihlašování pro správce služeb a vyhodnoťte, jestli jsou aktivní uživatelé.

Krok 2: Zkontrolujte stávající vlastníky fakturačních účtů

Uživatel, který má přiřazenou roli Správce služeb, může být také stejný uživatel, který je správcem vašeho fakturačního účtu. Měli byste zkontrolovat své stávající vlastníky fakturačních účtů, abyste se ujistili, že jsou stále přesní.

1. Vlastníky fakturačního účtu získáte pomocí webu Azure Portal.

2. Projděte si seznam vlastníků fakturačního účtu. V případě potřeby aktualizujte nebo přidejte dalšího vlastníka fakturačního účtu.

Krok 3: Převeďte roli správce služeb na roli Vlastník

Správcem služeb může být účet Microsoft nebo účet Microsoft Entra. Účet Microsoft je osobní účet, jako je Outlook, OneDrive, Xbox LIVE nebo Microsoft 365. Účet Microsoft Entra je identita vytvořená prostřednictvím Microsoft Entra ID.

1. Pokud je uživatelem správce služeb účet Microsoft a chcete, aby si tento uživatel ponechal stejná oprávnění, převeďte správce služeb na roli Vlastník.

2. Pokud je uživatelem správce služeb účet Microsoft Entra a chcete, aby si tento uživatel ponechal stejná oprávnění, převeďte správce služeb na roli Vlastník.

3. Pokud chcete změnit uživatele správce služeb na jiného uživatele, přiřaďte mu roli Vlastník v oboru předplatného bez podmínek. Pak odeberte správce služeb.

Jak převést roli Správce služeb na roli Vlastník

Nejjednodušší způsob, jak převést přiřazení role Správce služeb na roli Vlastník v oboru předplatného, je použít kroky k nápravě.

1. Přihlaste se k webu Azure Portal jako vlastník odběru.

2. Otevřete Předplatná a vyberte předplatné.

3. Vyberte Řízení přístupu (IAM) .

4. Vyberte kartu Klasičtí správci a zobrazte správce služeb.

5. V případě Správce služeb ve sloupci Opravit vyberte odkaz Přiřadit roli RBAC.

6. V podokně Přidat přiřazení role zkontrolujte přiřazení role.

   

7. Výběrem možnosti Zkontrolovat a přiřadit přiřaďte roli Vlastník a odeberte přiřazení role Správce služeb.

Jak odebrat správce služeb

Důležité

Pokud chcete odebrat správce služeb, musíte mít uživatele, který má přiřazenou roli Vlastník v oboru předplatného bez podmínek, aby se zabránilo osamocení předplatného. Vlastník předplatného má stejný přístup jako správce služeb.

1. Přihlaste se k webu Azure Portal jako vlastník odběru.

2. Otevřete Předplatná a vyberte předplatné.

3. Vyberte Řízení přístupu (IAM) .

4. Vyberte kartu Klasičtí správci.

5. Vedle správce služeb přidejte značku zaškrtnutí.

6. Vyberte Odstranit.

7. V okně se zprávou, které se zobrazí, vyberte Ano.

   

Další kroky

• Vysvětlení různých rolí
• Přiřazování rolí Azure s využitím webu Azure Portal
• Vysvětlení rolí pro správu smluv se zákazníky Microsoftu v Azure