Doporučení pro používání předplatných a skupin pro správu

  • 9 min

Některé postupy azure Virtual Desktopu, jako je instalace Office na hlavní image virtuálního pevného disku, předpokládají, že máte na virtuálním počítači zvýšený přístup bez ohledu na to, jestli je zřízený v Azure nebo Ve Správci technologie Hyper-V.

Jako globální správce v Microsoft Entra ID nemusíte mít přístup ke všem předplatným a skupinám pro správu ve vašem adresáři. Níže jsou uvedené metody pro zvýšení přístupu ke všem předplatným a skupinám pro správu.

Diagram znázorňující roli globálního správce v MICROSOFT Entra ID

Proč byste měli potřebovat zvýšit úroveň svého přístupu?

Globální správci by měli zvážit následující scénáře zvýšení přístupu.

  • Znovu získejte přístup k předplatnému Nebo skupině pro správu Azure, když uživatel ztratil přístup.
  • udělit sobě nebo jinému uživateli přístup k předplatnému Azure nebo skupině pro správu,
  • Podívejte se na všechna předplatná Azure nebo skupiny pro správu v organizaci.
  • Povolit aplikaci pro automatizaci (například aplikaci pro fakturaci nebo auditování) přístup ke všem předplatným Nebo skupinám pro správu Azure.

Jak funguje přístup se zvýšenými oprávněními?

Prostředky Microsoft Entra ID a Azure jsou zabezpečené nezávisle na sobě.

Přiřazení rolí Microsoft Entra neudělují přístup k prostředkům Azure a přiřazení rolí Azure neudělují přístup k ID Microsoft Entra. Pokud ale jste globální správce v Microsoft Entra ID, můžete si sami přiřadit přístup ke všem předplatným a skupinám pro správu Azure v adresáři. Tuto funkci použijte, pokud nemáte přístup k prostředkům předplatného Azure. Například pro virtuální počítače nebo účty úložiště a chcete použít oprávnění globálního správce k získání přístupu k těmto prostředkům.

Když si zvýšíte přístupová oprávnění, budete mít v Azure přiřazenu roli správce uživatelských přístupů na úrovni kořenového adresáře (/). Tato role vám umožní zobrazovat všechny prostředky a přiřazovat přístup v libovolném předplatném nebo skupině pro správu v adresáři. K odebrání přiřazené role správce uživatelských přístupů můžete použít Azure PowerShell, Azure CLI nebo REST API.

Jakmile provedete potřebné změny na úrovni kořenového adresáře, měli byste zvýšená přístupová oprávnění odebrat.

Zvýšení úrovně přístupu

Zvýšení úrovně přístupu pro globálního správce

Pokud chcete zvýšit úroveň přístupu globálního správce pomocí webu Azure Portal, postupujte takto.

  1. Přihlaste se k Azure Portal nebo Centru pro správu Microsoft Entra jako Globální správce.
  2. Otevřete Microsoft Entra ID.
  3. V části Spravovat vyberte Vlastnosti.

Vyberte Vlastnosti pro vlastnosti Microsoft Entra.

  1. V části Správa přístupu pro prostředky Azure nastavte přepínač na Ano.

Správa přístupu pro prostředky Azure

Když nastavíte přepínač na Ano, přiřadíte roli Správce uživatelských přístupů v řízení přístupu na základě role v Azure (RBAC) v kořenovém oboru (/). To vám udělí oprávnění přiřazovat role ve všech předplatných Azure a skupinách pro správu přidružených k tomuto adresáři Microsoft Entra. Tento přepínač je k dispozici pouze uživatelům, kteří mají přiřazenou roli globálního správce v MICROSOFT Entra ID.

Když nastavíte přepínač na Ne, role Správce uživatelských přístupů v řízení přístupu na základě role v Azure (RBAC) se odebere z uživatelského účtu. Už nemůžete přiřazovat role ve všech předplatných Azure a skupinách pro správu přidružených k tomuto adresáři Microsoft Entra. Můžete zobrazit a spravovat jenom předplatná Azure a skupiny pro správu, ke kterým máte udělený přístup.

  1. Kliknutím na Uložit uložte nastavení.

Toto nastavení není globální vlastností a vztahuje se pouze na aktuálně přihlášeného uživatele. Přístup nelze zvýšit pro všechny členy role globálního správce.

  1. Odhlaste se a znovu se přihlaste, abyste aktualizovali přístup.

Teď byste měli mít přístup ke všem předplatným a skupinám pro správu ve vašem adresáři. Když zobrazíte podokno Řízení přístupu (IAM), všimnete si, že máte přiřazenou roli Správce uživatelských přístupů v kořenovém oboru.

Přiřazení rolí předplatného s kořenovým oborem

  1. Proveďte změny, které je potřeba provést při zvýšeném přístupu.

Odebrání přístupu se zvýšenými oprávněními

Pokud chcete odebrat přiřazení role Správce uživatelských přístupů v kořenovém oboru (/), postupujte takto.

  1. Přihlaste se jako stejný uživatel, který byl použit ke zvýšení úrovně přístupu.
  2. V navigačním seznamu klepněte na tlačítko Microsoft Entra ID a potom klepněte na příkaz Vlastnosti.
  3. Nastavte správu přístupu pro prostředky Azure zpět na Ne. Vzhledem k tomu, že se jedná o nastavení pro jednotlivé uživatele, musíte být přihlášeni jako stejný uživatel, jako byl použit ke zvýšení úrovně přístupu.

Pokud se pokusíte odebrat přiřazení role Správce uživatelských přístupů v podokně Řízení přístupu (IAM), zobrazí se následující zpráva. Pokud chcete přiřazení role odebrat, musíte přepínač nastavit zpět na Ne nebo použít Azure PowerShell, Azure CLI nebo rozhraní REST API.

Odeberte přiřazení rolí s kořenovým oborem.

  1. Odhlaste se jako globální správce.