Recomendaciones para usar suscripciones y grupos de administración

  • 9 minutos

Algunos procedimientos de Azure Virtual Desktop, como la instalación de Office en una imagen de VHD principal, suponen que tiene acceso elevado en la VM, tanto si se aprovisiona en Azure como en el Administrador de Hyper-V.

En tanto que administrador global de Microsoft Entra ID, es posible que no tenga acceso a todas las suscripciones y los grupos de administración de su directorio. A continuación se muestran métodos para elevar el acceso a todas las suscripciones y grupos de administración.

Diagrama que muestra el rol de administrador global en Microsoft Entra ID.

¿Por qué necesita elevar los derechos de acceso?

Los administradores globales deben tener en cuenta los siguientes escenarios para elevar el acceso.

  • Recupere el acceso a una suscripción o grupo de administración de Azure cuando un usuario haya perdido el acceso.
  • Conceder a otro usuario o a sí mismo acceso a un grupo de administración o una suscripción de Azure.
  • Consulte todos los grupos de administración o las suscripciones de Azure de una organización.
  • Permita que una aplicación de automatización (como una aplicación de facturación o auditoría) acceda a todas las suscripciones o grupos de administración de Azure.

¿Cómo funciona el acceso con privilegios elevados?

Microsoft Entra ID y los recursos de Azure están protegidos de forma independiente entre sí.

Las asignaciones de roles de Microsoft Entra no conceden acceso a los recursos de Azure y las asignaciones de roles de Azure no conceden acceso a Microsoft Entra ID. Sin embargo, si es administrador global de Microsoft Entra ID, puede asignarse a sí mismo los privilegios de acceso a todas las suscripciones de Azure y los grupos de administración de su directorio. Use esta funcionalidad si no tiene acceso a los recursos de suscripción de Azure. Por ejemplo, si está usando máquinas virtuales o cuentas de almacenamiento y quiere usar el privilegio de administrador global para obtener acceso a esos recursos.

Al elevar el acceso, se le asignará el rol de administrador de acceso de usuario en Azure en el ámbito raíz (/). Esto le permite ver todos los recursos y asignar acceso en cualquier suscripción o grupo de administración en el directorio. Se pueden quitar las asignaciones de roles de administrador de acceso de usuario mediante Azure PowerShell, CLI de Azure o la API de REST.

Debe quitar este acceso con privilegios elevados una vez que haya hecho los cambios necesarios en el ámbito raíz.

Aplicación de privilegios elevados al acceso.

Elevación de los privilegios de acceso de un administrador global

Siga estos pasos para elevar los privilegios de acceso de un administrador global mediante Azure Portal.

  1. Inicie sesión en Azure Portal o en el Centro de administración de Microsoft Entra como administrador global.
  2. Abra Microsoft Entra ID.
  3. En Administrar, seleccione Propiedades.

Seleccione Propiedades para propiedades de Microsoft Entra.

  1. En Administración del acceso para los recursos de Azure, establezca el botón de alternancia en .

Administrar el acceso para los recursos de Azure.

Al establecer el botón de alternancia en , se le asigna el rol de Administrador de acceso de usuario en el control de acceso basado en roles (RBAC) de Azure en el ámbito raíz (/). Esto le concede permiso para asignar roles en todas las suscripciones de Azure y los grupos de administración asociados con este directorio de Microsoft Entra. Este botón de alternancia solo está disponible para los usuarios que tengan asignado el rol de administrador global de Microsoft Entra ID.

Cuando establece el interruptor en No, el rol de Administrador de acceso de usuario en el control de acceso basado en roles (RBAC) de Azure se quita de su cuenta de usuario. Ya no puede asignar roles en todas las suscripciones de Azure y los grupos de administración asociados a este directorio de Microsoft Entra. Puede ver y administrar solo las suscripciones de Azure y los grupos de administración a los que se le ha concedido acceso.

  1. Haga clic en Guardar para guardar la configuración.

Esta configuración no es una propiedad global y se aplica solo al usuario que tiene la sesión iniciada. No puede elevar los privilegios de acceso para todos los miembros del rol de administrador global.

  1. Cierre la sesión e inicie sesión de nuevo para actualizar el acceso.

Ahora debería tener acceso a todas las suscripciones y los grupos de administración de Azure de este directorio. Observará que se le ha asignado el rol de administrador de accesos de usuario en el ámbito raíz al ver el panel de control de acceso (IAM).

Asignaciones de roles de suscripción con ámbito raíz.

  1. Haga los cambios que tenga que hacer con privilegios de acceso elevados.

Eliminación de privilegios de acceso elevados

Para quitar la asignación de roles del Administrador de acceso de usuario en el ámbito raíz (/), siga estos pasos.

  1. Inicie sesión como el mismo usuario que se usó para elevar el acceso.
  2. En la lista de navegación, haga clic en Microsoft Entra ID y a continuación, haga clic en Propiedades.
  3. Establezca el botón de alternancia Administración del acceso para los recursos de Azure de nuevo en No. Puesto que se trata de una configuración que se realiza a nivel de usuario, debe haber iniciado sesión con el mismo usuario que el utilizado para elevar los privilegios de acceso.

Si intenta quitar la asignación de rol de administración de identidad y acceso en el panel de control de acceso (IAM), verá el siguiente mensaje. Para quitar la asignación de roles, debe establecer el botón de alternancia en No o usar Azure PowerShell, la CLI de Azure o la API REST.

Quite los roles de suscripción con ámbito raíz.

  1. Cerrar sesión como un administrador global.