Aanbevelingen voor het gebruik van abonnementen en beheergroepen

  • 9 minuten

Bij sommige Azure Virtual Desktop-procedures, zoals het installeren van Office op een hoofd-VHD-installatiekopieën, wordt ervan uitgegaan dat u verhoogde toegang hebt op de virtuele machine, ongeacht of deze is ingericht in Azure of Hyper-V-beheer.

Als globale beheerder in Microsoft Entra ID hebt u mogelijk geen toegang tot alle abonnementen en beheergroepen in uw directory. Hieronder ziet u methoden om de toegang tot alle abonnementen en beheergroepen te verhogen.

Diagram met de rol Globale beheerder in Microsoft Entra-id.

Waarom zou u uw toegang moeten verhogen?

Globale beheerders moeten rekening houden met de volgende scenario's voor het verhogen van toegang.

  • Krijg weer toegang tot een Azure-abonnement of -beheergroep wanneer een gebruiker geen toegang meer heeft.
  • Een andere gebruiker of uzelf toegang te verlenen tot een Azure-abonnement of -beheergroep.
  • Bekijk alle Azure-abonnementen of -beheergroepen in een organisatie.
  • Een automation-app (zoals een facturerings- of controle-app) toegang geven tot alle Azure-abonnementen of -beheergroepen.

Hoe werkt verhoogde toegang?

Microsoft Entra ID en Azure-resources zijn onafhankelijk van elkaar beveiligd.

Microsoft Entra-roltoewijzingen verlenen geen toegang tot Azure-resources en Azure-roltoewijzingen verlenen geen toegang tot Microsoft Entra-id. Als u echter een globale beheerder in Microsoft Entra ID bent, kunt u uzelf toegang geven tot alle Azure-abonnementen en -beheergroepen in uw directory. Gebruik deze mogelijkheid als u geen toegang hebt tot Azure-abonnementsbronnen. Bijvoorbeeld voor virtuele machines of opslagaccounts en u de bevoegdheid van de globale beheerder wilt gebruiken om toegang te krijgen tot deze resources.

Wanneer u uw toegang verhoogt, krijgt u de rol Administrator voor gebruikerstoegang toegewezen in Azure in het hoofdbereik (/). Hiermee kunt u alle resources weergeven en toegang toewijzen in elk abonnement of elke beheergroep in de directory. Toewijzingen van de rol Administrator voor gebruikerstoegang kunnen worden verwijderd met Azure PowerShell, Azure CLI of de REST API.

U moet deze verhoogde toegang verwijderen nadat u de wijzigingen hebt aangebracht voor het hoofdbereik.

Toegang verhogen.

Toegang verhogen voor een globale beheerder

Volg deze stappen om de toegang voor een globale beheerder te verhogen met behulp van Azure Portal.

  1. Meld u aan bij het Azure portal of het Microsoft Entra-beheercentrum als een Global-beheerder.
  2. Open Microsoft Entra ID.
  3. Selecteer Eigenschappen onder Beheren.

Selecteer Eigenschappen voor Microsoft Entra-eigenschappen.

  1. Stel onder Toegangsbeheer voor Azure-resources de wisselknop in op Ja.

Toegangsbeheer voor Azure-resources.

Wanneer u de wisselknop instelt op Ja, krijgt u de rol Gebruikerstoegangsbeheerder toegewezen in op rollen gebaseerd toegangsbeheer van Azure (RBAC) in het hoofdbereik (/). Hiermee verleent u toestemming om rollen toe te wijzen in alle Azure-abonnementen en -beheergroepen die zijn gekoppeld aan deze Microsoft Entra-directory. Deze wisselknop is alleen beschikbaar voor gebruikers aan wie de rol Globale beheerder is toegewezen in Microsoft Entra-id.

Wanneer u de wisselknop instelt op Nee, wordt de rol Gebruikerstoegangsbeheerder in op rollen gebaseerd toegangsbeheer (RBAC) van Azure verwijderd uit uw gebruikersaccount. U kunt geen rollen meer toewijzen in alle Azure-abonnementen en -beheergroepen die zijn gekoppeld aan deze Microsoft Entra-directory. U kunt alleen de Azure-abonnementen en -beheergroepen waartoe u toegang hebt gekregen bekijken en beheren.

  1. Klik op Opslaan om uw instelling op te slaan.

Deze instelling is geen globale eigenschap en is alleen van toepassing op de momenteel aangemelde gebruiker. U kunt de toegang voor alle leden van de rol Globale beheerder niet verhogen.

  1. Meld u af en weer aan om uw toegang te vernieuwen.

U hebt nu toegang tot alle abonnementen en beheergroepen in uw directory. Wanneer u het deelvenster Toegangsbeheer (IAM) bekijkt, ziet u dat u de rol User Access Administrator bij het hoofdbereik hebt gekregen.

Toewijzingen van abonnementsrollen met hoofdbereik.

  1. Breng de wijzigingen aan die u moet aanbrengen bij verhoogde toegang.

Verhoogde toegang verwijderen

Voer de volgende stappen uit om de roltoewijzing Gebruikerstoegangsbeheerder bij hoofdbereik (/) te verwijderen.

  1. Meld u aan als dezelfde gebruiker die is gebruikt om de toegang te verhogen.
  2. Klik in de navigatielijst op Microsoft Entra-id en klik vervolgens op Eigenschappen.
  3. Stel het toegangsbeheer voor Azure-resources in op Nee. Omdat dit een instelling per gebruiker is, moet u zijn aangemeld als dezelfde gebruiker als die is gebruikt om de toegang te verhogen.

Als u de roltoewijzing Gebruikerstoegangsbeheerder probeert te verwijderen in het deelvenster Toegangsbeheer (IAM), ziet u het volgende bericht. Als u de roltoewijzing wilt verwijderen, moet u de wisselknop terugzetten op Nee of Azure PowerShell, Azure CLI of de REST API gebruiken.

Roltoewijzingen verwijderen met hoofdbereik.

  1. Meld u af als globale beheerder.