Klasyczni administratorzy subskrypcji platformy Azure

Ważne

Od 31 sierpnia 2024 r. klasyczne role administratora platformy Azure (wraz z klasycznymi zasobami platformy Azure i programem Azure Service Manager) są wycofane i nie są już obsługiwane. Jeśli nadal posiadasz aktywne przypisania roli Współadministratora lub Administratora usługi, natychmiast przekonwertuj te przypisania ról na RBAC platformy Azure.

Firma Microsoft zaleca zarządzanie dostępem do zasobów platformy Azure za pomocą kontroli dostępu na podstawie ról platformy Azure (Azure RBAC). Jeśli nadal używasz klasycznego modelu wdrażania, musisz przeprowadzić migrację zasobów z wdrożenia klasycznego do wdrożenia przy użyciu usługi Resource Manager. Więcej informacji, zobacz Porównanie usługi Azure Resource Manager i wdrożenia klasycznego.

W tym artykule opisano wycofanie ról współadministratora i administratora usługi oraz sposób konwertowania tych przypisań ról.

Często zadawane pytania

Co się stanie z przypisaniami ról administratora klasycznego po 31 sierpnia 2024 r.?

• Role Współadministratora i Administratora usługi są wycofywane i nie są już obsługiwane. Te przypisania ról należy przekonwertować natychmiast na kontrolę dostępu opartą na rolach platformy Azure.

Jak mogę dowiedzieć się, które subskrypcje mają klasycznych administratorów?

• Możesz użyć zapytania usługi Azure Resource Graph, aby wyświetlić listę subskrypcji z przypisaniami ról Administratora usługi lub Współadministratora. Więcej informacji, zobacz Lista klasycznych administratorów.

Jaka jest równoważna rola platformy Azure, którą powinienem przypisać Współadministratorom?

• Rola Właściciela w zakresie subskrypcji ma równoważny dostęp. Jednakże Właściciel to uprzywilejowana rola administracyjna, która zapewnia pełny dostęp do zarządzania zasobami platformy Azure. Powinieneś rozważyć rolę funkcji stanowiska z mniejszą liczbą uprawnień, zmniejszyć zakres lub dodać warunek.

Jaka jest równoważna rola platformy Azure, jaką powinienem przypisać Administratorowi usługi?

• Rola Właściciela w zakresie subskrypcji ma równoważny dostęp.

Dlaczego powinienem przeprowadzić migrację do RBAC platformy Azure?

• RBAC platformy Azure zapewnia szczegółową kontrolę dostępu, zgodność z technologią Microsoft Entra Privileged Identity Management (PIM) i pełną obsługą dzienników inspekcji. Wszystkie przyszłe inwestycje będą korzystać z RBAC platformy Azure.

Co z rolą Administratora konta?

• Administrator konta jest użytkownikiem podstawowym twojego konta rozliczeniowego. Rola administratora konta nie jest przestarzała i nie musisz konwertować tego przypisania roli. Role Administratora konta i Administratora usługi mogą być przypisane do tego samego użytkownika. Jednakże należy przekonwertować przypisanie roli Administratora usługi.

Co zrobić, jeśli utracę dostęp do subskrypcji?

• Jeśli usuniesz administratorów klasycznych bez co najmniej jednego przypisania roli Właściciela do subskrypcji, to utracisz dostęp do subskrypcji, a subskrypcja zostanie oddzielona. W celu odzyskania dostępu do subskrypcji, możesz wykonać następujące czynności:

  • Wykonaj następujące kroki, aby podnieść poziom dostępu do zarządzania wszystkimi subskrypcjami w dzierżawie.
  • Przypisz rolę Właściciela w zakresie subskrypcji do użytkownika.
  • Usuwanie podniesionych poziomów uprawnień dostępu.

Co zrobić, jeśli jestem silnie uzależniony od Współadministratorów lub Administratora usługi?

• Wyślij Email ACARDeprecation@microsoft.com i opisz swój scenariusz.

Wyświetlanie listy administratorów klasycznych

Witryna Azure Portal

Wykonaj następujące kroki, aby wyświetlić listę administratorów usług i współadministratorów subskrypcji przy użyciu witryny Azure Portal.

1. Zaloguj się w witrynie Azure Portal jako Właściciel subskrypcji.

2. Otwórz blok Subskrypcje i wybierz subskrypcję.

3. Wybierz pozycję Kontrola dostępu (IAM).

4. Wybierz kartę Administratorzy klasyczni, aby wyświetlić listę Współadministratorów.

   

Azure Resource Graph

Wykonaj następujące kroki, aby wyświetlić listę liczby administratorów usług i współadministratorów w subskrypcjach przy użyciu usługi Azure Resource Graph.

1. Zaloguj się w witrynie Azure Portal jako Właściciel subskrypcji.

2. Otwórz Eksploratora usługi Azure Resource Graph.

3. Wybierz pozycję Zakres i ustaw zakres zapytania.

   Ustaw zakres na Katalog , aby wykonać zapytanie względem całej dzierżawy, ale możesz zawęzić zakres do określonych subskrypcji.

   

4. Wybierz pozycję Ustaw zakres autoryzacji i ustaw zakres autoryzacji na Wartość W, powyżej i poniżej , aby wysłać zapytanie do wszystkich zasobów w określonym zakresie.

   

5. Uruchom następujące zapytanie, aby wyświetlić listę administratorów usług i współadministratorów usług na podstawie zakresu.

   authorizationresources
   | where type == "microsoft.authorization/classicadministrators"
   | mv-expand role = parse_json(properties).role
   | mv-expand adminState = parse_json(properties).adminState
   | where adminState == "Enabled"
   | where role in ("ServiceAdministrator", "CoAdministrator")
   | summarize count() by subscriptionId, tostring(role)
   

   Poniżej przedstawiono przykład wyników. Kolumna count_ to liczba administratorów usług lub współadministratorów subskrypcji.

   

Wycofanie Współadministratorów

Jeśli nadal masz administratorów klasycznych, wykonaj następujące kroki, aby ułatwić konwertowanie przypisań ról współadministratora.

Krok 1. Przejrzyj swoich obecnych Współadministratorów

1. Zaloguj się w witrynie Azure Portal jako Właściciel subskrypcji.

2. Użyj witryny Azure Portal lub usługi Azure Resource Graph, aby wyświetlić listę Współadministratorów.

3. Przejrzyj dzienniki danych logowania pod kątem Współadministratorów, aby ocenić, czy są aktywnymi użytkownikami.

Krok 2. Usuwanie Współadministratorów, którzy nie potrzebują już dostępu

1. Jeśli użytkownik nie pracuje już w przedsiębiorstwie, to usuń Współadministratora.

2. Jeśli użytkownik został usunięty, ale jego przypisanie jako Współadministratora nie zostało usunięte, to usuń Współadministratora.

   Użytkownicy, którzy zostali usunięci, zazwyczaj zawierają tekst (użytkownik nie został znaleziony w tym katalogu).

   

3. Po przejrzeniu aktywności użytkownika, jeśli użytkownik nie jest już aktywny, usuń Współadministratora.

Krok 3. Konwertowanie Współadministratorów na role funkcji stanowiska

Większość użytkowników nie potrzebuje tych samych uprawnień co Współadministrator. Rozważ zamiast tego rolę funkcji stanowiska.

1. Jeśli użytkownik nadal potrzebuje dostępu, określ odpowiednią rolę funkcji stanowiska, której potrzebują.

2. Określ zakres, którego potrzebuje użytkownik.

3. Wykonaj kroki, aby przypisać rolę funkcji stanowiska do użytkownika.

4. Usuń Współadministratora.

Krok 4. Konwertowanie Współadministratorów na rolę Właściciela z warunkami

Niektórzy użytkownicy mogą potrzebować większego dostępu niż ten, który zapewnia rola funkcji stanowiska. Jeśli musisz przypisać rolę Właściciela, rozważ dodanie warunku lub użycie usługi Microsoft Entra Privileged Identity Management (PIM), aby ograniczyć przypisanie roli.

1. Przypisz rolę Właściciela z warunkami.

   Na przykład przypisz Rolę Właściciela w zakresie subskrypcji z warunkami. Jeśli masz usługę PIM, sprawdź, czy ten użytkownik kwalifikuje się do przypisania roli Właściciela.

2. Usuń Współadministratora.

Krok 5. Konwertowanie Współadministratorów na rolę Właściciela

Jeśli użytkownik musi być administratorem subskrypcji, przypisz rolę Właściciela w zakresie subskrypcji.

• Wykonaj kroki opisane w temacie Jak przekonwertować współadministratora z rolą właściciela.

Jak przekonwertować rolę Współadministratora na rolę Właściciela

Najprostszym sposobem ukrycia przypisania roli współadministratora do roli Właściciel w zakresie subskrypcji jest użycie kroków korygowania .

1. Zaloguj się w witrynie Azure Portal jako Właściciel subskrypcji.

2. Otwórz blok Subskrypcje i wybierz subskrypcję.

3. Wybierz pozycję Kontrola dostępu (IAM).

4. Wybierz kartę Administratorzy klasyczni, aby wyświetlić listę Współadministratorów.

5. W przypadku Współadministratora, którego chcesz przekonwertować na rolę Właściciela, w kolumnie Korygowanie wybierz link Przypisz rolę RBAC.

6. W okienku Dodawanie przypisania roli przejrzyj przypisanie roli.

   

7. Wybierz pozycję Przejrzyj i przypisz, aby przypisać rolę Właściciela i usunąć przypisanie roli Współadministratora.

Jak usuwać Współadministratora

Wykonaj następujące kroki, aby usunąć współadministratora.

1. Zaloguj się w witrynie Azure Portal jako Właściciel subskrypcji.

2. Otwórz blok Subskrypcje i wybierz subskrypcję.

3. Wybierz pozycję Kontrola dostępu (IAM).

4. Wybierz kartę Administratorzy klasyczni, aby wyświetlić listę Współadministratorów.

5. Dodaj znacznik wyboru obok współadministratora, którego chcesz usunąć.

6. Wybierz Usuń.

7. W wyświetlonym oknie z komunikatem wybierz opcję Tak.

   

Wycofanie Administratora usługi

Jeśli nadal masz administratorów klasycznych, wykonaj następujące kroki, aby ułatwić konwertowanie przypisania roli administratora usługi. Zanim usuniesz Administratora usługi, musi istnieć co najmniej jeden użytkownik z przypisaną bezwarunkową rolą Właściciela w zakresie subskrypcji, aby subskrypcja nie została oddzielona. Właściciel subskrypcji ma takie same uprawnienia dostępu jak Administrator usługi.

Krok 1. Przeglądanie bieżącego Administratora usługi

1. Zaloguj się w witrynie Azure Portal jako Właściciel subskrypcji.

2. Użyj witryny Azure Portal lub usługi Azure Resource Graph, aby wyświetlić listę Administratorów usługi.

3. Przejrzyj dzienniki danych logowania Administratora usługi, aby sprawdzić, czy jest aktywnym użytkownikiem.

Krok 2. Przeglądanie bieżących właścicieli kont rozliczeniowych

Użytkownik, któremu przypisano rolę Administratora usługi, może być również tym samym użytkownikiem, który jest administratorem twojego konta rozliczeniowego. Należy przeglądać bieżących właścicieli kont rozliczeniowych, aby upewnić się, że są oni nadal dokładni.

1. Użyj witryny Azure Portal, aby uzyskać listę właścicieli kont rozliczeniowych.

2. Przejrzyj listę właścicieli kont rozliczeniowych. W razie potrzeby zaktualizuj lub dodaj innego właściciela konta rozliczeniowego.

Krok 3. Konwertowanie Administratora usługi na rolę Właściciela

Administrator usługi może być kontem Microsoft lub kontem Microsoft Entra. Konto Microsoft to konto osobiste, takie jak Outlook, OneDrive, Xbox LIVE lub Microsoft 365. A Konto Microsoft Entra to tożsamość utworzona za pomocą identyfikatora Microsoft Entra ID.

1. Jeśli użytkownik będący Administratorem usługi jest kontem Microsoft i chcesz, aby ten użytkownik zachował te same uprawnienia, to przekonwertuj Administratora usługi na rolę Właściciela.

2. Jeśli użytkownik będący Administratorem usługi jest kontem firmy Microsoft Entra i chcesz, aby ten użytkownik zachował te same uprawnienia, to przekonwertuj Administratora usługi na rolę właściciela.

3. Jeśli chcesz zmienić użytkownika administratora usługi na innego użytkownika, przypisz rolę Właściciela do tego nowego użytkownika w zakresie subskrypcji bez warunków. A następnie usuń Administratora usługi.

Jak przekonwertować Administratora usługi na rolę Właściciela

Najprostszym sposobem przekonwertowania przypisania roli administratora usługi do roli Właściciel w zakresie subskrypcji jest użycie kroków korygowania .

1. Zaloguj się w witrynie Azure Portal jako Właściciel subskrypcji.

2. Otwórz blok Subskrypcje i wybierz subskrypcję.

3. Wybierz pozycję Kontrola dostępu (IAM).

4. Wybierz kartę Administratorzy klasyczni, aby wyświetlić Administratora usługi.

5. W przypadku Administratora usługi w kolumnie Korygowanie wybierz link Przypisz rolę RBAC.

6. W okienku Dodawanie przypisania roli przejrzyj przypisanie roli.

   

7. Wybierz pozycję Przejrzyj i przypisz , aby przypisać rolę Właściciela i usunąć przypisanie roli Administrator usługi.

Jak usunąć Administratora usługi

Ważne

Aby usunąć administratora usługi, musisz mieć użytkownika, który ma przypisaną rolę Właściciel w zakresie subskrypcji bez warunków, aby uniknąć oddzielonia subskrypcji. Właściciel subskrypcji ma takie same uprawnienia dostępu jak Administrator usługi.

1. Zaloguj się w witrynie Azure Portal jako Właściciel subskrypcji.

2. Otwórz blok Subskrypcje i wybierz subskrypcję.

3. Wybierz pozycję Kontrola dostępu (IAM) .

4. Wybierz kartę Administratorzy klasyczni.

5. Dodaj znacznik wyboru obok administratora usługi.

6. Wybierz Usuń.

7. W wyświetlonym oknie z komunikatem wybierz opcję Tak.

   

Następne kroki

• Omówienie różnych ról
• Przypisywanie ról platformy Azure przy użyciu witryny Azure Portal
• Understand Microsoft Customer Agreement administrative roles in Azure (Omówienie ról administracyjnych dla Umowy klienta firmy Microsoft na platformie Azure)