Udostępnij za pośrednictwem


Rozwiązywanie problemów z kontrolą dostępu na podstawie ról platformy Azure

W tym artykule opisano niektóre typowe rozwiązania problemów związanych z kontrolą dostępu opartą na rolach platformy Azure (Azure RBAC).

Przypisania ról platformy Azure

Objaw — opcja Dodawania przypisania roli jest wyłączona

Nie możesz przypisać roli w witrynie Azure Portal w obszarze Kontrola dostępu (zarządzanie dostępem i tożsamościami), ponieważ opcja Dodaj>przypisanie roli jest wyłączona

Przyczyna

Obecnie logujesz się za pomocą użytkownika, który nie ma uprawnień do przypisywania ról w wybranym zakresie.

Rozwiązanie

Sprawdź, czy użytkownik jest obecnie zalogowany przy użyciu przypisanej roli, która ma Microsoft.Authorization/roleAssignments/write uprawnienia, takie jak Administrator kontroli dostępu opartej na rolach w zakresie, który próbujesz przypisać rolę.

Objaw — role lub podmioty zabezpieczeń nie są wymienione

Podczas próby przypisania roli w witrynie Azure Portal niektóre role lub podmioty zabezpieczeń nie są wyświetlane. Na przykład na karcie Rola zostanie wyświetlony ograniczony zestaw ról.

Zrzut ekranu przedstawiający przypisania ról ograniczone do określonych ról.

Lub w okienku Wybierz elementy członkowskie zostanie wyświetlony ograniczony zestaw podmiotów zabezpieczeń.

Zrzut ekranu przedstawiający przypisania ról ograniczone do określonych grup.

Przyczyna

Istnieją ograniczenia dotyczące przypisań ról, które można dodać. Na przykład w rolach, które można przypisać lub ograniczyć w jednostkach, do których można przypisać role.

Rozwiązanie

Wyświetl przypisane ci role. Sprawdź, czy istnieje warunek, który ogranicza przypisania ról, które można dodać. Aby uzyskać więcej informacji, zobacz Delegowanie zarządzania dostępem platformy Azure do innych osób.

Zrzut ekranu przedstawiający przypisania ról, które zawierają warunek.

Objaw — nie można przypisać roli

Nie możesz przypisać roli i występuje błąd podobny do następującego:

Failed to add {securityPrincipal} as {role} for {scope} : The client '{clientName}' with object id '{objectId}' does not have authorization or an ABAC condition not fulfilled to perform action 'Microsoft.Authorization/roleAssignments/write' over scope '/subscriptions/{subscriptionId}/Microsoft.Authorization/roleAssignments/{roleAssignmentId}' or the scope is invalid. If access was recently granted, please refresh your credentials.

Przyczyna 1

Użytkownik jest obecnie zalogowany przy użyciu użytkownika, który nie ma uprawnień do przypisywania ról w wybranym zakresie.

Rozwiązanie 1

Sprawdź, czy użytkownik jest obecnie zalogowany przy użyciu przypisanej roli z Microsoft.Authorization/roleAssignments/write uprawnieniami, takimi jak Administrator kontroli dostępu opartej na rolach w zakresie, który próbujesz przypisać rolę.

Przyczyna 2

Istnieją ograniczenia dotyczące przypisań ról, które można dodać. Na przykład w rolach, które można przypisać lub ograniczyć w jednostkach, do których można przypisać role.

Rozwiązanie 2

Wyświetl przypisane ci role. Sprawdź, czy istnieje warunek, który ogranicza przypisania ról, które można dodać. Aby uzyskać więcej informacji, zobacz Delegowanie zarządzania dostępem platformy Azure do innych osób.

Zrzut ekranu przedstawiający przypisania ról, które zawierają warunek.

Objaw — nie można przypisać roli przy użyciu jednostki usługi z interfejsem wiersza polecenia platformy Azure

Używasz jednostki usługi do przypisywania ról za pomocą interfejsu wiersza polecenia platformy Azure i występuje następujący błąd:

Insufficient privileges to complete the operation

Załóżmy na przykład, że masz jednostkę usługi z przypisaną rolą Właściciela i próbujesz utworzyć następujące przypisanie roli jako jednostka usługi przy użyciu interfejsu wiersza polecenia platformy Azure:

az login --service-principal --username "SPNid" --password "password" --tenant "tenantid"
az role assignment create --assignee "userupn" --role "Contributor"  --scope "/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}"

Przyczyna

Prawdopodobnie interfejs wiersza polecenia platformy Azure próbuje wyszukać tożsamość przypisaną w identyfikatorze Entra firmy Microsoft, a jednostka usługi nie może domyślnie odczytać identyfikatora Entra firmy Microsoft.

Rozwiązanie

Istnieją dwa sposoby, aby potencjalnie rozwiązać ten błąd. Pierwszym sposobem jest przypisanie roli Czytelnicy katalogu do jednostki usługi, aby umożliwić odczytywanie danych w katalogu.

Drugim sposobem rozwiązania tego błędu jest utworzenie przypisania roli przy użyciu parametru --assignee-object-id zamiast --assignee. Za pomocą interfejsu --assignee-object-idwiersza polecenia platformy Azure pominie wyszukiwanie Entra firmy Microsoft. Musisz uzyskać identyfikator obiektu użytkownika, grupy lub aplikacji, do której chcesz przypisać rolę. Aby uzyskać więcej informacji, zobacz Przypisywanie ról platformy Azure przy użyciu interfejsu wiersza polecenia platformy Azure.

az role assignment create --assignee-object-id 11111111-1111-1111-1111-111111111111  --role "Contributor" --scope "/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}"

Objaw — przypisywanie roli do nowego podmiotu zabezpieczeń czasami kończy się niepowodzeniem

Utworzysz nowego użytkownika, grupy lub jednostki usługi i natychmiast spróbujesz przypisać rolę do tego podmiotu zabezpieczeń, a przypisanie roli czasami kończy się niepowodzeniem. Zostanie wyświetlony komunikat podobny do następującego błędu:

PrincipalNotFound
Principal {principalId} does not exist in the directory {tenantId}. Check that you have the correct principal ID. If you are creating this principal and then immediately assigning a role, this error might be related to a replication delay. In this case, set the role assignment principalType property to a value, such as ServicePrincipal, User, or Group.  See https://aka.ms/docs-principaltype

Przyczyna

Przyczyną jest prawdopodobnie opóźnienie replikacji. Podmiot zabezpieczeń jest tworzony w jednym regionie; jednak przypisanie roli może wystąpić w innym regionie, który jeszcze nie zreplikował podmiotu zabezpieczeń.

Rozwiązanie 1

Jeśli tworzysz nowego użytkownika lub jednostkę usługi przy użyciu interfejsu API REST lub szablonu usługi ARM, ustaw principalType właściwość podczas tworzenia przypisania roli przy użyciu przypisań ról — tworzenie interfejsu API.

principalType apiVersion
User 2020-03-01-preview lub nowsze
ServicePrincipal 2018-09-01-preview lub nowsze

Aby uzyskać więcej informacji, zobacz Przypisywanie ról platformy Azure do nowej jednostki usługi za pomocą interfejsu API REST lub Przypisywanie ról platformy Azure do nowej jednostki usługi za pomocą szablonów usługi Azure Resource Manager.

Rozwiązanie 2

Jeśli tworzysz nowego użytkownika lub jednostkę usługi przy użyciu programu Azure PowerShell, ustaw ObjectType parametr na User lub ServicePrincipal podczas tworzenia przypisania roli przy użyciu polecenia New-AzRoleAssignment. Nadal obowiązują te same ograniczenia wersji podstawowego interfejsu API rozwiązania 1. Aby uzyskać więcej informacji, zobacz Przypisywanie ról platformy Azure przy użyciu programu Azure PowerShell.

Rozwiązanie 3

Jeśli tworzysz nową grupę, zaczekaj kilka minut przed utworzeniem przypisania roli.

Objaw — przypisanie roli szablonu usługi ARM zwraca stan BadRequest

Podczas próby wdrożenia pliku Bicep lub szablonu usługi ARM, który przypisuje rolę do jednostki usługi, występuje błąd:

Tenant ID, application ID, principal ID, and scope are not allowed to be updated. (code: RoleAssignmentUpdateNotPermitted)

Jeśli na przykład utworzysz przypisanie roli dla tożsamości zarządzanej, usuniesz tożsamość zarządzaną i utworzysz ją ponownie, nowa tożsamość zarządzana ma inny identyfikator podmiotu zabezpieczeń. Jeśli spróbujesz ponownie wdrożyć przypisanie roli i użyjesz tej samej nazwy przypisania roli, wdrożenie zakończy się niepowodzeniem.

Przyczyna

Przypisanie name roli nie jest unikatowe i jest wyświetlane jako aktualizacja.

Przypisania ról są jednoznacznie identyfikowane przez ich nazwę, która jest globalnie unikatowym identyfikatorem (GUID). Nie można utworzyć dwóch przypisań ról o tej samej nazwie, nawet w różnych subskrypcjach platformy Azure. Nie można również zmienić właściwości istniejącego przypisania roli.

Rozwiązanie

Podaj idempotentną unikatową wartość przypisania nameroli . Dobrym rozwiązaniem jest utworzenie identyfikatora GUID, który używa razem zakresu, identyfikatora podmiotu zabezpieczeń i identyfikatora roli. Warto użyć guid() funkcji , aby ułatwić tworzenie deterministycznego identyfikatora GUID dla nazw przypisań ról, jak w tym przykładzie:

resource roleAssignment 'Microsoft.Authorization/roleAssignments@2020-10-01-preview' = {
  name: guid(resourceGroup().id, principalId, roleDefinitionId)
  properties: {
    roleDefinitionId: roleDefinitionId
    principalId: principalId
    principalType: principalType
  }
}

Aby uzyskać więcej informacji, zobacz Create Azure RBAC resources by using Bicep (Tworzenie zasobów RBAC platformy Azure przy użyciu Bicep).

Objaw — nie znaleziono przypisań ról z tożsamością

Na liście przypisań ról w witrynie Azure Portal zauważysz, że jednostka zabezpieczeń (użytkownik, grupa, jednostka usługi lub tożsamość zarządzana) jest wyświetlana jako Tożsamość nie została znaleziona z nieznanym typem.

„Nie odnaleziono tożsamości” na liście przypisań ról platformy Azure

Jeśli wyświetlisz listę tego przypisania roli przy użyciu programu Azure PowerShell, może zostać wyświetlona pusta DisplayName wartość i SignInName, lub dla wartości ObjectType Unknown. Na przykład polecenie Get-AzRoleAssignment zwróci przypisanie roli podobne do następujących danych wyjściowych:

RoleAssignmentId   : /subscriptions/11111111-1111-1111-1111-111111111111/providers/Microsoft.Authorization/roleAssignments/22222222-2222-2222-2222-222222222222
Scope              : /subscriptions/11111111-1111-1111-1111-111111111111
DisplayName        :
SignInName         :
RoleDefinitionName : Storage Blob Data Contributor
RoleDefinitionId   : ba92f5b4-2d11-453d-a403-e96b0029c9fe
ObjectId           : 33333333-3333-3333-3333-333333333333
ObjectType         : User
CanDelegate        : False

Podobnie po wyświetleniu tego przypisania roli na liście za pomocą interfejsu wiersza polecenia platformy Azure możesz zobaczyć pusty parametr principalName. Na przykład polecenie az role assignment list zwróci przypisanie roli podobne do następujących danych wyjściowych:

{
    "canDelegate": null,
    "id": "/subscriptions/11111111-1111-1111-1111-111111111111/providers/Microsoft.Authorization/roleAssignments/22222222-2222-2222-2222-222222222222",
    "name": "22222222-2222-2222-2222-222222222222",
    "principalId": "33333333-3333-3333-3333-333333333333",
    "principalName": "",
    "roleDefinitionId": "/subscriptions/11111111-1111-1111-1111-111111111111/providers/Microsoft.Authorization/roleDefinitions/ba92f5b4-2d11-453d-a403-e96b0029c9fe",
    "roleDefinitionName": "Storage Blob Data Contributor",
    "scope": "/subscriptions/11111111-1111-1111-1111-111111111111",
    "type": "Microsoft.Authorization/roleAssignments"
}

Przyczyna 1

Niedawno zaproszono użytkownika podczas tworzenia przypisania roli, a ten podmiot zabezpieczeń jest nadal w procesie replikacji w różnych regionach.

Rozwiązanie 1

Poczekaj chwilę i odśwież listę przypisań ról.

Przyczyna 2

Usunięto podmiot zabezpieczeń, który miał przypisanie roli. Jeśli przypiszesz rolę do podmiotu zabezpieczeń, a następnie usuniesz ten podmiot zabezpieczeń bez wcześniejszego usunięcia przypisania roli, będzie on widoczny na liście z adnotacją Nie odnaleziono tożsamości i typem Nieznany.

Rozwiązanie 2

Nie jest to problem z pozostawieniem tych przypisań ról, w których podmiot zabezpieczeń został usunięty. Jeśli chcesz, możesz usunąć te przypisania ról, wykonując kroki podobne do innych przypisań ról. Aby uzyskać informacje na temat usuwania przypisań ról, zobacz Usuwanie przypisań ról platformy Azure.

W programie PowerShell, jeśli spróbujesz usunąć przypisania ról przy użyciu identyfikatora obiektu i nazwy definicji roli, a więcej niż jedno przypisanie roli pasuje do parametrów, zostanie wyświetlony komunikat o błędzie: The provided information does not map to a role assignment. Następujące dane wyjściowe pokazują przykład takiego komunikatu o błędzie:

PS C:\> Remove-AzRoleAssignment -ObjectId 33333333-3333-3333-3333-333333333333 -RoleDefinitionName "Storage Blob Data Contributor"

Remove-AzRoleAssignment : The provided information does not map to a role assignment.
At line:1 char:1
+ Remove-AzRoleAssignment -ObjectId 33333333-3333-3333-3333-333333333333 ...
+ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
+ CategoryInfo          : CloseError: (:) [Remove-AzRoleAssignment], KeyNotFoundException
+ FullyQualifiedErrorId : Microsoft.Azure.Commands.Resources.RemoveAzureRoleAssignmentCommand

Jeśli zostanie wyświetlony ten komunikat o błędzie, upewnij się, że określono -Scope również parametry lub -ResourceGroupName .

PS C:\> Remove-AzRoleAssignment -ObjectId 33333333-3333-3333-3333-333333333333 -RoleDefinitionName "Storage Blob Data Contributor" -Scope /subscriptions/11111111-1111-1111-1111-111111111111

Objaw — nie można usunąć ostatniego przypisania roli właściciela

Próbujesz usunąć ostatnie przypisanie roli Właściciela dla subskrypcji i zostanie wyświetlony następujący błąd:

Cannot delete the last RBAC admin assignment

Przyczyna

Usunięcie ostatniego przypisania roli Właściciel dla subskrypcji nie jest obsługiwane, aby uniknąć oddzielonia subskrypcji.

Rozwiązanie

Jeśli chcesz anulować subskrypcję, zobacz Anulowanie subskrypcji platformy Azure.

Możesz usunąć ostatnie przypisanie roli właściciela (lub administratora dostępu użytkowników) w zakresie subskrypcji, jeśli jesteś administratorem globalnym dzierżawy lub administratorem klasycznym (administrator usługi lub współadministratorem) dla subskrypcji. W takim przypadku nie ma żadnego ograniczenia dotyczącego usuwania. Jeśli jednak wywołanie pochodzi z innego podmiotu zabezpieczeń, nie będzie można usunąć ostatniego przypisania roli Właściciel w zakresie subskrypcji.

Objaw — przypisanie roli nie jest przenoszone po przeniesieniu zasobu

Przyczyna

Jeśli przeniesiesz zasób z rolą platformy Azure przypisaną bezpośrednio do tego zasobu lub zasobu podrzędnego, przypisanie roli nie zostanie przeniesione i zostanie oddzielone.

Rozwiązanie

Po przeniesieniu zasobu należy ponownie utworzyć przypisanie roli. Ostatecznie oddzielone przypisanie roli zostanie automatycznie usunięte, ale najlepszym rozwiązaniem jest usunięcie przypisania roli przed przeniesieniem zasobu. Aby dowiedzieć się, jak przenosić zasoby, zobacz Przenoszenie zasobów do nowej grupy zasobów lub subskrypcji.

Objaw — zmiany przypisania roli nie są wykrywane

Ostatnio dodano lub zaktualizowano przypisanie roli, ale zmiany nie są wykrywane. Może zostać wyświetlony komunikat Status: 401 (Unauthorized).

Przyczyna 1

Program Azure Resource Manager czasami buforuje konfiguracje i dane w celu zwiększenia wydajności.

Rozwiązanie 1

Po przypisaniu ról lub usunięciu przypisań ról może upłynąć do 10 minut, aby zmiany zaczęły obowiązywać. Jeśli używasz witryny Azure Portal, programu Azure PowerShell lub interfejsu wiersza polecenia platformy Azure, możesz wymusić odświeżenie zmian przypisania roli przez wylogowanie się i zalogowanie. Jeśli wprowadzasz zmiany przypisania ról przy użyciu wywołań interfejsu API REST, możesz wymusić odświeżenie, odświeżając token dostępu.

Przyczyna 2

Tożsamości zarządzane zostały dodane do grupy i przypisano do tej grupy rolę. Usługi zaplecza dla tożsamości zarządzanych utrzymują pamięć podręczną na identyfikator URI zasobu przez około 24 godziny.

Rozwiązanie 2

Wprowadzenie zmian w grupie lub członkostwie roli tożsamości zarządzanej może potrwać kilka godzin. Aby uzyskać więcej informacji, zobacz Ograniczenie używania tożsamości zarządzanych do autoryzacji.

Objaw — zmiany przypisywania ról w zakresie grupy zarządzania nie są wykrywane

Ostatnio dodano lub zaktualizowano przypisanie roli w zakresie grupy zarządzania, ale zmiany nie są wykrywane.

Przyczyna

Program Azure Resource Manager czasami buforuje konfiguracje i dane w celu zwiększenia wydajności.

Rozwiązanie

Po przypisaniu ról lub usunięciu przypisań ról może upłynąć do 10 minut, aby zmiany zaczęły obowiązywać. Jeśli dodasz lub usuniesz wbudowane przypisanie roli w zakresie grupy zarządzania, a wbudowana rola ma DataActionswartość , dostęp na płaszczyźnie danych może nie zostać zaktualizowany przez kilka godzin. Dotyczy to tylko zakresu grupy zarządzania i płaszczyzny danych. Ról niestandardowych z elementem DataActions nie można przypisywać do zakresu grupy zarządzania.

Objaw — przypisania ról dla zmian grupy zarządzania nie są wykrywane

Utworzono nową podrzędną grupę zarządzania, a przypisanie roli w nadrzędnej grupie zarządzania nie jest wykrywane dla podrzędnej grupy zarządzania.

Przyczyna

Program Azure Resource Manager czasami buforuje konfiguracje i dane w celu zwiększenia wydajności.

Rozwiązanie

Zastosowanie przypisania roli podrzędnej grupy zarządzania może potrwać do 10 minut. Jeśli używasz witryny Azure Portal, programu Azure PowerShell lub interfejsu wiersza polecenia platformy Azure, możesz wymusić odświeżenie zmian przypisań ról, wylogowując się i logując się ponownie. Jeśli zmieniasz przypisania ról za pomocą wywołań interfejsu API REST, możesz wymusić odświeżenie, odświeżając swój token dostępu.

Objaw — usuwanie przypisań ról przy użyciu programu PowerShell trwa kilka minut

Aby usunąć przypisanie roli, użyj polecenia Remove-AzRoleAssignment . Następnie użyj polecenia Get-AzRoleAssignment , aby sprawdzić, czy przypisanie roli zostało usunięte dla podmiotu zabezpieczeń. Na przykład:

Get-AzRoleAssignment -ObjectId $securityPrincipalObject.Id

Polecenie Get-AzRoleAssignment wskazuje, że przypisanie roli nie zostało usunięte. Jeśli jednak zaczekasz 5–10 minut i ponownie uruchom polecenie Get-AzRoleAssignment , dane wyjściowe wskazują, że przypisanie roli zostało usunięte.

Przyczyna

Przypisanie roli zostało usunięte. Jednak w celu zwiększenia wydajności program PowerShell używa pamięci podręcznej podczas wyświetlania listy przypisań ról. Odświeżanie pamięci podręcznej może potrwać około 10 minut.

Rozwiązanie

Zamiast wyświetlać listę przypisań ról dla podmiotu zabezpieczeń, wyświetl listę wszystkich przypisań ról w zakresie subskrypcji i odfiltruj dane wyjściowe. Na przykład następujące polecenie:

$validateRemovedRoles = Get-AzRoleAssignment -ObjectId $securityPrincipalObject.Id 

Zamiast tego można zastąpić następującym poleceniem:

$validateRemovedRoles = Get-AzRoleAssignment -Scope /subscriptions/$subId | Where-Object -Property ObjectId -EQ $securityPrincipalObject.Id

Role niestandardowe

Objaw — nie można zaktualizować lub usunąć roli niestandardowej

Nie możesz zaktualizować ani usunąć istniejącej roli niestandardowej.

Przyczyna 1

Obecnie logujesz się za pomocą użytkownika, który nie ma uprawnień do aktualizowania ani usuwania ról niestandardowych.

Rozwiązanie 1

Sprawdź, czy obecnie zalogowano się przy użyciu użytkownika, któremu przypisano rolę z uprawnieniami, Microsoft.Authorization/roleDefinitions/write takimi jak Administrator dostępu użytkowników.

Przyczyna 2

Rola niestandardowa obejmuje subskrypcję w zakresach możliwych do przypisania, a subskrypcja jest w stanie wyłączonym.

Rozwiązanie 2

Ponownie uaktywnij wyłączoną subskrypcję i zaktualizuj rolę niestandardową zgodnie z potrzebami. Aby uzyskać więcej informacji, zobacz Ponowne uaktywnianie wyłączonej subskrypcji platformy Azure.

Objaw — nie można utworzyć lub zaktualizować roli niestandardowej

Podczas próby utworzenia lub zaktualizowania roli niestandardowej wystąpi błąd podobny do następującego:

The client '<clientName>' with object id '<objectId>' has permission to perform action 'Microsoft.Authorization/roleDefinitions/write' on scope '/subscriptions/<subscriptionId>'; however, it does not have permission to perform action 'Microsoft.Authorization/roleDefinitions/write' on the linked scope(s)'/subscriptions/<subscriptionId1>,/subscriptions/<subscriptionId2>,/subscriptions/<subscriptionId3>' or the linked scope(s)are invalid

Przyczyna

Ten błąd zwykle wskazuje, że nie masz uprawnień do co najmniej jednego z zakresów , które można przypisać w roli niestandardowej.

Rozwiązanie

Spróbuj wykonać następujące czynności:

  • Sprawdź , kto może tworzyć, usuwać, aktualizować lub wyświetlać rolę niestandardową, i sprawdzić, czy masz uprawnienia do tworzenia lub aktualizowania roli niestandardowej dla wszystkich zakresów możliwych do przypisania.
  • Jeśli nie masz uprawnień, poproś administratora o przypisanie Ci roli, która ma Microsoft.Authorization/roleDefinitions/write akcję, taką jak administrator dostępu użytkowników, w zakresie zakresu możliwego do przypisania.
  • Sprawdź, czy wszystkie możliwe do przypisania zakresy w roli niestandardowej są prawidłowe. Jeśli nie, usuń wszystkie nieprawidłowe zakresy możliwe do przypisania.

Aby uzyskać więcej informacji, zobacz samouczki dotyczące ról niestandardowych przy użyciu witryny Azure Portal, programu Azure PowerShell lub interfejsu wiersza polecenia platformy Azure.

Objaw — nie można usunąć roli niestandardowej

Nie możesz usunąć roli niestandardowej i zostanie wyświetlony następujący komunikat o błędzie:

There are existing role assignments referencing role (code: RoleDefinitionHasAssignments)

Przyczyna

Nadal istnieją przypisania ról używające roli niestandardowej.

Rozwiązanie

Usuń przypisania ról używające roli niestandardowej i spróbuj ponownie usunąć rolę niestandardową. Aby uzyskać więcej informacji, zobacz Znajdowanie przypisań ról w celu usunięcia roli niestandardowej.

Objaw — nie można dodać więcej niż jednej grupy zarządzania jako możliwego do przypisania zakresu

Podczas próby utworzenia lub zaktualizowania roli niestandardowej nie można dodać więcej niż jednej grupy zarządzania jako możliwego do przypisania zakresu.

Przyczyna

We właściwości AssignableScopes roli niestandardowej można zdefiniować tylko jedną grupę zarządzania.

Rozwiązanie

Zdefiniuj jedną grupę zarządzania w AssignableScopes roli niestandardowej. Aby uzyskać więcej informacji na temat ról niestandardowych i grup zarządzania, zobacz Organizowanie zasobów przy użyciu grup zarządzania platformy Azure.

Objaw — nie można dodać akcji danych do roli niestandardowej

Podczas próby utworzenia lub zaktualizowania roli niestandardowej nie można dodać akcji danych ani zobaczyć następującego komunikatu:

You cannot add data action permissions when you have a management group as an assignable scope

Przyczyna

Próbujesz utworzyć rolę niestandardową z akcjami danych i grupą zarządzania jako zakres możliwy do przypisania. Ról niestandardowych z elementem DataActions nie można przypisywać do zakresu grupy zarządzania.

Rozwiązanie

Utwórz rolę niestandardową z co najmniej jedną subskrypcją jako zakres możliwy do przypisania. Aby uzyskać więcej informacji na temat ról niestandardowych i grup zarządzania, zobacz Organizowanie zasobów przy użyciu grup zarządzania platformy Azure.

Odmowa dostępu lub błędy uprawnień

Objaw — autoryzacja nie powiodła się

Podczas próby utworzenia zasobu zostanie wyświetlony następujący komunikat o błędzie:

The client with object id does not have authorization to perform action over scope (code: AuthorizationFailed)

Przyczyna 1

Obecnie logujesz się za pomocą użytkownika, który nie ma uprawnień do zapisu do zasobu w wybranym zakresie.

Rozwiązanie 1

Sprawdź, czy obecnie zalogowano się przy użyciu użytkownika, któremu przypisano rolę z uprawnieniami do zapisu do zasobu w wybranym zakresie. Na przykład do zarządzania maszynami wirtualnymi w grupie zasobów musisz mieć rolę Współautor maszyny wirtualnej w grupie zasobów (lub zakresie nadrzędnym). Aby zapoznać się z listą uprawnień poszczególnych ról wbudowanych, zobacz Role wbudowane platformy Azure.

Przyczyna 2

Aktualnie zalogowany użytkownik ma przypisanie roli z następującymi kryteriami:

Rozwiązanie 2

Obecnie nie można mieć przypisania roli z akcją danych Microsoft.Storage i warunkiem ABAC, który używa operatora porównania identyfikatora GUID. Poniżej przedstawiono kilka opcji rozwiązania tego błędu:

  • Jeśli rola jest rolą niestandardową, usuń wszystkie akcje danych Microsoft.Storage
  • Zmodyfikuj warunek przypisania roli tak, aby nie używał operatorów porównania identyfikatora GUID

Objaw — użytkownik-gość otrzymuje autoryzację nie powiodła się

Gdy użytkownik-gość próbuje uzyskać dostęp do zasobu, otrzymuje komunikat o błędzie podobny do następującego:

The client '<client>' with object id '<objectId>' does not have authorization to perform action '<action>' over scope '<scope>' or the scope is invalid.

Przyczyna

Użytkownik-gość nie ma uprawnień do zasobu w wybranym zakresie.

Rozwiązanie

Sprawdź, czy użytkownik-gość ma przypisaną rolę z najmniej uprzywilejowanymi uprawnieniami do zasobu w wybranym zakresie. Aby uzyskać więcej informacji, przypisz role platformy Azure do użytkowników zewnętrznych przy użyciu witryny Azure Portal.

Objaw — nie można utworzyć żądania pomocy technicznej

Podczas próby utworzenia lub zaktualizowania biletu pomocy technicznej zostanie wyświetlony następujący komunikat o błędzie:

You don't have permission to create a support request

Przyczyna

Obecnie logujesz się za pomocą użytkownika, który nie ma uprawnień do tworzenia żądań pomocy technicznej.

Rozwiązanie

Sprawdź, czy obecnie zalogowano się przy użyciu użytkownika, któremu przypisano rolę z Microsoft.Support/supportTickets/write uprawnieniami, takimi jak Współautor wniosku o pomoc techniczną.

Funkcje platformy Azure są wyłączone

Objaw — niektóre funkcje aplikacji internetowej są wyłączone

Użytkownik ma dostęp do odczytu do aplikacji internetowej, a niektóre funkcje są wyłączone.

Przyczyna

Jeśli przyznasz użytkownikowi dostęp do odczytu do aplikacji internetowej, niektóre funkcje mogą nie być oczekiwane. Następujące możliwości zarządzania wymagają dostępu do zapisu do aplikacji internetowej i nie są dostępne w żadnym scenariuszu tylko do odczytu.

  • Polecenia (takie jak uruchamianie, zatrzymywanie itp.)
  • Zmienianie ustawień takich jak konfiguracja ogólna, ustawienia skalowania, ustawienia kopii zapasowej i ustawienia monitorowania
  • Uzyskiwanie dostępu do poświadczeń publikowania i innych wpisów tajnych, takich jak ustawienia aplikacji i parametry połączenia
  • Przesyłanie strumieniowe dzienników
  • Konfiguracja dzienników zasobów
  • Konsola (wiersz polecenia)
  • Aktywne i ostatnie wdrożenia (w przypadku lokalnego ciągłego wdrażania usługi Git)
  • Szacowane wydatki
  • Testy internetowe
  • Sieć wirtualna (widoczna dla Czytelnika tylko, jeśli została wcześniej skonfigurowana przez użytkownika z dostępem do zapisu).

Rozwiązanie

Przypisz wbudowaną rolę Współautor lub inną rolę platformy Azure z uprawnieniami do zapisu dla aplikacji internetowej.

Objaw — niektóre zasoby aplikacji internetowej są wyłączone

Użytkownik ma dostęp do zapisu w aplikacji internetowej, a niektóre funkcje są wyłączone.

Przyczyna

W przypadku aplikacji internetowych sytuację komplikuje obecność kilku różnych, współdziałających ze sobą zasobów. Oto typowa grupa zasobów z kilkoma witrynami internetowymi:

Grupa zasobów aplikacji internetowej

W związku z tym, jeśli udzielisz komuś dostępu tylko do aplikacji internetowej, większość funkcji w bloku witryny internetowej w witrynie Azure Portal pozostanie wyłączona.

Te elementy wymagają dostępu do zapisu do planu usługiApp Service odpowiadającego witrynie internetowej:

  • Wyświetlanie warstwy cenowej aplikacji internetowej (Bezpłatna lub Standardowa)
  • Konfiguracja skalowania (liczba wystąpień, rozmiar maszyny wirtualnej, ustawienia autoskalowania)
  • Limity przydziału (magazyn, przepustowość, procesor CPU)

Te elementy wymagają dostępu do zapisu do całej grupy zasobów zawierającej witrynę internetową:

  • Certyfikaty i powiązania protokołu TLS/SSL (certyfikaty TLS/SSL mogą być współdzielone między lokacjami w tej samej grupie zasobów i lokalizacji geograficznej)
  • Zasady alertów
  • Ustawienia autoskalowania
  • Składniki usługi Application Insights
  • Testy internetowe

Rozwiązanie

Przypisz wbudowaną rolę platformy Azure z uprawnieniami do zapisu dla planu usługi App Service lub grupy zasobów.

Objaw — niektóre funkcje maszyny wirtualnej są wyłączone

Użytkownik ma dostęp do maszyny wirtualnej, a niektóre funkcje są wyłączone.

Przyczyna

Podobnie jak w przypadku aplikacji internetowych niektóre funkcje w bloku maszyny wirtualnej wymagają dostępu do zapisu na maszynie wirtualnej lub w innych zasobach w grupie zasobów.

Maszyny wirtualne są powiązane z nazwami domen, sieciami wirtualnymi, kontami magazynu i regułami alertów.

Te elementy wymagają dostępu do zapisu na maszynie wirtualnej:

  • Punkty końcowe
  • Adresy IP
  • Dyski
  • Rozszerzenia

Wymagają one dostępu do zapisu zarówno do maszyny wirtualnej, jak i do grupy zasobów (wraz z nazwą domeny), w których się znajduje:

  • Zestaw dostępności
  • Zestaw o zrównoważonym obciążeniu
  • Zasady alertów

Jeśli nie możesz uzyskać dostępu do żadnego z tych kafelków, poproś administratora o dostęp Współautora do grupy zasobów.

Rozwiązanie

Przypisz wbudowaną rolę platformy Azure z uprawnieniami do zapisu dla maszyny wirtualnej lub grupy zasobów.

Objaw — niektóre funkcje aplikacji funkcji są wyłączone

Użytkownik ma dostęp do aplikacji funkcji, a niektóre funkcje są wyłączone. Na przykład mogą kliknąć kartę Funkcje platformy, a następnie kliknąć pozycję Wszystkie ustawienia , aby wyświetlić niektóre ustawienia związane z aplikacją funkcji (podobną do aplikacji internetowej), ale nie mogą modyfikować żadnego z tych ustawień.

Przyczyna

Niektóre funkcje usługi Azure Functions wymagają dostępu do zapisu. Jeśli na przykład użytkownik ma przypisaną rolę Czytelnik , nie będzie mógł wyświetlać funkcji w aplikacji funkcji. W portalu zostanie wyświetlony komunikat (Brak dostępu).

Aplikacje funkcji bez dostępu

Rozwiązanie

Przypisz wbudowaną rolę platformy Azure z uprawnieniami do zapisu dla aplikacji funkcji lub grupy zasobów.

Przenoszenie subskrypcji do innego katalogu

Objaw — wszystkie przypisania ról są usuwane po przeniesieniu subskrypcji

Przyczyna

Po przeniesieniu subskrypcji platformy Azure do innego katalogu Microsoft Entra wszystkie przypisania ról zostaną trwale usunięte ze źródłowego katalogu Microsoft Entra i nie zostaną zmigrowane do docelowego katalogu Microsoft Entra.

Rozwiązanie

Należy ponownie utworzyć przypisania ról w dzierżawie docelowej. Trzeba także ręcznie utworzyć ponownie tożsamości zarządzane dla zasobów platformy Azure. Aby uzyskać więcej informacji, zobacz Transfer an Azure subscription to a different Microsoft Entra directory and FAQ and known issues with managed identities (Przenoszenie subskrypcji platformy Azure do innego katalogu firmy Microsoft Entra) i często zadawanych pytań oraz znanych problemów z tożsamościami zarządzanymi.

Objaw — nie można uzyskać dostępu do subskrypcji po przeniesieniu subskrypcji

Rozwiązanie

Jeśli jesteś administratorem globalnym firmy Microsoft Entra i nie masz dostępu do subskrypcji po przeniesieniu między katalogami, użyj przełącznika Zarządzanie dostępem dla zasobów platformy Azure, aby tymczasowo podnieść poziom dostępu , aby uzyskać dostęp do subskrypcji.

Klasyczni administratorzy subskrypcji

Ważne

Od 31 sierpnia 2024 r. klasyczne role administratora platformy Azure (wraz z klasycznymi zasobami platformy Azure i programem Azure Service Manager) są wycofane i nie są już obsługiwane. Jeśli nadal posiadasz aktywne przypisania roli Współadministratora lub Administratora usługi, natychmiast przekonwertuj te przypisania ról na RBAC platformy Azure.

Aby uzyskać więcej informacji, zobacz Klasyczni administratorzy subskrypcji platformy Azure.

Następne kroki