Klasyczni administratorzy subskrypcji platformy Azure

Ważne

Od 31 sierpnia 2024 r. klasyczne role administratora platformy Azure (wraz z klasycznymi zasobami platformy Azure i programem Azure Service Manager) są wycofane i nie są już obsługiwane. Od 30 kwietnia 2025 r. wszystkie przypisania ról Co-Administrator albo administratora usługi stracą dostęp. Jeśli nadal posiadasz aktywne przypisania roli Współadministratora lub Administratora usługi, natychmiast przekonwertuj te przypisania ról na RBAC platformy Azure.

Firma Microsoft zaleca zarządzanie dostępem do zasobów platformy Azure za pomocą kontroli dostępu na podstawie ról platformy Azure (Azure RBAC). Jeśli nadal używasz klasycznego modelu wdrażania, musisz przeprowadzić migrację zasobów z wdrożenia klasycznego do wdrożenia przy użyciu usługi Resource Manager. Więcej informacji, zobacz Porównanie usługi Azure Resource Manager i wdrożenia klasycznego.

W tym artykule opisano wycofanie ról współadministratora i administratora usługi oraz sposób zmiany tych przypisań ról.

Często zadawane pytania

Co się stanie z klasycznymi przypisaniami ról administratora po 31 sierpnia 2024 r.?

• Role Współadministratora i Administratora usługi są wycofywane i nie są już obsługiwane. Należy natychmiast przekonwertować te przypisania ról na Azure RBAC.

Co się stanie z przypisaniami klasycznych ról administratora po 30 kwietnia 2025 r.?

• Co-Administrator oraz role Administratora usługi stracą dostęp. Jeśli nie masz przypisania roli właściciela w zakresie subskrypcji, utracisz dostęp do zarządzania subskrypcją.

Jak mogę dowiedzieć się, które subskrypcje mają klasycznych administratorów?

• Możesz użyć zapytania usługi Azure Resource Graph, aby wyświetlić listę subskrypcji z przypisaniami ról Administratora usługi lub Współadministratora. Aby uzyskać instrukcje, zobacz Lista klasycznych administratorów.

Jaka jest równoważna rola platformy Azure, którą powinienem przypisać Współadministratorom?

• Rola Właściciela w zakresie subskrypcji ma równoważny dostęp. Jednakże Właściciel to uprzywilejowana rola administracyjna, która zapewnia pełny dostęp do zarządzania zasobami platformy Azure. Powinieneś rozważyć rolę z mniejszą liczbą uprawnień, zmniejszyć zakres lub dodać warunek.

Jaka jest równoważna rola platformy Azure, jaką powinienem przypisać Administratorowi usługi?

• Rola Właściciela w zakresie subskrypcji ma równoważny dostęp.

Dlaczego powinienem przeprowadzić migrację do RBAC platformy Azure?

• RBAC platformy Azure zapewnia szczegółową kontrolę dostępu, zgodność z technologią Microsoft Entra Privileged Identity Management (PIM) i pełną obsługą dzienników inspekcji. Wszystkie przyszłe inwestycje będą w Azure RBAC.

Co z rolą Administratora konta?

• Administrator konta jest użytkownikiem podstawowym twojego konta rozliczeniowego. Rola administratora konta nie jest wycofywana i nie musisz zmieniać tego przypisania roli. Role Administratora konta i Administratora usługi mogą być przypisane do tego samego użytkownika. Ale należy przekonwertować tylko przypisanie roli Administratora usługi.

Co zrobić, jeśli utracę dostęp do subskrypcji?

• Jeśli usuniesz administratorów klasycznych bez co najmniej jednego przypisania roli Właściciela do subskrypcji, utracisz dostęp do subskrypcji, a subskrypcja pozostanie bez opieki. W celu odzyskania dostępu do subskrypcji, możesz wykonać następujące czynności:

  • Wykonaj następujące kroki, aby zwiększyć dostęp do zarządzania wszystkimi subskrypcjami w dzierżawcy.
  • Przypisz rolę Właściciela użytkownikowi w zakresie subskrypcji.
  • Usuwanie podniesionych poziomów uprawnień dostępu.

Co zrobić, jeśli jestem silnie uzależniony od Współadministratorów lub Administratora usługi?

• Wyślij Email ACARDeprecation@microsoft.com i opisz swój scenariusz.

Lista klasycznych administratorów

Portal Azure

Wykonaj następujące kroki, aby wyświetlić listę administratorów usług i współadministratorów subskrypcji przy użyciu witryny Azure Portal.

1. Zaloguj się w witrynie Azure Portal jako Właściciel subskrypcji.

2. Otwórz blok Subskrypcje i wybierz subskrypcję.

3. Wybierz pozycję Kontrola dostępu (IAM).

4. Wybierz kartę Administratorzy klasyczni, aby wyświetlić listę Współadministratorów.

   

Azure Resource Graph

Wykonaj następujące kroki, aby wyświetlić listę liczby administratorów usług i współadministratorów w subskrypcjach przy użyciu usługi Azure Resource Graph.

1. Zaloguj się w witrynie Azure Portal jako Właściciel subskrypcji.

2. Otwórz Eksplorator Azure Resource Graph.

3. Wybierz pozycję Zakres i ustaw zakres zapytania.

   Ustaw zakres na Katalog, aby wykonać zapytanie dla całej dzierżawy, lecz można zawęzić zakres do określonych subskrypcji.

   

4. Wybierz Ustaw zakres autoryzacji i ustaw zakres autoryzacji na Na, powyżej i poniżej, aby wysłać zapytanie do wszystkich zasobów w określonym zakresie.

   

5. Uruchom następujące zapytanie, aby wyświetlić listę administratorów usług i współadministratorów usług na podstawie zakresu.

   authorizationresources
   | where type == "microsoft.authorization/classicadministrators"
   | mv-expand role = parse_json(properties).role
   | mv-expand adminState = parse_json(properties).adminState
   | where adminState == "Enabled"
   | where role in ("ServiceAdministrator", "CoAdministrator")
   | summarize count() by subscriptionId, tostring(role)
   

   Poniżej przedstawiono przykład wyników. Kolumna count_ to liczba administratorów usług lub współadministratorów subskrypcji.

   

Przejście na emeryturę Współadministratorów

Jeśli nadal masz administratorów klasycznych, wykonaj następujące kroki, aby ułatwić konwertowanie przypisań ról współadministratora.

Krok 1. Przejrzyj swoich obecnych Współadministratorów

1. Zaloguj się w witrynie Azure Portal jako Właściciel subskrypcji.

2. Użyj witryny Azure Portal lub usługi Azure Resource Graph, aby wyświetlić listę Współadministratorów.

3. Przejrzyj dzienniki logowania dla Współadministratorów, aby ocenić, czy są aktywnymi użytkownikami.

Krok 2. Usuwanie Współadministratorów, którzy nie potrzebują już dostępu

1. Jeśli użytkownik nie pracuje już w przedsiębiorstwie, to usuń Współadministratora.

2. Jeśli użytkownik został usunięty, ale jego przypisanie jako Współadministratora nie zostało usunięte, to usuń Współadministratora.

   Użytkownicy, którzy zostali usunięci, zazwyczaj zawierają tekst (użytkownik nie został znaleziony w tym katalogu).

   

3. Po przejrzeniu aktywności użytkownika, jeśli użytkownik nie jest już aktywny, usuń Współadministratora.

Krok 3. Konwertowanie Współadministratorów na role odpowiadające funkcjom stanowiskowym

Większość użytkowników nie potrzebuje tych samych uprawnień co Współadministrator. Zamiast tego rozważ rolę funkcji zawodowej.

1. Jeśli użytkownik nadal potrzebuje dostępu, określ odpowiednią rolę funkcji stanowiska, której potrzebują.

2. Określ zakres, którego potrzebuje użytkownik.

3. Wykonaj kroki, aby przypisać użytkownikowi rolę funkcji.

4. Usuń Współadministratora.

Krok 4. Konwertowanie Współadministratorów na rolę Właściciela z warunkami

Niektórzy użytkownicy mogą potrzebować szerszego dostępu niż ten, który zapewnia rola stanowiskowa. Jeśli musisz przypisać rolę Właściciela, rozważ dodanie warunku lub użycie usługi Microsoft Entra Privileged Identity Management (PIM), aby ograniczyć przypisanie roli.

1. Przypisz rolę Właściciela z warunkami.

   Na przykład przypisz Rolę Właściciela w zakresie subskrypcji z warunkami. Jeśli masz usługę PIM, sprawdź, czy ten użytkownik kwalifikuje się do przypisania roli Właściciela.

2. Usuń Współadministratora.

Krok 5. Konwertowanie Współadministratorów na rolę Właściciela

Jeśli użytkownik musi być administratorem subskrypcji, przypisz rolę Właściciela w zakresie subskrypcji.

• Wykonaj kroki opisane w Jak przekonwertować Współadministratora z Rolą właściciela.

Jak przekonwertować rolę Współadministratora na rolę Właściciela

Najprostszym sposobem ukrycia przypisania roli współadministratora do roli Właściciel w zakresie subskrypcji jest użycie kroków korygowania .

1. Zaloguj się w witrynie Azure Portal jako Właściciel subskrypcji.

2. Otwórz blok Subskrypcje i wybierz subskrypcję.

3. Wybierz pozycję Kontrola dostępu (IAM).

4. Wybierz kartę Administratorzy klasyczni, aby wyświetlić listę Współadministratorów.

5. W przypadku Współadministratora, którego chcesz przekonwertować na rolę Właściciela, w kolumnie Korygowanie wybierz link Przypisz rolę RBAC.

6. W okienku Dodawanie przypisania roli przejrzyj przypisanie roli.

   

7. Wybierz opcję Przejrzyj i przypisz, aby przypisać rolę Właściciela oraz usunąć przypisanie roli Współadministratora.

Jak usuwać Współadministratora

Wykonaj następujące kroki, aby usunąć współadministratora.

1. Zaloguj się w witrynie Azure Portal jako Właściciel subskrypcji.

2. Otwórz blok Subskrypcje i wybierz subskrypcję.

3. Wybierz pozycję Kontrola dostępu (IAM).

4. Wybierz kartę Administratorzy klasyczni, aby wyświetlić listę Współadministratorów.

5. Dodaj znacznik wyboru obok współadministratora, którego chcesz usunąć.

6. Wybierz Usuń.

7. W wyświetlonym oknie z komunikatem wybierz opcję Tak.

   

Wycofanie Administratora usługi

Jeśli nadal masz administratorów klasycznych, wykonaj następujące kroki, aby ułatwić konwertowanie przypisania roli administratora usługi. Zanim usuniesz Administratora usługi, musi istnieć co najmniej jeden użytkownik z przypisaną rolą Właściciela w zakresie subskrypcji, bez jakichkolwiek warunków, aby zapobiec pozostawieniu subskrypcji bez administratora. Właściciel subskrypcji ma takie same uprawnienia dostępu jak Administrator usługi.

Krok 1. Przeglądanie bieżącego Administratora usługi

1. Zaloguj się w witrynie Azure Portal jako Właściciel subskrypcji.

2. Użyj witryny Azure Portal lub usługi Azure Resource Graph, aby wyświetlić listę Administratorów usługi.

3. Przejrzyj dzienniki danych logowania Administratora usługi, aby sprawdzić, czy jest aktywnym użytkownikiem.

Krok 2: Przejrzyj aktualnych właścicieli konta rozliczeniowego

Użytkownik, któremu przypisano rolę Administratora usługi, może być również tym samym użytkownikiem, który jest administratorem twojego konta rozliczeniowego. Należy sprawdzić aktualnych właścicieli swojego konta rozliczeniowego, aby upewnić się, że są oni nadal właściwi.

1. Użyj witryny Azure Portal, aby uzyskać listę właścicieli kont rozliczeniowych.

2. Przejrzyj listę właścicieli kont rozliczeniowych. W razie potrzeby zaktualizuj lub dodaj innego właściciela konta rozliczeniowego.

Krok 3. Konwertowanie Administratora usługi na rolę Właściciela

Administrator usługi może być kontem typu Microsoft lub kontem typu Microsoft Entra. Konto Microsoft to konto osobiste, takie jak Outlook, OneDrive, Xbox LIVE lub Microsoft 365. A Konto Microsoft Entra to tożsamość utworzona za pomocą identyfikatora Microsoft Entra ID.

1. Jeśli użytkownik będący Administratorem usługi jest kontem Microsoft i chcesz, aby ten użytkownik zachował te same uprawnienia, to przekonwertuj Administratora usługi na rolę Właściciela.

2. Jeśli użytkownik będący Administratorem usługi jest kontem firmy Microsoft Entra i chcesz, aby ten użytkownik zachował te same uprawnienia, to przekonwertuj Administratora usługi na rolę właściciela.

3. Jeśli chcesz zmienić użytkownika administratora usługi na innego użytkownika, przypisz rolę Właściciela do tego nowego użytkownika w zakresie subskrypcji bez warunków. A następnie usuń Administratora usługi.

Jak przekonwertować Administratora usługi na rolę Właściciela

Najprostszym sposobem przekonwertowania przypisania roli administratora usługi do roli Właściciel w zakresie subskrypcji jest użycie kroków naprawczych.

1. Zaloguj się w witrynie Azure Portal jako Właściciel subskrypcji.

2. Otwórz blok Subskrypcje i wybierz subskrypcję.

3. Wybierz pozycję Kontrola dostępu (IAM).

4. Wybierz kartę Administratorzy klasyczni, aby wyświetlić Administratora usługi.

5. W przypadku Administratora usługi w kolumnie Korygowanie wybierz link Przypisz rolę RBAC.

6. W okienku Dodawanie przypisania roli przejrzyj przypisanie roli.

   

7. Wybierz pozycję Przejrzyj i przypisz , aby przypisać rolę Właściciela i usunąć przypisanie roli Administrator usługi.

Jak usunąć Administratora usługi

Ważne

Aby usunąć administratora usługi, musisz mieć użytkownika, który ma przypisaną rolę Właściciela w zakresie subskrypcji bez żadnych ograniczeń, aby uniknąć osierocenia subskrypcji. Właściciel subskrypcji ma takie same uprawnienia dostępu jak Administrator usługi.

1. Zaloguj się w witrynie Azure Portal jako Właściciel subskrypcji.

2. Otwórz blok Subskrypcje i wybierz subskrypcję.

3. Wybierz pozycję Kontrola dostępu (IAM).

4. Wybierz kartę Administratorzy klasyczni.

5. Dodaj znacznik wyboru obok administratora usługi.

6. Wybierz Usuń.

7. W wyświetlonym oknie z komunikatem wybierz opcję Tak.

   

Następne kroki

• Omówienie różnych ról
• Przypisywanie ról platformy Azure przy użyciu witryny Azure Portal
• Understand Microsoft Customer Agreement administrative roles in Azure (Omówienie ról administracyjnych dla Umowy klienta firmy Microsoft na platformie Azure)