Zalecenia dotyczące korzystania z subskrypcji i grup zarządzania

  • 9 min

Niektóre procedury usługi Azure Virtual Desktop, takie jak instalowanie pakietu Office na głównym obrazie wirtualnego dysku twardego, zakładają, że masz podwyższony poziom dostępu na maszynie wirtualnej, niezależnie od tego, czy jest on aprowizowany na platformie Azure, czy w Menedżerze funkcji Hyper-V.

Jako administrator globalny w usłudze Microsoft Entra ID możesz nie mieć dostępu do wszystkich subskrypcji i grup zarządzania w katalogu. Poniżej przedstawiono metody podniesienia poziomu dostępu do wszystkich subskrypcji i grup zarządzania.

Diagram przedstawiający rolę administratora globalnego w identyfikatorze Entra firmy Microsoft.

W jakich sytuacjach możesz potrzebować podniesienia poziomu uprawnień dostępu?

Administratorzy globalni powinni rozważyć następujące scenariusze w celu uzyskania dostępu.

  • Odzyskaj dostęp do subskrypcji platformy Azure lub grupy zarządzania, gdy użytkownik utracił dostęp.
  • Udzielić innemu użytkownikowi lub sobie dostępu do subskrypcji platformy Azure lub grupy zarządzania.
  • Zobacz wszystkie subskrypcje platformy Azure lub grupy zarządzania w organizacji.
  • Zezwalaj aplikacji automatyzacji (takiej jak fakturowanie lub inspekcja aplikacji) na dostęp do wszystkich subskrypcji platformy Azure lub grup zarządzania.

Jak działa dostęp z podniesionymi uprawnieniami?

Microsoft Entra ID i zasoby Azure są zabezpieczone niezależnie od siebie.

Przypisania ról firmy Microsoft Entra nie udzielają dostępu do zasobów platformy Azure, a przypisania ról platformy Azure nie udzielają dostępu do identyfikatora Entra firmy Microsoft. Jeśli jednak jesteś Globalnym administratorem w Microsoft Entra ID, możesz przypisać sobie dostęp do wszystkich subskrypcji Azure i grup zarządzania w swoim katalogu. Użyj tej funkcji, jeśli nie masz dostępu do zasobów subskrypcji platformy Azure. Na przykład w przypadku maszyn wirtualnych lub kont magazynu chcesz użyć uprawnień administratora globalnego, aby uzyskać dostęp do tych zasobów.

Po podwyższeniu uprawnień dostępu będziesz mieć przypisaną rolę administratora dostępu użytkowników na platformie Azure w zakresie katalogu głównego (/). Pozwoli Ci to wyświetlać wszystkie zasoby i przypisywać dostęp w dowolnej subskrypcji lub grupie zarządzania w katalogu. Przypisania ról administratora dostępu użytkowników można usunąć przy użyciu programu Azure PowerShell, interfejsu wiersza polecenia platformy Azure lub interfejsu API REST.

Po wprowadzeniu zmian, które należało wprowadzić w zakresie katalogu głównego, ten podwyższony poziom dostępu należy usunąć.

Podnieś poziom dostępu.

Podnoszenie poziomu dostępu dla administratora globalnego

Wykonaj następujące kroki, aby podwyższyć poziom dostępu administratora globalnego przy użyciu witryny Azure Portal.

  1. Zaloguj się do witryny Azure Portal lub Centrum administracyjnego usługi Microsoft Entra jako administrator globalny.
  2. Otwórz Microsoft Entra ID.
  3. W obszarze Zarządzanie wybierz pozycję Właściwości.

Wybierz pozycję Właściwości dla właściwości entra firmy Microsoft.

  1. W obszarze Zarządzanie dostępem dla zasobów platformy Azure ustaw przełącznik tak.

Zarządzanie dostępem dla zasobów platformy Azure.

Po ustawieniu przełącznika na Tak przypisano rolę Administratora dostępu użytkowników w kontroli dostępu opartej na rolach (RBAC) platformy Azure w zakresie głównym (/). Daje to uprawnienie do przypisywania ról we wszystkich subskrypcjach platformy Azure i grupach zarządzania skojarzonych z tym katalogiem firmy Microsoft Entra. Ten przełącznik jest dostępny tylko dla użytkowników, którzy mają przypisaną rolę administratora globalnego w identyfikatorze Entra firmy Microsoft.

Po ustawieniu przełącznika na Nie rola administratora dostępu użytkowników w kontroli dostępu na podstawie ról (RBAC) platformy Azure zostanie usunięta z konta użytkownika. Nie można już przypisywać ról we wszystkich subskrypcjach platformy Azure i grupach zarządzania skojarzonych z tym katalogiem firmy Microsoft Entra. Możesz wyświetlać tylko subskrypcje platformy Azure i grupy zarządzania, do których udzielono ci dostępu i zarządzać nimi.

  1. Kliknij przycisk Zapisz , aby zapisać ustawienie.

To ustawienie nie jest właściwością globalną i ma zastosowanie tylko do aktualnie zalogowanego użytkownika. Nie można podnieść poziomu dostępu dla wszystkich członków roli administratora globalnego.

  1. Wyloguj się i zaloguj się ponownie, aby odświeżyć dostęp.

Teraz musisz mieć dostęp do wszystkich subskrypcji i grup zarządzania w katalogu. Po wyświetleniu okienka Kontrola dostępu (Zarządzanie dostępem i tożsamościami) zauważysz, że masz przypisaną rolę administratora dostępu użytkowników w zakresie głównym.

Przypisania ról subskrypcji z zakresem głównym.

  1. Wprowadź zmiany, które należy wprowadzić przy podwyższonym poziomie dostępu.

Usuwanie podniesionych uprawnień dostępu

Aby usunąć przypisanie roli Administrator dostępu użytkowników w zakresie głównym (/), wykonaj następujące kroki.

  1. Zaloguj się jako ten sam użytkownik, który został użyty do podniesienia poziomu dostępu.
  2. Na liście nawigacji kliknij pozycję Microsoft Entra ID , a następnie kliknij pozycję Właściwości.
  3. Ustaw przełącznik Zarządzanie dostępem dla zasobów platformy Azure z powrotem na Nie. Ponieważ jest to ustawienie dla poszczególnych użytkowników, musisz zalogować się jako ten sam użytkownik, który został użyty do podniesienia poziomu dostępu.

Jeśli spróbujesz usunąć przypisanie roli Administrator dostępu użytkowników w okienku Kontrola dostępu (IAM), zostanie wyświetlony następujący komunikat. Aby usunąć przypisanie roli, należy ustawić przełącznik z powrotem na Wartość Nie lub użyć programu Azure PowerShell, interfejsu wiersza polecenia platformy Azure lub interfejsu API REST.

Usuń przypisania ról z zakresem głównym.

  1. Wyloguj się jako administrator globalny.