Klassiska prenumerationsadministratörer i Azure

Viktigt!

Från och med den 31 augusti 2024 dras klassiska Azure-administratörsroller (tillsammans med klassiska Azure-resurser och Azure Service Manager) tillbaka och stöds inte längre. Om du fortfarande har aktiva rolltilldelningar som Medadministratör eller Tjänstadministratör konverterar du dessa roller till Azure RBAC omedelbart.

Microsoft rekommenderar att du hanterar åtkomsten till Azure-resurser med hjälp av rollbaserad åtkomstkontroll i Azure (Azure RBAC). Om du fortfarande använder den klassiska distributionsmodellen måste du migrera dina resurser från den klassiska distributionen till Resource Manager-distributionen. Mer information finns i Azure Resource Manager jämfört med klassisk distribution.

Den här artikeln beskriver tillbakadragandet av rollerna Medadministratör och Tjänstadministratör och hur du konverterar dessa rolltilldelningar.

Vanliga frågor och svar

Vad händer med rolltilldelningar som klassisk administratör efter den 31 augusti 2024?

• Rollerna Medadministratör och Tjänstadministratör har avvecklats och stöds inte längre. Du bör konvertera dessa rolltilldelningar till Azure RBAC omedelbart.

Hur gör jag för att veta vilka prenumerationer som har klassiska administratörer?

• Du kan använda en Azure Resource Graph-fråga för att lista prenumerationer med rolltilldelningar som Tjänstadministratör eller Medadministratör. Steg finns i Lista klassiska administratörer.

Vilken är den motsvarande Azure-rollen som jag bör tilldela för Medadministratörer?

• Rollen Ägare i prenumerationsomfånget har motsvarande åtkomst. Ägare är dock en privilegierad administratörsroll och ger fullständig åtkomst för att hantera Azure-resurser. Du bör överväga en jobbfunktionsroll med färre behörigheter, minska omfånget eller att lägga till ett villkor.

Vilken är den motsvarande Azure-rollen som jag bör tilldela för Tjänstadministratörer?

• Rollen Ägare i prenumerationsomfånget har motsvarande åtkomst.

Varför behöver jag migrera till Azure RBAC?

• Azure RBAC erbjuder detaljerad åtkomstkontroll, kompatibilitet med Microsoft Entra Privileged Identity Management (PIM) och stöd för fullständiga granskningsloggar. Alla framtida investeringar kommer att finnas i Azure RBAC.

Hur är det med rollen Kontoadministratör?

• Kontoadministratören är den primära användaren för ditt faktureringskonto. Kontoadministratören har inte avvecklats och du behöver inte konvertera den här rolltilldelningen. Kontoadministratör och Tjänstadministratör kan vara samma användare. Du behöver dock bara konvertera rolltilldelningen Tjänstadministratör.

Vad ska jag göra om jag förlorar åtkomsten till en prenumeration?

• Om du tar bort dina klassiska administratörer utan att ha minst en rolltilldelning som Ägare för en prenumeration förlorar du åtkomsten till prenumerationen och prenumerationen blir överbliven. Om du vill få åtkomst till en prenumeration igen kan du göra följande:

  • Följ stegen för att utöka åtkomsten för att hantera alla prenumerationer i en klientorganisation.
  • Tilldela rollen Ägare till en användare i prenumerationsomfånget.
  • Ta bort utökad åtkomst.

Vad ska jag göra om jag har ett starkt beroende av Medadministratörer eller Tjänstadministratör?

• Skicka e-post till ACARDeprecation@microsoft.com och beskriv ditt scenario.

Lista klassiska administratörer

Azure-portalen

Följ de här stegen för att visa en lista över tjänstadministratörer och medadministratörer för en prenumeration med hjälp av Azure Portal.

1. Logga in på Azure-portalen som en Ägare för en prenumeration.

2. Öppna Prenumerationer och välj en prenumeration.

3. Välj Åtkomstkontroll (IAM) .

4. Välj fliken Klassiska administratörer för att visa en lista över Medadministratörer.

   

Azure Resource Graph

Följ de här stegen för att visa antalet tjänstadministratörer och medadministratörer i dina prenumerationer med Hjälp av Azure Resource Graph.

1. Logga in på Azure-portalen som en Ägare för en prenumeration.

2. Öppna Azure Resource Graph Explorer.

3. Välj Omfång och ange omfånget för frågan.

   Ange omfång till Katalog för att fråga hela klientorganisationen, men du kan begränsa omfånget till vissa prenumerationer.

   

4. Välj Ange auktoriseringsomfång och ange auktoriseringsomfånget till At, ovan och nedan för att fråga alla resurser i det angivna omfånget.

   

5. Kör följande fråga för att visa antalet tjänstadministratörer och medadministratörer baserat på omfånget.

   authorizationresources
   | where type == "microsoft.authorization/classicadministrators"
   | mv-expand role = parse_json(properties).role
   | mv-expand adminState = parse_json(properties).adminState
   | where adminState == "Enabled"
   | where role in ("ServiceAdministrator", "CoAdministrator")
   | summarize count() by subscriptionId, tostring(role)
   

   Följande visar ett exempel på resultatet. Kolumnen count_ är antalet tjänstadministratörer eller medadministratörer för en prenumeration.

   

Medadministratörer avvecklas

Om du fortfarande har klassiska administratörer kan du använda följande steg för att konvertera rolltilldelningar som medadministratör.

Steg 1: Granska dina nuvarande Medadministratörer

1. Logga in på Azure-portalen som en Ägare för en prenumeration.

2. Använd Azure-portalen eller Azure Resource Graph för att visa en lista över dina medadministratörer.

3. Granska inloggningsloggarna för dina Medadministratörer för att bedöma om de är aktiva användare.

Steg 2: Ta bort Medadministratörer som inte längre behöver åtkomst

1. Om användaren inte längre finns i företaget tar du bort Medadministratören.

2. Om användaren har tagits bort, men deras rolltilldelning som Medadministratör inte har tagits bort, tar du bort Medadministratören.

   Användare som har tagits bort inkluderar vanligtvis texten (användaren hittades inte i den här katalogen).

   

3. När du har granskat användarens aktivitet tar du bort Medadministratören om användaren inte längre är aktiv.

Steg 3: Konvertera Medadministratörer till jobbfunktionsroller

De flesta användare behöver inte samma behörigheter som en Medadministratör. Överväg en jobbfunktionsroll i stället.

1. Om en användare fortfarande behöver viss åtkomst kan du bestämma vilken jobbfunktionsroll de behöver.

2. Fastställ omfånget som användaren behöver.

3. Följ stegen för att tilldela en jobbfunktionsroll till användaren.

4. Ta bort Medadministratör.

Steg 4: Konvertera Medadministratörer till rollen Ägare med villkor

Vissa användare kan behöva mer åtkomst än vad en jobbfunktionsroll kan ge. Om du måste tilldela rollen Ägare kan du överväga att lägga till ett villkor eller använda Microsoft Entra Privileged Identity Management (PIM) för att begränsa rolltilldelningen.

1. Tilldela rollen Ägare med villkor.

   Du kan till exempel tilldela rollen Ägare i prenumerationsomfånget med villkor. Om du har PIM gör du användaren berättigad till rolltilldelningen Ägare.

2. Ta bort Medadministratör.

Steg 5: Konvertera Medadministratörer till rollen Ägare

Om en användare måste vara administratör för en prenumeration tilldelar du rollen Ägare i prenumerationsomfånget.

• Följ stegen i Konvertera en medadministratör med rollen Ägare.

Så här konverterar du en Medadministratör till rollen Ägare

Det enklaste sättet att dölja en rolltilldelning med medadministratör till rollen Ägare i prenumerationsomfånget är att använda reparationsstegen.

1. Logga in på Azure-portalen som en Ägare för en prenumeration.

2. Öppna Prenumerationer och välj en prenumeration.

3. Välj Åtkomstkontroll (IAM) .

4. Välj fliken Klassiska administratörer för att visa en lista över Medadministratörer.

5. För den Medadministratör som du vill konvertera till rollen Ägare går du till kolumnen Åtgärda och väljer länken Tilldela RBAC-roll.

6. Granska rolltilldelningen i fönstret Lägg till rolltilldelning.

   

7. Välj Granska + tilldela för att tilldela rollen Ägare och ta bort rolltilldelningen Medadministratör.

Så här tar du bort en Medadministratör

Följ de här stegen för att ta bort en medadministratör.

1. Logga in på Azure-portalen som en Ägare för en prenumeration.

2. Öppna Prenumerationer och välj en prenumeration.

3. Välj Åtkomstkontroll (IAM) .

4. Välj fliken Klassiska administratörer för att visa en lista över Medadministratörer.

5. Lägg till en bock bredvid den medadministratör som du vill ta bort.

6. Välj Ta bort.

7. I meddelanderutan som visas väljer du Ja.

   

Tjänstadministratör avvecklas

Om du fortfarande har klassiska administratörer kan du använda följande steg för att konvertera rolltilldelningen Tjänstadministratör. Om du tar bort Tjänstadministratören måste du ha en användare som har tilldelats rollen Ägare i prenumerationsomfånget för att undvika att prenumerationen blir överbliven. En Ägare för en prenumeration har samma åtkomst som Tjänstadministratören.

Steg 1: Granska din nuvarande Tjänstadministratör

1. Logga in på Azure-portalen som en Ägare för en prenumeration.

2. Använd Azure-portalen eller Azure Resource Graph för att visa en lista över tjänstadministratörer.

3. Granska inloggningsloggarna för Tjänstadministratören för att utvärdera om de är en aktiv användare.

Steg 2: Granska dina nuvarande ägare av faktureringskonton

Användaren som har tilldelats rollen Tjänstadministratör kan även vara samma användare som är administratör för ditt faktureringskonto. Du bör granska dina nuvarande faktureringskontoägare för att säkerställa att de fortfarande stämmer.

1. Använd Azure-portalen för att hämta dina faktureringskontoägare.

2. Granska din lista över faktureringskontoägare. Uppdatera eller lägg till en annan faktureringskontoägare om det behövs.

Steg 3: Konvertera Tjänstadministratör till rollen Ägare

Tjänstadministratören kan vara ett Microsoft-konto eller ett Microsoft Entra-konto. Ett Microsoft-konto är ett personligt konto såsom Outlook, OneDrive, Xbox LIVE eller Microsoft 365. Ett Microsoft Entra-konto är en identitet som skapats via Microsoft Entra ID.

1. Om användaren som är Tjänstadministratör är ett Microsoft-konto och du vill att den här användaren ska behålla samma behörigheter konverterar du Tjänstadministratören till rollen Ägare.

2. Om tjänstadministratörsanvändare är ett Microsoft Entra-konto och du vill att den här användaren ska behålla samma behörigheter konverterar du Tjänstadministratören till rollen Ägare.

3. Om du vill ändra tjänstadministratörsanvändaren till en annan användare tilldelar du rollen Ägare till den nya användaren i prenumerationsomfånget utan villkor. Sedan tar du bort Tjänstadministratören.

Så här konverterar du Tjänstadministratören till rollen Ägare

Det enklaste sättet att konvertera rolltilldelningen Tjänstadministratör till rollen Ägare i prenumerationsomfånget är att använda åtgärdsstegen.

1. Logga in på Azure-portalen som en Ägare för en prenumeration.

2. Öppna Prenumerationer och välj en prenumeration.

3. Välj Åtkomstkontroll (IAM) .

4. Välj fliken Klassiska administratörer för att visa Tjänstadministratören.

5. För Tjänstadministratören går du till kolumnen Åtgärda och väljer länken Tilldela RBAC-roll.

6. Granska rolltilldelningen i fönstret Lägg till rolltilldelning.

   

7. Välj Granska + tilldela för att tilldela rollen Ägare och ta bort rolltilldelningen Tjänstadministratör.

Så här tar du bort Tjänstadministratören

Viktigt!

Om du vill ta bort tjänstadministratören måste du ha en användare som har tilldelats rollen Ägare i prenumerationsomfånget utan villkor för att undvika överblivna prenumerationen. En Ägare för en prenumeration har samma åtkomst som Tjänstadministratören.

1. Logga in på Azure-portalen som en Ägare för en prenumeration.

2. Öppna Prenumerationer och välj en prenumeration.

3. Välj Åtkomstkontroll (IAM) .

4. Välj fliken Klassiska administratörer.

5. Lägg till en bock bredvid tjänstadministratören.

6. Välj Ta bort.

7. I meddelanderutan som visas väljer du Ja.

   

Nästa steg

• Förstå de olika rollerna
• Tilldela Azure-roller med hjälp av Azure-portalen
• Förstå administrativa roller för Microsoft-kundavtal i Azure