Rekommendationer för att använda prenumerationer och hanteringsgrupper

  • 9 minuter

Vissa Azure Virtual Desktop-procedurer, till exempel att installera Office på en VHD-huvudavbildning, förutsätter att du har förhöjd åtkomst på den virtuella datorn, oavsett om den har etablerats i Azure eller Hyper-V Manager.

Som global administratör i Microsoft Entra ID kanske du inte har åtkomst till alla prenumerationer och hanteringsgrupper i din katalog. Nedan visas metoder för att öka åtkomsten till alla prenumerationer och hanteringsgrupper.

Diagram som visar rollen Global administratör i Microsoft Entra-ID.

Varför skulle du behöva utöka din åtkomst?

Globala administratörer bör överväga följande scenarier för att höja åtkomsten.

  • Återfå åtkomsten till en Azure-prenumeration eller hanteringsgrupp när en användare har förlorat åtkomsten.
  • tilldela en annan användare eller sig själv en Azure-prenumeration eller -hanteringsgrupp.
  • Se alla Azure-prenumerationer eller hanteringsgrupper i en organisation.
  • Tillåt att en automationsapp (till exempel en fakturerings- eller granskningsapp) får åtkomst till alla Azure-prenumerationer eller hanteringsgrupper.

Hur fungerar utökad åtkomst?

Microsoft Entra ID- och Azure-resurser skyddas oberoende av varandra.

Microsoft Entra-rolltilldelningar beviljar inte åtkomst till Azure-resurser och Azure-rolltilldelningar ger inte åtkomst till Microsoft Entra-ID. Som global administratör i Microsoft Entra ID kan du dock tilldela dig själv åtkomst till alla Azure-prenumerationer och hanteringsgrupper i din katalog. Använd den här funktionen om du inte har åtkomst till Azure-prenumerationsresurser. Till exempel för virtuella datorer eller lagringskonton, och du vill använda din globala administratörsbehörighet för att få åtkomst till dessa resurser.

När du upphöjer din behörighet tilldelas du rollen Administratör för användaråtkomst i Azure i rotomfånget (/). Det innebär att du kan se alla resurser och tilldela åtkomst i valfri prenumeration eller hanteringsgrupp i katalogen. Rolltilldelningar av administratör för användaråtkomst kan tas bort med Azure PowerShell, Azure CLI eller REST API.

Du bör ta bort den här upphöjda åtkomsten när du har gjort de ändringar som behövs i rotomfånget.

Utöka åtkomsten.

Utöka åtkomsten för en global administratör

Följ de här stegen för att öka åtkomsten för en global administratör med hjälp av Azure Portal.

  1. Logga in på Azure-portalen eller Microsoft Entra administrationscenter som global administratör.
  2. Öppna Microsoft Entra ID.
  3. Välj Egenskaper under Hantera.

Välj Egenskaper för Microsoft Entra-egenskaper.

  1. Under Åtkomsthantering för Azure-resurser anger du växlingsknappen till Ja.

Åtkomsthantering för Azure-resurser.

När du anger växlingsknappen till Ja tilldelas du rollen Administratör för användaråtkomst i rollbaserad åtkomstkontroll i Azure (RBAC) i rotomfånget (/). Detta ger dig behörighet att tilldela roller i alla Azure-prenumerationer och hanteringsgrupper som är associerade med den här Microsoft Entra-katalogen. Den här växlingsknappen är endast tillgänglig för användare som har tilldelats rollen Global administratör i Microsoft Entra-ID.

När du anger växlingsknappen till Nej tas rollen Administratör för användaråtkomst i rollbaserad åtkomstkontroll i Azure bort från ditt användarkonto. Du kan inte längre tilldela roller i alla Azure-prenumerationer och hanteringsgrupper som är associerade med den här Microsoft Entra-katalogen. Du kan bara visa och hantera de Azure-prenumerationer och hanteringsgrupper som du har beviljats åtkomst till.

  1. Spara inställningen genom att klicka på Spara .

Den här inställningen är inte en global egenskap och gäller endast för den inloggade användaren. Du kan inte höja åtkomsten för alla medlemmar i rollen Global administratör.

  1. Logga ut och logga in igen för att uppdatera din åtkomst.

Nu bör du ha åtkomst till alla prenumerationer och hanteringsgrupper i din katalog. När du visar fönstret Åtkomstkontroll (IAM) ser du att du har tilldelats rollen Administratör för användaråtkomst i rotomfånget.

Prenumerationsrolltilldelningar med rotomfattning.

  1. Gör de ändringar du behöver göra vid förhöjd åtkomst.

Ta bort utökad åtkomst

Följ dessa steg om du vill ta bort rolltilldelningen Administratör för användaråtkomst i rotomfånget (/).

  1. Logga in som samma användare som användes för att höja åtkomsten.
  2. I navigeringslistan klickar du på Microsoft Entra-ID och klickar sedan på Egenskaper.
  3. Ställ in Åtkomsthantering för Azure-resurser för att växla tillbaka till Nej. Eftersom det här är en inställning per användare måste du vara inloggad som samma användare som användes för att öka åtkomsten.

Om du försöker ta bort rolltilldelningen Administratör för användaråtkomst i fönstret Åtkomstkontroll (IAM) visas följande meddelande. Om du vill ta bort rolltilldelningen måste du ange växlingsknappen till Nej eller använda Azure PowerShell, Azure CLI eller REST-API:et.

Ta bort rolltilldelningar med rotomfattning.

  1. Logga ut som global administratör.