使用訂用帳戶和管理群組的建議

  • 9 分鐘

有些 Azure 虛擬桌面程序 (例如在主要 VHD 影像上安裝 Office) 假設您在 VM 上已提高存取權,無論 VM 是佈建於 Azure 還是 Hyper-V 管理員中。

身為 Microsoft Entra ID 中的全域管理員,您可能沒有目錄中所有訂用帳戶與管理群組的存取權。 以下是提高所有訂用帳戶和管理群組存取權的方法。

顯示 Microsoft Entra ID 中全域管理員角色的圖表。

為什麼您需要提高存取權?

全域管理員應考慮下列提高存取權的案例。

  • 當使用者失去存取權時,重新取得 Azure 訂用帳戶或管理群組的存取權。
  • 將 Azure 訂用帳戶或管理群組的存取權授與其他使用者或您自己。
  • 查看組織中的所有 Azure 訂用帳戶或管理群組。
  • 允許自動化應用程式 (例如發票處理或稽核應用程式) 存取所有 Azure 訂用帳戶或管理群組。

已提高的存取權會如何運作?

Microsoft Entra ID 和 Azure 資源會保護彼此獨立。

Microsoft Entra 角色指派不會將存取權授與 Azure 資源,而 Azure 角色指派不會將存取權授與 Microsoft Entra。 不過,如果您是 Microsoft Entra ID 中的全域管理員,您可以將目錄中所有 Azure 訂用帳戶和管理群組的存取權指派給自己。 如果您沒有 Azure 訂用帳戶資源的存取權,請使用此功能。 例如,針對虛擬機器或儲存體帳戶,您想使用全域管理員權限來取得這些資源的存取權。

當您提高存取權時,您會在根範圍上 (/) 獲派 Azure 中的使用者存取管理員角色。 這可讓您檢視所有資源,並指派目錄中任何訂用帳戶或管理群組的存取權。 您可以使用 Azure PowerShell、Azure CLI 或 REST API 來移除「使用者存取管理員」的角色指派。

一旦您在根範圍上進行所需的變更後,您應該移除此提高的存取權。

提高存取權。

提高全域系統管理員的存取權

請遵循下列步驟,使用 Azure 入口網站提高全域管理員的存取權。

  1. 以全域管理員的身分登入 Azure 入口網站或 Microsoft Entra 系統管理中心。
  2. 開啟 Microsoft Entra ID
  3. [管理] 底下,選取 [屬性]

選取 [Microsoft Entra 屬性的屬性]。

  1. [Azure 資源的存取管理] 下,將設定切換為 [是]

Azure 資源的存取管理。

當您將切換開關設定為 [是] 時,您會在根範圍 (/) 獲取 Azure 角色型存取控制 (RBAC) 中的使用者存取管理員角色。 這會授與您在與此 Microsoft Entra 目錄相關聯的所有 Azure 訂用帳戶和管理群組中指派角色的權限。 此切換僅適用於在 Microsoft Entra ID 中獲指派全域管理員角色的使用者。

當您將切換開關設定為 [否] 時,Azure 角色型存取控制 (RBAC) 中的使用者存取管理員角色會從使用者帳戶中移除。 您無法再指派與此 Microsoft Entra 目錄相關聯的所有 Azure 訂用帳戶和管理群組中的角色。 您只能檢視和管理已授與您存取權的 Azure 訂用帳戶和管理群組。

  1. 按一下 [儲存] 以儲存您的設定。

此設定不是全域屬性,僅適用於目前登入的使用者。 您無法提高全域管理員角色之所有成員的存取權。

  1. 登出並重新登入以重新整理您的存取權。

您現在應該可以存取您目錄中的所有訂用帳戶和管理群組。 當您檢視 [存取控制 (IAM)] 窗格時,您會注意到您已在根範圍獲取使用者存取管理員角色。

根範圍的訂用帳戶角色指派。

  1. 執行您需要以更高存取權執行的變更。

移除已提高的存取權

若要移除根範圍 (/) 的「使用者存取系統管理員」角色指派,請遵循以下步驟。

  1. 以用來提高存取權的相同使用者身分登入。
  2. 在瀏覽清單中,按一下 [Microsoft Entra ID],然後按一下 [屬性]
  3. 將 [Azure 資源的存取管理] 切換開關設回 [否]。 因為這是依各個使用者設定,因此您必須以與用來提升存取權相同的使用者身分登入。

如果您嘗試移除 [存取控制 (IAM)] 窗格上的 [使用者存取管理員] 角色指派,您會看到下列訊息。 若要移除角色指派,您必須將切換開關設回 [否],或使用 Azure PowerShell、Azure CLI 或 REST API。

移除根範圍的角色指派。

  1. 以全域管理員身分登出。