Классические администраторы подписок Azure

Статья
09/04/2024

Внимание

По состоянию на 31 августа 2024 г. классические роли администратора Azure (а также классические ресурсы Azure и Azure Service Manager) не поддерживаются.

Корпорация Майкрософт рекомендует применять для контроля доступа к ресурсам Azure механизм управления доступом на основе ролей (Azure RBAC). Если вы по-прежнему используете классическую модель развертывания, вам потребуется перенести ресурсы из классического развертывания в развертывание Resource Manager. Дополнительные сведения см. в статье Azure Resource Manager и классическое развертывание: сведения о моделях развертывания и состоянии ресурсов.

Если у вас все еще есть активные назначения ролей соадминистратора или администратора службы, преобразуйте эти роли в Azure RBAC немедленно. В этой статье описывается прекращение работы ролей соадминистратора и администратора служб и преобразование этих назначений ролей.

Часто задаваемые вопросы

Что происходит с назначениями ролей классического администратора после 31 августа 2024 г.?

Роли соадминистратора и администратора служб больше не поддерживаются. Эти роли следует преобразовать в Azure RBAC немедленно.

Разделы справки знать, какие подписки имеют классические администраторы?

Запрос Azure Resource Graph можно использовать для перечисления подписок с назначениями ролей администратора службы или соадминистратора. Инструкции см. в разделе "Список классических администраторов".

Что такое эквивалентная роль Azure, назначаемая для соадминистраторов?

Роль владельца в области подписки имеет эквивалентный доступ. Однако владелец является привилегированной ролью администратора и предоставляет полный доступ к управлению ресурсами Azure. Следует рассмотреть роль функции задания с меньшим количеством разрешений, уменьшить область действия или добавить условие.

Что такое эквивалентная роль Azure, назначаемая администратору службы?

Роль владельца в области подписки имеет эквивалентный доступ.

Почему нужно выполнить миграцию в Azure RBAC?

Azure RBAC обеспечивает точное управление доступом, совместимость с Microsoft Entra управление привилегированными пользователями (PIM) и полную поддержку журналов аудита. Все будущие инвестиции будут находиться в Azure RBAC.

Как насчет роли администратора учетной записи?

Администратор учетной записи является основным пользователем для учетной записи выставления счетов. Администратор учетной записи не рекомендуется использовать, и вам не нужно преобразовывать это назначение роли. Администратор учетной записи и администратор службы могут быть одинаковыми пользователями. Однако необходимо преобразовать только назначение роли администратора службы.

Что делать, если я потеряю доступ к подписке?

Если вы удалите классических администраторов без назначения по крайней мере одной роли владельца для подписки, вы потеряете доступ к подписке, а подписка будет потеряна. Чтобы восстановить доступ к подписке, сделайте следующее:
- Выполните действия, чтобы повысить уровень доступа для управления всеми подписками в клиенте.
- Назначьте роль владельца в области подписки для пользователя.
- Удалите повышенный уровень доступа.

Что делать, если у меня есть сильная зависимость от соадминистраторов или администратора службы?

Электронная почта ACARDeprecation@microsoft.com и описание сценария.

Вывод списка классических администраторов

Портал Azure
Azure Resource Graph

Выполните следующие действия, чтобы получить список администраторов служб и соадминистраторов для подписки с помощью портал Azure.

Войдите в портал Azure в качестве владельца подписки.
Откройте раздел Подписки и выберите нужную подписку.
Выберите Управление доступом (IAM) .
Перейдите на вкладку "Классические администраторы", чтобы просмотреть список соадминистраторов .

Выполните следующие действия, чтобы указать количество администраторов служб и соадминистраторов в подписках с помощью Azure Resource Graph.

Войдите в портал Azure в качестве владельца подписки.
Откройте обозреватель Azure Resource Graph.
Выберите область и задайте область для запроса.

Задайте область в каталоге для запроса всего клиента, но вы можете сузить область до определенных подписок.
Выберите "Задать область авторизации" и задайте для области авторизации значение At, выше и ниже, чтобы запросить все ресурсы в указанной области.
Выполните следующий запрос, чтобы вывести список администраторов и соадминистрирующих служб на основе области.
```
authorizationresources
| where type == "microsoft.authorization/classicadministrators"
| mv-expand role = parse_json(properties).role
| mv-expand adminState = parse_json(properties).adminState
| where adminState == "Enabled"
| where role in ("ServiceAdministrator", "CoAdministrator")
| summarize count() by subscriptionId, tostring(role)
```
Ниже показан пример результатов. Столбец count_ — это количество администраторов служб или соадминистраторов для подписки.

Выход соадминистраторов

Если у вас по-прежнему есть классические администраторы, выполните следующие действия, чтобы помочь вам преобразовать назначения ролей соадминистратора.

Шаг 1. Просмотр текущих соадминистраторов

Войдите в портал Azure в качестве владельца подписки.
Используйте портал Azure или Azure Resource Graph, чтобы получить список соадминистраторов.
Просмотрите журналы входа для соадминистраторов , чтобы оценить, активны ли они пользователи.

Шаг 2. Удаление соадминистраторов, которым больше не нужен доступ

Если пользователь больше не находится в организации, удалите соадминистратора.
Если пользователь был удален, но их назначение соадминистратора не было удалено, удалите соадминистратора.

Пользователи, которые были удалены, обычно включают текст (пользователь не найден в этом каталоге).
После просмотра действий пользователя, если пользователь больше не активен, удалите соадминистратора.

Шаг 3. Преобразование соадминистраторов в роли функции задания

Большинству пользователей не нужны те же разрешения, что и соадминистратор. Вместо этого рассмотрим роль функции задания.

Если пользователю по-прежнему нужен доступ, определите нужную роль функции задания.
Определите потребности пользователя в области .
Выполните действия, чтобы назначить роль функции задания пользователю.
Удалите соадминистратора.

Шаг 4. Преобразование соадминистраторов в роль владельца с условиями

Некоторым пользователям может потребоваться больше доступа, чем может предоставить роль функции задания. Если необходимо назначить роль владельца, попробуйте добавить условие или использовать Microsoft Entra управление привилегированными пользователями (PIM), чтобы ограничить назначение роли.

Назначьте роль владельца условий.

Например, назначьте роль владельца в области подписки с условиями. Если у вас есть PIM, укажите пользователю право на назначение роли владельца.
Удалите соадминистратора.

Шаг 5. Преобразование соадминистраторов в роль владельца

Если пользователь должен быть администратором подписки, назначьте роль владельца в области подписки.

Выполните действия, описанные в руководстве по преобразованию соадминистратора с ролью владельца.

Преобразование соадминистратора в роль владельца

Самый простой способ скрыть назначение роли соадминистратора роли владельца в области подписки — использовать действия по исправлению .

Войдите в портал Azure в качестве владельца подписки.
Откройте раздел Подписки и выберите нужную подписку.
Выберите Управление доступом (IAM) .
Перейдите на вкладку "Классические администраторы", чтобы просмотреть список соадминистраторов .
Для соадминистратора, который вы хотите преобразовать в роль владельца, в столбце "Исправление " выберите ссылку "Назначить роль RBAC ".
В области добавления назначения ролей просмотрите назначение роли.
Выберите "Проверка и назначение" для назначения роли владельца и удаления назначения роли соадминистратора.

Удаление соадминистратора

Выполните следующие действия, чтобы удалить соадминистратора.

Войдите в портал Azure в качестве владельца подписки.
Откройте раздел Подписки и выберите нужную подписку.
Выберите Управление доступом (IAM) .
Перейдите на вкладку "Классические администраторы", чтобы просмотреть список соадминистраторов .
Установите флажок рядом с тем соадминистратором, которого вы намерены удалить.
Выберите команду Удалить.
В появившемся сообщении выберите Да.

Выход администратора службы

Если у вас по-прежнему есть классические администраторы, выполните следующие действия, чтобы преобразовать назначение роли администратора службы. Перед удалением администратора службы необходимо иметь по крайней мере одного пользователя, которому назначена роль владельца в области подписки без условий, чтобы избежать удаления подписки. Владелец подписки имеет те же права доступа, что и администратор служб.

Шаг 1. Просмотр текущего администратора службы

Войдите в портал Azure в качестве владельца подписки.
Используйте портал Azure или Azure Resource Graph для перечисления администратора службы.
Просмотрите журналы входа администратора службы, чтобы оценить, является ли он активным пользователем.

Шаг 2. Просмотр текущих владельцев учетной записи выставления счетов

Пользователь, которому назначена роль администратора службы, также может быть тем же пользователем, который является администратором учетной записи выставления счетов. Вы должны просмотреть текущих владельцев учетной записи выставления счетов, чтобы убедиться, что они по-прежнему точны.

Используйте портал Azure, чтобы получить владельцев учетной записи выставления счетов.
Просмотрите список владельцев учетных записей выставления счетов. При необходимости обновите или добавьте другого владельца учетной записи выставления счетов.

Шаг 3. Преобразование администратора службы в роль владельца

Администратор службы может быть учетной записью Майкрософт или учетной записью Microsoft Entra. Учетная запись Майкрософт — это личная учетная запись, например Outlook, OneDrive, Xbox LIVE или Microsoft 365. Учетная запись Microsoft Entra — это удостоверение, созданное с помощью идентификатора Microsoft Entra.

Если администратор службы является учетной записью Майкрософт, и вы хотите, чтобы этот пользователь сохранял те же разрешения, преобразуйте администратора службы в роль владельца.
Если пользователь администратора службы является учетной записью Microsoft Entra, и вы хотите, чтобы этот пользователь сохранял те же разрешения, преобразуйте администратора службы в роль владельца.
Если вы хотите изменить пользователя администратора службы на другого пользователя, назначьте роль владельца этому новому пользователю в области подписки без условий. Затем удалите администратора службы.

Как преобразовать администратора службы в роль владельца

Самый простой способ преобразовать назначение роли администратора службы в роль владельца в области подписки — использовать действия по исправлению .

Войдите в портал Azure в качестве владельца подписки.
Откройте раздел Подписки и выберите нужную подписку.
Выберите Управление доступом (IAM) .
Перейдите на вкладку "Классические администраторы", чтобы просмотреть администратора службы.
Для администратора службы в столбце "Исправление " выберите ссылку "Назначение роли RBAC".
В области добавления назначения ролей просмотрите назначение роли.
Выберите "Проверка и назначение" для назначения роли владельца и удаления назначения роли администратора службы.

Удаление администратора службы