Azure classic subscription administrators (Administradores clásicos de la suscripción de Azure)

Artículo
09/24/2024

Importante

A partir del 31 de agosto de 2024, los roles de administrador clásico de Azure (junto con los recursos clásicos de Azure y Azure Service Manager) se retiran y ya no se admiten. Si todavía tiene asignaciones de roles coadministrador o administrador de servicios activas, convierta estas asignaciones de roles en RBAC de Azure inmediatamente.

Microsoft recomienda que administre el acceso a los recursos de Azure mediante el control de acceso basado en rol (RBAC) de Azure. Si sigue usando el modelo de implementación clásica, deberá migrar los recursos de la implementación clásica a la implementación de Resource Manager. Para más información, consulte Implementación de Azure Resource Manager frente a la implementación clásica.

En este artículo se describe la retirada de los roles de coadministrador y administrador de servicios y cómo convertir estas asignaciones de roles.

Preguntas más frecuentes

¿Qué ocurre con las asignaciones de roles de administrador clásicas después del 31 de agosto de 2024?

Los roles coadministrador y administrador de servicios se retiran y ya no se admiten. Debe convertir estas asignaciones de roles en RBAC de Azure inmediatamente.

¿Cómo sé qué suscripciones tienen administradores clásicos?

Puede usar una consulta de Azure Resource Graph para enumerar suscripciones con asignaciones de roles de administrador de servicios o coadministrador. Para ver los pasos, consulte Enumerar administradores clásicos.

¿Cuál es el rol equivalente de Azure que debo asignar a los coadministradores?

El rol de Propietario en el ámbito de la suscripción tiene el acceso equivalente. Sin embargo, el propietario es un rol Administrador con privilegios y concede acceso completo para administrar los recursos de Azure. Debe considerar un rol de función de trabajo con menos permisos, reducir el ámbito o agregar una condición.

¿Cuál es el rol equivalente de Azure que debo asignar para el administrador de servicios?

El rol de Propietario en el ámbito de la suscripción tiene el acceso equivalente.

¿Por qué necesito migrar a RBAC de Azure?

RBAC de Azure ofrece un control de acceso específico, compatibilidad con Privileged Identity Management (PIM) de Microsoft Entra y compatibilidad completa con los registros de auditoría. Todas las inversiones futuras estarán en RBAC de Azure.

¿Qué ocurre con el rol Administrador de cuentas?

El Administrador de la cuenta es el usuario principal de la cuenta de facturación. El administrador de cuentas no está en desuso y no es necesario convertir esta asignación de roles. El Administrador de cuentas y el Administrador de servicios pueden ser el mismo usuario. Sin embargo, tiene que convertir la asignación de roles administrador de servicios.

¿Qué debo hacer si pierdo el acceso a una suscripción?

Si quita los administradores clásicos sin tener al menos una asignación de rol Propietario para una suscripción, perderá el acceso a la suscripción y la suscripción quedará huérfana. Para recuperar el acceso a una suscripción, puede hacer lo siguiente:
- Siga los pasos para elevar el acceso para administrar todas las suscripciones de un inquilino.
- Asigne el rol Propietario en el ámbito de la suscripción para un usuario.
- Elimine los privilegios de acceso elevados.

¿Qué debo hacer si tengo una fuerte dependencia en coadministradores o administradores de servicios?

Envíe un correo electrónico a ACARDeprecation@microsoft.com y describa su escenario.

Siga estos pasos para enumerar el administrador de servicios y los coadministradores de una suscripción mediante Azure Portal.

Inicie sesión en Azure Portal como propietario de una suscripción.
Abra Suscripciones y seleccione una suscripción.
Seleccione Access Control (IAM) .
Seleccione la pestaña Administradores clásicos para ver una lista de los coadministradores.

Siga estos pasos para enumerar el número de administradores de servicios y coadministradores de las suscripciones mediante Azure Resource Graph.

Inicie sesión en Azure Portal como propietario de una suscripción.
Uso de Azure Resource Graph Explorer.
Seleccione Ámbito y establezca el ámbito de la consulta.

Establezca el ámbito en Directorio para consultar todo el inquilino, pero puede restringir el ámbito a determinadas suscripciones.
Seleccione Establecer ámbito de autorización y establezca el ámbito de autorización en En, por encima y por debajo para consultar todos los recursos en el ámbito especificado.

Ejecute la consulta siguiente para enumerar el número de administradores de servicios y coadministradores en función del ámbito.

authorizationresources
| where type == "microsoft.authorization/classicadministrators"
| mv-expand role = parse_json(properties).role
| mv-expand adminState = parse_json(properties).adminState
| where adminState == "Enabled"
| where role in ("ServiceAdministrator", "CoAdministrator")
| summarize count() by subscriptionId, tostring(role)

A continuación se muestra un ejemplo de los resultados. La columna count_ es el número de administradores de servicios o coadministradores de una suscripción.

Retirada de coadministradores

Si todavía tiene administradores clásicos, siga estos pasos para ayudarle a convertir asignaciones de roles de coadministrador.

Paso 1: Revisar los coadministradores actuales

Inicie sesión en Azure Portal como propietario de una suscripción.
Use Azure Portal o Azure Resource Graph para enumerar los coadministradores.
Revise los registros de inicio de sesión para que los coadministradores evalúen si son usuarios activos.

Paso 2: Eliminar aquellos coadministradores que ya no necesitan acceso

Si el usuario ya no está en su empresa, elimine su rol de coadministrador.
Si se ha eliminado el usuario, pero no se quitó su asignación de coadministrador, quitar coadministrador.

Los usuarios que se han eliminado normalmente incluyen el texto (No se ha encontrado al usuario en este directorio).
Después de revisar la actividad del usuario, si este ya no está activo, elimine el rol de coadministrador.

Paso 3: Convertir coadministradores en roles de función de trabajo

La mayoría de los usuarios no necesitan los mismos permisos que un coadministrador. Considere en su lugar un rol de función de trabajo.

Si un usuario todavía necesita algún tipo de acceso, determine el rol de función de trabajo adecuado que necesita.
Determine el ámbito que necesita el usuario.
Siga los pasos para asignar un rol de función de trabajo al usuario.
Elimine al coadministrador.

Paso 4: Convertir coadministradores al rol Propietario con condiciones

Es posible que algunos usuarios necesiten más acceso del que puede proporcionar un rol de función de trabajo. Si debe asignar el rol de Propietario, considere la posibilidad de agregar una condición o usar Microsoft Entra Privileged Identity Management (PIM) para restringir la asignación de roles.

Asigne el rol Propietario con condiciones.

Por ejemplo, asigne el rol Propietario en el ámbito de la suscripción con condiciones. Si tiene PIM, haga que el usuario sea apto para la asignación de roles Propietario.
Elimine al coadministrador.

Paso 5: Convertir coadministradores al rol propietario

Si un usuario debe ser administrador de una suscripción, asigne el rol Propietario en el ámbito de la suscripción.

Siga los pasos descritos en Conversión de un coadministrador con el rol Propietario.

Conversión de un rol de coadministrador a propietario

La manera más fácil de cubrir una asignación de roles de coadministrador al rol de Propietario en el ámbito de la suscripción es usar los pasos de Corregir.

Inicie sesión en Azure Portal como propietario de una suscripción.
Abra Suscripciones y seleccione una suscripción.
Seleccione Access Control (IAM) .
Seleccione la pestaña Administradores clásicos para ver una lista de los coadministradores.
Para el coadministrador que quiere convertir al rol Propietario, en la columna Corregir, seleccione el vínculo Asignar rol RBAC.
En el panel Agregar asignación de roles, revise la asignación de roles.
Seleccione Revisar y asignar para asignar el rol Propietario y quitar la asignación de roles de coadministrador.

Cómo quitar un coadministrador

Siga estos pasos para eliminar un coadministrador.

Inicie sesión en Azure Portal como propietario de una suscripción.
Abra Suscripciones y seleccione una suscripción.
Seleccione Access Control (IAM) .
Seleccione la pestaña Administradores clásicos para ver una lista de los coadministradores.
Agregue una marca de verificación junto al coadministrador que desea quitar.
Seleccione Eliminar.
En el cuadro de mensaje que aparece, seleccione Sí.

Retirada del administrador de servicios

Si todavía tiene administradores clásicos, siga estos pasos para ayudarle a convertir la asignación de roles de administrador de servicios. Antes de quitar el administrador de servicios, debe tener al menos un usuario al que se le haya asignado el rol Propietario en el ámbito de la suscripción sin condiciones para evitar que la suscripción quede huérfana. El propietario de una suscripción tiene el mismo acceso que el administrador de servicios.

Paso 1: Revisar el administrador de servicios actual

Inicie sesión en Azure Portal como propietario de una suscripción.
Use Azure Portal o Azure Resource Graph para enumerar los Administradores de servicios.
Revise los registros de inicio de sesión para que el administrador de servicios evalúe si es un usuario activo.

Paso 2: Revisar los propietarios actuales de la cuenta de facturación

El usuario al que se asigna el rol Administrador de servicios también podría ser el mismo usuario que el administrador de la cuenta de facturación. Debe revisar los propietarios actuales de la cuenta de facturación para asegurarse de que siguen siendo precisos.

Use Azure Portal para obtener su Propietarios de la cuenta de facturación.
Revise la lista de propietarios de la cuenta de facturación. Si es necesario, actualizar o agregar otro propietario de la cuenta de facturación.

Paso 3: Convertir el administrador de servicios al rol de propietario

El administrador de servicios puede ser una cuenta Microsoft o una cuenta de Microsoft Entra. Una cuenta Microsoft es una cuenta personal como Outlook, OneDrive, Xbox LIVE o Microsoft 365. Una cuenta de Microsoft Entra es una identidad creada a través de Microsoft Entra ID.

Si el usuario administrador de servicios es una cuenta de Microsoft y desea que este usuario mantenga los mismos permisos, convierta el rol Administrador de servicios en Propietario.
Si el usuario administrador de servicios es una cuenta de Microsoft Entra y quiere que este usuario mantenga los mismos permisos, convierta el rol Administrador de servicios en Propietario.
Si desea cambiar el usuario administrador de servicios a otro usuario, asigne el rol Propietario a este nuevo usuario en el ámbito de la suscripción sin condiciones. A continuación, quite el administrador de servicios.

Conversión del rol Administrador de servicios al rol Propietario

La manera más fácil de convertir la asignación de roles de administrador de servicios al rol de Propietario en el ámbito de la suscripción es usar los pasos de Corregir.

Inicie sesión en Azure Portal como propietario de una suscripción.
Abra Suscripciones y seleccione una suscripción.
Seleccione Access Control (IAM) .
Seleccione la pestaña Administradores clásicos para ver el Administrador de servicios.
Para el administrador de servicios, en la columna Corregir, seleccione el vínculo Asignar rol RBAC.
En el panel Agregar asignación de roles, revise la asignación de roles.
Seleccione Revisar y asignar para asignar el rol Propietario y quitar la asignación de roles de Administrador de servicios.

Cómo quitar el Administrador de servicios