Классические администраторы подписок Azure

Статья
09/23/2024

Внимание

По состоянию на 31 августа 2024 г. классические роли администратора Azure (а также классические ресурсы Azure и Azure Service Manager) не поддерживаются. Если у вас все еще есть активные назначения ролей соадминистратора или администратора служб, немедленно переведите эти роли на Azure RBAC.

Microsoft рекомендует управлять доступом к ресурсам Azure с помощью ролевого контроля доступа на основе Azure (Azure RBAC) Если вы всё ещё используете классическую модель развертывания, вам необходимо мигрировать ваши ресурсы с классического развертывания на развертывание в Resource Manager. Дополнительные сведения см. в статье Azure Resource Manager и классическое развертывание: сведения о моделях развертывания и состоянии ресурсов.

В этой статье описывается прекращение работы ролей соадминистратора и администратора служб и преобразование этих назначений ролей.

Часто задаваемые вопросы

Что произойдет с назначениями классических ролей администратора после 31 августа 2024 года?

Роли соадминистратора и администратора служб больше не поддерживаются. Эти назначения ролей следует преобразовать в Azure RBAC немедленно.

Как узнать, какие подписки имеют классических администраторов?

Вы можете использовать запрос Azure Resource Graph, чтобы перечислить подписки с назначениями ролей администратора служб или соадминистратора. Инструкции см. в разделе Список классических администраторов.

Что такое эквивалентная роль Azure, назначаемая соадминистраторам?

Роль владельца в области подписки имеет эквивалентный доступ. Однако роль Владелец является привилегированной административной ролью и предоставляет полный доступ к управлению ресурсами Azure. Вам следует рассмотреть возможность использования роли с меньшими привилегиями, сократить область действия или добавить условие.

Что такое эквивалентная роль Azure, назначаемая администраторам служб?

Роль владельца в области подписки имеет эквивалентный доступ.

Почему нужно выполнить миграцию в Azure RBAC?

Azure RBAC предлагает тонкую настройку управления доступом, совместимость с Microsoft Entra Privileged Identity Management (PIM, управление привилегированными пользователями) и полную поддержку журналов аудита. Все будущие инвестиции будут осуществляться в Azure RBAC.

Как насчет роли администратора учетной записи?

Администратор учетной записи — это основной пользователь вашей учетной записи выставления счетов. Роль администратора учетной записи не будет снята с эксплуатации, и вам не нужно преобразовывать это назначение роли. Администратор учетной записи и администратор служб могут быть одним и тем же пользователем. Однако вам нужно преобразовать только назначение роли администратора служб.

Что делать, если я потеряю доступ к подписке?

Если вы удалите своих классических администраторов, не имея как минимум одного назначения роли Владельца для подписки, вы потеряете доступ к подписке, и она станет сиротой. Чтобы восстановить доступ к подписке, вы можете сделать следующее:
- Следуйте шагам, чтобы повысить доступ для управления всеми подписками в клиенте.
- Назначьте пользователю роль "Владелец" в области действия подписки.
- Удалите повышенный уровень доступа.

Что мне делать, если у меня есть сильная зависимость от соадминистраторов или администраторов служб?

Отправьте электронное сообщение на ACARDeprecation@microsoft.com и опишите ваш сценарий.

Вывод списка классических администраторов

Портал Azure
Azure Resource Graph

Выполните следующие действия, чтобы получить список администраторов служб и соадминистраторов для подписки с помощью портал Azure.

Войдите на портал Azure в качестве владельца подписки.
Откройте раздел Подписки и выберите нужную подписку.
Выберите Управление доступом (IAM) .
Выберите вкладку Классические администраторы, чтобы просмотреть список соадминистраторов.

Выполните следующие действия, чтобы указать количество администраторов служб и соадминистраторов в подписках с помощью Azure Resource Graph.

Войдите на портал Azure в качестве владельца подписки.
Откройте обозреватель Azure Resource Graph.
Выберите область и задайте область для запроса.

Задайте область в каталоге для запроса всего клиента, но вы можете сузить область до определенных подписок.
Выберите "Задать область авторизации" и задайте для области авторизации значение At, выше и ниже, чтобы запросить все ресурсы в указанной области.
Выполните следующий запрос, чтобы вывести список администраторов и соадминистрирующих служб на основе области.
```
authorizationresources
| where type == "microsoft.authorization/classicadministrators"
| mv-expand role = parse_json(properties).role
| mv-expand adminState = parse_json(properties).adminState
| where adminState == "Enabled"
| where role in ("ServiceAdministrator", "CoAdministrator")
| summarize count() by subscriptionId, tostring(role)
```
Ниже показан пример результатов. Столбец count_ — это количество администраторов служб или соадминистраторов для подписки.

Прекращение поддержки соадминистраторов

Если у вас по-прежнему есть классические администраторы, выполните следующие действия, чтобы помочь вам преобразовать назначения ролей соадминистратора.

Шаг 1. Просмотрите текущих соадминистраторов

Войдите на портал Azure в качестве владельца подписки.
Используйте портал Azure или Azure Resource Graph, чтобы получить список ваших соадминистраторов.
Просмотрите журналы входа для ваших соадминистраторов, чтобы оценить, являются ли они активными пользователями.

Шаг 2. Удаление соадминистраторов, которым больше не нужен доступ

Если пользователь больше не находится в организации, удалите соадминистратора.
Если пользователь был удален, но его назначение соадминистратором не было удалено, удалите соадминистратора.

Пользователи, которые были удалены, обычно включают текст (пользователь не найден в этом каталоге).
После проверки активности пользователя, если пользователь больше неактивен, удалите соадминистратора.

Шаг 3. Преобразование соадминистраторов в роли по должностям

Большинству пользователей не нужны те же разрешения, что и соадминистратору. Вместо этого рассмотрим роль по должности.

Если пользователю по-прежнему нужен доступ, определите роль, которая нужна по должности.
Определите область потребностей пользователя.
Выполните действия, чтобы назначить пользователю роль в соответствии с должностью.
Удалите соадминистратора.

Шаг 4. Преобразование роли соадминистраторов в роль владельца с условиями

Некоторым пользователям может потребоваться больше доступа, чем может предоставить роль по должности. Если необходимо назначить роль владельца, попробуйте добавить условие или использовать управление привилегированными пользователями (PIM) Microsoft Entra, чтобы ограничить назначение роли.

Назначьте роль владельца с условиями.

Например, назначьте роль владельца на уровне подписки с условиями. Если у вас есть PIM, сделайте пользователя подходящим для назначения роли владельца.
Удалите соадминистратора.

Шаг 5. Преобразование роли соадминистраторов в роль владельца

Если пользователь должен быть администратором подписки, назначьте роль владельца в области подписки.

Выполните действия, описанные в руководстве по преобразованию соадминистратора с ролью владельца.

Преобразование роли соадминистратора в роль владельца

Самый простой способ скрыть назначение роли соадминистратора роли владельца в области подписки — использовать действия по исправлению .

Войдите на портал Azure в качестве владельца подписки.
Откройте раздел Подписки и выберите нужную подписку.
Выберите Управление доступом (IAM) .
Выберите вкладку Классические администраторы, чтобы просмотреть список соадминистраторов.
Для роли соадминистратора, которую вы хотите преобразовать в роль владельца, в колонке Исправление выберите ссылку Назначить роль RBAC.
В области Добавления ролей просмотрите назначение роли.
Выберите Проверка + назначение для роли владельца и удалите роль соадминистратора.

Как удалить соадминистратора

Выполните следующие действия, чтобы удалить соадминистратора.

Войдите на портал Azure в качестве владельца подписки.
Откройте раздел Подписки и выберите нужную подписку.
Выберите Управление доступом (IAM) .
Выберите вкладку Классические администраторы, чтобы просмотреть список соадминистраторов.
Установите флажок рядом с тем соадминистратором, которого вы намерены удалить.
Выберите команду Удалить.
В появившемся сообщении выберите Да.

Прекращение поддержки роли администратор службы

Если у вас по-прежнему есть классические администраторы, выполните следующие действия, чтобы преобразовать назначение роли администратора службы. Прежде чем удалять администратора служб, у вас должен быть хотя бы один пользователь, которому назначена роль владельца на уровне подписки без условий, чтобы избежать потери доступа к подписке. Владелец подписки имеет те же права доступа, что и администратор служб.

Шаг 1. Просмотрите текущих администраторов служб

Войдите на портал Azure в качестве владельца подписки.
Используйте портал Azure или Azure Resource Graph, чтобы получить список ваших администраторов служб.
Просмотрите журналы входа для ваших администраторов служб, чтобы оценить, являются ли они активными пользователями.

Шаг 2. Проверьте текущих владельцев вашей учетной записи для выставления счетов

Пользователь, которому назначена роль администратора служб, может быть тем же пользователем, который является администратором вашей учетной записи для выставления счетов. Вам следует проверить текущих владельцев вашей учетной записи для выставления счетов, чтобы убедиться, что информация по-прежнему актуальна.

Используйте портал Azure, чтобы получить перечень владельцев учетной записи выставления счетов.
Просмотрите список владельцев учетных записей выставления счетов. При необходимости обновите или добавьте другого владельца учетной записи выставления счетов.

Шаг 3. Преобразование роли администратора службы в роль владельца

Администратором службы может быть учетная запись Microsoft или учетная запись Microsoft Entra. Учетная запись Microsoft — это личная учетная запись, например Outlook, OneDrive, Xbox LIVE или Microsoft 365. Учетная запись Microsoft Entra — это удостоверение, созданное с помощью идентификатора Microsoft Entra ID.

Если пользователь с ролью администратора служб является учетной записью Microsoft и вы хотите, чтобы этот пользователь сохранил те же права доступа, преобразуйте роль администратора служб в роль владельца.
Если пользователь с ролью администратора служб является учетной записью Microsoft Entra и вы хотите, чтобы этот пользователь сохранил те же права доступа, преобразуйте роль администратора служб в роль владельца.
Если вы хотите изменить пользователя администратора службы на другого пользователя, назначьте роль владельца этому новому пользователю в области подписки без условий. Затем удалите администратора служб.

Преобразование роли администратора службы в роль владельца

Самый простой способ преобразовать назначение роли администратора службы в роль владельца в области подписки — использовать действия по исправлению .

Войдите на портал Azure в качестве владельца подписки.
Откройте раздел Подписки и выберите нужную подписку.
Выберите Управление доступом (IAM) .
Перейдите на вкладку Классические администраторы, чтобы просмотреть администратора службы.
Для администратора службы в столбце Исправление выберите ссылку Назначение роли RBAC.
В области Добавления ролей просмотрите назначение роли.
Выберите "Проверка и назначение" для назначения роли владельца и удаления назначения роли администратора службы.

Как удалить роль администратора служб