Azure 经典订阅管理员

重要

截至 2024 年 8 月 31 日,Azure 经典管理员角色(以及 Azure 经典资源和 Azure 服务管理器)已停用,不再受支持。 如果仍有活动状态的共同管理员或服务管理员角色分配,请立即将这些角色分配转换为 Azure RBAC。

Microsoft 建议使用 Azure 基于角色的访问控制 (Azure RBAC) 来管理对 Azure 资源的访问。 如果仍在使用经典部署模型,则需要将资源从经典部署迁移到资源管理器部署。 有关详细信息,请参阅 Azure 资源管理器与经典部署

本文介绍共同管理员和服务管理员角色的停用以及如何转换这些角色分配。

常见问题解答

2024 年 8 月 31 日之后,经典管理员角色分配会发生什么情况?

  • 共同管理员和服务管理员角色已停用,不再受支持。 应立即将这些角色分配转换为 Azure RBAC。

如何知道哪些订阅具有经典管理员?

  • 可以使用 Azure Resource Graph 查询列出具有服务管理员或共同管理员角色分配的订阅。 有关步骤,请参阅列出经典管理员

应为共同管理员分配哪些等效的 Azure 角色?

  • 订阅范围内的所有者角色具有等效的访问权限。 但是,所有者是特权管理员角色,可授予管理 Azure 资源的完全访问权限。 应考虑权限更少的工作职能角色、缩小范围或添加条件。

应为服务管理员分配哪些等效的 Azure 角色?

  • 订阅范围内的所有者角色具有等效的访问权限。

为什么需要迁移到 Azure RBAC?

  • Azure RBAC 可提供精细的访问控制、与 Microsoft Entra Privileged Identity Management (PIM) 的兼容性以及完整的审核日志支持。 所有未来的投资都将用于 Azure RBAC。

帐户管理员角色会如何呢?

  • 帐户管理员是计费帐户的主要用户。 帐户管理员未弃用,因此无需转换此类角色分配。 帐户管理员和服务管理员可能是同一个用户。 但是,只需转换服务管理员角色分配。

如果失去对订阅的访问权限,该怎么办?

  • 在移除经典管理员时,必须至少拥有一个订阅“所有者”角色分配,否则你将失去对订阅的访问权限,订阅将成为孤立订阅。 若要重新获得对订阅的访问权限,可以执行以下操作:

如果我非常依赖共同管理员或服务管理员,该怎么办?

  • 向 ACARDeprecation@microsoft.com 发送电子邮件并描述你的情况。

列出经典管理员

按照以下步骤,使用 Microsoft Azure 门户列出订阅的服务管理员和共同管理员。

  1. 以订阅所有者的身份登录到 Azure 门户

  2. 打开订阅并选择一个订阅。

  3. 选择“访问控制(IAM)”

  4. 选择“经典管理员”选项卡以查看共同管理员列表。

    访问控制 (IAM) 页的屏幕截图,其中选择了“经典管理员”选项卡。

共同管理员停用

如果仍具有经典管理员,请执行以下步骤来帮助你转换共同管理员角色分配。

步骤 1:查看当前的共同管理员

  1. 以订阅所有者的身份登录到 Azure 门户

  2. 使用 Microsoft Azure 门户或 Azure Resource Graph 获取共同管理员的列表

  3. 查看共同管理员登录日志,评估他们是否为活动用户。

步骤 2:删除不再需要访问权限的共同管理员

  1. 如果用户已离开你的企业,请删除共同管理员

  2. 如果用户已被删除,但未删除其共同管理员分配,请删除共同管理员

    已删除的用户通常显示“(在此目录中找不到此用户)”文本。

    未在目录中找到且具有共同管理员角色的用户的屏幕截图。

  3. 查看用户的活动后,如果用户不再处于活动状态,请删除共同管理员

步骤 3:将共同管理员转换为工作职能角色

大多数用户不需要具有与共同管理员相同的权限。 请转而考虑工作职能角色。

  1. 如果用户仍然需要一些访问权限,请确定他们需要的适当工作职能角色

  2. 确定用户所需的范围

  3. 按照步骤向用户分配工作职能角色

  4. 删除共同管理员

步骤 4:将共同管理员转换为带有条件的所有者角色

一些用户需要的访问权限可能比工作职能角色能提供的要多。 如果必须分配所有者角色,请考虑添加条件或使用 Microsoft Entra Privileged Identity Management (PIM) 来约束角色分配。

  1. 分配带有条件的所有者角色。

    例如,分配带有条件的订阅级所有者角色。 如果你使用 PIM,请确保用户满足获得“所有者”角色分配的条件

  2. 删除共同管理员

步骤 5:将共同管理员转换为所有者角色

如果用户必须是订阅的管理员,请在订阅范围内分配所有者角色。

如何将共同管理员转换为所有者角色

在订阅范围内将共同管理员角色分配转换为所有者角色的最简单方法是使用“修正”步骤。

  1. 以订阅所有者的身份登录到 Azure 门户

  2. 打开订阅并选择一个订阅。

  3. 选择“访问控制(IAM)”

  4. 选择“经典管理员”选项卡以查看共同管理员列表。

  5. 对于要转换为所有者角色的共同管理员,请在“修正”列下选择“分配 RBAC 角色”链接。

  6. 在“添加角色分配”窗格中,查看角色分配。

    该屏幕截图显示了选择“分配 RBAC 角色”链接后出现的“添加角色分配”窗格。

  7. 选择“查看 + 分配”以分配所有者角色并删除共同管理员角色分配。

如何移除共同管理员

按照以下步骤删除共同管理员。

  1. 以订阅所有者的身份登录到 Azure 门户

  2. 打开订阅并选择一个订阅。

  3. 选择“访问控制(IAM)”

  4. 选择“经典管理员”选项卡以查看共同管理员列表。

  5. 勾选要删除的共同管理员。

  6. 选择“删除”

  7. 在出现的消息框中选择“是”

    删除共同管理员时消息框的屏幕截图。

服务管理员停用

如果仍具有经典管理员,请执行以下步骤来帮助你转换服务管理员角色分配。 在移除服务管理员之前,必须在订阅范围不带条件地向至少一名用户分配所有者角色,以避免孤立该订阅。 订阅所有者具有与服务管理员相同的访问权限。

步骤 1:查看当前的服务管理员

  1. 以订阅所有者的身份登录到 Azure 门户

  2. 使用 Microsoft Azure 门户或 Azure Resource Graph 获取服务管理员的列表

  3. 查看服务管理员登录日志,评估他们是否为活动用户。

步骤 2:查看当前的计费帐户所有者

分配有服务管理员角色的用户也可能是与计费帐户的管理员相同的用户。 应查看当前的计费帐户所有者,以确保他们仍然准确。

  1. 使用 Azure 门户获取计费帐户所有者

  2. 查看计费帐户所有者列表。 如有必要,请更新或添加另一个计费帐户所有者

步骤 3:将服务管理员转换为所有者角色

服务管理员可能是 Microsoft 帐户或 Microsoft Entra 帐户。 Microsoft 帐户是个人帐户,例如 Outlook、OneDrive、Xbox LIVE 或 Microsoft 365。 Microsoft Entra 帐户是通过 Microsoft Entra ID 创建的标识。

  1. 如果服务管理员用户是 Microsoft 帐户,并且你希望此用户保留相同的权限,请将服务管理员转换为所有者角色

  2. 如果服务管理员用户是 Microsoft Entra 帐户,并且你希望此用户保留相同的权限,请将服务管理员转换为所有者角色

  3. 如果要将服务管理员用户更改为其他用户,请无条件地在订阅范围内将所有者角色分配给新用户。 然后,移除服务管理员

如何将服务管理员转换为所有者角色

将服务管理员角色分配转换为订阅范围内的所有者角色的最简单方法是使用“修正”步骤。

  1. 以订阅所有者的身份登录到 Azure 门户

  2. 打开订阅并选择一个订阅。

  3. 选择“访问控制(IAM)”

  4. 选择“经典管理员”选项卡以查看服务管理员。

  5. 对于服务管理员,请在“修正”列下选择“分配 RBAC 角色”链接。

  6. 在“添加角色分配”窗格中,查看角色分配。

    该屏幕截图显示了选择“分配 RBAC 角色”链接后出现的“添加角色分配”窗格。

  7. 选择“查看 + 分配”以分配所有者角色并删除服务管理员角色分配。

如何移除服务管理员

重要

若要删除服务管理员,必须在订阅范围不带条件地向用户分配所有者角色,以避免孤立该订阅。 订阅所有者具有与服务管理员相同的访问权限。

  1. 以订阅所有者的身份登录到 Azure 门户

  2. 打开订阅并选择一个订阅。

  3. 选择“访问控制(IAM)”

  4. 选择“经典管理员”选项卡。

  5. 勾选服务管理员。

  6. 选择“删除”

  7. 在出现的消息框中选择“是”

    删除服务管理员时删除经典管理员消息的屏幕截图。

后续步骤