Azure 经典订阅管理员

Microsoft 建议使用 Azure 基于角色的访问控制 (Azure RBAC) 来管理对 Azure 资源的访问。 但是,如果你仍在使用经典部署模型,则需要使用经典订阅管理员角色:服务管理员和共同管理员。 有关详细信息,请参阅 Azure 资源管理器与经典部署

本文介绍如何添加或更改共同管理员和服务管理员角色,以及如何查看帐户管理员。

添加共同管理员

提示

如果用户需要使用 Azure 服务管理 PowerShell 模块管理 Azure 经典部署,则你只需添加共同管理员。 如果用户只使用 Azure 门户管理经典资源,则无需为该用户添加经典管理员。

  1. 以服务管理员或共同管理员的身份登录到 Azure 门户

  2. 打开订阅并选择一个订阅。

    只能在订阅范围分配共同管理员。

  3. 单击“访问控制(IAM)”。

  4. 单击“经典管理员”选项卡。

    Screenshot that opens Classic administrators

  5. 单击“添加”>“添加共同管理员”打开“添加共同管理员”窗格。

    如果“添加共同管理员”选项已禁用,则表示你没有相应的权限。

  6. 选择要添加的用户,然后单击“添加”。

    Screenshot that adds co-administrator

将来宾用户添加为共同管理员

要将来宾用户添加为共同管理员,请按照上一部分添加共同管理员中的步骤操作。 来宾用户必须满足以下条件:

  • 来宾用户必须存在于你的目录中。 这意味着你邀请了用户加入目录,并且该用户接受了邀请。

要详细了解如何将来宾用户添加到目录,请参阅在 Azure 门户中添加 Azure Active Directory B2B 协作用户

来宾用户的差异

与具有“共同管理员”角色的成员用户相比,已分配“共同管理员”角色的来宾用户可能会看到一些差异。 假设出现了下面这种情景:

  • 具有 Azure AD 帐户(工作或学校帐户)的用户 A 是 Azure 订阅的服务管理员。
  • 用户 B 是 Microsoft 帐户。
  • 用户 A 向用户 B 分配共同管理员角色。
  • 用户 B 几乎可以执行所有操作,但无法注册应用程序或查找 Azure AD 目录中的用户。

你希望用户 B 可以管理所有内容。 此区别的原因在于,Microsoft 帐户作为来宾用户(而不是成员用户)添加到订阅。 与成员用户相比,来宾用户在 Azure AD 中具有不同的默认权限。 例如,成员用户可以在 Azure AD 中读取其他用户,而来宾用户不能。 成员用户可以在 Azure AD 中注册新的服务主体,而来宾用户不能。

如果来宾用户需要能够执行这些任务,则可能的解决方案是分配来宾用户所需的特定 Azure AD 角色。 例如,在上一方案中,你可以分配目录读取者角色以便读取其他用户,并分配应用程序开发人员角色以便能够创建服务主体。 有关成员和来宾用户及其权限的详细信息,请参阅 Azure Active Directory 中的默认用户权限是什么?。 有关为来宾用户授予访问权限的详细信息,请参阅使用 Azure 门户向外部来宾用户分配 Azure 角色

请注意,Azure 内置角色Azure AD 角色不同。 内置角色不授予对 Azure AD 的任何访问权限。 有关详细信息,请参阅了解不同角色

有关比较成员用户和来宾用户的信息,请参阅 Azure Active Directory 中的默认用户权限是什么?

删除共同管理员

  1. 以服务管理员或共同管理员的身份登录到 Azure 门户

  2. 打开订阅并选择一个订阅。

  3. 单击“访问控制(IAM)”。

  4. 单击“经典管理员”选项卡。

  5. 勾选要删除的共同管理员。

  6. 单击“删除”。

  7. 在出现的消息框中单击“是”。

    Screenshot that removes co-administrator

更改服务管理员

只有帐户管理员可以更改订阅的服务管理员。 默认情况下,当你注册 Azure 订阅时,服务管理员即是帐户管理员。

具有帐户管理员角色的用户可以访问Azure 门户和管理计费,但不能取消订阅。 具有服务管理员角色的用户拥有 Azure 门户的完全访问权限,可以取消订阅。 帐户管理员可以使自己成为服务管理员。

请按照这些步骤在 Azure 门户中更改服务管理员。

  1. 请查看服务管理员变更限制,确保自己的方案受支持。

  2. 以帐户管理员身份登录到 Azure 门户

  3. 打开“成本管理 + 计费”,并选择一个订阅。

  4. 在左侧导航栏中,单击“属性”。

  5. 单击“更改服务管理员”。

    Screenshot showing the subscription properties in the Azure portal

  6. 在“编辑服务管理员”页中,输入新服务管理员的电子邮件地址。

    Screenshot showing the Edit service admin page

  7. 单击 “确定” 保存更改。

服务管理员变更限制

每个 Azure 订阅只能有一个服务管理员。 根据帐户管理员是 Microsoft 帐户还是 Azure AD 帐户(工作或学校帐户),更改服务管理员的行为将有所不同。

帐户管理员帐户 是否可以将服务管理员更改为其他 Microsoft 帐户? 是否可以将服务管理员更改为同一目录中的 Azure AD 帐户? 是否可以将服务管理员更改为不同目录中的 Azure AD 帐户?
Microsoft 帐户
Azure AD 帐户

如果帐户管理员是 Azure AD 帐户,可以将服务管理员更改为同一目录中的 Azure AD 帐户,但不能更改为不同目录中的 Azure AD 帐户。 例如,abby@contoso.com 可以将服务管理员更改为 bob@contoso.com,但不能将服务管理员更改为 john@notcontoso.com,除非 john@notcontoso.com 在 contoso.com 目录中存在。

有关 Microsoft 帐户和 Azure AD 帐户的详细信息,请参阅什么是 Azure Active Directory?

删除服务管理员

例如,如果某位服务管理员不再在公司工作,你可能想要将其删除。 如果你删除了此服务管理员,则必须在订阅范围拥有一个分配有所有者角色的用户,以避免孤立订阅。 订阅所有者具有与服务管理员相同的访问权限。

  1. 以订阅所有者或共同管理员身份登录到 Azure 门户

  2. 打开订阅并选择一个订阅。

  3. 单击“访问控制(IAM)”。

  4. 单击“经典管理员”选项卡。

  5. 勾选服务管理员。

  6. 单击“删除”。

  7. 在出现的消息框中单击“是”。

    Screenshot that removes service administrator.

查看帐户管理员

帐户管理员是最初注册 Azure 订阅的用户,充当订阅的账单所有者。 若要更改订阅的账户管理员,请参阅将 Azure 订阅所有权转让给其他帐户

遵循以下步骤查看帐户管理员:

  1. 登录到 Azure 门户

  2. 打开“成本管理 + 计费”,并选择一个订阅。

  3. 在左侧导航栏中,单击“属性”。

    订阅的帐户管理员会显示在“帐户管理员”框中。

    Screenshot showing the Account Administrator

后续步骤