管理 Azure 订阅策略
本文可帮助你为订阅操作配置 Azure 订阅策略,以便在将 Azure 订阅移入和移出目录时进行控制。
先决条件
- 只有目录全局管理员可以编辑订阅策略。 在编辑订阅策略之前,全局管理员必须先提升访问权限以管理所有 Azure 订阅和管理组。 然后才能编辑订阅策略。
- 其他所有用户只能读取当前的策略设置。
可用的订阅策略设置
将 Azure 订阅移入和移出目录时,请使用以下策略设置来进行控制。
离开 Microsoft Entra ID 目录的订阅
此策略允许或阻止用户将订阅移出当前目录。 订阅所有者可将 Azure 订阅的目录更改为他们在其中拥有成员身份的其他目录。 这会带来治理挑战,因此全局管理员可允许或禁止目录用户更改目录。
进入 Microsoft Entra ID 目录的订阅
此策略允许或阻止对当前目录具有访问权限的其他目录中的用户将订阅移入当前目录。 订阅所有者可将 Azure 订阅的目录更改为他们在其中拥有成员身份的其他目录。 这会带来治理挑战,因此全局管理员可允许或禁止目录用户更改目录。
豁免用户
为了便于治理,全局管理员可阻止将所有订阅目录移入或移出当前目录。 不过,他们可能想要允许特定用户执行移入或移出操作。 无论是哪种情况,都可配置豁免用户列表,使这些用户能够绕过应用于其他所有用户的策略设置。
设置订阅策略
- 登录 Azure 门户。
- 导航到“订阅”。 “管理策略”显示在命令栏上。
- 选择“管理策略”,查看当前为目录设置的订阅策略的详细信息。 具有提升权限的全局管理员可以编辑设置,包括添加或删除豁免用户。
- 选择底部的“保存更改”,以保存更改。 更改将立即生效。
读取订阅策略
非全局管理员仍可导航到“订阅策略”区域来查看目录的策略设置。 他们不能进行任何编辑。 出于隐私原因,他们无法查看豁免用户的列表。 只要目录设置允许,他们就可查看其全局管理员,以提交策略更改请求。