Azure 经典订阅管理员
重要
经典资源和经典管理员将于 2024 年 8 月 31 日停用。 从 2024 年 4 月 3 日开始,无法添加新的共同管理员。 此日期最近已延长。 删除不必要的共同管理员,并使用 Azure RBAC 进行精细访问控制。
Microsoft 建议使用 Azure 基于角色的访问控制 (Azure RBAC) 来管理对 Azure 资源的访问。 但是,如果你在使用经典部署模型,则需要使用经典订阅管理员角色:服务管理员和共同管理员。 有关如何将资源从经典部署迁移到资源管理器部署的信息,请参阅 Azure 资源管理器和经典部署。
本文介绍了如何为共同管理员和服务管理员角色的停用做好准备,以及如何删除或更改这些角色分配。
常见问题解答
共同管理员和服务管理员是否会在 2024 年 8 月 31 日之后失去访问权限?
- 从 2024 年 8 月 31 日起,Microsoft 将开始删除共同管理员和服务管理员的访问权限。
应为共同管理员分配哪些等效的 Azure 角色?
应为服务管理员分配哪些等效的 Azure 角色?
- 订阅范围内的所有者角色具有等效的访问权限。
如果我非常依赖共同管理员或服务管理员,该怎么办?
- 向 ACARDeprecation@microsoft.com 发送电子邮件并描述你的情况。
为共同管理员的停用做好准备
按照以下步骤帮助你为共同管理员角色的停用做好准备。
步骤 1:查看当前的共同管理员
使用 Azure 门户获取共同管理员的列表。
查看共同管理员登录日志,评估他们是否为活动用户。
步骤 2:删除不再需要访问权限的共同管理员
如果用户已离开你的企业,请删除共同管理员。
如果用户已被删除,但未删除其共同管理员分配,请删除共同管理员。
已删除的用户通常显示“(在此目录中找不到此用户)”文本。
查看用户的活动后,如果用户不再处于活动状态,请删除共同管理员。
步骤 3:将现有的共同管理员替换为工作职能角色
大多数用户不需要具有与共同管理员相同的权限。 请转而考虑工作职能角色。
如果用户仍然需要一些访问权限,请确定他们需要的适当工作职能角色。
确定用户所需的范围。
按照步骤向用户分配工作职能角色。
步骤 4:将现有的共同管理员替换为所有者角色和条件
一些用户需要的访问权限可能比工作职能角色能提供的要多。 如果必须分配所有者角色,请考虑添加条件来限制角色分配。
为服务管理员角色的停用做好准备
按照以下步骤帮助你为服务管理员角色的停用做好准备。 要删除服务管理员,必须在订阅范围不带条件地向至少一名用户分配所有者角色,以避免孤立该订阅。 订阅所有者具有与服务管理员相同的访问权限。
步骤 1:查看当前的服务管理员
步骤 2:查看当前的计费帐户所有者
分配有服务管理员角色的用户也可能是与计费帐户的管理员相同的用户。 应查看当前的计费帐户所有者,以确保他们仍然准确。
使用 Azure 门户获取计费帐户所有者。
查看计费帐户所有者列表。 如有必要,请更新或添加另一个计费帐户所有者。
步骤 3:将现有服务管理员替换为所有者角色
服务管理员可能是 Microsoft 帐户或 Microsoft Entra 帐户。 Microsoft 帐户是个人帐户,例如 Outlook、OneDrive、Xbox LIVE 或 Microsoft 365。 Microsoft Entra 帐户是通过 Microsoft Entra ID 创建的标识。
如果服务管理员用户是 Microsoft 帐户,并且你希望此用户保留相同的权限,请无条件地将所有者角色分配给此用户。
如果服务管理员用户是 Microsoft Entra 帐户,并且你希望此用户保留相同的权限,请无条件地将所有者角色分配给此用户。
如果要将服务管理员用户更改为其他用户,请无条件地在订阅范围内将所有者角色分配给新用户。
查看经典管理员
按照这些步骤,使用 Azure 门户查看订阅的服务管理员和共同管理员。
删除共同管理员
重要
经典资源和经典管理员将于 2024 年 8 月 31 日停用。 从 2024 年 4 月 3 日开始,无法添加新的共同管理员。 此日期最近已延长。 删除不必要的共同管理员,并使用 Azure RBAC 进行精细访问控制。
按照以下步骤删除共同管理员。
打开订阅并选择一个订阅。
选择“访问控制(IAM)”。
选择“经典管理员”选项卡以查看共同管理员列表。
勾选要删除的共同管理员。
选择“删除” 。
在出现的消息框中选择“是”。
添加共同管理员
重要
经典资源和经典管理员将于 2024 年 8 月 31 日停用。 从 2024 年 4 月 3 日开始,无法添加新的共同管理员。 此日期最近已延长。 删除不必要的共同管理员,并使用 Azure RBAC 进行精细访问控制。
如果用户需要使用 Azure 服务管理 PowerShell 模块管理 Azure 经典部署,则你只需添加共同管理员。 如果用户只使用 Azure 门户管理经典资源,则无需为该用户添加经典管理员。
打开订阅并选择一个订阅。
只能在订阅范围分配共同管理员。
选择“访问控制(IAM)”。
选择“经典管理员”选项卡。
选择“添加”>“添加共同管理员”打开“添加共同管理员”窗格 。
如果已禁用添加共同管理员选项,则你没有权限。
选择要添加的用户,然后选择“添加”。
将来宾用户添加为共同管理员
要将来宾用户添加为共同管理员,请按照上一部分添加共同管理员中的步骤操作。 来宾用户必须满足以下条件:
- 来宾用户必须存在于你的目录中。 这意味着你邀请了用户加入目录,并且该用户接受了邀请。
要详细了解如何将来宾用户添加到目录,请参阅在 Azure 门户中添加 Microsoft Entra B2B 协作用户。
从目录中移除来宾用户之前,应该先删除该来宾用户的所有角色分配。 有关详细信息,请参阅从目录中移除外部用户。
来宾用户的差异
与具有“共同管理员”角色的成员用户相比,已分配“共同管理员”角色的来宾用户可能会看到一些差异。 假设出现了下面这种情景:
- 具有 Microsoft Entra 帐户(工作或学校帐户)的用户 A 是 Azure 订阅的服务管理员。
- 用户 B 是 Microsoft 帐户。
- 用户 A 向用户 B 分配共同管理员角色。
- 用户 B 几乎可以执行所有操作,但无法注册应用程序或查找 Microsoft Entra 目录中的用户。
你希望用户 B 可以管理所有内容。 此区别的原因在于,Microsoft 帐户作为来宾用户(而不是成员用户)添加到订阅。 与成员用户相比,来宾用户在 Microsoft Entra 中具有不同的默认权限。 例如,成员用户可以在 Microsoft Entra 中读取其他用户,而来宾用户不能。 成员用户可以在 Microsoft Entra 中注册新的服务主体,而来宾用户不能。
如果来宾用户需要能够执行这些任务,则可能的解决方案是分配来宾用户所需的特定 Microsoft Entra 角色。 例如,在上一方案中,你可以分配目录读取者角色以便读取其他用户,并分配应用程序开发人员角色以便能够创建服务主体。 有关成员和来宾用户及其权限的详细信息,请参阅 Microsoft Entra ID 中的默认用户权限是什么? 若要详细了解如何为来宾用户授予访问权限,请参阅使用 Azure 门户向外部用户分配 Azure 角色。
请注意,Azure 内置角色 不同于 Microsoft Entra 角色。 内置角色不授予对 Microsoft Entra ID 的任何访问权限。 有关详细信息,请参阅了解不同角色。
有关比较成员用户和来宾用户的信息,请参阅 Microsoft Entra ID 中的默认用户权限是什么?
更改服务管理员
只有帐户管理员可以更改订阅的服务管理员。 默认情况下,当你注册 Azure 订阅时,服务管理员即是帐户管理员。
具有帐户管理员角色的用户可以访问Azure 门户和管理计费,但不能取消订阅。 具有服务管理员角色的用户拥有 Azure 门户的完全访问权限,可以取消订阅。 帐户管理员可以使自己成为服务管理员。
请按照这些步骤在 Azure 门户中更改服务管理员。
以帐户管理员身份登录到 Azure 门户。
打开“成本管理 + 计费”,并选择一个订阅。
在左侧导航中,选择“属性”。
选择“更改服务管理员”。
在“编辑服务管理员”页中,输入新服务管理员的电子邮件地址。
选择“确定”,保存更改。
删除服务管理员
若要删除服务管理员,必须在订阅范围不带条件地向用户分配所有者角色,以避免孤立该订阅。 订阅所有者具有与服务管理员相同的访问权限。
