本文帮助您配置 Azure 订阅策略,以控制 Azure 订阅在目录之间的移动。 这两个策略的默认行为设置为 “允许所有人”。 请注意,“允许所有人”设置允许所有授权用户,包括订阅中已授权的来宾用户,能够进行转移操作。 这并不意味着所有目录用户。
先决条件
- 只有目录 全局管理员可以 编辑订阅策略。 在编辑订阅策略之前,全局管理员必须 提升访问权限才能管理所有 Azure 订阅和管理组。 然后,他们可以编辑订阅策略。
- 所有其他用户只能读取当前策略设置。
- 传入或传出目录的订阅必须与计费租户保持关联,以确保计费正确进行。
可用的订阅策略设置
使用以下策略设置来控制 Azure 订阅在目录之间的转移和迁移。
离开 Microsoft Entra ID 目录的订阅
该策略允许或阻止用户将订阅移出当前目录。 订阅所有者 可以 更改 Azure 订阅的目录 ,或使用 Azure 门户和 API 上提供的转移功能,将其添加到其成员所在的另一个目录。 全局管理员可以允许或禁止目录用户更改目录或转移订阅。
- 如果不希望将订阅从目录中转移,请将此策略设置为 “不允许任何人 ”。 此策略适用于所有已授权订阅用户,包括目录的授权来宾用户。
- 如果希望所有授权用户(包括已授权的来宾用户)能够将订阅从目录中转移出去,请将此策略设置为 “允许所有人 ”。
进入 Microsoft Entra ID 目录的订阅
该策略允许或阻止其他目录中具有访问权限的用户将订阅移动到当前目录中。 订阅所有者 可以 更改 Azure 订阅的目录 ,或将其转移到其成员所在的另一个目录。 全局管理员可以允许或禁止目录用户转移这些订阅。
- 如果不希望将订阅转移到目录中,请将此策略设置为 “不允许任何人”。 此策略适用于所有授权用户,包括目录的授权来宾用户。
- 如果希望所有授权用户(包括目录中的授权来宾用户)能够将订阅传输到目录中,请将此策略设置为 “允许所有人 ”。
豁免用户
出于治理原因,全局管理员可以阻止所有订阅目录的移入或移出当前目录。 但是,他们可能希望允许特定用户执行这两项作。 对于这两种情况,他们都可以配置豁免用户列表,以便这些用户绕过应用于其他人的所有策略设置。
重要说明
目录中的授权用户(包括来宾用户)可以在具有计费权限的另一个目录中创建 Azure 订阅,然后将这些订阅传输到 Entra ID 目录中。 如果不想允许此作,应设置以下一个或两个策略:
- 离开 Entra ID 目录的订阅应设置为 “不允许任何人”。
- 输入 Entra ID 目录的订阅应设置为 “不允许任何人”。
设置订阅策略
- 登录到 Azure 门户。
- 导航到“订阅”。
管理策略 显示在命令栏上。
- 选择“ 管理策略 ”以查看有关为目录设置的当前订阅策略的详细信息。 具有 提升权限 的全局管理员可以对设置进行编辑,包括添加或删除免除的用户。
- 选择底部的 “保存更改 ”以保存更改。 这些更改会立即生效。
阅读订阅政策
非全局管理员仍可导航到订阅策略区域以查看目录的策略设置。 他们无法进行任何编辑。 出于隐私原因,他们看不到豁免用户列表。 只要目录设置允许更改,他们就可以查看其全局管理员以提交策略更改请求。
后续步骤
- 阅读 成本管理 + 计费文档