Azure Active Directory (Azure AD) 中的全局管理员不一定对目录中的所有订阅和管理组拥有访问权限。 本文介绍如何自我提升对所有订阅和管理组的访问权限。
备注
如果有兴趣查看或删除个人数据,请参阅 GDPR 的 Azure 数据使用者请求一文。 如需关于 GDPR 的常规信息,请参阅服务信任门户的 GDPR 部分。
为何需要提升访问权限?
全局管理员有时可能需要执行以下操作:
- 在用户失去访问权限时重新获取对 Azure 订阅或管理组的访问权限
- 授予其他用户或自己对 Azure 订阅或管理组的访问权限
- 查看组织中的所有 Azure 订阅或管理组
- 允许自动化应用(例如发票或审计应用)访问所有 Azure 订阅或管理组
提升访问权限的工作原理是什么?
Azure AD 和 Azure 资源彼此独立保护。 也就是说,Azure AD 角色分配不授予对 Azure 资源的访问权限,Azure 角色分配页不授予对 Azure AD 的访问权限。 但是,Azure AD 中的全局管理员可为自己分配对目录中所有 Azure 订阅和管理组的访问权限。 如果无权访问 Azure 订阅资源(如虚拟机或存储帐户),并且想使用全局管理员权限来获取这些资源的访问权限,则请使用此功能。
提升访问权限时,将分配到 Azure 中根范围 (/) 的用户访问管理员角色。 此角色可查看所有资源,并且可用于分配目录中任何订阅或管理组中的访问权限。 可以使用 PowerShell 删除用户访问管理员角色分配。
完成需在根范围执行的更改后,应删除此提升的访问权限。
Azure 门户
请按照这些步骤,使用 Azure 门户为全局管理员提升访问权限。
-
以全局管理员身份登录到 Azure 门户 或 Azure Active Directory 管理中心。
-
在导航列表中,单击“Azure Active Directory”,然后单击“属性”。
-
在“Azure 资源的访问管理”下,将开关设置为“是”。
将开关设为“是”时,你将分配到 Azure RBAC 中根范围 (/) 的用户访问管理员角色。 这将授予你在与此 Azure AD 目录关联的所有 Azure 订阅和管理组中分配角色的权限。 此开关仅适用于分配到 Azure AD 中全局管理员角色的用户。
将开关设为“否”时,会从用户帐户中删除 Azure RBAC 中的用户访问管理员角色。 将无法再分配在与此 Azure AD 目录关联的所有 Azure 订阅和管理组中的角色。 只能查看和管理已获取访问权限的 Azure 订阅和管理组。
-
单击“保存”,保存设置。
此设置不是全局属性,仅适用于当前已登录的用户。 无法提升所有全局管理员角色成员的访问权限。
-
注销然后重新登录可以刷新访问权限。
现在,你应该有权访问目录中的所有订阅和管理组。 你会注意到,系统为你分配了根范围的“用户访问管理员”角色。
-
以提升的访问权限做出所需的更改。
有关如何分配角色的信息,请参阅使用 RBAC 和 Azure 门户管理访问权限。 如果使用 Azure AD Privileged Identity Management (PIM),请参阅在 PIM 中发现要管理的 Azure 资源或在 PIM 中分配 Azure 资源角色。
-
完成后,将“Azure 资源的访问管理”切换回到“否”。 由于此设置特定于用户,因此,必须以提升访问权限时所用的同一用户登录。
-