我们所有订阅继承的根用户访问管理员被分配给了一位前员工的帐户。我们保留该帐户,以便我们可以根据需要继续进行更改,但这不是理想的设置。我们有什么办法可以删除该帐户/重新分配这些权限吗?或者我们永远被困在那个前员工帐户中(即使我们聘请的 Azure 顾问也无法更改它)...
答案1
有几个术语:
- Azure AD 租户 (something.onmicrosoft.com) 是所有用户的目录。在属性中,您可以设置所有具有“全局管理员”角色的用户都有权访问所有 Azure 订阅。
- Azure 订阅,有用户所有者,可以使用 portal.azure.com 或通过支持票证进行更改。通常是来自负责项目/付款的组织(Azure AD 租户)的用户。
您可以在 Azure AD 租户中添加其他用户(免费),并提供对 Azure 订阅或资源组的访问权限(使用 IAM)
答案2
您可以通过以旧用户身份登录、转到 Azure 门户、Azure Active Directory 来删除它。
Properties然后在左侧菜单中 选择屏幕。https://portal.azure.com/#view/Microsoft_AAD_IAM/ActiveDirectoryMenuBlade/~/Properties
底部的是/否用于 Azure 资源的访问管理,这将控制用户访问管理员。
自动化
通过 Powershell 或 CLI,您还可以将其作为全局管理员删除,并激活用户访问管理员角色(需要根级别 Azure 订阅访问权限):
az role assignment delete --assignee "[email protected]" --role "User Access Administrator" --scope "/"
或者 AZ CLI:
az role assignment delete --assignee [email protected] --role "User Access Administrator" --scope "/"
背景信息
用户访问管理员是一个临时解决方案,用于获取与同一 Azure Active Directory 绑定的 Azure 订阅的访问权限。
全局管理员是唯一被允许这样做的人,获得访问权限后,可以将新的/直接权限应用于 Azure 订阅,之后需要再次禁用用户访问管理员角色。(最小特权原则)
无法通过这种方式解决对绑定到不同 Azure AD 的订阅的访问。