Azure 全局管理员无法(禁用)在 "Access Control(IAM)" 下添加角色
Azure global admin cannot(disabled) add roles under "Access Control(IAM)"
我像这样在 Privileged Identity Management 中激活了我的全局管理员角色
当我导航到订阅下的“访问控制”边栏选项卡时,我看到“添加角色分配”选项被禁用。
难道全局管理员没有全局权限,可以这样做吗?
谢谢
Doesn't global admin has global rights and can do this?
没有。你是 Azure AD 的全局管理员,因此你可以在 Azure AD 中执行所有操作。 Azure AD 角色不同于 Azure 订阅角色。
要能够在 Azure 订阅中执行 IAM 相关活动,您必须在该 Azure 订阅中分配 Owner 或 User Access Administrator 角色。
考虑到您是 Azure AD 中的全局管理员,您可以提升您的权限以在 Azure 订阅中执行 IAM 活动。请参阅此 link 了解更多详情:https://docs.microsoft.com/en-us/azure/role-based-access-control/elevate-access-global-admin.
其他选择是让您团队中具有 Azure 订阅适当访问权限的人为您分配 Owner 或 User Access Administrator 角色。
Azure 角色恰好不同于 Azure AD 角色。
默认情况下,AD 角色管理 AD,azure 角色管理 azure 资源。但是,有一些交叉角色可以在需要时跨角色访问资源。更多信息 here
由于全局管理员是一个跨服务角色,他可以通过授予自己用户访问管理员角色作为here来提升自己。然后我能够看到禁用的选项,启用。
我像这样在 Privileged Identity Management 中激活了我的全局管理员角色
当我导航到订阅下的“访问控制”边栏选项卡时,我看到“添加角色分配”选项被禁用。
难道全局管理员没有全局权限,可以这样做吗?
谢谢
Doesn't global admin has global rights and can do this?
没有。你是 Azure AD 的全局管理员,因此你可以在 Azure AD 中执行所有操作。 Azure AD 角色不同于 Azure 订阅角色。
要能够在 Azure 订阅中执行 IAM 相关活动,您必须在该 Azure 订阅中分配 Owner 或 User Access Administrator 角色。
考虑到您是 Azure AD 中的全局管理员,您可以提升您的权限以在 Azure 订阅中执行 IAM 活动。请参阅此 link 了解更多详情:https://docs.microsoft.com/en-us/azure/role-based-access-control/elevate-access-global-admin.
其他选择是让您团队中具有 Azure 订阅适当访问权限的人为您分配 Owner 或 User Access Administrator 角色。
Azure 角色恰好不同于 Azure AD 角色。
默认情况下,AD 角色管理 AD,azure 角色管理 azure 资源。但是,有一些交叉角色可以在需要时跨角色访问资源。更多信息 here
由于全局管理员是一个跨服务角色,他可以通过授予自己用户访问管理员角色作为here来提升自己。然后我能够看到禁用的选项,启用。