51CTO 博客地址: https://blog.51cto.com/14669127
Azure培训视频地址: https://space.bilibili.com/2000820534
我们都知道一些 Azure 虚拟桌面过程(例如在主 VHD 映像上安装 Office)假定对 VM 具有提升的访问权限,无论它 是在 Azure 还是 Hyper-V 管理器中预配的。
Azure Active Directory (Azure AD) 中的全局管理员不一定对目录中的所有订阅和管理组拥有访问权限,所以需要提升访问权限,那么其工作原理是什么呢?
Azure AD 和 Azure 资源彼此独立保护。 Azure AD 角色分配不授予对 Azure 资源的访问权限,Azure 角色分配也不授予对 Azure AD 的访问权 限。但是,如果你是 Azure AD 中的全局管理员,则可为自己分配对目录中所有 Azure 订阅和管理组的访 问权限。如果你没有对 Azure 订阅资源的访问权限,请使用此功能。例如,对于虚拟机或存储帐户,你需要使用全局管理员权限来获取对这些资源的访问权限。 提升访问权限时,将分配到 Azure 中根范围 (/) 的用户访问管理员角色。此角色可查看所有资源,并且可用于分配目录中任何订阅或管理组中的访问权限。可以使用 Azure PowerShell、Azure CLI 或 REST API 删除用户访问管理员角色分配。
注意:完成需在根范围执行的更改后,应删除此提升的访问权限。
提升全局管理员的访问权限的具体操作步骤如下所示:
- 以全局管理员身份登录到 Azure 门户或 Azure Active Directory 管理中心。
- 打开“Azure Active Directory”。
- 在“管理”下,选择“属性“
- 在“Azure 资源的访问管理”下,将开关设置为“是”。
- 单击“保存”,保存设置,此设置不是全局属性,仅适用于当前已登录的用户。无法提升所有全局管理员角色成员的访问权限
- 注销然后重新登录可以刷新访问权限。
谢谢大家阅读。
标签:AD,访问,管理员,Azure,全局,权限,Microsoft From: https://blog.51cto.com/u_14669127/5967467