51CTO 博客地址:​ ​​​https://blog.51cto.com/14669127​

Azure培训视频地址:​ ​https://space.bilibili.com/2000820534

我们都知道一些 Azure 虚拟桌面过程(例如在主 VHD 映像上安装 Office)假定对 VM 具有提升的访问权限,无论它 是在 Azure 还是 Hyper-V 管理器中预配的。

Azure Active Directory (Azure AD) 中的全局管理员不一定对目录中的所有订阅和管理组拥有访问权限,所以需要提升访问权限,那么其工作原理是什么呢?

Azure AD 和 Azure 资源彼此独立保护。 Azure AD 角色分配不授予对 Azure 资源的访问权限,Azure 角色分配也不授予对 Azure AD 的访问权 限。但是,如果你是 Azure AD 中的全局管理员,则可为自己分配对目录中所有 Azure 订阅和管理组的访 问权限。如果你没有对 Azure 订阅资源的访问权限,请使用此功能。例如,对于虚拟机或存储帐户,你需要使用全局管理员权限来获取对这些资源的访问权限。 提升访问权限时,将分配到 Azure 中根范围 (/) 的用户访问管理员角色。此角色可查看所有资源,并且可用于分配目录中任何订阅或管理组中的访问权限。可以使用 Azure PowerShell、Azure CLI 或 REST API 删除用户访问管理员角色分配。

Microsoft Azure 解决方案:如何提升Azure AD全局管理员的访问权限_提升权限

注意:完成需在根范围执行的更改后,应删除此提升的访问权限。

提升全局管理员的访问权限的具体操作步骤如下所示:

  1. 以全局管理员身份登录到 Azure 门户或 Azure Active Directory 管理中心。
  2. 打开“Azure Active Directory”。
  3. 在“管理”下,选择“属性“

Microsoft Azure 解决方案:如何提升Azure AD全局管理员的访问权限_访问权限_02

  1. 在“Azure 资源的访问管理”下,将开关设置为“是”。

Microsoft Azure 解决方案:如何提升Azure AD全局管理员的访问权限_Azure AD全局管理员_03

  1. 单击“保存”,保存设置,此设置不是全局属性,仅适用于当前已登录的用户。无法提升所有全局管理员角色成员的访问权限
  2. 注销然后重新登录可以刷新访问权限。

谢谢大家阅读。