Azure全局管理员不能(禁用)在“访问控制(IAM)”下添加角色

Question

我激活了特权身份管理中的全局管理角色，如下所示

​

当我导航到订阅下的访问控制刀片时，我看到已禁用添加角色分配选项。

​

​

全球管理员不具有全局权限并可以这样做吗？

谢谢

Answer 1

全球管理员不具有全局权限并可以这样做吗？

不是的。您是Azure AD中的全局管理员，因此您可以在Azure AD中执行所有操作。Azure AD角色与Azure订阅角色不同。

为了能够在Azure订阅中执行与IAM相关的活动，必须在Azure订阅中指定一个Owner或User Access Administrator角色。

考虑到您是Azure AD中的全局管理员，您可以提高在Azure订阅中执行IAM活动的权限。有关详细信息，请参阅此链接：https://learn.microsoft.com/en-us/azure/role-based-access-control/elevate-access-global-admin。

其他的选择是让您团队中的某个人在Azure订阅中具有适当的访问权限，为您分配Owner或User Access Administrator角色。

Answer 2

Azure角色恰好与Azure AD角色不同。

​

默认情况下，AD角色管理AD，azure角色管理azure资源。但是，有一些跨角色可以在需要时访问资源。更多信息这里

​

​

由于Global是一个跨服务角色，他可以通过授予自己作为这里的用户访问管理员角色来提升自己。然后我就能看到禁用的选项，启用。

更多信息