Azure classic subscription administrators (Administradores clásicos de la suscripción de Azure)

Importante

A partir del 31 de agosto de 2024, los roles de administrador clásico de Azure (junto con los recursos clásicos de Azure y Azure Service Manager) se retiran y ya no se admiten. Si todavía tiene asignaciones de roles coadministrador o administrador de servicios activas, convierta estas asignaciones de roles en RBAC de Azure inmediatamente.

Microsoft recomienda que administre el acceso a los recursos de Azure mediante el control de acceso basado en rol (RBAC) de Azure. Si sigue usando el modelo de implementación clásica, deberá migrar los recursos de la implementación clásica a la implementación de Resource Manager. Para más información, consulte Implementación de Azure Resource Manager frente a la implementación clásica.

En este artículo se describe la retirada de los roles de coadministrador y administrador de servicios y cómo convertir estas asignaciones de roles.

Preguntas más frecuentes

¿Qué ocurre con las asignaciones de roles de administrador clásicas después del 31 de agosto de 2024?

  • Los roles coadministrador y administrador de servicios se retiran y ya no se admiten. Debe convertir estas asignaciones de roles en RBAC de Azure inmediatamente.

¿Cómo sé qué suscripciones tienen administradores clásicos?

  • Puede usar una consulta de Azure Resource Graph para enumerar suscripciones con asignaciones de roles de administrador de servicios o coadministrador. Para ver los pasos, consulte Enumerar administradores clásicos.

¿Cuál es el rol equivalente de Azure que debo asignar a los coadministradores?

  • El rol de Propietario en el ámbito de la suscripción tiene el acceso equivalente. Sin embargo, el propietario es un rol Administrador con privilegios y concede acceso completo para administrar los recursos de Azure. Debe considerar un rol de función de trabajo con menos permisos, reducir el ámbito o agregar una condición.

¿Cuál es el rol equivalente de Azure que debo asignar para el administrador de servicios?

  • El rol de Propietario en el ámbito de la suscripción tiene el acceso equivalente.

¿Por qué necesito migrar a RBAC de Azure?

  • RBAC de Azure ofrece un control de acceso específico, compatibilidad con Privileged Identity Management (PIM) de Microsoft Entra y compatibilidad completa con los registros de auditoría. Todas las inversiones futuras estarán en RBAC de Azure.

¿Qué ocurre con el rol Administrador de cuentas?

  • El Administrador de la cuenta es el usuario principal de la cuenta de facturación. El administrador de cuentas no está en desuso y no es necesario convertir esta asignación de roles. El Administrador de cuentas y el Administrador de servicios pueden ser el mismo usuario. Sin embargo, tiene que convertir la asignación de roles administrador de servicios.

¿Qué debo hacer si pierdo el acceso a una suscripción?

  • Si quita los administradores clásicos sin tener al menos una asignación de rol Propietario para una suscripción, perderá el acceso a la suscripción y la suscripción quedará huérfana. Para recuperar el acceso a una suscripción, puede hacer lo siguiente:

¿Qué debo hacer si tengo una fuerte dependencia en coadministradores o administradores de servicios?

  • Envíe un correo electrónico a ACARDeprecation@microsoft.com y describa su escenario.

Enumeración de administradores clásicos

Siga estos pasos para enumerar el administrador de servicios y los coadministradores de una suscripción mediante Azure Portal.

  1. Inicie sesión en Azure Portal como propietario de una suscripción.

  2. Abra Suscripciones y seleccione una suscripción.

  3. Seleccione Access Control (IAM) .

  4. Seleccione la pestaña Administradores clásicos para ver una lista de los coadministradores.

    Captura de pantalla de la página control de acceso (IAM) con la pestaña administradores clásicos seleccionada.

Retirada de coadministradores

Si todavía tiene administradores clásicos, siga estos pasos para ayudarle a convertir asignaciones de roles de coadministrador.

Paso 1: Revisar los coadministradores actuales

  1. Inicie sesión en Azure Portal como propietario de una suscripción.

  2. Use Azure Portal o Azure Resource Graph para enumerar los coadministradores.

  3. Revise los registros de inicio de sesión para que los coadministradores evalúen si son usuarios activos.

Paso 2: Eliminar aquellos coadministradores que ya no necesitan acceso

  1. Si el usuario ya no está en su empresa, elimine su rol de coadministrador.

  2. Si se ha eliminado el usuario, pero no se quitó su asignación de coadministrador, quitar coadministrador.

    Los usuarios que se han eliminado normalmente incluyen el texto (No se ha encontrado al usuario en este directorio).

    Captura de pantalla del usuario no encontrado en el directorio y con el rol coadministrador.

  3. Después de revisar la actividad del usuario, si este ya no está activo, elimine el rol de coadministrador.

Paso 3: Convertir coadministradores en roles de función de trabajo

La mayoría de los usuarios no necesitan los mismos permisos que un coadministrador. Considere en su lugar un rol de función de trabajo.

  1. Si un usuario todavía necesita algún tipo de acceso, determine el rol de función de trabajo adecuado que necesita.

  2. Determine el ámbito que necesita el usuario.

  3. Siga los pasos para asignar un rol de función de trabajo al usuario.

  4. Elimine al coadministrador.

Paso 4: Convertir coadministradores al rol Propietario con condiciones

Es posible que algunos usuarios necesiten más acceso del que puede proporcionar un rol de función de trabajo. Si debe asignar el rol de Propietario, considere la posibilidad de agregar una condición o usar Microsoft Entra Privileged Identity Management (PIM) para restringir la asignación de roles.

  1. Asigne el rol Propietario con condiciones.

    Por ejemplo, asigne el rol Propietario en el ámbito de la suscripción con condiciones. Si tiene PIM, haga que el usuario sea apto para la asignación de roles Propietario.

  2. Elimine al coadministrador.

Paso 5: Convertir coadministradores al rol propietario

Si un usuario debe ser administrador de una suscripción, asigne el rol Propietario en el ámbito de la suscripción.

Conversión de un rol de coadministrador a propietario

La manera más fácil de cubrir una asignación de roles de coadministrador al rol de Propietario en el ámbito de la suscripción es usar los pasos de Corregir.

  1. Inicie sesión en Azure Portal como propietario de una suscripción.

  2. Abra Suscripciones y seleccione una suscripción.

  3. Seleccione Access Control (IAM) .

  4. Seleccione la pestaña Administradores clásicos para ver una lista de los coadministradores.

  5. Para el coadministrador que quiere convertir al rol Propietario, en la columna Corregir, seleccione el vínculo Asignar rol RBAC.

  6. En el panel Agregar asignación de roles, revise la asignación de roles.

    Captura de pantalla del panel Agregar asignación de roles después de seleccionar el vínculo Asignar rol RBAC.

  7. Seleccione Revisar y asignar para asignar el rol Propietario y quitar la asignación de roles de coadministrador.

Cómo quitar un coadministrador

Siga estos pasos para eliminar un coadministrador.

  1. Inicie sesión en Azure Portal como propietario de una suscripción.

  2. Abra Suscripciones y seleccione una suscripción.

  3. Seleccione Access Control (IAM) .

  4. Seleccione la pestaña Administradores clásicos para ver una lista de los coadministradores.

  5. Agregue una marca de verificación junto al coadministrador que desea quitar.

  6. Seleccione Eliminar.

  7. En el cuadro de mensaje que aparece, seleccione .

    Captura de pantalla del cuadro de mensaje al quitar un coadministrador.

Retirada del administrador de servicios

Si todavía tiene administradores clásicos, siga estos pasos para ayudarle a convertir la asignación de roles de administrador de servicios. Antes de quitar el administrador de servicios, debe tener al menos un usuario al que se le haya asignado el rol Propietario en el ámbito de la suscripción sin condiciones para evitar que la suscripción quede huérfana. El propietario de una suscripción tiene el mismo acceso que el administrador de servicios.

Paso 1: Revisar el administrador de servicios actual

  1. Inicie sesión en Azure Portal como propietario de una suscripción.

  2. Use Azure Portal o Azure Resource Graph para enumerar los Administradores de servicios.

  3. Revise los registros de inicio de sesión para que el administrador de servicios evalúe si es un usuario activo.

Paso 2: Revisar los propietarios actuales de la cuenta de facturación

El usuario al que se asigna el rol Administrador de servicios también podría ser el mismo usuario que el administrador de la cuenta de facturación. Debe revisar los propietarios actuales de la cuenta de facturación para asegurarse de que siguen siendo precisos.

  1. Use Azure Portal para obtener su Propietarios de la cuenta de facturación.

  2. Revise la lista de propietarios de la cuenta de facturación. Si es necesario, actualizar o agregar otro propietario de la cuenta de facturación.

Paso 3: Convertir el administrador de servicios al rol de propietario

El administrador de servicios puede ser una cuenta Microsoft o una cuenta de Microsoft Entra. Una cuenta Microsoft es una cuenta personal como Outlook, OneDrive, Xbox LIVE o Microsoft 365. Una cuenta de Microsoft Entra es una identidad creada a través de Microsoft Entra ID.

  1. Si el usuario administrador de servicios es una cuenta de Microsoft y desea que este usuario mantenga los mismos permisos, convierta el rol Administrador de servicios en Propietario.

  2. Si el usuario administrador de servicios es una cuenta de Microsoft Entra y quiere que este usuario mantenga los mismos permisos, convierta el rol Administrador de servicios en Propietario.

  3. Si desea cambiar el usuario administrador de servicios a otro usuario, asigne el rol Propietario a este nuevo usuario en el ámbito de la suscripción sin condiciones. A continuación, quite el administrador de servicios.

Conversión del rol Administrador de servicios al rol Propietario

La manera más fácil de convertir la asignación de roles de administrador de servicios al rol de Propietario en el ámbito de la suscripción es usar los pasos de Corregir.

  1. Inicie sesión en Azure Portal como propietario de una suscripción.

  2. Abra Suscripciones y seleccione una suscripción.

  3. Seleccione Access Control (IAM) .

  4. Seleccione la pestaña Administradores clásicos para ver el Administrador de servicios.

  5. Para el administrador de servicios, en la columna Corregir, seleccione el vínculo Asignar rol RBAC.

  6. En el panel Agregar asignación de roles, revise la asignación de roles.

    Captura de pantalla del panel Agregar asignación de roles después de seleccionar el vínculo Asignar rol RBAC.

  7. Seleccione Revisar y asignar para asignar el rol Propietario y quitar la asignación de roles de Administrador de servicios.

Cómo quitar el Administrador de servicios

Importante

Para quitar el administrador de servicios, debe tener un usuario con el rol Propietario asignado en el ámbito de la suscripción sin condiciones para evitar que la suscripción quede huérfana. El propietario de una suscripción tiene el mismo acceso que el administrador de servicios.

  1. Inicie sesión en Azure Portal como propietario de una suscripción.

  2. Abra Suscripciones y seleccione una suscripción.

  3. Seleccione Access Control (IAM) .

  4. Seleccione la pestaña Administradores clásicos.

  5. Active la marca de verificación junto al administrador de servicios.

  6. Seleccione Eliminar.

  7. En el cuadro de mensaje que aparece, seleccione .

    Captura de pantalla del mensaje quitar el administrador clásico al quitar un administrador de servicios.

Pasos siguientes