Gestisci i criteri di sottoscrizione di Azure
Questo articolo illustra come configurare i criteri di sottoscrizione di Azure per le operazioni di sottoscrizione per controllare lo spostamento delle sottoscrizioni di Azure da e in directory.
Prerequisiti
- Solo gli amministratori globali della directory possono modificare i criteri di sottoscrizione. Prima di modificare i criteri di sottoscrizione, l'amministratore globale deve Elevare l'accesso per gestire tutte le sottoscrizioni e i gruppi di gestione di Azure. Può quindi modificare i criteri di sottoscrizione.
- Tutti gli altri utenti possono leggere solo l'impostazione corrente dei criteri.
Impostazioni dei criteri di sottoscrizione disponibili
Usare le seguenti impostazione di criteri per controllare lo spostamento delle sottoscrizioni di Azure da e in directory.
Sottoscrizioni che lasciano una directory ID Microsoft Entra
Il criterio consente o impedisce agli utenti di spostare le sottoscrizioni dalla directory corrente. I proprietari delle sottoscrizioni possono modificare la directory di una sottoscrizione di Azure a un'altra in cui sono membri. Pone problemi di governance, in modo che gli amministratori globali possano consentire o impedire agli utenti della directory di modificare la directory.
Sottoscrizioni che immettono una directory ID Microsoft Entra
Il criterio consente o impedisce agli utenti di altre directory, che hanno accesso nella directory corrente, di spostare le sottoscrizioni nella directory corrente. I proprietari delle sottoscrizioni possono modificare la directory di una sottoscrizione di Azure a un'altra in cui sono membri. Pone problemi di governance, in modo che gli amministratori globali possano consentire o impedire agli utenti della directory di modificare la directory.
Utenti esenti
Per motivi di governance, gli amministratori globali possono bloccare tutti gli spostamenti della directory di sottoscrizione, all'interno o all'esterno della directory corrente. Tuttavia, potrebbero voler consentire a utenti specifici di eseguire entrambe le operazioni. In entrambi i casi, possono configurare un elenco di utenti esentati che consente agli utenti di ignorare l'impostazione dei criteri applicabile a tutti gli altri utenti.
Configurazione dei criteri di sottoscrizione
- Accedere al portale di Azure.
- Passare a Sottoscrizioni. Gestisci criteri viene visualizzato sulla barra dei comandi.
- Selezionare Gestisci criteri per visualizzare i dettagli sui criteri di sottoscrizione correnti impostati per la directory. Un amministratore globale con autorizzazioni elevate può apportare modifiche alle impostazioni, inclusa l'aggiunta o la rimozione di utenti esentati.
- Selezionare Salva le modifiche nella parte inferiore della pagina. Le modifiche saranno effettive immediatamente.
Leggere criteri di sottoscrizione
Gli amministratori non globali possono comunque passare all'area dei criteri di sottoscrizione per visualizzare le impostazioni dei criteri della directory. Non possono apportare modifiche. Non possono visualizzare l'elenco degli utenti esentati per motivi di privacy. Possono visualizzare gli amministratori globali per inviare richieste di modifiche ai criteri, purché le impostazioni della directory glielo consentano.
