Управление политиками подписки Azure

В этой статье показано, как настроить политики подписок Azure для управления перемещением подписок Azure из каталогов и в каталоги. По умолчанию для этих двух политик задано значение Allow no users (рекомендуется), чтобы защитить клиентов от несанкционированной передачи подписок. Глобальные администраторы могут изменить эти параметры, чтобы разрешить всем пользователям при необходимости. Обратите внимание, что параметр Allow all users позволяет всем авторизованным пользователям, включая авторизованных гостевых пользователей в подписке, иметь возможность передавать их. Это не означает, что все пользователи в этом каталоге.

Important

Чтобы повысить безопасность клиента, 1 мая 2026 г. Microsoft обновили поведение по умолчанию для политик передачи подписок. Подписки больше не могут быть перенесены в ваш каталог или из него, если глобальный администратор не разрешает это явно.

Если ваша организация ранее установила явную политику, этот выбор по-прежнему учитывается— никаких действий не требуется.

Если ваша организация никогда не настроила эти политики, и рабочие процессы зависят от пользователей, имеющих возможность перемещать подписки в пределах клиента или за его пределы, эти рабочие процессы будут нарушены в результате этого изменения. Чтобы восстановить предыдущее поведение, глобальный администратор может обновить любую политику, чтобы разрешить всем пользователям.

Предпосылки

Доступные параметры политики подписки

Используйте следующие параметры политики для управления перемещением подписок Azure в каталоги и из каталогов.

Подписки, покидающие каталог Microsoft Entra ID

Политика разрешает или останавливает пользователей от перемещения подписок из текущего каталога. Владельцы подписок могут передавать подписки в другой каталог, где они члены, используя портал Azure или API. Глобальные администраторы используют этот параметр, чтобы разрешить или заблокировать передачу данных для всех пользователей каталога. Эта политика применяется ко всем авторизованным пользователям, включая авторизованных гостевых пользователей в каталоге.

  • Не разрешать пользователям (рекомендуется) — блокирует передачу всех подписок из каталога. Это значение по умолчанию.
  • Разрешить всем пользователям — разрешает авторизованным пользователям передавать подписки из каталога.

Подписки, добавляемые в каталог Microsoft Entra ID

Эта политика определяет, могут ли пользователи из других каталогов перемещать подписки в каталог. Владельцы подписок, являющиеся членами каталога, могут передавать подписки с помощью портала Azure или API. Глобальные администраторы используют этот параметр, чтобы разрешить или заблокировать эти передачи. Эта политика применяется ко всем авторизованным пользователям, включая авторизованных гостевых пользователей в каталоге.

  • Не разрешать ни одному пользователю (рекомендовано) — блокирует все передачи подписок в ваш каталог. Это значение по умолчанию.
  • Разрешить всем пользователям — разрешает авторизованным пользователям передавать подписки в каталог.

Исключенные пользователи

По соображениям управления глобальные администраторы могут блокировать перемещение всех каталогов подписки в текущий каталог или из него. Однако они могут позволить определенным пользователям выполнять обе операции. В обоих ситуациях они могут настроить список исключенных пользователей, который позволяет этим пользователям обойти все параметры политики, применяемые ко всем остальным.

Важное примечание

Авторизованные пользователи (включая гостевых пользователей) в вашем каталоге могут создавать подписки Azure в другом каталоге, где у них есть разрешения на управление выставлением счетов, а затем передавать эти подписки в ваш каталог Entra ID. Параметры политики по умолчанию (Не разрешать пользователям) помогают защититься от этого сценария. Если ваша организация изменила любую политику, чтобы разрешить всем пользователям, помните об этом риске и попробуйте вернуться к рекомендуемому по умолчанию:

  • Подписки, исключаемые из каталога Entra ID, должны иметь значение Не разрешать пользователям (рекомендуется).
  • Подписки, добавляемые в каталог Entra ID, должны иметь значение Разрешить отсутствие пользователей (рекомендуется).

Настройка политики подписки

  1. Войдите на портал Azure.

  2. Перейдите к разделу Подписки. На панели команд отображается управление политиками. Скриншот области

  3. Выберите "Управление политиками ", чтобы просмотреть сведения о текущих политиках подписки, заданных для каталога. Глобальный администратор с повышенными правами может вносить изменения в параметры, включая добавление или удаление исключенных пользователей.
    Снимок экрана: панель

  4. Нажмите кнопку "Сохранить изменения " внизу, чтобы сохранить изменения. Изменения являются эффективными немедленно.

Чтение политики подписки

Не глобальные администраторы по-прежнему могут перейти в область политики подписки, чтобы просмотреть параметры политики каталога. Они не могут вносить изменения. Они не могут видеть список исключенных пользователей по соображениям конфиденциальности. Они могут просматривать своих глобальных администраторов для отправки запросов на изменения политики, если параметры каталога позволяют им.

Дальнейшие действия