Устранение неполадок Azure RBAC

В этой статье описываются некоторые распространенные решения проблем, связанных с управлением доступом на основе ролей Azure (Azure RBAC).

Назначения ролей Azure

Симптом. Параметр добавления назначения ролей отключен

Не удается назначить роль в портал Azure в элементе управления доступом (IAM), так как параметр "Добавить>назначение ролей" отключен

Причина

Вы вошли в систему с пользователем, у которых нет разрешения на назначение ролей в выбранной области.

Решение

Убедитесь, что вы вошли в систему с пользователем, которому назначена роль, которая имеет Microsoft.Authorization/roleAssignments/write разрешение на основе ролей, контроль доступа администратора в области, которую вы пытаетесь назначить роль.

Симптом. Роли или субъекты не перечислены

При попытке назначить роль в портал Azure некоторые роли или субъекты не перечислены. Например, на вкладке "Роль " отображается сокращенный набор ролей.

Кроме того, на панели "Выбор элементов" отображается сокращенный набор субъектов.

Причина

Существуют ограничения на назначения ролей, которые можно добавить. Например, вы ограничены ролями, которыми можно назначить или ограничить в субъектах, которыми можно назначить роли.

Решение

Просмотрите роли, назначенные вам. Проверьте, существует ли условие, которое ограничивает назначения ролей, которые можно добавить. Дополнительные сведения см. в статье "Делегирование управления доступом Azure другим пользователям".

Симптом. Не удается назначить роль

Вы не можете назначить роль, и вы получите ошибку, аналогичную следующей:

Failed to add {securityPrincipal} as {role} for {scope} : The client '{clientName}' with object id '{objectId}' does not have authorization or an ABAC condition not fulfilled to perform action 'Microsoft.Authorization/roleAssignments/write' over scope '/subscriptions/{subscriptionId}/Microsoft.Authorization/roleAssignments/{roleAssignmentId}' or the scope is invalid. If access was recently granted, please refresh your credentials.

Причина 1

Вы вошли в систему с пользователем, у которых нет разрешения на назначение ролей в выбранной области.

Решение 1

Убедитесь, что вы вошли в систему с пользователем, которому назначена роль, которая имеет Microsoft.Authorization/roleAssignments/write разрешение на основе ролей, контроль доступа администратора в области, которую вы пытаетесь назначить роль.

Причина 2

Существуют ограничения на назначения ролей, которые можно добавить. Например, вы ограничены ролями, которыми можно назначить или ограничить в субъектах, которыми можно назначить роли.

Решение 2

Просмотрите роли, назначенные вам. Проверьте, существует ли условие, которое ограничивает назначения ролей, которые можно добавить. Дополнительные сведения см. в статье "Делегирование управления доступом Azure другим пользователям".

Симптом. Не удается назначить роль с помощью субъекта-службы с Помощью Azure CLI

Вы используете субъект-службу для назначения ролей с помощью Azure CLI, и вы получите следующую ошибку:

Insufficient privileges to complete the operation

Предположим, что у вас есть субъект-служба, которой назначена роль владельца, и вы пытаетесь создать следующее назначение роли в качестве субъекта-службы с помощью Azure CLI:

az login --service-principal --username "SPNid" --password "password" --tenant "tenantid"
az role assignment create --assignee "userupn" --role "Contributor"  --scope "/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}"

Причина

Скорее всего, Azure CLI пытается найти удостоверение назначателя в идентификаторе Microsoft Entra ID, и субъект-служба по умолчанию не может прочитать идентификатор Microsoft Entra ID.

Решение

Эту проблему можно решить двумя способами. Первый способ — назначить роль Читатели каталогов субъекту-службе, чтобы она могла считывать данные в каталоге.

Второй способ устранить эту ошибку — создать назначение роли с помощью параметра --assignee-object-id, а не --assignee. С помощью --assignee-object-idAzure CLI пропустит поиск Microsoft Entra. Вам потребуется получить идентификатор объекта пользователя, группы или приложения, которому требуется назначить роль. Подробнее см. в статье Назначение ролей Azure с помощью Azure CLI.

az role assignment create --assignee-object-id 11111111-1111-1111-1111-111111111111  --role "Contributor" --scope "/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}"

Симптом. Назначение роли новому субъекту иногда завершается сбоем.

Вы создаете пользователя, группу или субъект-службу и немедленно пытаетесь назначить роль субъекту, а назначение роли иногда завершается ошибкой. Вы получите сообщение, аналогичное следующей ошибке:

PrincipalNotFound
Principal {principalId} does not exist in the directory {tenantId}. Check that you have the correct principal ID. If you are creating this principal and then immediately assigning a role, this error might be related to a replication delay. In this case, set the role assignment principalType property to a value, such as ServicePrincipal, User, or Group.  See https://aka.ms/docs-principaltype

Причина

Причина, скорее всего, задержка репликации. Субъект создается в одном регионе; Однако назначение роли может произойти в другом регионе, который еще не реплицировал субъект.

Решение 1

Если вы создаете нового пользователя или субъекта-службы с помощью REST API или шаблона ARM, задайте principalType свойство при создании назначения ролей с помощью назначений ролей — создание API.

Дополнительные сведения см. здесь или здесь.

Решение 2

Если вы создаете нового пользователя или субъекта-службы с помощью Azure PowerShell, задайте ObjectType параметр User ServicePrincipal или при создании назначения ролей с помощью New-AzRoleAssignment. Те же ограничения версий API для решения 1 по-прежнему применяются. Дополнительные сведения см. в статье Назначение ролей Azure с помощью Azure PowerShell.

Решение 3

Если вы создаете новую группу, подождите несколько минут, прежде чем создавать назначение роли.

Симптом . Назначение роли шаблона ARM возвращает состояние BadRequest

При попытке развернуть Bicep-файл или шаблон ARM, который назначает роль субъекту-службе, возникает ошибка:

Tenant ID, application ID, principal ID, and scope are not allowed to be updated. (code: RoleAssignmentUpdateNotPermitted)

Например, если вы создаете назначение ролей для управляемого удостоверения, удалите управляемое удостоверение и повторно создадите его, новое управляемое удостоверение имеет другой идентификатор субъекта. Если вы попытаетесь снова развернуть назначение роли и использовать то же имя назначения ролей, развертывание завершается ошибкой.

Причина

Назначение name роли не является уникальным, и оно рассматривается как обновление.

Назначения ролей однозначно определяются по их имени, который является глобально уникальным идентификатором (GUID). Невозможно создать два назначения ролей с одинаковым именем, даже в разных подписках Azure. Вы также не можете изменить свойства существующего назначения ролей.

Решение

Укажите идемпотентное уникальное значение для назначения nameроли. Целесообразно создать GUID, охватывающий область, идентификатор субъекта и идентификатор роли. Рекомендуется использовать функцию guid(), чтобы создать детерминированный GUID для имен назначений ролей, как в этом примере:

resource roleAssignment 'Microsoft.Authorization/roleAssignments@2020-10-01-preview' = {
  name: guid(resourceGroup().id, principalId, roleDefinitionId)
  properties: {
    roleDefinitionId: roleDefinitionId
    principalId: principalId
    principalType: principalType
  }
}

{
  "type": "Microsoft.Authorization/roleAssignments",
  "apiVersion": "2020-10-01-preview",
  "name": "[guid(resourceGroup().id, variables('principalId'), variables('roleDefinitionId'))]",
  "properties": {
    "roleDefinitionId": "[variables('roleDefinitionId')]",
    "principalId": "[variables('principalId')]",
    "principalType": "[variables('principalType')]"
  }
}

Дополнительные сведения см. в статье "Создание ресурсов Azure RBAC с помощью Bicep".

Симптом. Назначения ролей с удостоверением не найдены

В списке назначений ролей для портал Azure вы заметите, что субъект безопасности (пользователь, группа, субъект-служба или управляемое удостоверение) указан как удостоверение, не найденное с неизвестным типом.

Если вы перечисляете это назначение ролей с помощью Azure PowerShell, вы можете увидеть пустое DisplayName или SignInNameзначение для ObjectType Unknown. Например, командлет Get-AzRoleAssignment возвращает назначение роли, похожее на следующие выходные данные:

RoleAssignmentId   : /subscriptions/11111111-1111-1111-1111-111111111111/providers/Microsoft.Authorization/roleAssignments/22222222-2222-2222-2222-222222222222
Scope              : /subscriptions/11111111-1111-1111-1111-111111111111
DisplayName        :
SignInName         :
RoleDefinitionName : Storage Blob Data Contributor
RoleDefinitionId   : ba92f5b4-2d11-453d-a403-e96b0029c9fe
ObjectId           : 33333333-3333-3333-3333-333333333333
ObjectType         : User
CanDelegate        : False

Аналогично если вы получите данные назначения роли с помощью Azure CLI, может отобразиться пустой параметр principalName. Например, команда az role assignment list возвращает назначение роли, похожее на следующие выходные данные:

{
    "canDelegate": null,
    "id": "/subscriptions/11111111-1111-1111-1111-111111111111/providers/Microsoft.Authorization/roleAssignments/22222222-2222-2222-2222-222222222222",
    "name": "22222222-2222-2222-2222-222222222222",
    "principalId": "33333333-3333-3333-3333-333333333333",
    "principalName": "",
    "roleDefinitionId": "/subscriptions/11111111-1111-1111-1111-111111111111/providers/Microsoft.Authorization/roleDefinitions/ba92f5b4-2d11-453d-a403-e96b0029c9fe",
    "roleDefinitionName": "Storage Blob Data Contributor",
    "scope": "/subscriptions/11111111-1111-1111-1111-111111111111",
    "type": "Microsoft.Authorization/roleAssignments"
}

Причина 1

Недавно вы пригласили пользователя при создании назначения ролей, и этот субъект безопасности по-прежнему находится в процессе репликации в разных регионах.

Решение 1

Подождите несколько минут и обновите список назначений ролей.

Причина 2

Вы удалили субъект безопасности, которому назначена роль. Если назначить роль субъекту безопасности, а затем удалить его без предварительного удаления назначения роли, то субъект безопасности будет указан с пометкой Удостоверение не найдено и типом Неизвестно.

Решение 2

Если субъект безопасности удален, с такими назначениями ролей можно ничего не делать. При желании вы можете удалить их, выполнив те же действия, что и для других назначений ролей. Сведения об удалении назначений ролей см. в этой статье.

В PowerShell при попытке удалить назначения ролей с помощью идентификатора объекта и имени определения роли, а несколько назначений ролей совпадают с параметрами, вы получите сообщение об ошибке: The provided information does not map to a role assignment Вот пример выходных данных с сообщением об ошибке:

PS C:\> Remove-AzRoleAssignment -ObjectId 33333333-3333-3333-3333-333333333333 -RoleDefinitionName "Storage Blob Data Contributor"

Remove-AzRoleAssignment : The provided information does not map to a role assignment.
At line:1 char:1
+ Remove-AzRoleAssignment -ObjectId 33333333-3333-3333-3333-333333333333 ...
+ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
+ CategoryInfo          : CloseError: (:) [Remove-AzRoleAssignment], KeyNotFoundException
+ FullyQualifiedErrorId : Microsoft.Azure.Commands.Resources.RemoveAzureRoleAssignmentCommand

Если вы получили это сообщение об ошибке, убедитесь, что вы также указали параметр -Scope или -ResourceGroupName.

PS C:\> Remove-AzRoleAssignment -ObjectId 33333333-3333-3333-3333-333333333333 -RoleDefinitionName "Storage Blob Data Contributor" -Scope /subscriptions/11111111-1111-1111-1111-111111111111

Симптом. Не удается удалить последнее назначение роли владельца

Вы пытаетесь удалить последнее назначение роли владельца для подписки, и вы увидите следующую ошибку:

Cannot delete the last RBAC admin assignment

Причина

Удаление последнего назначения роли владельца для подписки не поддерживается, чтобы избежать отключения подписки.

Решение

Если вам нужно отменить подписку, см. статью Отмена подписки Azure.

Вы можете удалить последнее назначение ролей владельца (или администратора доступа пользователей) в области подписки, если вы являетесь глобальным администратором клиента или классическим администратором (администратором службы или соадминистратором) для подписки. В этом случае нет ограничений на удаление. Однако если вызов поступает из другого субъекта, то вы не сможете удалить последнее назначение роли владельца в области подписки.

Симптом. Назначение ролей не перемещается после перемещения ресурса

Причина

При перемещении ресурса, для которого роль Azure назначена непосредственно самому ресурсу (или дочернему ресурсу), назначение ролей не перемещается и теряется.

Решение

После перемещения ресурса необходимо повторно создать назначение роли. В конечном итоге назначение потерянных ролей будет автоматически удалено, но рекомендуется удалить назначение роли перед перемещением ресурса. Сведения о перемещении ресурсов см. в статье Перемещение ресурсов в новую группу ресурсов или подписку.

Симптом. Изменения назначения ролей не обнаруживаются

Вы недавно добавили или обновили назначение роли, но изменения не обнаруживаются. Может появиться сообщение Status: 401 (Unauthorized).

Причина 1

Azure Resource Manager иногда кэширует конфигурации и данные для повышения производительности.

Решение 1

При назначении ролей или удалении назначений ролей может потребоваться до 10 минут, чтобы изменения вступили в силу. Если вы используете портал Azure, Azure PowerShell или Azure CLI, вы можете принудительно обновить изменения назначения ролей, выполнив выход и вход. Если вы вносите изменения в назначение ролей с помощью вызовов REST API, можно принудительно обновить, обновив маркер доступа.

Причина 2

Вы добавили управляемые удостоверения в группу и назначили ей роль. Внутренние службы управляемых удостоверений поддерживают кэш для каждого URI-адреса ресурса в течение около 24 часов.

Решение 2

Может потребоваться несколько часов, чтобы изменения в группе или членстве в роли управляемого удостоверения вступили в силу. Дополнительные сведения см. в разделе Ограничение использования управляемых удостоверений для авторизации.

Симптом. Изменения назначения ролей в области группы управления не обнаруживаются

Вы недавно добавили или обновили назначение ролей в области группы управления, но изменения не обнаруживаются.

Причина

Azure Resource Manager иногда кэширует конфигурации и данные для повышения производительности.

Решение

При назначении ролей или удалении назначений ролей может потребоваться до 10 минут, чтобы изменения вступили в силу. Если вы добавляете или удаляете встроенное назначение ролей в области группы управления и имеет DataActionsвстроенную роль, доступ на плоскости данных может не обновляться в течение нескольких часов. Это относится только к области группы управления и плоскости данных. Настраиваемые роли с DataActions нельзя назначить в области группы управления.

Симптом. Назначения ролей для изменений группы управления не обнаруживаются

Вы создали новую дочернюю группу управления, а назначение роли в родительской группе управления не обнаружено для дочерней группы управления.

Причина

Azure Resource Manager иногда кэширует конфигурации и данные для повышения производительности.

Решение

Для принятия в силу назначения роли дочерней группы управления может потребоваться до 10 минут. Если вы используете портал Azure, Azure PowerShell или Azure CLI, можно принудительно обновить изменения назначения ролей, выйдя из учетной записи и повторно войдя в нее. Если вы вносите изменения в назначения ролей с помощью вызовов REST API, можно принудительно обновить изменения, обновив маркер доступа.

Симптом. Удаление назначений ролей с помощью PowerShell занимает несколько минут

Чтобы удалить назначение роли, используйте команду Remove-AzRoleAssignment . Затем вы используете команду Get-AzRoleAssignment для проверки назначения роли для субъекта безопасности. Например:

Get-AzRoleAssignment -ObjectId $securityPrincipalObject.Id

Команда Get-AzRoleAssignment указывает, что назначение роли не было удалено. Однако если ждать 5–10 минут и снова запустить Get-AzRoleAssignment , выходные данные указывают, что назначение роли было удалено.

Причина

Назначение роли удалено. Однако для повышения производительности PowerShell использует кэш при перечислении назначений ролей. Для обновления кэша может быть задержка около 10 минут.

Решение

Вместо перечисления назначений ролей для субъекта безопасности выведите список всех назначений ролей в области подписки и отфильтруйте выходные данные. Например, эта команда выполняет следующие действия:

$validateRemovedRoles = Get-AzRoleAssignment -ObjectId $securityPrincipalObject.Id 

Вместо этого можно заменить следующую команду:

$validateRemovedRoles = Get-AzRoleAssignment -Scope /subscriptions/$subId | Where-Object -Property ObjectId -EQ $securityPrincipalObject.Id

Пользовательские роли

Симптом. Не удается обновить или удалить пользовательскую роль

Не удается обновить или удалить существующую пользовательскую роль.

Причина 1

Вы вошли в систему с пользователем, у которых нет разрешения на обновление или удаление пользовательских ролей.

Решение 1

Убедитесь, что вы вошли в систему с пользователем, которому назначена роль, которая имеет Microsoft.Authorization/roleDefinitions/write такое разрешение, как администратор доступа пользователей.

Причина 2

Пользовательская роль включает подписку в назначаемых областях, и эта подписка находится в отключенном состоянии.

Решение 2

Повторно активируйте отключенную подписку и обновите пользовательскую роль по мере необходимости. Дополнительные сведения см. в статье о повторной активации отключенной подписки Azure.

Симптом. Не удается создать или обновить пользовательскую роль

При попытке создать или обновить пользовательскую роль вы получите ошибку, аналогичную следующей:

The client '<clientName>' with object id '<objectId>' has permission to perform action 'Microsoft.Authorization/roleDefinitions/write' on scope '/subscriptions/<subscriptionId>'; however, it does not have permission to perform action 'Microsoft.Authorization/roleDefinitions/write' on the linked scope(s)'/subscriptions/<subscriptionId1>,/subscriptions/<subscriptionId2>,/subscriptions/<subscriptionId3>' or the linked scope(s)are invalid

Причина

Эта ошибка обычно указывает, что у вас нет разрешений на одну или несколько областей назначения в пользовательской роли.

Решение

Попробуйте сделать следующее.

• Проверьте , кто может создавать, удалять, обновлять или просматривать пользовательскую роль и проверять наличие разрешений на создание или обновление настраиваемой роли для всех назначенных областей.
• Если у вас нет разрешений, попросите администратора назначить вам роль, которая имеет Microsoft.Authorization/roleDefinitions/write действие, например администратор доступа пользователей, в области области назначения.
• Убедитесь, что все назначаемые области в пользовательской роли допустимы. В противном случае удалите недопустимые области назначения.

Дополнительные сведения см. в руководствах по пользовательским роли с помощью портал Azure, Azure PowerShell или Azure CLI.

Симптом. Не удается удалить пользовательскую роль

Вы не можете удалить пользовательскую роль и получить следующее сообщение об ошибке:

There are existing role assignments referencing role (code: RoleDefinitionHasAssignments)

Причина

Существуют назначения ролей, которые по-прежнему используют пользовательскую роль.

Решение

Удалите назначения ролей, которые используют пользовательскую роль, и повторите попытку удалить пользовательскую роль. Дополнительные сведения см. в разделе "Поиск назначений ролей" для удаления настраиваемой роли.

Симптом. Не удается добавить несколько групп управления в качестве назначаемой области

При попытке создать или обновить пользовательскую роль нельзя добавить несколько групп управления в качестве назначаемой области.

Причина

В AssignableScopes настраиваемой роли можно определить только одну группу управления.

Решение

Определите одну группу управления в AssignableScopes пользовательской роли. Дополнительные сведения о настраиваемых ролях и группах управления см. в статье Организация ресурсов с помощью групп управления Azure.

Симптом. Не удается добавить действия данных в пользовательскую роль

При попытке создать или обновить пользовательскую роль невозможно добавить действия с данными или увидеть следующее сообщение:

You cannot add data action permissions when you have a management group as an assignable scope

Причина

Вы пытаетесь создать пользовательскую роль с действиями данных и группой управления в качестве назначаемой области. Настраиваемые роли с DataActions нельзя назначить в области группы управления.

Решение

Создайте пользовательскую роль с одной или несколькими подписками в качестве назначаемой области. Дополнительные сведения о настраиваемых ролях и группах управления см. в статье Организация ресурсов с помощью групп управления Azure.

Отказ в доступе или ошибки разрешений

Симптом— сбой авторизации

При попытке создать ресурс вы получите следующее сообщение об ошибке:

The client with object id does not have authorization to perform action over scope (code: AuthorizationFailed)

Причина 1

Вы вошли в систему с пользователем, у которых нет разрешения на запись в ресурс в выбранной области.

Решение 1

Убедитесь, что вы вошли в систему с пользователем, которому назначена роль с разрешением на запись в ресурс в выбранной области. Например, для управления виртуальными машинами в группе ресурсов вам должна быть назначена роль Участник виртуальных машин для этой группы ресурсов (или вышестоящего уровня). Список разрешений для каждой встроенной роли см. в статье Встроенные роли Azure.

Причина 2

В настоящее время пользователь, вошедшего в систему, имеет назначение роли со следующими критериями:

• Роль включает действие данных Microsoft.Storage
• Назначение ролей включает условие ABAC, использующее операторы сравнения GUID

Решение 2

В настоящее время нельзя назначать роли с действием данных Microsoft.Storage и условием ABAC, использующим оператор сравнения GUID. Ниже приведены несколько вариантов устранения этой ошибки:

• Если роль является настраиваемой ролью, удалите все действия с данными Microsoft.Storage.
• Измените условие назначения роли, чтобы он не использовал операторы сравнения GUID

Симптом: гостевой пользователь получает авторизацию сбоем

Когда гостевой пользователь пытается получить доступ к ресурсу, он получает сообщение об ошибке, аналогичное следующему:

The client '<client>' with object id '<objectId>' does not have authorization to perform action '<action>' over scope '<scope>' or the scope is invalid.

Причина

У гостевого пользователя нет разрешений на ресурс в выбранной области.

Решение

Убедитесь, что гостевой пользователь назначает роль с минимальными привилегиями для ресурса в выбранной области. Дополнительные сведения о назначении ролей Azure внешним пользователям с помощью портал Azure.

Симптом. Не удается создать запрос на поддержку

При попытке создать или обновить запрос в службу поддержки вы получите следующее сообщение об ошибке:

You don't have permission to create a support request

Причина

Вы вошли в систему с пользователем, у которых нет разрешения на создание запросов на поддержку.

Решение

Убедитесь, что вы вошли в систему с пользователем, которому назначена роль с Microsoft.Support/supportTickets/write разрешением, например участник запроса на поддержку.

Функции Azure отключены

Симптом. Некоторые функции веб-приложения отключены

Пользователь имеет доступ на чтение к веб-приложению, а некоторые функции отключены.

Причина

Если вы предоставляете пользователю доступ на чтение веб-приложения, некоторые функции отключены, которые могут не ожидать. Следующие возможности управления требуют доступа к веб-приложению для записи и недоступны в любом сценарии только для чтения.

• Команды (такие как запуск, остановка и т. д.).
• Изменение параметров, таких как общие параметры конфигурации, параметры масштабирования, резервного копирования и мониторинга.
• Доступ к учетным данным для публикации и другим секретным сведениям, например к параметрам приложений и строкам подключения.
• Журналы потоковой передачи.
• Настройка журналов ресурсов
• Консоль (командная строка).
• Активные и недавние развертывания (для локального непрерывного развертывания Git).
• Приблизительные затраты.
• Веб-тесты
• Виртуальная сеть (видна читателю только в том случае, если ранее была настроена пользователем с доступом на запись).

Решение

Назначьте участника или другую встроенную роль Azure с разрешениями на запись для веб-приложения.

Симптом. Некоторые ресурсы веб-приложения отключены

У пользователя есть доступ на запись к веб-приложению, а некоторые функции отключены.

Причина

Работа с веб-приложениями осложняется наличием нескольких взаимосвязанных ресурсов. Ниже приведена типичная группа ресурсов с несколькими веб-сайтами:

В результате, если вы предоставите кому-либо доступ только к веб-приложению, многие функции в колонке веб-сайта на портале Azure будут отключены.

Для этих элементов требуется доступ на запись к плану Служба приложений, который соответствует вашему веб-сайту:

• просмотр ценовой категории веб-приложения (например, "Бесплатный" или "Стандартный");
• параметры масштабирования (число экземпляров, размер виртуальной машины, настройки автоматического масштабирования);
• квоты (квоты хранилища, пропускной способности, ресурсов ЦП).

Элементы, требующие доступа на запись ко всей группе ресурсов, которая содержит веб-сайт:

• TLS/SSL-сертификаты и привязки (TLS/SSL-сертификаты могут совместно использоваться сайтами, относящимися к одной группе ресурсов и находящимися в одном географическом расположении);
• Правила оповещения
• параметры автоматического масштабирования;
• компоненты Application Insights;
• Веб-тесты

Решение

Назначьте встроенную роль Azure с разрешениями на запись для плана службы приложений или группы ресурсов.

Симптом. Некоторые функции виртуальной машины отключены

Пользователь имеет доступ к виртуальной машине и некоторые функции отключены.

Причина

Как и в случае с веб-приложениями, для некоторых функций в колонке виртуальной машины нужен доступ к виртуальной машине или другим ресурсам в группе ресурсов с правами на запись.

Виртуальные машины связаны с доменными именами, виртуальными сетями, учетными записями хранения и правилами оповещений.

Элементы, требующие доступа к виртуальной машине с правом записи:

• Конечные точки
• IP-адреса
• Диски
• Модули

Для них требуется доступ на запись как к виртуальной машине, так и к группе ресурсов (вместе с доменным именем), в которую она входит:

• Группа доступности
• набор балансировки нагрузки;
• Правила оповещения

Если у вас нет доступа ни к одному из этих элементов, попросите администратора предоставить вам права участника для группы ресурсов.

Решение

Назначьте встроенную роль Azure с разрешениями на запись для виртуальной машины или группы ресурсов.

Симптом. Некоторые функции приложения-функции отключены

Пользователь имеет доступ к приложению-функции и некоторые функции отключены. Например, они могут щелкнуть вкладку "Функции платформы", а затем щелкнуть "Все параметры", чтобы просмотреть некоторые параметры, связанные с приложением-функцией (аналогично веб-приложению), но они не могут изменять какие-либо из этих параметров.

Причина

Для некоторых компонентов решения Функции Azure требуется доступ на запись. Например, если пользователю назначена роль читателя , они не смогут просматривать функции в приложении-функции. На портале отображается (нет доступа).

Решение

Назначьте встроенную роль Azure с разрешениями на запись для приложения-функции или группы ресурсов.

Перенос подписки в другой каталог

Симптом. Все назначения ролей удаляются после передачи подписки

Причина

При передаче подписки Azure в другой каталог Microsoft Entra все назначения ролей окончательно удаляются из исходного каталога Microsoft Entra и не переносятся в целевой каталог Microsoft Entra.

Решение

Вам потребуется повторно создать назначения ролей в целевом каталоге. Также необходимо вручную заново создать управляемые удостоверения для ресурсов Azure. Дополнительные сведения см. в статье "Передача подписки Azure в другой каталог Microsoft Entra" и часто задаваемых вопросов и известных проблем с управляемыми удостоверениями.

Симптом. Не удается получить доступ к подписке после передачи подписки

Решение

Если вы являетесь глобальным администратором Microsoft Entra и у вас нет доступа к подписке после его передачи между каталогами, используйте управление доступом для ресурсов Azure, чтобы временно повысить уровень доступа для получения доступа к подписке.

Администраторы классических подписок

Следующие шаги

• Устранение неполадок для внешних пользователей
• Назначение ролей Azure с помощью портала Azure
• Просмотр журналов действий на предмет изменений в Azure RBAC