Поделиться через

Устранение неполадок Azure RBAC

  • Статья

В этой статье описываются некоторые распространенные решения проблем, связанных с управлением доступом на основе ролей Azure (Azure RBAC).

Назначения ролей Azure

Симптом — опция добавления роли отключена

Не удается назначить роль в портал Azure в элементе управления доступом (IAM), так как > ролей" отключен

Причина

Вы вошли в систему с пользователем, у которых нет разрешения на назначение ролей в выбранной области.

Решение

Убедитесь, что вы вошли в систему с пользователем, которому назначена роль, имеющая разрешение Microsoft.Authorization/roleAssignments/write, например, Администратор контроля доступа на основе ролей, в рамках, для которой вы пытаетесь назначить эту роль.

Симптом. Роли или субъекты не перечислены

При попытке назначить роль в портал Azure некоторые роли или субъекты не перечислены. Например, на вкладке "Роль " отображается сокращенный набор ролей.

Снимок экрана: назначения ролей, ограниченные определенными ролями.

Кроме того, на панели "Выбор элементов" отображается сокращенный набор субъектов.

Снимок экрана: назначения ролей, ограниченные определенными группами.

Причина

Существуют ограничения на назначения ролей, которые можно добавить. Например, вы ограничены ролями, которые вы можете назначить, или ограничены в субъектах, которым вы можете назначить роли.

Решение

Просмотрите роли, назначенные вам. Проверьте, существует ли условие, которое ограничивает назначения ролей, которые можно добавить. Дополнительные сведения см. в статье "Делегирование управления доступом Azure другим пользователям".

Снимок экрана: назначения ролей, которые включают условие.

Симптом. Не удается назначить роль

Вы не можете назначить роль, и вы получите ошибку, аналогичную следующей:

Failed to add {securityPrincipal} as {role} for {scope} : The client '{clientName}' with object id '{objectId}' does not have authorization or an ABAC condition not fulfilled to perform action 'Microsoft.Authorization/roleAssignments/write' over scope '/subscriptions/{subscriptionId}/Microsoft.Authorization/roleAssignments/{roleAssignmentId}' or the scope is invalid. If access was recently granted, please refresh your credentials.

Причина 1

Вы вошли в систему с пользователем, у которых нет разрешения на назначение ролей в выбранной области.

Решение 1

Убедитесь, что вы вошли в систему с пользователем, которому назначена роль с разрешением Microsoft.Authorization/roleAssignments/write, например, роль Администратор контроля доступа на основе ролей, в контексте, который вы пытаетесь назначить для роли.

Причина 2

Существуют ограничения на назначения ролей, которые можно добавить. Например, вы ограничены в ролях, которые можете назначить, или в субъектах, которым можно назначать роли.

Решение 2

Просмотрите роли, назначенные вам. Проверьте, существует ли условие, которое ограничивает назначения ролей, которые можно добавить. Дополнительные сведения см. в статье "Делегирование управления доступом Azure другим пользователям".

Снимок экрана: назначения ролей, которые включают условие.

Симптом - Не удается назначить роль с помощью учетной записи службы с помощью Azure CLI

Вы используете учетную запись службы для назначения ролей с помощью Azure CLI и получаете следующую ошибку:

Insufficient privileges to complete the operation

Предположим, что у вас есть субъект-служба, которой назначена роль владельца, и вы пытаетесь создать следующее назначение роли в качестве субъекта-службы с помощью Azure CLI:

az login --service-principal --username "SPNid" --password "password" --tenant "tenantid"
az role assignment create --assignee "userupn" --role "Contributor"  --scope "/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}"

Причина

Скорее всего, Azure CLI пытается найти удостоверение назначателя в идентификаторе Microsoft Entra ID, и субъект-служба по умолчанию не может прочитать идентификатор Microsoft Entra ID.

Решение

Эту проблему можно решить двумя способами. Первый способ — назначить роль Читатели каталогов субъекту-службе, чтобы она могла считывать данные в каталоге.

Второй способ устранить эту ошибку — создать назначение роли с помощью параметра --assignee-object-id, а не --assignee. С помощью --assignee-object-id Azure CLI пропустит поиск Microsoft Entra. Вам потребуется получить идентификатор объекта пользователя, группы или приложения, которому требуется назначить роль. Подробнее см. в статье Назначение ролей Azure с помощью Azure CLI.

az role assignment create --assignee-object-id 11111111-1111-1111-1111-111111111111  --role "Contributor" --scope "/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}"

Симптом. Назначение роли новому субъекту иногда завершается неудачей.

Вы создаете пользователя, группу или субъект-службу и немедленно пытаетесь назначить роль субъекту, а назначение роли иногда завершается ошибкой. Вы получите сообщение, аналогичное следующей ошибке:

PrincipalNotFound
Principal {principalId} does not exist in the directory {tenantId}. Check that you have the correct principal ID. If you are creating this principal and then immediately assigning a role, this error might be related to a replication delay. In this case, set the role assignment principalType property to a value, such as ServicePrincipal, User, or Group.  See https://aka.ms/docs-principaltype

Причина

Причина, скорее всего, задержка репликации. Субъект создается в одном регионе; Однако назначение роли может произойти в другом регионе, который еще не реплицировал субъект.

Решение 1

Если вы создаете нового пользователя или субъекта-службы с помощью REST API или шаблона ARM, задайте principalType свойство при создании назначения ролей с помощью назначений ролей — создание API.

тип главного объекта версияAPI
User 2020-03-01-preview или более поздняя версия.
ServicePrincipal 2018-09-01-preview или более поздняя версия.

Дополнительные сведения см. здесь или здесь.

Решение 2

Если вы создаете нового пользователя или учетную запись службы с помощью Azure PowerShell, задайте параметр ObjectType как User или ServicePrincipal при создании назначения ролей с помощью New-AzRoleAssignment. Те же ограничения версий API для решения 1 по-прежнему применяются. Дополнительные сведения см. в статье Назначение ролей Azure с помощью Azure PowerShell.

Решение 3

Если вы создаете новую группу, подождите несколько минут, прежде чем создавать назначение роли.

Симптом — назначение роли в шаблоне ARM возвращает статус BadRequest

При попытке развернуть Bicep-файл или шаблон ARM – который назначает роль служебному принципалу – возникает ошибка.

Tenant ID, application ID, principal ID, and scope are not allowed to be updated. (code: RoleAssignmentUpdateNotPermitted)

Например, если вы создаете назначение ролей для управляемого удостоверения, удалите управляемое удостоверение и повторно создадите его, новое управляемое удостоверение имеет другой идентификатор субъекта. Если вы попытаетесь снова развернуть назначение роли и использовать то же имя назначения ролей, развертывание завершается ошибкой.

Причина

Назначение name роли не является уникальным, и оно рассматривается как обновление.

Назначения ролей однозначно определяются по их имени, который является глобально уникальным идентификатором (GUID). Невозможно создать два назначения ролей с одинаковым именем, даже в разных подписках Azure. Вы также не можете изменить свойства существующего назначения ролей.

Решение

Укажите идемпотентное уникальное значение для назначения nameроли. Целесообразно создать GUID, используя область, идентификатор субъекта и идентификатор роли вместе. Рекомендуется использовать функцию guid(), чтобы создать детерминированный GUID для имен назначений ролей, как в этом примере:

resource roleAssignment 'Microsoft.Authorization/roleAssignments@2020-10-01-preview' = {
  name: guid(resourceGroup().id, principalId, roleDefinitionId)
  properties: {
    roleDefinitionId: roleDefinitionId
    principalId: principalId
    principalType: principalType
  }
}

Дополнительные сведения см. в статье "Создание ресурсов Azure RBAC с помощью Bicep".

Симптом - Назначения ролей с идентификацией не найдены

В списке назначений ролей для портала Azure вы заметите, что субъект безопасности (пользователь, группа, служебный принципал или управляемое удостоверение) указан как удостоверение, не найденное с неизвестным типом.

Пометка

Если вы перечисляете это назначение ролей с помощью Azure PowerShell, вы можете увидеть пустое DisplayName и SignInName, или значение для ObjectType из Unknown. Например, командлет Get-AzRoleAssignment возвращает назначение роли, похожее на следующие выходные данные:

RoleAssignmentId   : /subscriptions/11111111-1111-1111-1111-111111111111/providers/Microsoft.Authorization/roleAssignments/22222222-2222-2222-2222-222222222222
Scope              : /subscriptions/11111111-1111-1111-1111-111111111111
DisplayName        :
SignInName         :
RoleDefinitionName : Storage Blob Data Contributor
RoleDefinitionId   : ba92f5b4-2d11-453d-a403-e96b0029c9fe
ObjectId           : 33333333-3333-3333-3333-333333333333
ObjectType         : User
CanDelegate        : False

Аналогично, если вы просмотрите назначение этой роли с помощью Azure CLI, то может отобразиться пустой параметр principalName. Например, команда az role assignment list возвращает назначение роли, похожее на следующие выходные данные:

{
    "canDelegate": null,
    "id": "/subscriptions/11111111-1111-1111-1111-111111111111/providers/Microsoft.Authorization/roleAssignments/22222222-2222-2222-2222-222222222222",
    "name": "22222222-2222-2222-2222-222222222222",
    "principalId": "33333333-3333-3333-3333-333333333333",
    "principalName": "",
    "roleDefinitionId": "/subscriptions/11111111-1111-1111-1111-111111111111/providers/Microsoft.Authorization/roleDefinitions/ba92f5b4-2d11-453d-a403-e96b0029c9fe",
    "roleDefinitionName": "Storage Blob Data Contributor",
    "scope": "/subscriptions/11111111-1111-1111-1111-111111111111",
    "type": "Microsoft.Authorization/roleAssignments"
}

Причина 1

Недавно вы пригласили пользователя при создании назначения ролей, и этот субъект безопасности по-прежнему находится в процессе репликации в разных регионах.

Решение 1

Подождите несколько минут и обновите список назначений ролей.

Причина 2

Вы удалили субъект безопасности, которому была назначена роль. Если назначить роль субъекту безопасности, а затем удалить его без предварительного удаления назначения роли, то субъект безопасности будет указан с пометкой Удостоверение не найдено и типом Неизвестно.

Решение 2

Если субъект безопасности удален, с такими назначениями ролей можно ничего не делать. При желании вы можете удалить их, выполнив те же действия, что и для других назначений ролей. Для получения информации об удалении назначений ролей, см. Удаление назначений ролей в Azure.

В PowerShell, если вы пытаетесь удалить назначения ролей, используя идентификатор объекта и имя определения роли, и если более одного назначения роли совпадает с вашими параметрами, вы получите сообщение об ошибке: The provided information does not map to a role assignment. Вот пример выходных данных с сообщением об ошибке:

PS C:\> Remove-AzRoleAssignment -ObjectId 33333333-3333-3333-3333-333333333333 -RoleDefinitionName "Storage Blob Data Contributor"

Remove-AzRoleAssignment : The provided information does not map to a role assignment.
At line:1 char:1
+ Remove-AzRoleAssignment -ObjectId 33333333-3333-3333-3333-333333333333 ...
+ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
+ CategoryInfo          : CloseError: (:) [Remove-AzRoleAssignment], KeyNotFoundException
+ FullyQualifiedErrorId : Microsoft.Azure.Commands.Resources.RemoveAzureRoleAssignmentCommand

Если вы получили это сообщение об ошибке, убедитесь, что вы также указали параметр -Scope или -ResourceGroupName.

PS C:\> Remove-AzRoleAssignment -ObjectId 33333333-3333-3333-3333-333333333333 -RoleDefinitionName "Storage Blob Data Contributor" -Scope /subscriptions/11111111-1111-1111-1111-111111111111

Симптом. Не удается удалить последнее назначение роли владельца

Вы пытаетесь удалить последнее назначение роли владельца для подписки, и вы увидите следующую ошибку:

Cannot delete the last RBAC admin assignment

Причина

Удаление последнего назначения роли владельца для подписки не поддерживается, чтобы избежать отключения подписки.

Решение

Если вам нужно отменить подписку, см. статью Отмена подписки Azure.

Вы можете удалить последнее назначение ролей владельца (или администратора доступа пользователей) в области подписки, если вы являетесь глобальным администратором клиента или классическим администратором (администратором службы или соадминистратором) для подписки. В этом случае нет ограничений на удаление. Однако если запрос исходит от другого субъекта, то вы не сможете удалить последнее назначение роли владельца в области подписки.

Симптом — назначение ролей не перемещается после перемещения ресурса

Причина

При перемещении ресурса, для которого роль Azure назначена непосредственно самому ресурсу (или дочернему ресурсу), назначение ролей не перемещается и теряется.

Решение

После перемещения ресурса необходимо повторно создать назначение роли. Со временем осиротевшее назначение роли будет автоматически удалено, но рекомендуется удалить назначение роли перед перемещением ресурса. Сведения о перемещении ресурсов см. в статье Перемещение ресурсов в новую группу ресурсов или подписку.

Симптом. Изменения назначения ролей не обнаруживаются

Вы недавно добавили или обновили назначение роли, но изменения не обнаруживаются. Может появиться сообщение Status: 401 (Unauthorized).

Причина 1

Azure Resource Manager иногда кэширует конфигурации и данные для повышения производительности.

Решение 1

При назначении ролей или удалении назначений ролей может потребоваться до 10 минут, чтобы изменения вступили в силу. Если вы используете портал Azure, Azure PowerShell или Azure CLI, вы можете принудительно обновить изменения назначения ролей, выполнив выход и вход. Если вы вносите изменения в назначение ролей с помощью вызовов REST API, вы можете обновить маркер доступа, чтобы принудительно провести обновление.

Причина 2

Вы добавили управляемые сущности в группу и назначили группе роль. Внутренние службы управляемых удостоверений поддерживают кэш для каждого URI-адреса ресурса в течение около 24 часов.

Решение 2

Может потребоваться несколько часов, чтобы изменения в группе или роли членства управляемого удостоверения вступили в силу. Дополнительные сведения см. в разделе Ограничение использования управляемых удостоверений для авторизации.

Симптом. Изменения назначения ролей в области группы управления не обнаруживаются

Вы недавно добавили или обновили назначение ролей в области группы управления, но изменения не обнаруживаются.

Причина

Azure Resource Manager иногда кэширует конфигурации и данные для повышения производительности.

Решение

При назначении ролей или удалении назначений ролей может потребоваться до 10 минут, чтобы изменения вступили в силу. Если вы добавляете или удаляете встроенное назначение ролей в области группы управления и у встроенной роли есть DataActions, доступ на плоскости данных может не обновляться в течение нескольких часов. Это относится только к области группы управления и плоскости данных. Настраиваемые роли с DataActions нельзя присвоить на уровне группы управления.

Симптом. Назначения ролей для изменений группы управления не обнаруживаются

Вы создали новую дочернюю группу управления, а назначение роли в родительской группе управления не обнаружено для дочерней группы управления.

Причина

Azure Resource Manager иногда кэширует конфигурации и данные для повышения производительности.

Решение

Чтобы назначение роли для группы управления ребенком вступило в силу, может занять до 10 минут. Если вы используете портал Azure, Azure PowerShell или Azure CLI, можно принудительно обновить изменения назначения ролей, выйдя из учетной записи и повторно войдя в нее. Если вы вносите изменения в назначения ролей с помощью вызовов REST API, можно принудительно обновить изменения, обновив маркер доступа.

Симптом. Удаление назначений ролей с помощью PowerShell занимает несколько минут

Чтобы удалить назначение роли, используйте команду Remove-AzRoleAssignment . Затем вы используете команду Get-AzRoleAssignment для подтверждения, что назначение роли было удалено для субъекта безопасности. Например:

Get-AzRoleAssignment -ObjectId $securityPrincipalObject.Id

Команда Get-AzRoleAssignment указывает, что назначение роли не было удалено. Однако если ждать 5–10 минут и снова запустить Get-AzRoleAssignment , выходные данные указывают, что назначение роли было удалено.

Причина

Назначение роли удалено. Однако для повышения производительности PowerShell использует кэш при перечислении назначений ролей. Для обновления кэша может быть задержка около 10 минут.

Решение

Вместо перечисления назначений ролей для субъекта безопасности выведите список всех назначений ролей в области подписки и отфильтруйте выходные данные. Например, следующая команда:

$validateRemovedRoles = Get-AzRoleAssignment -ObjectId $securityPrincipalObject.Id

Вместо этого можно заменить следующую команду:

$validateRemovedRoles = Get-AzRoleAssignment -Scope /subscriptions/$subId | Where-Object -Property ObjectId -EQ $securityPrincipalObject.Id

Пользовательские роли

Симптом. Не удается обновить или удалить пользовательскую роль

Не удается обновить или удалить существующую пользовательскую роль.

Причина 1

Вы вошли в систему под учетной записью пользователя, у которого нет разрешения на обновление или удаление пользовательских ролей.

Решение 1

Убедитесь, что вы вошли в систему с пользователем, которому назначена роль, которая имеет Microsoft.Authorization/roleDefinitions/write такое разрешение, как администратор доступа пользователей.

Причина 2

Пользовательская роль включает подписку в назначаемых областях, и эта подписка находится в отключенном состоянии.

Решение 2

Повторно активируйте отключенную подписку и обновите пользовательскую роль по мере необходимости. Дополнительные сведения см. в статье о повторной активации отключенной подписки Azure.

Симптом. Не удается создать или обновить пользовательскую роль

При попытке создать или обновить пользовательскую роль вы получите ошибку, аналогичную следующей:

The client '<clientName>' with object id '<objectId>' has permission to perform action 'Microsoft.Authorization/roleDefinitions/write' on scope '/subscriptions/<subscriptionId>'; however, it does not have permission to perform action 'Microsoft.Authorization/roleDefinitions/write' on the linked scope(s)'/subscriptions/<subscriptionId1>,/subscriptions/<subscriptionId2>,/subscriptions/<subscriptionId3>' or the linked scope(s)are invalid

Причина

Эта ошибка обычно указывает, что у вас нет разрешений на одну или несколько назначаемых областей в пользовательской роли.

Решение

Попробуйте сделать следующее.

Дополнительные сведения см. в руководствах по пользовательским ролям с помощью портала Azure, Azure PowerShell или Azure CLI.

Симптом. Не удается удалить пользовательскую роль

Вы не можете удалить пользовательскую роль и получить следующее сообщение об ошибке:

There are existing role assignments referencing role (code: RoleDefinitionHasAssignments)

Причина

Существуют назначения ролей, которые по-прежнему используют пользовательскую роль.

Решение

Удалите назначения ролей, которые используют пользовательскую роль, и повторите попытку удалить пользовательскую роль. Дополнительные сведения см. в разделе "Поиск назначений ролей" для удаления настраиваемой роли.

** Симптом: Не удается добавить более одной группы управления в качестве области назначения.

При попытке создать или обновить пользовательскую роль можно добавить не более одной группы управления в качестве назначаемой области.

Причина

В AssignableScopes настраиваемой роли можно определить только одну группу управления.

Решение

Определите одну группу управления в AssignableScopes пользовательской роли. Дополнительные сведения о настраиваемых ролях и группах управления см. в статье Организация ресурсов с помощью групп управления Azure.

Симптом: невозможно добавить действия с данными в пользовательскую роль

При попытке создать или обновить пользовательскую роль невозможно добавить действия с данными или увидеть следующее сообщение:

You cannot add data action permissions when you have a management group as an assignable scope

Причина

Вы пытаетесь создать пользовательскую роль с определёнными действиями с данными и группой управления как назначаемой областью. На уровне группы управления нельзя назначать настраиваемые роли с DataActions.

Решение

Создайте пользовательскую роль с одной или несколькими подписками в качестве области назначения. Дополнительные сведения о настраиваемых ролях и группах управления см. в статье Организация ресурсов с помощью групп управления Azure.

Отказ в доступе или ошибки разрешений

Симптом— сбой авторизации

При попытке создать ресурс вы получите следующее сообщение об ошибке:

The client with object id does not have authorization to perform action over scope (code: AuthorizationFailed)

Причина 1

Вы вошли в систему с пользователем, у которого нет разрешения на запись в ресурс на выбранной области.

Решение 1

Убедитесь, что вы вошли в систему с пользователем, которому назначена роль с разрешением на запись для доступа к ресурсу в выбранной области. Например, для управления виртуальными машинами в группе ресурсов вам следует иметь роль Соавтор виртуальных машин в этой группе ресурсов (или на вышестоящем уровне). Список разрешений для каждой встроенной роли см. в статье Встроенные роли Azure.

Причина 2

В настоящее время вошедший в систему пользователь имеет назначение роли со следующими критериями:

  • Роль включает действие Microsoft.Storage с данными
  • Назначение ролей включает условие ABAC, использующее операторы сравнения GUID

Решение 2

В настоящее время нельзя назначать роли с действием данных Microsoft.Storage и условием ABAC, использующим оператор сравнения GUID. Ниже приведены несколько вариантов устранения этой ошибки:

  • Если роль является настраиваемой ролью, удалите все действия с данными Microsoft.Storage.
  • Измените условие назначения роли, чтобы он не использовал операторы сравнения GUID

Симптом — гостю не удается авторизоваться

Когда гостевой пользователь пытается получить доступ к ресурсу, он получает сообщение об ошибке, аналогичное следующему:

The client '<client>' with object id '<objectId>' does not have authorization to perform action '<action>' over scope '<scope>' or the scope is invalid.

Причина

У гостевого пользователя нет разрешений на ресурс в выбранной области.

Решение

Убедитесь, что гостевому пользователю назначена роль с наименьшими привилегиями для ресурса на выбранном уровне. Дополнительные сведения о назначении ролей Azure внешним пользователям, используя портал Azure.

Симптом. Не удается создать запрос на поддержку

При попытке создать или обновить запрос в службу поддержки вы получите следующее сообщение об ошибке:

You don't have permission to create a support request

Причина

Вы вошли в систему с пользователем, который не имеет разрешения на обращение в поддержку.

Решение

Убедитесь, что вы вошли в систему с пользователем, которому назначена роль с Microsoft.Support/supportTickets/write разрешением, например сотрудник запроса на поддержку.

Функции Azure отключены

Симптом. Некоторые функции веб-приложения отключены

Пользователь имеет доступ на чтение к веб-приложению, и некоторые функции отключены.

Причина

Если вы предоставляете пользователю доступ на чтение веб-приложения, некоторые функции могут быть неожиданно отключены. Следующие возможности управления требуют доступа к веб-приложению для записи и недоступны в любом сценарии только для чтения.

  • Команды (такие как запуск, остановка и т. д.).
  • Изменение параметров, таких как общие параметры конфигурации, параметры масштабирования, резервного копирования и мониторинга.
  • Доступ к учетным данным для публикации и другим секретным сведениям, например к параметрам приложений и строкам подключения.
  • Журналы потоковой передачи.
  • Настройка журналов ресурсов
  • Консоль (командная строка).
  • Активные и недавние развертывания (для локального непрерывного развертывания Git).
  • Приблизительные затраты.
  • Веб-тесты
  • Виртуальная сеть (видна читателю только в том случае, если ранее была настроена пользователем с доступом на запись).

Решение

Назначьте участника или другую встроенную роль Azure с разрешениями на запись для веб-приложения.

Симптом. Некоторые ресурсы веб-приложения отключены

У пользователя есть доступ на запись к веб-приложению, а некоторые функции отключены.

Причина

Работа с веб-приложениями осложняется наличием нескольких взаимосвязанных ресурсов. Ниже приведена типичная группа ресурсов с несколькими веб-сайтами:

Группа ресурсов веб-приложений

В результате, если вы предоставите кому-либо доступ только к веб-приложению, многие функции в колонке веб-сайта на портале Azure будут отключены.

Для этих элементов требуется доступ на запись к плану Служба приложений, который соответствует вашему веб-сайту:

  • просмотр ценовой категории веб-приложения (например, "Бесплатный" или "Стандартный");
  • параметры масштабирования (число экземпляров, размер виртуальной машины, настройки автоматического масштабирования);
  • квоты (квоты хранилища, пропускной способности, ресурсов ЦП).

Элементы, требующие доступа на запись ко всей группе ресурсов, которая содержит веб-сайт:

  • TLS/SSL-сертификаты и привязки (TLS/SSL-сертификаты могут совместно использоваться сайтами, относящимися к одной группе ресурсов и находящимися в одном географическом расположении);
  • Правила оповещения
  • параметры автоматического масштабирования;
  • компоненты Application Insights;
  • Веб-тесты

Решение

Назначьте встроенную роль Azure с разрешениями на запись для плана службы приложений или группы ресурсов.

Симптом. Некоторые функции виртуальной машины отключены

Пользователь имеет доступ к виртуальной машине и некоторые функции отключены.

Причина

Подобно веб-приложениям, для некоторых функций на панели виртуальной машины требуется право на запись для доступа к виртуальной машине или другим ресурсам в группе ресурсов.

Виртуальные машины связаны с доменными именами, виртуальными сетями, учетными записями хранения и правилами оповещений.

Элементы, требующие доступа к виртуальной машине с правом записи:

  • Конечные точки
  • IP-адреса
  • Диски
  • Расширения

Для них требуется доступ на запись как к виртуальной машине, так и к группе ресурсов (вместе с доменным именем), в которую она входит:

  • Группа доступности
  • набор балансировки нагрузки;
  • Правила оповещения

Если у вас нет доступа ни к одному из этих элементов, попросите администратора предоставить вам права участника для группы ресурсов.

Решение

Назначьте встроенную роль Azure с разрешениями на запись для виртуальной машины или группы ресурсов.

Симптом - Некоторые функции приложения отключены

Пользователь имеет доступ к функциональному приложению, и некоторые возможности отключены. Например, они могут щелкнуть вкладку "Функции платформы", а затем щелкнуть "Все параметры", чтобы просмотреть некоторые параметры, связанные с приложением-функцией (аналогично веб-приложению), но они не могут изменять какие-либо из этих параметров.

Причина

Для некоторых компонентов решения Функции Azure требуется доступ на запись. Например, если пользователю назначена роль читателя , они не смогут просматривать функции в приложении-функции. На портале отображается (нет доступа).

Отсутствие доступа к функциям приложений

Решение

Назначьте встроенную роль Azure с разрешениями на запись для приложения-функции или группы ресурсов.

Перенос подписки в другой каталог

Симптом — все назначения ролей удаляются после передачи подписки

Причина

При передаче подписки Azure в другой каталог Microsoft Entra все назначения ролей окончательно удаляются из исходного каталога Microsoft Entra и не переносятся в целевой каталог Microsoft Entra.

Решение

Вам потребуется повторно создать назначения ролей в целевом каталоге. Также необходимо вручную восстановить управляемые идентичности для ресурсов Azure. Дополнительные сведения см. в статьях «Передача подписки Azure в другой каталог Microsoft Entra» и «Часто задаваемые вопросы и известные проблемы с управляемыми удостоверениями».

Симптом. Не удается получить доступ к подписке после передачи подписки

Решение

Если вы являетесь глобальным администратором Microsoft Entra и у вас нет доступа к подписке после его передачи между каталогами, используйте управление доступом для ресурсов Azure, чтобы временно повысить уровень доступа для получения доступа к подписке.

Администраторы классических подписок

Внимание

По состоянию на 31 августа 2024 г. классические роли администратора Azure (а также классические ресурсы Azure и Azure Service Manager) не поддерживаются. Начиная с 30 апреля 2025 года, все роли Co-Administrator или администратор службы потеряют доступ. Если у вас все еще есть активные назначения ролей соадминистратора или администратора служб, немедленно переведите эти роли на Azure RBAC.

Дополнительные сведения см. в статье Классические администраторы подписок Azure.

Следующие шаги