Azure classic subscription administrators (Administradores clásicos de la suscripción de Azure)

Importante

A partir del 31 de agosto de 2024, los roles de administrador clásico de Azure (junto con los recursos clásicos de Azure y Azure Service Manager) se retiran y ya no se admiten. Si todavía tiene asignaciones activas de roles de Coadministrador o Administrador de servicios, conviértalas en RBAC de Azure inmediatamente. A partir de diciembre de 2025, Azure comenzará a asignar automáticamente el rol Propietario en el ámbito de la suscripción a los usuarios de la nube pública que todavía tienen asignado el rol de administrador de servicios o Co-Administrator.

Microsoft recomienda que administre el acceso a los recursos de Azure mediante el control de acceso basado en rol (RBAC) de Azure. Si sigue usando el modelo de implementación clásica, deberá migrar los recursos de la implementación clásica a la implementación de Resource Manager. Para más información, consulte Implementación de Azure Resource Manager frente a la implementación clásica.

Este artículo describe la retirada de los roles coadministrador y administrador de servicios y cómo convertir estas asignaciones de roles.

Preguntas más frecuentes

¿Qué ocurre con las asignaciones de roles de administrador clásicas después del 31 de agosto de 2024?

Los roles coadministrador y administrador de servicios se retiran y ya no se admiten. Debe convertir estas asignaciones de roles en RBAC de Azure inmediatamente.

¿Qué ocurre con las asignaciones de roles de administrador clásicas después de diciembre de 2025?

Azure comenzará a asignar automáticamente el rol Propietario en el ámbito de la suscripción a los usuarios de la nube pública que todavía tienen asignado el rol de administrador de servicios o Co-Administrator. Para obtener más información, consulte Asignación automática del rol de Propietario.

¿Cómo sé qué suscripciones tienen administradores clásicos?

Puede usar una consulta de Azure Resource Graph para enumerar suscripciones con asignaciones de roles de administrador de servicios o coadministrador. Para ver los pasos, consulte Enumerar administradores clásicos.

¿Cuál es el rol equivalente de Azure que debo asignar a los coadministradores?

El rol de Propietario en el ámbito de la suscripción tiene el acceso equivalente. Sin embargo, el propietario es un rol Administrador con privilegios y concede acceso completo para administrar los recursos de Azure. Debe considerar un rol de función de trabajo con menos permisos, reducir el ámbito o agregar una condición.

¿Cuál es el rol equivalente de Azure que debo asignar para el administrador de servicios?

El rol de Propietario en el ámbito de la suscripción tiene el acceso equivalente.

¿Por qué necesito migrar a RBAC de Azure?

RBAC de Azure ofrece un control de acceso específico, compatibilidad con Privileged Identity Management (PIM) de Microsoft Entra y compatibilidad completa con los registros de auditoría. Todas las inversiones futuras estarán en RBAC de Azure.

¿Qué ocurre con el rol Administrador de cuentas?

El Administrador de la cuenta es el usuario principal de la cuenta de facturación. El administrador de cuentas no está en desuso y no es necesario convertir esta asignación de roles. El Administrador de cuentas y el Administrador de servicios pueden ser el mismo usuario. Sin embargo, tiene que convertir la asignación de roles administrador de servicios.

¿Qué debo hacer si pierdo el acceso a una suscripción?

Si quita los administradores clásicos sin tener al menos una asignación de rol Propietario para una suscripción, perderá el acceso a la suscripción y la suscripción quedará huérfana. Para recuperar el acceso a una suscripción, puede hacer lo siguiente:
- Siga los pasos para elevar el acceso para administrar todas las suscripciones de un inquilino.
- Asigne el rol Propietario en el ámbito de la suscripción para un usuario.
- Elimine los privilegios de acceso elevados.

Asignación automática al rol propietario

A partir de diciembre de 2025, si no realiza ninguna acción y aún tiene administradores clásicos en la nube pública, Azure comenzará a asignar automáticamente a los administradores clásicos el rol Propietario en el ámbito de la suscripción. Estas asignaciones de roles tendrán las siguientes propiedades:

descripción: The Classic Admin role was converted to an Azure Owner role on behalf of the user due to Classic Admin retirement
creadoPor: 0469d4cd-df37-4d93-8a61-f8c75b809164

Si Azure asigna automáticamente el rol Propietario, no quita automáticamente la asignación de roles de administrador clásico. Debe eliminar esta asignación de rol de administrador clásico. Para conocer los pasos sobre cómo quitar esta asignación de roles, consulte Eliminación del coadministrador. Si no desea la asignación de rol de Propietario, debe quitar las asignaciones de roles de Propietario y Co-Administrador para eliminar el acceso del usuario.

Siga estos pasos para enumerar el administrador de servicios y los coadministradores de una suscripción mediante Azure Portal.

Inicie sesión en Azure Portal como propietario de una suscripción.
Abra Suscripciones y seleccione una suscripción.
Seleccione Control de acceso (IAM).
Seleccione la pestaña Administradores clásicos para ver una lista de los coadministradores.

Siga estos pasos para enumerar el número de administradores de servicio y coadministradores de sus suscripciones utilizando Azure Resource Graph.

Inicie sesión en Azure Portal como propietario de una suscripción.
Uso de Azure Resource Graph Explorer.
Seleccione Ámbito y establezca el ámbito de la consulta.

Establezca el ámbito en Directorio para consultar todo el inquilino, pero puede restringir el ámbito a determinadas suscripciones.
Seleccione Establecer ámbito de autorización y establezca el ámbito de autorización en En, por encima y por debajo para consultar todos los recursos en el ámbito especificado.

Ejecute la consulta siguiente para enumerar el número de administradores de servicios y coadministradores en función del ámbito.

authorizationresources
| where type == "microsoft.authorization/classicadministrators"
| mv-expand role = parse_json(properties).role
| mv-expand adminState = parse_json(properties).adminState
| where adminState == "Enabled"
| where role in ("ServiceAdministrator", "CoAdministrator")
| summarize count() by subscriptionId, tostring(role)

A continuación se muestra un ejemplo de los resultados. La columna count_ es el número de administradores de servicios o coadministradores de una suscripción.

Retirada de coadministradores

Si todavía tiene administradores clásicos, siga estos pasos para ayudarle a convertir las asignaciones de roles de coadministrador .

Paso 1: Revisar los coadministradores actuales

Inicie sesión en Azure Portal como propietario de una suscripción.
Use Azure Portal o Azure Resource Graph para enumerar los coadministradores.
Revise los registros de inicio de sesión para que los coadministradores evalúen si son usuarios activos.

Paso 2: Eliminar aquellos coadministradores que ya no necesitan acceso

Si el usuario ya no está en su empresa, elimine su rol de coadministrador.
Si se ha eliminado el usuario, pero no se quitó su asignación de coadministrador, quitar coadministrador.

Los usuarios que se han eliminado normalmente incluyen el texto (No se ha encontrado al usuario en este directorio).
Después de revisar la actividad del usuario, si este ya no está activo, elimine el rol de coadministrador.
Si el usuario ya tiene la asignación de rol Propietario, quite el coadministrador.

Paso 3: Convertir coadministradores en roles de función de trabajo

La mayoría de los usuarios no necesitan los mismos permisos que un coadministrador. Considere en su lugar un rol de función de trabajo.

Si un usuario todavía necesita algún tipo de acceso, determine el rol de función de trabajo adecuado que necesita.
Determine el ámbito que necesita el usuario.
Siga los pasos para asignar un rol de función de trabajo al usuario.
Elimine al coadministrador.

Paso 4: Convertir coadministradores al rol Propietario con condiciones

Es posible que algunos usuarios necesiten más acceso del que puede proporcionar un rol de función de trabajo. Si debe asignar el rol de Propietario, considere la posibilidad de agregar una condición o usar Microsoft Entra Privileged Identity Management (PIM) para restringir la asignación de roles.

Asigne el rol Propietario con condiciones.

Por ejemplo, asigne el rol Propietario en el ámbito de la suscripción con condiciones. Si tiene PIM, haga que el usuario sea apto para la asignación de roles Propietario.
Elimine al coadministrador.

Paso 5: Convertir coadministradores al rol de propietario

Si un usuario debe ser administrador de una suscripción, asigne el rol Propietario en el ámbito de la suscripción.

Siga los pasos descritos en Conversión de un coadministrador con el rol Propietario.

Conversión de un rol de coadministrador a propietario

La manera más fácil de convertir una asignación de rol de coadministrador al rol de Propietario en el ámbito de la suscripción es seguir los pasos de Corregir.

Inicie sesión en Azure Portal como propietario de una suscripción.
Abra Suscripciones y seleccione una suscripción.
Seleccione Control de acceso (IAM).
Seleccione la pestaña Administradores clásicos para ver una lista de los coadministradores.
Para el coadministrador que quiere convertir al rol Propietario, en la columna Corregir, seleccione el vínculo Asignar rol RBAC.
En el panel Agregar asignación de roles, revise la asignación de roles.
Seleccione Revisar y asignar para asignar el rol Propietario y quitar la asignación de roles de coadministrador.

Cómo quitar un coadministrador

Siga estos pasos para eliminar un coadministrador.

Inicie sesión en Azure Portal como propietario de una suscripción.
Abra Suscripciones y seleccione una suscripción.
Seleccione Control de acceso (IAM).
Seleccione la pestaña Administradores clásicos para ver una lista de los coadministradores.
Agregue una marca de verificación junto al coadministrador que desea quitar.
Seleccione Eliminar.
En el cuadro de mensaje que aparece, seleccione Sí.

Retirada del administrador de servicios

Si todavía tiene administradores clásicos, siga estos pasos para ayudarle a convertir la asignación de roles de administrador de servicios. Antes de quitar el administrador de servicios, debe tener al menos un usuario al que se le haya asignado el rol Propietario en el ámbito de la suscripción sin condiciones para evitar que la suscripción quede huérfana. El propietario de una suscripción tiene el mismo acceso que el administrador de servicios.

Paso 1: Revisar el administrador de servicios actual

Inicie sesión en Azure Portal como propietario de una suscripción.
Use Azure Portal o Azure Resource Graph para enumerar los Administradores de servicios.
Revise los registros de inicio de sesión para que el administrador de servicios evalúe si es un usuario activo.

Paso 2: Revisar los propietarios actuales de la cuenta de facturación

El usuario al que se asigna el rol Administrador de servicios también podría ser el mismo usuario que el administrador de la cuenta de facturación. Debe revisar los propietarios actuales de la cuenta de facturación para asegurarse de que siguen siendo precisos.

Use Azure Portal para obtener su Propietarios de la cuenta de facturación.
Revise la lista de propietarios de la cuenta de facturación. Si es necesario, actualizar o agregar otro propietario de la cuenta de facturación.

Paso 3: Convertir el administrador de servicios al rol de propietario

El administrador de servicios puede ser una cuenta Microsoft o una cuenta de Microsoft Entra. Una cuenta Microsoft es una cuenta personal como Outlook, OneDrive, Xbox LIVE o Microsoft 365. Una cuenta de Microsoft Entra es una identidad creada a través de Microsoft Entra ID.

Si el usuario administrador de servicios es una cuenta de Microsoft y desea que este usuario mantenga los mismos permisos, convierta el rol Administrador de servicios en Propietario.
Si el usuario administrador de servicios es una cuenta de Microsoft Entra y quiere que este usuario mantenga los mismos permisos, convierta el rol Administrador de servicios en Propietario.
Si desea cambiar el usuario administrador de servicios a otro usuario, asigne el rol Propietario a este nuevo usuario en el ámbito de la suscripción sin condiciones. A continuación, quite el administrador de servicios.

Conversión del rol Administrador de servicios al rol Propietario

La manera más fácil de convertir la asignación de roles de administrador de servicios al rol de Propietario en el ámbito de la suscripción es usar los pasos de Corregir.

Inicie sesión en Azure Portal como propietario de una suscripción.
Abra Suscripciones y seleccione una suscripción.
Seleccione Control de acceso (IAM).
Seleccione la pestaña Administradores clásicos para ver el Administrador de servicios.
Para el administrador de servicios, en la columna Corregir, seleccione el vínculo Asignar rol RBAC.
En el panel Agregar asignación de roles, revise la asignación de roles.
Seleccione Revisar y asignar para asignar el rol Propietario y quitar la asignación de roles de Administrador de servicios.

Cómo quitar el Administrador de servicios