Role klasického správce předplatného, role Azure RBAC a role správce Azure ADClassic subscription administrator roles, Azure RBAC roles, and Azure AD administrator roles

Pokud s Azure teprve začínáte, může být pro vás trochu obtížné vyznat se v různých rolích v Azure.If you are new to Azure, you may find it a little challenging to understand all the different roles in Azure. Tento článek vám pomůže porozumět následujícím rolím a tomu, kdy je použít:This article helps explain the following roles and when you would use each:

  • Role klasického správce předplatnéhoClassic subscription administrator roles
  • Role řízení přístupu na základě rolí (RBAC) AzureAzure role-based access control (RBAC) roles
  • Role správce služby Azure AD (Azure Active Directory)Azure Active Directory (Azure AD) administrator roles

Lepšímu porozumění rolí v Azure pomůže znalost trochy historie.To better understand roles in Azure, it helps to know some of the history. Když byla poprvé služba Azure vydána, byl přístup k prostředkům spravován pomocí pouhých tří rolí správce: správce účtu, správce služeb a spolusprávce.When Azure was initially released, access to resources was managed with just three administrator roles: Account Administrator, Service Administrator, and Co-Administrator. Později bylo přidáno řízení přístupu na základě role (RBAC) pro prostředky Azure.Later, role-based access control (RBAC) for Azure resources was added. Azure RBAC je novější systém autorizace, který poskytuje podrobnou správu přístupu k prostředkům Azure.Azure RBAC is a newer authorization system that provides fine-grained access management to Azure resources. Řízení přístupu na základě role zahrnuje mnoho předdefinovaných rolí, může být přiřazeno v různých oborech a umožňuje vytvářet vlastní role.RBAC includes many built-in roles, can be assigned at different scopes, and allows you to create your own custom roles. Pokud chcete spravovat prostředky v Azure AD, například uživatele, skupiny nebo domény, máte k dispozici několik rolí správce Azure AD.To manage resources in Azure AD, such as users, groups, and domains, there are several Azure AD administrator roles.

Následující diagram představuje souhrnné zobrazení toho, jak spolu souvisejí role klasického správce předplatného, role Azure RBAC a role správce Azure AD.The following diagram is a high-level view of how the classic subscription administrator roles, Azure RBAC roles, and Azure AD administrator roles are related.

Různé role v Azure

Role klasického správce předplatnéhoClassic subscription administrator roles

Správce účtu, správce služeb a spolusprávce jsou tři role klasického správce předplatného v Azure.Account Administrator, Service Administrator, and Co-Administrator are the three classic subscription administrator roles in Azure. Klasičtí správci předplatného mají úplný přístup k předplatnému Azure.Classic subscription administrators have full access to the Azure subscription. Mohou spravovat prostředky pomocí portálu Azure Portal, rozhraní API Azure Resource Manageru a rozhraní API modelu nasazení Classic.They can manage resources using the Azure portal, Azure Resource Manager APIs, and the classic deployment model APIs. Účet, který slouží k registraci v Azure, je automaticky nastaven jako účet správce účtu a správce služeb.The account that is used to sign up for Azure is automatically set as both the Account Administrator and Service Administrator. Potom je možné přidat další spolusprávce.Then, additional Co-Administrators can be added. Správce služeb a spolusprávci mají stejný přístup jako uživatelé s přiřazenou rolí vlastníka (role Azure RBAC) v oboru předplatného.The Service Administrator and the Co-Administrators have the equivalent access of users who have been assigned the Owner role (an Azure RBAC role) at the subscription scope. Následující tabulka popisuje rozdíly mezi třemi rolemi klasického správce předplatného.The following table describes the differences between these three classic subscription administrative roles.

Klasický správce předplatnéhoClassic subscription administrator škálováníLimit OprávněníPermissions PoznámkyNotes
Správce účtuAccount Administrator 1 na účet Azure1 per Azure account
  • Přístup do Centra účtů AzureAccess the Azure Account Center
  • Správa všech předplatných v účtuManage all subscriptions in an account
  • Vytváření nových předplatnýchCreate new subscriptions
  • Rušení předplatnýchCancel subscriptions
  • Změna fakturace předplatnéhoChange the billing for a subscription
  • Změna správce služebChange the Service Administrator
Koncepčně se jedná o vlastníka fakturace předplatného.Conceptually, the billing owner of the subscription.
Správce účtu nemá přístup k webu Azure Portal.The Account Administrator has no access to the Azure portal.
Správce služebService Administrator 1 na předplatné Azure1 per Azure subscription
  • Správa služeb na portálu Azure PortalManage services in the Azure portal
  • Zrušení předplatnéhoCancel the subscription
  • Přiřazení role spolusprávce uživatelůmAssign users to the Co-Administrator role
Ve výchozím nastavení u nového předplatného je správce účtu současně i správcem služeb.By default, for a new subscription, the Account Administrator is also the Service Administrator.
Správce služeb má stejný přístup jako uživatel, který má přidělenu roli vlastníka v oboru předplatného.The Service Administrator has the equivalent access of a user who is assigned the Owner role at the subscription scope.
Správce služeb má úplný přístup k webu Azure Portal.The Service Administrator has full access to the Azure portal.
SpolusprávceCo-Administrator 200 na předplatné200 per subscription
  • Má stejná přístupová oprávnění jako správce služeb, ale nemůže měnit přidružení předplatných k adresářům Azure.Same access privileges as the Service Administrator, but can’t change the association of subscriptions to Azure directories
  • Může uživatelům přiřazovat role spolusprávce, ale nemůže měnit správce služeb.Assign users to the Co-Administrator role, but cannot change the Service Administrator
Spolusprávce má stejný přístup jako uživatel, který má přidělenu roli vlastníka v oboru předplatného.The Co-Administrator has the equivalent access of a user who is assigned the Owner role at the subscription scope.

V Azure Portal můžete spravovat spolusprávce nebo zobrazit správce služby pomocí karty Classic Administrators .In the Azure portal, you can manage Co-Administrators or view the Service Administrator by using the Classic administrators tab.

Správci předplatného Azure Classic v Azure Portal

V Azure Portal můžete zobrazit nebo změnit správce služby nebo zobrazit správce účtu v okně vlastností předplatného.In the Azure portal, you can view or change the Service Administrator or view the Account Administrator on the properties blade of your subscription.

Správce účtu a správce služeb na portálu Azure Portal

Další informace najdete v tématu Správci předplatného Azure Classic.For more information, see Azure classic subscription administrators.

Účet Azure a předplatná AzureAzure account and Azure subscriptions

Účet Azure reprezentuje fakturační vztah.An Azure account represents a billing relationship. Účet Azure je identita uživatele, jedno nebo více předplatných Azure a přidružená skupina prostředků Azure.An Azure account is a user identity, one or more Azure subscriptions, and an associated set of Azure resources. Osoba, která vytvoří účet, je správcem účtu pro všechna předplatná vytvořená v daném účtu.The person who creates the account is the Account Administrator for all subscriptions created in that account. Tato osoba je také výchozím správcem služeb pro předplatné.That person is also the default Service Administrator for the subscription.

Předplatná Azure vám usnadňují organizaci přístupu k prostředkům Azure.Azure subscriptions help you organize access to Azure resources. Zároveň vám pomohou řídit způsob, jak je používání prostředků vykazováno, fakturováno a placeno.They also help you control how resource usage is reported, billed, and paid for. Každé předplatné může mít jiné nastavení fakturace a plateb. Můžete tedy mít jiná předplatná a jiné plány pro různé pobočky, oddělení, projekty a podobně.Each subscription can have a different billing and payment setup, so you can have different subscriptions and different plans by office, department, project, and so on. Každá služba patří do předplatného a pro programové operace se může vyžadovat ID předplatného.Every service belongs to a subscription, and the subscription ID may be required for programmatic operations.

Každé předplatné je přidruženo k adresáři služby Azure AD.Each subscription is associated with an Azure AD directory. Pokud chcete najít adresář, ke kterému je předplatné přidruženo, otevřete odběry v Azure Portal a pak vyberte předplatné, které se zobrazí v adresáři.To find the directory the subscription is associated with, open Subscriptions in the Azure portal and then select a subscription to see the directory.

Účty a předplatná se spravují v Centru účtů Azure.Accounts and subscriptions are managed in the Azure Account Center.

Role Azure RBACAzure RBAC roles

Azure RBAC je systém autorizace založený na Azure Resource Manageru, který poskytuje podrobnou správu přístupu k prostředkům Azure, jako jsou výpočetní služby a úložiště.Azure RBAC is an authorization system built on Azure Resource Manager that provides fine-grained access management to Azure resources, such as compute and storage. Azure RBAC zahrnuje více než 70 předdefinovaných rolí.Azure RBAC includes over 70 built-in roles. Existují čtyři základní role RBAC.There are four fundamental RBAC roles. První tři se vztahují ke všem typům prostředků:The first three apply to all resource types:

Role Azure RBACAzure RBAC role OprávněníPermissions PoznámkyNotes
VlastníkOwner
  • Úplný přístup ke všem prostředkůmFull access to all resources
  • Delegování přístupu na jiné uživateleDelegate access to others
Správce služeb a spolusprávci mají přiřazenu roli vlastníka v oboru předplatného.The Service Administrator and Co-Administrators are assigned the Owner role at the subscription scope
Platí pro všechny typy prostředků.Applies to all resource types.
PřispěvatelContributor
  • Vytváření a správa všech typů prostředků AzureCreate and manage all of types of Azure resources
  • Nemůže udělovat přístup ostatnímCannot grant access to others
Platí pro všechny typy prostředků.Applies to all resource types.
ČtenářReader
  • Zobrazení prostředků AzureView Azure resources
Platí pro všechny typy prostředků.Applies to all resource types.
Správce uživatelských přístupůUser Access Administrator
  • Správa uživatelských přístupů k prostředkům AzureManage user access to Azure resources

Zbývající předdefinované role umožňují správu konkrétních prostředků Azure.The rest of the built-in roles allow management of specific Azure resources. Role Přispěvatel virtuálních počítačů například uživateli umožňuje vytvářet a spravovat virtuální počítače.For example, the Virtual Machine Contributor role allows the user to create and manage virtual machines. Seznam všech předdefinovaných rolí najdete v tématu předdefinované role pro prostředky Azure.For a list of all the built-in roles, see Built-in roles for Azure resources.

Řízení přístupu na základě role (RBAC) podporují pouze portál Azure Portal a rozhraní API Azure Resource Manageru.Only the Azure portal and the Azure Resource Manager APIs support RBAC. Uživatelé, skupiny a aplikace s přiřazenými rolemi RBAC nemohou používat rozhraní API modelu nasazení Azure Classic.Users, groups, and applications that are assigned RBAC roles cannot use the Azure classic deployment model APIs.

Na portálu Azure Portal se přiřazení rolí pomocí RBAC zobrazují v okně Řízení přístupu (IAM) .In the Azure portal, role assignments using RBAC appear on the Access control (IAM) blade. Toto okno se dá najít v celém portálu, jako jsou skupiny pro správu, předplatná, skupiny prostředků a různé prostředky.This blade can be found throughout the portal, such as management groups, subscriptions, resource groups, and various resources.

Okno Řízení přístupu (IAM) na portálu Azure Portal

Po kliknutí na kartu role se zobrazí seznam předdefinovaných a vlastních rolí.When you click the Roles tab, you will see the list of built-in and custom roles.

Předdefinované role na portálu Azure Portal

Další informace najdete v tématu Správa přístupu k prostředkům Azure pomocí RBAC a Azure Portal.For more information, see Manage access to Azure resources using RBAC and the Azure portal.

Role správce Azure ADAzure AD administrator roles

Role správce Azure AD slouží ke správě prostředků Azure AD v adresáři, například k vytváření nebo úpravě uživatelů, přiřazení administrativních rolí dalším uživatelům, resetování hesel uživatelů, správě uživatelských licencí a správě domén.Azure AD administrator roles are used to manage Azure AD resources in a directory such as create or edit users, assign administrative roles to others, reset user passwords, manage user licenses, and manage domains. Následující tabulka popisuje několik důležitějších rolí správce Azure AD.The following table describes a few of the more important Azure AD administrator roles.

Role správce Azure ADAzure AD administrator role OprávněníPermissions PoznámkyNotes
Globální správceGlobal Administrator
  • Správa přístupu ke všem administrativním funkcím v Azure Active Directory i službám federovaným do Azure Active DirectoryManage access to all administrative features in Azure Active Directory, as well as services that federate to Azure Active Directory
  • Přiřazení rolí správce dalším uživatelůmAssign administrator roles to others
  • Resetování hesel uživatelů a všech ostatních správcůReset the password for any user and all other administrators
Osoba, která se zaregistruje v tenantovi Azure Active Directory, se stává globálním správcem.The person who signs up for the Azure Active Directory tenant becomes a Global Administrator.
Správce uživatelůUser Administrator
  • Vytváření a správa všech aspektů uživatelů a skupinCreate and manage all aspects of users and groups
  • Správa lístků podporyManage support tickets
  • Monitorování stavu službyMonitor service health
  • Změna hesel pro uživatele, správce helpdesku a další správce uživatelůChange passwords for users, Helpdesk administrators, and other User Administrators
Správce fakturaceBilling Administrator
  • Nové nákupyMake purchases
  • Správa předplatnýchManage subscriptions
  • Správa lístků podporyManage support tickets
  • Monitorování stavu službyMonitors service health

Na portálu Azure Portal najdete seznam rolí správce Azure AD v okně Role a správci.In the Azure portal, you can see the list of Azure AD administrator roles on the Roles and administrators blade. Seznam všech rolí správce Azure AD najdete v tématu oprávnění role správce v Azure Active Directory.For a list of all the Azure AD administrator roles, see Administrator role permissions in Azure Active Directory.

Role správce Azure AD na portálu Azure Portal

Rozdíly mezi rolemi Azure RBAC a rolemi správce Azure ADDifferences between Azure RBAC roles and Azure AD administrator roles

Na obecné úrovni role Azure RBAC řídí oprávnění ke správě prostředků Azure a role správce Azure AD řídí oprávnění ke správě prostředků Azure Active Directory.At a high level, Azure RBAC roles control permissions to manage Azure resources, while Azure AD administrator roles control permissions to manage Azure Active Directory resources. Následující tabulka obsahuje přehled některých rozdílů.The following table compares some of the differences.

Role Azure RBACAzure RBAC roles Role správce Azure ADAzure AD administrator roles
Správa přístupu k prostředkům AzureManage access to Azure resources Správa přístupu k prostředkům Azure Active DirectoryManage access to Azure Active Directory resources
Podpora vlastních rolíSupports custom roles Podpora vlastních rolíSupports custom roles
Možnost zadání oboru na více úrovních (skupina pro správu, předplatné, skupina prostředků, prostředek)Scope can be specified at multiple levels (management group, subscription, resource group, resource) Obor na úrovni tenantaScope is at the tenant level
Dostupnost informací o roli na portálu Azure Portal, v Azure CLI, Azure PowerShellu, šablonách Azure Resource Manageru, rozhraní REST APIRole information can be accessed in Azure portal, Azure CLI, Azure PowerShell, Azure Resource Manager templates, REST API K informacím o rolích se dá získat pøístup na portálu pro správu Azure, Microsoft 365 centru pro správu, Microsoft Graph, AzureAD PowerShellu.Role information can be accessed in Azure admin portal, Microsoft 365 admin center, Microsoft Graph, AzureAD PowerShell

Překrývají se role Azure RBAC a role správce Azure AD?Do Azure RBAC roles and Azure AD administrator roles overlap?

Ve výchozím nastavení role Azure RBAC a role správce Azure AD nepokrývají Azure a Azure AD.By default, Azure RBAC roles and Azure AD administrator roles do not span Azure and Azure AD. Pokud ale globální správce vybere na portálu Azure Portal přepínač Globální správce může spravovat předplatná Azure a skupiny pro správu a tím zvýší úroveň svého přístupu, udělí se mu role Správce uživatelských přístupů (což je role RBAC) pro všechna předplatná u konkrétního tenanta.However, if a Global Administrator elevates their access by choosing the Global admin can manage Azure Subscriptions and Management Groups switch in the Azure portal, the Global Administrator will be granted the User Access Administrator role (an RBAC role) on all subscriptions for a particular tenant. Role správce uživatelských přístupů uživateli umožňuje udělit dalším uživatelům přístup k prostředkům Azure.The User Access Administrator role enables the user to grant other users access to Azure resources. Tento přepínač může být užitečný pro opakované získání přístupu k předplatnému.This switch can be helpful to regain access to a subscription. Další informace najdete v článku o zvýšení úrovně přístupu pro správce Azure AD.For more information, see Elevate access as an Azure AD administrator.

Několik rolí správce Azure AD pokrývá Azure AD a Microsoft Office 365, například role globálního správce a správce uživatelů.Several Azure AD administrator roles span Azure AD and Microsoft Office 365, such as the Global Administrator and User Administrator roles. Pokud jste například členem role Globální správce, máte funkce globálního správce v Azure AD a Office 365 a můžete mimo jiné provádět změny v Microsoft Exchangi a Microsoft SharePointu.For example, if you are a member of the Global Administrator role, you have global administrator capabilities in Azure AD and Office 365, such as making changes to Microsoft Exchange and Microsoft SharePoint. Ve výchozím nastavení ale globální správce nemá přístup k prostředkům Azure.However, by default, the Global Administrator doesn't have access to Azure resources.

Role Azure RBAC versus role správce Azure AD

Další krokyNext steps