Role správce klasického předplatného, role Azure a role Azure AD

Pokud s Azure teprve začínáte, může být pro vás trochu obtížné vyznat se v různých rolích v Azure. Tento článek vám pomůže porozumět následujícím rolím a tomu, kdy je použít:

  • Role klasického správce předplatného
  • Role Azure
  • Role Azure Active Directory (Azure AD)

Lepšímu porozumění rolí v Azure pomůže znalost trochy historie. Když byla poprvé služba Azure vydána, byl přístup k prostředkům spravován pomocí pouhých tří rolí správce: správce účtu, správce služeb a spolusprávce. Později se přidalo řízení přístupu na základě role v Azure (Azure RBAC). Azure RBAC je novější systém autorizace, který poskytuje podrobnou správu přístupu k prostředkům Azure. Azure RBAC zahrnuje řadu předdefinovaných rolí, které je možné přiřadit v různých oborech a umožňuje vytvářet vlastní role. Pokud chcete spravovat prostředky ve službě Azure AD, jako jsou uživatelé, skupiny a domény, existuje několik rolí Azure AD.

Následující diagram znázorňuje základní pohled na to, jak souvisí role klasického správce předplatného, role Azure a role Azure AD.

The different roles in Azure

Role klasického správce předplatného

Správce účtu, správce služeb a spolusprávce jsou tři role klasického správce předplatného v Azure. Klasičtí správci předplatného mají úplný přístup k předplatnému Azure. Mohou spravovat prostředky pomocí portálu Azure Portal, rozhraní API Azure Resource Manageru a rozhraní API modelu nasazení Classic. Účet, který slouží k registraci v Azure, je automaticky nastaven jako účet správce účtu a správce služeb. Potom je možné přidat další spolusprávce. Správce služeb a spolusprávci mají stejný přístup jako uživatelé s přiřazenou rolí vlastníka (role Azure) v oboru předplatného. Následující tabulka popisuje rozdíly mezi třemi rolemi klasického správce předplatného.

Klasický správce předplatného Omezení Oprávnění Poznámky
Správce účtu 1 na účet Azure
  • Má přístup k webu Azure Portal a může spravovat fakturaci.
  • Správa fakturace pro všechna předplatná v účtu
  • Vytváření nových předplatných
  • Rušení předplatných
  • Změna fakturace předplatného
  • Změna správce služeb
  • Předplatná nejde zrušit, pokud nemají roli správce služeb nebo vlastníka předplatného.
Koncepčně se jedná o vlastníka fakturace předplatného.
Správce služeb 1 na předplatné Azure
  • Správa služeb na portálu Azure Portal
  • Zrušení předplatného
  • Přiřazení role spolusprávce uživatelům
Ve výchozím nastavení u nového předplatného je správce účtu současně i správcem služeb.
Správce služeb má stejný přístup jako uživatel, který má přidělenu roli vlastníka v oboru předplatného.
Správce služeb má úplný přístup k webu Azure Portal.
Spolusprávce 200 na předplatné
  • Stejná přístupová oprávnění jako správce služeb, ale nemůže změnit přidružení předplatných k adresářům Azure AD
  • Může uživatelům přiřazovat role spolusprávce, ale nemůže měnit správce služeb.
Spolusprávce má stejný přístup jako uživatel, který má přidělenu roli vlastníka v oboru předplatného.

Na webu Azure Portal můžete spravovat spolusprávce nebo zobrazit správce služeb na kartě Klasičtí správci.

Azure classic subscription administrators in the Azure portal

Na webu Azure Portal můžete zobrazit nebo změnit správce služeb nebo zobrazit správce účtu v okně vlastností vašeho předplatného.

Account Administrator and Service Administrator in the Azure portal

Další informace najdete v tématu Klasičtí správci předplatných Azure.

Účet Azure a předplatná Azure

Účet Azure reprezentuje fakturační vztah. Účet Azure je identita uživatele, jedno nebo více předplatných Azure a přidružená skupina prostředků Azure. Osoba, která vytvoří účet, je správcem účtu pro všechna předplatná vytvořená v daném účtu. Tato osoba je také výchozím správcem služeb pro předplatné.

Předplatná Azure vám usnadňují organizaci přístupu k prostředkům Azure. Zároveň vám pomohou řídit způsob, jak je používání prostředků vykazováno, fakturováno a placeno. Každé předplatné může mít jiné nastavení fakturace a plateb. Můžete tedy mít jiná předplatná a jiné plány pro různé pobočky, oddělení, projekty a podobně. Každá služba patří do předplatného a pro programové operace se může vyžadovat ID předplatného.

Každé předplatné je přidružené k adresáři Azure AD. Pokud chcete najít adresář, ke kterým je předplatné přidružené, otevřete předplatná na webu Azure Portal a pak vyberte předplatné, které se má zobrazit.

Účty a předplatná se spravují na webu Azure Portal.

Role Azure

Azure RBAC je systém autorizace založený na Azure Resource Manageru, který poskytuje podrobnou správu přístupu k prostředkům Azure, jako jsou výpočetní služby a úložiště. Azure RBAC zahrnuje více než 70 předdefinovaných rolí. Existují čtyři základní role Azure. První tři se vztahují ke všem typům prostředků:

Role Azure Oprávnění Poznámky
Vlastník
  • Úplný přístup ke všem prostředkům
  • Delegování přístupu na jiné uživatele
Správce služeb a spolusprávci mají přiřazenu roli vlastníka v oboru předplatného.
Platí pro všechny typy prostředků.
Přispěvatel
  • Vytváření a správa všech typů prostředků Azure
  • Vytvoření nového tenanta v Azure Active Directory
  • Nemůže udělovat přístup ostatním
Platí pro všechny typy prostředků.
Čtenář
  • Zobrazení prostředků Azure
Platí pro všechny typy prostředků.
Správce uživatelského přístupu
  • Správa uživatelských přístupů k prostředkům Azure

Zbývající předdefinované role umožňují správu konkrétních prostředků Azure. Role Přispěvatel virtuálních počítačů například uživateli umožňuje vytvářet a spravovat virtuální počítače. Seznam všech předdefinovaných rolí najdete v tématu Předdefinované role Azure.

Řízení přístupu na základě role (RBAC) v Azure podporují pouze Azure Portal a rozhraní API Azure Resource Manageru. Uživatelé, skupiny a aplikace s přiřazenými rolemi Azure nemohou používat rozhraní API modelu nasazení Azure Classic.

Na webu Azure Portal se přiřazení rolí pomocí Azure RBAC zobrazují v okně Řízení přístupu (IAM) . Toto okno najdete na celém portálu, například u skupin pro správu, předplatných, skupin prostředků a různých prostředků.

Access control (IAM) blade in the Azure portal

Když kliknete na kartu Role , zobrazí se seznam předdefinovaných a vlastních rolí.

Built-in roles in the Azure portal

Další informace najdete v tématu Přiřazení rolí Azure pomocí webu Azure Portal.

Role Azure AD

Role Azure AD slouží ke správě prostředků Azure AD v adresáři, jako je vytváření nebo úpravy uživatelů, přiřazování rolí pro správu jiným uživatelům, resetování uživatelských hesel, správa uživatelských licencí a správa domén. Následující tabulka popisuje několik důležitějších rolí Azure AD.

Role Azure AD Oprávnění Poznámky
Globální správce
  • Správa přístupu ke všem administrativním funkcím v Azure Active Directory i službám federovaným do Azure Active Directory
  • Přiřazení rolí správce dalším uživatelům
  • Resetování hesel uživatelů a všech ostatních správců
Osoba, která se zaregistruje v tenantovi Azure Active Directory, se stává globálním správcem.
Správce uživatelů
  • Vytváření a správa všech aspektů uživatelů a skupin
  • Správa lístků podpory
  • Monitorování stavu služby
  • Změna hesel pro uživatele, správce helpdesku a další správce uživatelů
Správce fakturace
  • Nové nákupy
  • Správa předplatných
  • Správa lístků podpory
  • Monitorování stavu služby

Na webu Azure Portal můžete zobrazit seznam rolí Azure AD v okně Role a správci . Seznam všech rolí Azure AD najdete v tématu Oprávnění role správce v Azure Active Directory.

Azure AD roles in the Azure portal

Rozdíly v rolích Azure a Azure AD

Na vysoké úrovni řídí role Azure oprávnění ke správě prostředků Azure, zatímco role Azure AD řídí oprávnění ke správě prostředků Azure Active Directory. Následující tabulka obsahuje přehled některých rozdílů.

Role Azure Role Azure AD
Správa přístupu k prostředkům Azure Správa přístupu k prostředkům Azure Active Directory
Podpora vlastních rolí Podpora vlastních rolí
Možnost zadání oboru na více úrovních (skupina pro správu, předplatné, skupina prostředků, prostředek) Obor je možné zadat na úrovni tenanta (pro celou organizaci), jednotce pro správu nebo u jednotlivého objektu (například na konkrétní aplikaci).
Dostupnost informací o roli na portálu Azure Portal, v Azure CLI, Azure PowerShellu, šablonách Azure Resource Manageru, rozhraní REST API Informace o rolích jsou přístupné na portálu pro správu Azure, v Centru pro správu Microsoftu 365, Microsoft Graphu, AzureAD PowerShellu.

Překrývají se role Azure a role Azure AD?

Ve výchozím nastavení role Azure a role Azure AD nepokrývají Azure a Azure AD. Pokud ale globální správce zvýší úroveň svého přístupu výběrem správy přístupu pro prostředky Azure na webu Azure Portal, udělí globální správce roli Správce uživatelských přístupů (roli Azure) pro všechna předplatná pro konkrétního tenanta. Role správce uživatelských přístupů uživateli umožňuje udělit dalším uživatelům přístup k prostředkům Azure. Tento přepínač může být užitečný pro opakované získání přístupu k předplatnému. Podrobnosti najdete v tématu Zvýšení úrovně přístupu pro správu všech předplatných Azure a skupin pro správu.

Několik rolí Azure AD zahrnuje Azure AD a Microsoft 365, například role globálního správce a správce uživatelů. Pokud jste například členem role globálního správce, máte možnosti globálního správce v Azure AD a Microsoft 365, jako je třeba provádění změn v Microsoft Exchange a Microsoft SharePointu. Ve výchozím nastavení ale globální správce nemá přístup k prostředkům Azure.

Azure RBAC versus Azure AD roles

Další kroky