Administratorrollen für klassische Abonnements, Azure-Rollen und Azure AD-RollenClassic subscription administrator roles, Azure roles, and Azure AD roles

Wenn Azure neu für Sie ist, kann es schwierig sein, alle unterschiedlichen Rollen in Azure zu verstehen.If you are new to Azure, you may find it a little challenging to understand all the different roles in Azure. In diesem Artikel werden die folgenden Rollen und ihre Verwendung beschrieben:This article helps explain the following roles and when you would use each:

  • Administrator für klassisches AbonnementClassic subscription administrator roles
  • Azure-RollenAzure roles
  • Azure Active Directory-Rollen (Azure AD)Azure Active Directory (Azure AD) roles

Es ist hilfreich, sich mit dem Entwicklungsverlauf auszukennen, um die Rollen in Azure besser zu verstehen.To better understand roles in Azure, it helps to know some of the history. Bei der ersten Veröffentlichung von Azure wurde der Zugriff auf Ressourcen mit nur drei Administratorrollen verwaltet: Kontoadministrator, Dienstadministrator und Co-Admin.When Azure was initially released, access to resources was managed with just three administrator roles: Account Administrator, Service Administrator, and Co-Administrator. Später wurde die rollenbasierte Zugriffssteuerung von Azure (Azure Role-Based Access Control, Azure RBAC) hinzugefügt.Later, Azure role-based access control (Azure RBAC) was added. Die rollenbasierte Zugriffssteuerung in Azure ist ein neueres Autorisierungssystem, mit dem eine präzise Verwaltung des Zugriffs auf Azure-Ressourcen ermöglicht wird.Azure RBAC is a newer authorization system that provides fine-grained access management to Azure resources. Azure RBAC umfasst viele integrierte Rollen, kann in unterschiedlichen Bereichen zugewiesen werden und ermöglicht es Ihnen, Ihre eigenen benutzerdefinierten Rollen zu erstellen.Azure RBAC includes many built-in roles, can be assigned at different scopes, and allows you to create your own custom roles. Für die Verwaltung der Ressourcen in Azure AD, z. B. Benutzer, Gruppen und Domänen, gibt es mehrere Azure AD-Rollen.To manage resources in Azure AD, such as users, groups, and domains, there are several Azure AD roles.

Das folgende Diagramm enthält eine allgemeine Darstellung zur Beziehung der Rollen „Administrator für klassisches Abonnement“, „Azure“ und „Azure AD“.The following diagram is a high-level view of how the classic subscription administrator roles, Azure roles, and Azure AD roles are related.

Unterschiedliche Rollen in Azure

Administrator für klassisches AbonnementClassic subscription administrator roles

Kontoadministrator, Dienstadministrator und Co-Administrator sind die drei Rollen für „Administrator für klassisches Abonnement“ in Azure.Account Administrator, Service Administrator, and Co-Administrator are the three classic subscription administrator roles in Azure. Administratoren für klassische Abonnements verfügen über Vollzugriff auf das Azure-Abonnement.Classic subscription administrators have full access to the Azure subscription. Sie können Ressourcen über das Azure-Portal, Azure Resource Manager-APIs und APIs des klassischen Azure-Bereitstellungsmodells verwalten.They can manage resources using the Azure portal, Azure Resource Manager APIs, and the classic deployment model APIs. Das Konto, das zum Registrieren für Azure verwendet wird, wird automatisch sowohl als Kontoadministrator als auch als Dienstadministrator eingerichtet.The account that is used to sign up for Azure is automatically set as both the Account Administrator and Service Administrator. Anschließend können zusätzliche Co-Administratoren hinzugefügt werden.Then, additional Co-Administrators can be added. Der Dienstadministrator und die Co-Administratoren haben gleichwertigen Zugriff wie Benutzer, denen für den Abonnementbereich die Rolle „Besitzer“ (eine Azure-Rolle) zugewiesen wurde.The Service Administrator and the Co-Administrators have the equivalent access of users who have been assigned the Owner role (an Azure role) at the subscription scope. In der folgenden Tabelle sind die Unterschiede zwischen diesen drei Rollen für Administratoren für klassische Abonnements beschrieben.The following table describes the differences between these three classic subscription administrative roles.

Administrator für klassisches AbonnementClassic subscription administrator BegrenzungLimit BerechtigungenPermissions NotizenNotes
KontoadministratorAccount Administrator 1 pro Azure-Konto1 per Azure account
  • Verwalten der Abrechnung im Azure-PortalManage billing in the Azure portal
  • Verwalten aller Abonnements in einem KontoManage all subscriptions in an account
  • Erstellen neuer AbonnementsCreate new subscriptions
  • Kündigen von AbonnementsCancel subscriptions
  • Ändern der Abrechnung für ein AbonnementChange the billing for a subscription
  • Ändern des DienstadministratorsChange the Service Administrator
Vom Konzept her der für die Abrechnung zuständige Besitzer des Abonnements.Conceptually, the billing owner of the subscription.
Der Kontoadministrator kann nicht auf das Azure-Portal zugreifen.The Account Administrator has no access to the Azure portal.
DienstadministratorService Administrator 1 pro Azure-Abonnement1 per Azure subscription
  • Verwalten von Diensten im Azure-PortalManage services in the Azure portal
  • Kündigen des AbonnementsCancel the subscription
  • Zuweisen von Benutzern zur Rolle „CO-Administrator“Assign users to the Co-Administrator role
Standardmäßig ist der Kontoadministrator für ein neues Abonnement gleichzeitig auch der Dienstadministrator.By default, for a new subscription, the Account Administrator is also the Service Administrator.
Der Dienstadministrator verfügt über gleichwertigen Zugriff wie ein Benutzer, dem für den Abonnementbereich die Rolle „Besitzer“ zugewiesen ist.The Service Administrator has the equivalent access of a user who is assigned the Owner role at the subscription scope.
Der Dienstadministrator hat Vollzugriff auf das Azure-Portal.The Service Administrator has full access to the Azure portal.
Co-AdministratorCo-Administrator 200 pro Abonnement200 per subscription
  • Gleiche Zugriffsrechte wie der Dienstadministrator, aber kann die Zuordnung von Abonnements zu Azure-Verzeichnissen nicht ändernSame access privileges as the Service Administrator, but can’t change the association of subscriptions to Azure directories
  • Zuweisen von Benutzern zur Rolle „Co-Administrator“, aber kann den Dienstadministrator nicht ändernAssign users to the Co-Administrator role, but cannot change the Service Administrator
Der Co-Administrator verfügt über gleichwertigen Zugriff wie ein Benutzer, dem für den Abonnementbereich die Rolle „Besitzer“ zugewiesen ist.The Co-Administrator has the equivalent access of a user who is assigned the Owner role at the subscription scope.

Im Azure-Portal können Sie auf der Registerkarte Klassische Administratoren Co-Administratoren verwalten oder den Dienstadministrator anzeigen.In the Azure portal, you can manage Co-Administrators or view the Service Administrator by using the Classic administrators tab.

Klassische Azure-Abonnementadministratoren im Azure-Portal

Im Azure-Portal können Sie auf dem Eigenschaftenblatt Ihres Abonnements den Dienstadministrator anzeigen/ändern oder den Kontoadministrator anzeigen.In the Azure portal, you can view or change the Service Administrator or view the Account Administrator on the properties blade of your subscription.

Kontoadministrator und Dienstadministrator im Azure-Portal

Weitere Informationen finden Sie unter Verwaltung von Azure-Abonnements im klassischen Bereitstellungsmodell.For more information, see Azure classic subscription administrators.

Azure-Konto und Azure-AbonnementsAzure account and Azure subscriptions

Ein Azure-Konto stellt eine Abrechnungsbeziehung dar.An Azure account represents a billing relationship. Ein Azure-Konto umfasst eine Benutzeridentität, mindestens ein Azure-Abonnement und verschiedene zugeordnete Azure-Ressourcen.An Azure account is a user identity, one or more Azure subscriptions, and an associated set of Azure resources. Die Person, die das Konto erstellt, ist der Kontoadministrator für alle Abonnements, die unter diesem Konto erstellt werden.The person who creates the account is the Account Administrator for all subscriptions created in that account. Diese Person ist auch der Standard-Dienstadministrator für das Abonnement.That person is also the default Service Administrator for the subscription.

Mit Azure-Abonnements können Sie den Zugriff auf Azure-Ressourcen organisieren.Azure subscriptions help you organize access to Azure resources. Mit diesen Abonnements können Sie darüber hinaus steuern, wie die Ressourcennutzung gemeldet, abgerechnet und bezahlt wird.They also help you control how resource usage is reported, billed, and paid for. Jedes Abonnement kann in Bezug auf Abrechnung und Zahlung unterschiedlich eingerichtet sein, sodass Sie je nach Büro, Abteilung, Projekt usw. verschiedene Abonnements und verschiedene Pläne haben.Each subscription can have a different billing and payment setup, so you can have different subscriptions and different plans by office, department, project, and so on. Jeder Dienst gehört zu einem Abonnement, und die Abonnement-ID kann für programmgesteuerte Vorgänge erforderlich sein.Every service belongs to a subscription, and the subscription ID may be required for programmatic operations.

Jedes Abonnement ist einem Azure AD-Verzeichnis zugeordnet.Each subscription is associated with an Azure AD directory. Sie finden das Verzeichnis, dem das Abonnement zugeordnet ist, indem Sie im Azure-Portal zu Abonnements navigieren und ein Abonnement auswählen, um das Verzeichnis anzuzeigen.To find the directory the subscription is associated with, open Subscriptions in the Azure portal and then select a subscription to see the directory.

Konten und Abonnements werden im Azure-Portal verwaltet.Accounts and subscriptions are managed in the Azure portal.

Azure-RollenAzure roles

Die rollenbasierte Zugriffssteuerung in Azure (Azure RBAC) ist ein Autorisierungssystem, das auf Azure Resource Manager basiert und eine präzise Verwaltung des Zugriffs auf Azure-Ressourcen, z.B. Compute und Speicher, ermöglicht.Azure RBAC is an authorization system built on Azure Resource Manager that provides fine-grained access management to Azure resources, such as compute and storage. Azure RBAC umfasst mehr als 70 integrierte Rollen.Azure RBAC includes over 70 built-in roles. Es gibt vier grundlegende Azure-Rollen.There are four fundamental Azure roles. Die ersten drei Rollen gelten für alle Ressourcentypen:The first three apply to all resource types:

Azure-RolleAzure role BerechtigungenPermissions NotizenNotes
BesitzerOwner
  • Vollzugriff auf alle RessourcenFull access to all resources
  • Delegieren des Zugriffs an andere PersonenDelegate access to others
Dem Dienstadministrator und den Co-Administratoren wird die Rolle „Besitzer“ für den Abonnementbereich zugewiesenThe Service Administrator and Co-Administrators are assigned the Owner role at the subscription scope
Gilt für alle Ressourcentypen.Applies to all resource types.
MitwirkenderContributor
  • Erstellen und Verwalten aller Arten von Azure-RessourcenCreate and manage all of types of Azure resources
  • Erstellen eines neuen Mandanten in Azure Active DirectoryCreate a new tenant in Azure Active Directory
  • Kann keinen Zugriff für andere Personen gewährenCannot grant access to others
Gilt für alle Ressourcentypen.Applies to all resource types.
LeserReader
  • Anzeigen von Azure-RessourcenView Azure resources
Gilt für alle Ressourcentypen.Applies to all resource types.
BenutzerzugriffsadministratorUser Access Administrator
  • Verwalten des Benutzerzugriffs auf Azure-RessourcenManage user access to Azure resources

Die verbleibenden integrierten Rollen ermöglichen die Verwaltung bestimmter Azure-Ressourcen.The rest of the built-in roles allow management of specific Azure resources. Mit der Rolle Mitwirkender von virtuellen Computern können Benutzer beispielsweise virtuelle Computer erstellen und verwalten.For example, the Virtual Machine Contributor role allows the user to create and manage virtual machines. Eine Liste mit allen integrierten Rollen finden Sie unter Integrierte Rollen für die rollenbasierte Zugriffssteuerung in Azure.For a list of all the built-in roles, see Azure built-in roles.

Nur das Azure-Portal und die Azure Resource Manager-APIs unterstützen Azure RBAC.Only the Azure portal and the Azure Resource Manager APIs support Azure RBAC. Benutzer, Gruppen und Anwendungen, denen Azure-Rollen zugewiesen sind, können die APIs des klassischen Azure-Bereitstellungsmodells nicht verwenden.Users, groups, and applications that are assigned Azure roles cannot use the Azure classic deployment model APIs.

Im Azure-Portal werden Rollenzuweisungen, für die Azure RBAC genutzt wird, auf dem Blatt Zugriffssteuerung (IAM) angezeigt.In the Azure portal, role assignments using Azure RBAC appear on the Access control (IAM) blade. Dieses Blatt ist im gesamten Portal zu finden, z. B. unter Verwaltungsgruppen, Abonnements, Ressourcengruppen und verschiedenen Ressourcen.This blade can be found throughout the portal, such as management groups, subscriptions, resource groups, and various resources.

Blatt „Zugriffssteuerung (IAM)“ im Azure-Portal

Wenn Sie auf die Registerkarte Rollen klicken, wird die Liste mit den integrierten und benutzerdefinierten Rollen angezeigt.When you click the Roles tab, you will see the list of built-in and custom roles.

Integrierte Rollen im Azure-Portal

Weitere Informationen finden Sie unter Hinzufügen oder Entfernen von Rollenzuweisungen mithilfe des Azure-Portals.For more information, see Add or remove Azure role assignments using the Azure portal.

Azure AD-RollenAzure AD roles

Azure AD-Rollen werden verwendet, um Azure AD-Ressourcen in einem Verzeichnis zu verwalten, z. B. Erstellen oder Bearbeiten von Benutzern, Zuweisen von Administratorrollen für andere Personen, Zurücksetzen von Benutzerkennwörtern, Verwalten von Benutzerlizenzen und Verwalten von Domänen.Azure AD roles are used to manage Azure AD resources in a directory such as create or edit users, assign administrative roles to others, reset user passwords, manage user licenses, and manage domains. In der folgenden Tabelle sind einige der wichtigeren Azure AD-Rollen beschrieben:The following table describes a few of the more important Azure AD roles.

Azure AD-RolleAzure AD role BerechtigungenPermissions NotizenNotes
Globaler AdministratorGlobal Administrator
  • Verwalten des Zugriffs auf alle administrativen Features in Azure Active Directory und auf Dienste, die im Verbund mit Azure Active Directory genutzt werdenManage access to all administrative features in Azure Active Directory, as well as services that federate to Azure Active Directory
  • Zuweisen von Administratorrollen für andere PersonenAssign administrator roles to others
  • Zurücksetzen des Kennworts für alle Benutzer und alle anderen AdministratorenReset the password for any user and all other administrators
Die Person, die die Anmeldung für den Azure Active Directory-Mandanten vornimmt, wird zu einem globalen Administrator.The person who signs up for the Azure Active Directory tenant becomes a Global Administrator.
BenutzeradministratorUser Administrator
  • Erstellen und Verwalten aller Aspekte von Benutzern und GruppenCreate and manage all aspects of users and groups
  • Verwalten von SupportticketsManage support tickets
  • Überwachen der DienstintegritätMonitor service health
  • Ändern von Kennwörtern für Benutzer, Helpdeskadministratoren und andere BenutzeradministratorenChange passwords for users, Helpdesk administrators, and other User Administrators
RechnungsadministratorBilling Administrator
  • Tätigen von EinkäufenMake purchases
  • Verwalten von AbonnementsManage subscriptions
  • Verwalten von SupportticketsManage support tickets
  • Überwachen der DienstintegritätMonitors service health

Im Azure-Portal können Sie die Liste mit den Azure AD-Rollen auf dem Blatt Rollen und Administratoren anzeigen.In the Azure portal, you can see the list of Azure AD roles on the Roles and administrators blade. Eine Liste mit allen Azure AD-Rollen finden Sie unter Berechtigungen der Administratorrolle in Azure Active Directory.For a list of all the Azure AD roles, see Administrator role permissions in Azure Active Directory.

Azure AD-Rollen im Azure-Portal

Unterschiede zwischen Azure-Rollen und Azure AD-RollenDifferences between Azure roles and Azure AD roles

Grob gesehen werden mit Azure-Rollen Berechtigungen zum Verwalten von Azure-Ressourcen gesteuert, während mit Azure AD-Rollen Berechtigungen zum Verwalten von Azure Active Directory-Ressourcen gesteuert werden.At a high level, Azure roles control permissions to manage Azure resources, while Azure AD roles control permissions to manage Azure Active Directory resources. Die folgende Tabelle enthält einen Vergleich einiger Unterschiede.The following table compares some of the differences.

Azure-RollenAzure roles Azure AD-RollenAzure AD roles
Verwalten des Zugriffs auf Azure-RessourcenManage access to Azure resources Verwalten des Zugriffs auf Azure Active Directory-RessourcenManage access to Azure Active Directory resources
Unterstützt benutzerdefinierte RollenSupports custom roles Unterstützt benutzerdefinierte RollenSupports custom roles
Bereich kann auf mehreren Ebenen angegeben werden (Verwaltungsgruppe, Abonnement, Ressourcengruppe, Ressource)Scope can be specified at multiple levels (management group, subscription, resource group, resource) Bereich befindet sich auf MandantenebeneScope is at the tenant level
Zugriff auf Rolleninformationen ist per Azure-Portal, Azure CLI, Azure PowerShell, Azure Resource Manager-Vorlagen, REST-API möglichRole information can be accessed in Azure portal, Azure CLI, Azure PowerShell, Azure Resource Manager templates, REST API Zugriff auf Rolleninformationen ist per Azure-Verwaltungsportal, Microsoft 365 Admin Center, Microsoft Graph, Azure AD PowerShell möglichRole information can be accessed in Azure admin portal, Microsoft 365 admin center, Microsoft Graph, AzureAD PowerShell

Überlappen sich Azure-Rollen und Azure AD-Rollen?Do Azure roles and Azure AD roles overlap?

Standardmäßig wird mit Azure-Rollen und Azure AD-Rollen nicht der gesamte Azure- bzw. Azure AD-Bereich abgedeckt.By default, Azure roles and Azure AD roles do not span Azure and Azure AD. Aber wenn ein globaler Administrator den Zugriff erweitert, indem er im Azure-Portal den Switch Zugriffsverwaltung für Azure-Ressourcen auswählt, wird dem globalen Administrator die Rolle Benutzerzugriffsadministrator (eine Azure-Rolle) für alle Abonnements eines bestimmten Mandanten gewährt.However, if a Global Administrator elevates their access by choosing the Access management for Azure resources switch in the Azure portal, the Global Administrator will be granted the User Access Administrator role (an Azure role) on all subscriptions for a particular tenant. Die Rolle „Benutzerzugriffsadministrator“ ermöglicht es dem Benutzer, anderen Benutzern Zugriff auf Azure-Ressourcen zu gewähren.The User Access Administrator role enables the user to grant other users access to Azure resources. Dieser Switch kann hilfreich sein, um wieder Zugriff auf das Abonnement zu erlangen.This switch can be helpful to regain access to a subscription. Weitere Informationen finden Sie unter Erhöhen der Zugriffsrechte zum Verwalten aller Azure-Abonnements und Verwaltungsgruppen.For more information, see Elevate access to manage all Azure subscriptions and management groups.

Mit mehreren Azure AD-Rollen sind Azure AD und Microsoft Office 365 abgedeckt, z. B. bei den Rollen „Globaler Administrator“ und „Benutzeradministrator“.Several Azure AD roles span Azure AD and Microsoft Office 365, such as the Global Administrator and User Administrator roles. Wenn Sie beispielsweise Mitglied der Rolle „Globaler Administrator“ sind, verfügen Sie über globale Administratorfunktionen in Azure AD und Office 365, z.B. Vornehmen von Änderungen an Microsoft Exchange und Microsoft SharePoint.For example, if you are a member of the Global Administrator role, you have global administrator capabilities in Azure AD and Office 365, such as making changes to Microsoft Exchange and Microsoft SharePoint. Standardmäßig hat der globale Administrator aber keinen Zugriff auf Azure-Ressourcen.However, by default, the Global Administrator doesn't have access to Azure resources.

Rollenvergleich: Azure RBAC und Azure AD

Nächste SchritteNext steps