Klasszikus előfizetés-rendszergazdai szerepkörök, Azure-szerepkörök és Azure AD-szerepkörökClassic subscription administrator roles, Azure roles, and Azure AD roles

Ha még csak ismerkedik az Azure-ral, a különféle Azure-beli szerepkörök működése kissé összetettnek tűnhet.If you are new to Azure, you may find it a little challenging to understand all the different roles in Azure. Ez a cikk segítséget nyújt az alábbi szerepkörök áttekintéséhez, és ahhoz, hogy mikor érdemes használni őket:This article helps explain the following roles and when you would use each:

  • A hagyományos előfizetés-rendszergazdai szerepkörökClassic subscription administrator roles
  • Azure-szerepkörökAzure roles
  • Azure Active Directory (Azure AD) szerepkörökAzure Active Directory (Azure AD) roles

Az Azure szerepköreinek megismeréséhez érdemes tudni azok előzményeit is.To better understand roles in Azure, it helps to know some of the history. Az Azure első megjelenésekor az erőforrásokhoz való hozzáférés kezeléséhez mindössze három rendszergazdai szerepkör állt rendelkezésre: a fiókadminisztrátor, a szolgáltatás-rendszergazda és a társadminisztrátor.When Azure was initially released, access to resources was managed with just three administrator roles: Account Administrator, Service Administrator, and Co-Administrator. Később az Azure szerepköralapú hozzáférés-vezérlés (Azure RBAC) lett hozzáadva.Later, Azure role-based access control (Azure RBAC) was added. Az Azure RBAC egy viszonylag új engedélyezési rendszer, amely részletes hozzáférés-kezelési lehetőségeket nyújt az Azure-erőforrásokhoz.Azure RBAC is a newer authorization system that provides fine-grained access management to Azure resources. Az Azure RBAC számos beépített szerepkört tartalmaz, amelyek különböző hatókörökhöz rendelhetők, és lehetővé teszik saját egyéni szerepköreinek létrehozását.Azure RBAC includes many built-in roles, can be assigned at different scopes, and allows you to create your own custom roles. Az Azure AD-ban (például felhasználók, csoportok és tartományok) lévő erőforrások kezeléséhez több Azure AD-szerepkör is tartozik.To manage resources in Azure AD, such as users, groups, and domains, there are several Azure AD roles.

A következő ábra a klasszikus előfizetés-rendszergazdai szerepkörök, az Azure-szerepkörök és az Azure AD-szerepkörök összekapcsolásának részletes nézete.The following diagram is a high-level view of how the classic subscription administrator roles, Azure roles, and Azure AD roles are related.

A különböző Azure-beli szerepkörök

A hagyományos előfizetés-rendszergazdai szerepkörökClassic subscription administrator roles

Az Azure három hagyományos előfizetés-rendszergazdai szerepköre a fiókadminisztrátor, a szolgáltatás-rendszergazda és a társadminisztrátor.Account Administrator, Service Administrator, and Co-Administrator are the three classic subscription administrator roles in Azure. A hagyományos előfizetés-rendszergazdák teljes körű hozzáféréssel rendelkeznek az Azure-előfizetéshez.Classic subscription administrators have full access to the Azure subscription. Az Azure Portal, Azure Resource Manager API-k és a klasszikus üzemi modell segítségével végzik az erőforrások felügyeletét.They can manage resources using the Azure portal, Azure Resource Manager APIs, and the classic deployment model APIs. Az Azure-beli regisztrációhoz használt fiók lesz automatikusan a fiókadminisztrátor és a szolgáltatás-rendszergazda.The account that is used to sign up for Azure is automatically set as both the Account Administrator and Service Administrator. Ezután további társadminisztrátorok is hozzáadhatók.Then, additional Co-Administrators can be added. A szolgáltatás-rendszergazda és a Co-Administrators egyenértékű jogosultsággal rendelkeznek azon felhasználók számára, akik a tulajdonosi szerepkört (Azure-szerepkört) társították az előfizetés hatókörében.The Service Administrator and the Co-Administrators have the equivalent access of users who have been assigned the Owner role (an Azure role) at the subscription scope. Az alábbi tábla a három hagyományos előfizetés-rendszergazdai szerepkör közötti különbségeket ismerteti.The following table describes the differences between these three classic subscription administrative roles.

Hagyományos előfizetés-adminisztrátorClassic subscription administrator KorlátLimit EngedélyekPermissions JegyzetekNotes
FiókadminisztrátorAccount Administrator Azure-fiókonként 11 per Azure account
  • A Azure Portal számlázásának kezeléseManage billing in the Azure portal
  • Az összes előfizetést egyetlen fiókból kezelheti.Manage all subscriptions in an account
  • Új előfizetéseket hozhat létre.Create new subscriptions
  • Megszüntetheti az előfizetéseket.Cancel subscriptions
  • Módosíthatja az előfizetés számlázási lehetőségeit.Change the billing for a subscription
  • Megváltoztathatja a szolgáltatás-rendszergazdát.Change the Service Administrator
Elméleti szinten az előfizetés számlázási tulajdonosa.Conceptually, the billing owner of the subscription.
A fiókadminisztrátor nem fér hozzá az Azure Portalhoz.The Account Administrator has no access to the Azure portal.
Szolgáltatás-rendszergazdaService Administrator Azure-előfizetésenként 11 per Azure subscription
  • Kezelheti a szolgáltatásokat az Azure Portalon.Manage services in the Azure portal
  • Előfizetés megszakításaCancel the subscription
  • Felhasználókat rendelhet hozzá a társadminisztrátor szerepkörhöz.Assign users to the Co-Administrator role
Alapértelmezés szerint új előfizetések esetén a fiókadminisztrátor a szolgáltatás-rendszergazda is egyben.By default, for a new subscription, the Account Administrator is also the Service Administrator.
A szolgáltatás-rendszergazda ugyanolyan szintű hozzáféréssel rendelkezik az előfizetés hatókörében, mint a Tulajdonos szerepkörrel rendelkező felhasználók.The Service Administrator has the equivalent access of a user who is assigned the Owner role at the subscription scope.
A szolgáltatásadminisztrátor teljes hozzáféréssel rendelkezik az Azure Portalhoz.The Service Administrator has full access to the Azure portal.
TársadminisztrátorCo-Administrator Előfizetésenként 200200 per subscription
  • Ugyanazokkal a hozzáférési jogosultságokkal rendelkezik, mint a szolgáltatás-rendszergazda, de nem módosíthatja az előfizetések és az Azure-címtárak közötti társítást.Same access privileges as the Service Administrator, but can’t change the association of subscriptions to Azure directories
  • Felhasználókat rendelhet hozzá a társadminisztrátori szerepkörhöz, de nem változathatja meg a szolgáltatás-rendszergazda személyét.Assign users to the Co-Administrator role, but cannot change the Service Administrator
A társadminisztrátor ugyanolyan szintű hozzáféréssel rendelkezik az előfizetés hatókörében, mint a Tulajdonos szerepkörrel rendelkező felhasználók.The Co-Administrator has the equivalent access of a user who is assigned the Owner role at the subscription scope.

A Azure Portal a klasszikus rendszergazdák lapon kezelheti Co-Administrators vagy megtekintheti a szolgáltatás-rendszergazdát.In the Azure portal, you can manage Co-Administrators or view the Service Administrator by using the Classic administrators tab.

A klasszikus Azure-előfizetés rendszergazdái a Azure Portal

A Azure Portal megtekintheti vagy módosíthatja a szolgáltatás-rendszergazdát, vagy megtekintheti a fiók rendszergazdáját az előfizetés tulajdonságok paneljén.In the Azure portal, you can view or change the Service Administrator or view the Account Administrator on the properties blade of your subscription.

Fiókadminisztrátor és szolgáltatás-rendszergazda az Azure Portalon

További információ: klasszikus Azure-előfizetés rendszergazdái.For more information, see Azure classic subscription administrators.

Azure-fiók és Azure-előfizetésekAzure account and Azure subscriptions

Egy Azure-fiók egy számlázási kapcsolatot jelent.An Azure account represents a billing relationship. Az Azure-fiók egy felhasználói identitásból, egy vagy több Azure-előfizetésből és az azokhoz kapcsolódó Azure-erőforrásokból áll.An Azure account is a user identity, one or more Azure subscriptions, and an associated set of Azure resources. A fiókot létrehozó személy lesz a fiókon belül létrehozott összes előfizetés fiókadminisztrátora.The person who creates the account is the Account Administrator for all subscriptions created in that account. Ez a személy egyben az előfizetés alapértelmezett szolgáltatás-rendszergazdája is lesz.That person is also the default Service Administrator for the subscription.

Az Azure-előfizetés segít az Azure-erőforrásokhoz való hozzáférés rendezésében.Azure subscriptions help you organize access to Azure resources. Ezenfelül az előfizetés révén azt is megszabhatja, hogy hogyan szeretne jelentést készíteni az erőforrások használatáról, hogy hogyan számlázzák ki azt Önnek, illetve, hogy hogyan szeretne fizetni érte.They also help you control how resource usage is reported, billed, and paid for. Az egyes előfizetésekhez eltérő számlázási és fizetési beállítások tartozhatnak, így irodánként, részlegenként, projektenként stb. különböző előfizetéseket és csomagokat használhat.Each subscription can have a different billing and payment setup, so you can have different subscriptions and different plans by office, department, project, and so on. Minden szolgáltatás egy előfizetéshez tartozik, programozott műveletekhez pedig szükség lehet az előfizetés-azonosítóra.Every service belongs to a subscription, and the subscription ID may be required for programmatic operations.

Minden előfizetés egy Azure AD-címtárhoz van társítva.Each subscription is associated with an Azure AD directory. Az előfizetés társított könyvtárának megkereséséhez nyissa meg az előfizetéseket a Azure Portal, majd válasszon egy előfizetést a könyvtár megtekintéséhez.To find the directory the subscription is associated with, open Subscriptions in the Azure portal and then select a subscription to see the directory.

A fiókok és előfizetések kezelése a Azure Portaltörténik.Accounts and subscriptions are managed in the Azure portal.

Azure-szerepkörökAzure roles

Az Azure RBAC az Azure Resource Managerre épülő engedélyezési rendszer, amely részletes hozzáférés-kezelési lehetőségeket nyújt például a számítási és a tárolási Azure-erőforrásokhoz.Azure RBAC is an authorization system built on Azure Resource Manager that provides fine-grained access management to Azure resources, such as compute and storage. Az Azure RBAC több mint 70 beépített szerepkört tartalmaz.Azure RBAC includes over 70 built-in roles. Négy alapvető Azure-szerepkör létezik.There are four fundamental Azure roles. Az első három minden erőforrástípusra vonatkozik:The first three apply to all resource types:

Azure-szerepkörAzure role EngedélyekPermissions JegyzetekNotes
TulajdonosOwner
  • Teljes hozzáféréssel rendelkezik az összes erőforráshoz.Full access to all resources
  • Hozzáférést delegálhat mások számára.Delegate access to others
A szolgáltatás-rendszergazda és társadminisztrátor Tulajdonos szerepkört kap az előfizetés hatókörében.The Service Administrator and Co-Administrators are assigned the Owner role at the subscription scope
Minden erőforrástípusra alkalmazható.Applies to all resource types.
KözreműködőContributor
  • Bármilyen típusú Azure-erőforrást létrehozhat és kezelhet.Create and manage all of types of Azure resources
  • Új bérlő létrehozása Azure Active DirectoryCreate a new tenant in Azure Active Directory
  • Nem adhat hozzáférést mások számára.Cannot grant access to others
Minden erőforrástípusra alkalmazható.Applies to all resource types.
OlvasóReader
  • Megtekintheti az Azure-erőforrásokat.View Azure resources
Minden erőforrástípusra alkalmazható.Applies to all resource types.
Felhasználói hozzáférés adminisztrátoraUser Access Administrator
  • Kezelheti az Azure-erőforrásokhoz való felhasználói hozzáférést.Manage user access to Azure resources

A többi beépített szerepkör adott Azure-erőforrások kezelését teszi lehetővé.The rest of the built-in roles allow management of specific Azure resources. Például a Virtuális gépek közreműködője szerepkör virtuális gépek létrehozását és kezelését teszi lehetővé.For example, the Virtual Machine Contributor role allows the user to create and manage virtual machines. Az összes beépített szerepkör listáját itt tekintheti meg: az Azure beépített szerepkörei.For a list of all the built-in roles, see Azure built-in roles.

Csak a Azure Portal és a Azure Resource Manager API-k támogatják az Azure RBAC-t.Only the Azure portal and the Azure Resource Manager APIs support Azure RBAC. Az Azure-szerepkörökhöz rendelt felhasználók, csoportok és alkalmazások nem használhatják a klasszikus Azure üzembehelyezési modell API-jait.Users, groups, and applications that are assigned Azure roles cannot use the Azure classic deployment model APIs.

A Azure Portal az Azure RBAC használó szerepkör-hozzárendelések megjelennek a hozzáférés-vezérlés (iam) panelen.In the Azure portal, role assignments using Azure RBAC appear on the Access control (IAM) blade. Ez a panel a portálon, például a felügyeleti csoportokban, előfizetésekben, erőforráscsoportok és különböző erőforrásokban található meg.This blade can be found throughout the portal, such as management groups, subscriptions, resource groups, and various resources.

A Hozzáférés-vezérlés (IAM) panel az Azure Portalon

Amikor a szerepkörök lapra kattint, megjelenik a beépített és az egyéni szerepkörök listája.When you click the Roles tab, you will see the list of built-in and custom roles.

Beépített szerepkörök az Azure Portalon

További információ: Azure-beli szerepkör-hozzárendelés hozzáadása vagy eltávolítása az Azure Portal használatával.For more information, see Add or remove Azure role assignments using the Azure portal.

Azure AD-szerepkörökAzure AD roles

Az Azure AD-szerepkörök használatával kezelhetők az Azure AD-erőforrások egy olyan címtárban, mint például a felhasználók létrehozása vagy szerkesztése, a rendszergazdai szerepkörök kiosztása, a felhasználói jelszavak alaphelyzetbe állítása, a felhasználói licencek kezelése és a tartományok kezelése.Azure AD roles are used to manage Azure AD resources in a directory such as create or edit users, assign administrative roles to others, reset user passwords, manage user licenses, and manage domains. Az alábbi táblázat a fontosabb Azure AD-szerepköröket ismerteti.The following table describes a few of the more important Azure AD roles.

Azure AD-szerepkörAzure AD role EngedélyekPermissions JegyzetekNotes
Globális rendszergazdaGlobal Administrator
  • Kezeli az Azure Active Directory összes rendszergazdai funkciójához való hozzáférést, valamint az Azure Active Directoryban összevont szolgáltatásokat.Manage access to all administrative features in Azure Active Directory, as well as services that federate to Azure Active Directory
  • Rendszergazdai szerepköröket rendelhet másokhoz.Assign administrator roles to others
  • Bármely felhasználó és az összes többi rendszergazda jelszavát visszaállíthatja.Reset the password for any user and all other administrators
Az Azure Active Directory-bérlőre regisztráló személy lesz a globális rendszergazda.The person who signs up for the Azure Active Directory tenant becomes a Global Administrator.
Felhasználói rendszergazdaUser Administrator
  • A felhasználók és csoportok minden összetevőjét létrehozhatja és kezelheti.Create and manage all aspects of users and groups
  • Támogatási jegyek kezeléseManage support tickets
  • Monitorozhatja a szolgáltatás állapotát.Monitor service health
  • Módosíthatja a felhasználók, az ügyfélszolgálati rendszergazdák és egyéb felhasználói rendszergazdák jelszavát.Change passwords for users, Helpdesk administrators, and other User Administrators
Számlázási rendszergazdaBilling Administrator
  • Vásárlásokat hajthat végre.Make purchases
  • Előfizetések kezeléseManage subscriptions
  • Támogatási jegyek kezeléseManage support tickets
  • Monitorozhatja a szolgáltatás állapotát.Monitors service health

A Azure Portal az Azure AD-szerepkörök listáját láthatja a szerepkörök és rendszergazdák panelen.In the Azure portal, you can see the list of Azure AD roles on the Roles and administrators blade. Az összes Azure AD-szerepkör listáját lásd: rendszergazdai szerepkör engedélyei Azure Active Directory.For a list of all the Azure AD roles, see Administrator role permissions in Azure Active Directory.

Azure AD-szerepkörök a Azure Portal

Az Azure-szerepkörök és az Azure AD-szerepkörök közötti különbségekDifferences between Azure roles and Azure AD roles

Az Azure-szerepkörök magas szinten szabályozzák az Azure-erőforrások kezelésére vonatkozó engedélyeket, míg az Azure AD-szerepkörök a Azure Active Directory erőforrások kezeléséhez szükséges engedélyeket szabályozzák.At a high level, Azure roles control permissions to manage Azure resources, while Azure AD roles control permissions to manage Azure Active Directory resources. A következő táblázat a fontosabb különbségeket ismerteti.The following table compares some of the differences.

Azure-szerepkörökAzure roles Azure AD-szerepkörökAzure AD roles
Azure-erőforrásokhoz való hozzáférés kezeléseManage access to Azure resources Az Azure Active Directory-erőforrásokhoz való hozzáférést kezelik.Manage access to Azure Active Directory resources
Támogatják az egyéni szerepköröket.Supports custom roles Támogatják az egyéni szerepköröket.Supports custom roles
A hatókör több szinten adható meg (kezelési csoport, előfizetés, erőforráscsoport, erőforrás).Scope can be specified at multiple levels (management group, subscription, resource group, resource) A hatókör a bérlő szintje.Scope is at the tenant level
A szerepkörre vonatkozó információk az Azure Portalon, az Azure CLI-ben, az Azure PowerShellben, az Azure Resource Manager-sablonokban vagy a REST API-n érhetők el.Role information can be accessed in Azure portal, Azure CLI, Azure PowerShell, Azure Resource Manager templates, REST API A szerepkör-információk az Azure felügyeleti portálon, Microsoft 365 felügyeleti központban, Microsoft Graphban, a AzureAD PowerShellben érhetők el.Role information can be accessed in Azure admin portal, Microsoft 365 admin center, Microsoft Graph, AzureAD PowerShell

Átfedésben vannak az Azure-szerepkörök és az Azure AD-szerepkörök?Do Azure roles and Azure AD roles overlap?

Alapértelmezés szerint az Azure-szerepkörök és az Azure AD-szerepkörök nem fedik át az Azure-t és az Azure AD-t.By default, Azure roles and Azure AD roles do not span Azure and Azure AD. Ha azonban a globális rendszergazda megemeli a hozzáférését az Azure-erőforrások hozzáférés-kezelésének kiválasztásával a Azure Portalban, a globális rendszergazda a felhasználói hozzáférés rendszergazdai szerepkört (Azure-szerepkör) kapja az adott bérlő összes előfizetéséhez.However, if a Global Administrator elevates their access by choosing the Access management for Azure resources switch in the Azure portal, the Global Administrator will be granted the User Access Administrator role (an Azure role) on all subscriptions for a particular tenant. A felhasználói hozzáférés rendszergazdája szerepkörrel a felhasználó hozzáférést biztosíthat mások számára Azure-erőforrásokhoz.The User Access Administrator role enables the user to grant other users access to Azure resources. Ez a kapcsoló az előfizetésekhez való hozzáférés visszanyeréséhez lehet hasznos.This switch can be helpful to regain access to a subscription. További információ: jogosultságszint- emelési hozzáférés az összes Azure-előfizetés és-felügyeleti csoport kezeléséhez.For more information, see Elevate access to manage all Azure subscriptions and management groups.

Számos Azure AD-szerepkör az Azure AD-t és Microsoft 365-t, például a globális rendszergazdai és a felhasználói rendszergazdai szerepköröket öleli fel.Several Azure AD roles span Azure AD and Microsoft 365, such as the Global Administrator and User Administrator roles. Ha például a globális rendszergazdai szerepkör tagja, globális rendszergazdai képességekkel rendelkezik az Azure AD-ben és a Microsoft 365ban, például a Microsoft Exchange és a Microsoft SharePoint módosításával.For example, if you are a member of the Global Administrator role, you have global administrator capabilities in Azure AD and Microsoft 365, such as making changes to Microsoft Exchange and Microsoft SharePoint. Alapértelmezés szerint azonban a globális rendszergazda nem rendelkezik hozzáféréssel az Azure-erőforrásokhoz.However, by default, the Global Administrator doesn't have access to Azure resources.

Azure RBAC és Azure AD-szerepkörök

További lépésekNext steps