Klasszikus előfizetés-rendszergazdai szerepkörök, Azure-szerepkörök és Azure AD-szerepkörök

Ha még csak ismerkedik az Azure-ral, a különféle Azure-beli szerepkörök működése kissé összetettnek tűnhet. Ez a cikk segítséget nyújt az alábbi szerepkörök áttekintéséhez, és ahhoz, hogy mikor érdemes használni őket:

  • A hagyományos előfizetés-rendszergazdai szerepkörök
  • Azure-szerepkörök
  • Azure Active Directory (Azure AD) szerepkörök

Az Azure szerepköreinek megismeréséhez érdemes tudni azok előzményeit is. Az Azure első megjelenésekor az erőforrásokhoz való hozzáférés kezeléséhez mindössze három rendszergazdai szerepkör állt rendelkezésre: a fiókadminisztrátor, a szolgáltatás-rendszergazda és a társadminisztrátor. Később hozzáadta az Azure szerepköralapú hozzáférés-vezérlését (Azure RBAC). Az Azure RBAC egy viszonylag új engedélyezési rendszer, amely részletes hozzáférés-kezelési lehetőségeket nyújt az Azure-erőforrásokhoz. Az Azure RBAC számos beépített szerepkört tartalmaz, különböző hatókörökben rendelhető hozzá, és lehetővé teszi saját egyéni szerepkörök létrehozásához. Az Azure AD-erőforrások, például felhasználók, csoportok és tartományok kezeléséhez több Azure AD-szerepkör is rendelkezésre áll.

Az alábbi ábrán a klasszikus előfizetés-rendszergazdai szerepkörök, az Azure-szerepkörök és az Azure AD-szerepkörök egymáshoz való kapcsolása látható.

A különböző Azure-beli szerepkörök

A hagyományos előfizetés-rendszergazdai szerepkörök

Az Azure három hagyományos előfizetés-rendszergazdai szerepköre a fiókadminisztrátor, a szolgáltatás-rendszergazda és a társadminisztrátor. A hagyományos előfizetés-rendszergazdák teljes körű hozzáféréssel rendelkeznek az Azure-előfizetéshez. Az Azure Portal, Azure Resource Manager API-k és a klasszikus üzemi modell segítségével végzik az erőforrások felügyeletét. Az Azure-beli regisztrációhoz használt fiók lesz automatikusan a fiókadminisztrátor és a szolgáltatás-rendszergazda. Ezután további társadminisztrátorok is hozzáadhatók. A szolgáltatás-rendszergazda és a Co-Administrators egyenértékű hozzáféréssel rendelkezik az előfizetés hatókörében tulajdonosi szerepkörrel (Azure-szerepkörrel) rendelkező felhasználókhoz. Az alábbi tábla a három hagyományos előfizetés-rendszergazdai szerepkör közötti különbségeket ismerteti.

Hagyományos előfizetés-adminisztrátor Korlát Engedélyek Jegyzetek
Fiókadminisztrátor Azure-fiókonként 1
  • Hozzáférhet a Azure Portal és kezelheti a számlázást
  • A fiókban elérhető összes előfizetés számlázásának kezelése
  • Új előfizetéseket hozhat létre.
  • Megszüntetheti az előfizetéseket.
  • Módosíthatja az előfizetés számlázási lehetőségeit.
  • Megváltoztathatja a szolgáltatás-rendszergazdát.
  • Az előfizetések csak akkor szakíthatóak meg, ha szolgáltatás-rendszergazdai vagy előfizetés-tulajdonosi szerepkört töltenek be
Elméleti szinten az előfizetés számlázási tulajdonosa.
Szolgáltatás-rendszergazda Azure-előfizetésenként 1
  • Kezelheti a szolgáltatásokat az Azure Portalon.
  • Előfizetés lemondása
  • Felhasználókat rendelhet hozzá a társadminisztrátor szerepkörhöz.
Alapértelmezés szerint új előfizetések esetén a fiókadminisztrátor a szolgáltatás-rendszergazda is egyben.
A szolgáltatás-rendszergazda ugyanolyan szintű hozzáféréssel rendelkezik az előfizetés hatókörében, mint a Tulajdonos szerepkörrel rendelkező felhasználók.
A szolgáltatásadminisztrátor teljes hozzáféréssel rendelkezik az Azure Portalhoz.
Társadminisztrátor Előfizetésenként 200
  • Ugyanazokkal a hozzáférési jogosultságokkal rendelkezik, mint a szolgáltatás-rendszergazda, de nem módosíthatja az előfizetések és az Azure-címtárak közötti társítást.
  • Felhasználókat rendelhet hozzá a társadminisztrátori szerepkörhöz, de nem változathatja meg a szolgáltatás-rendszergazda személyét.
A társadminisztrátor ugyanolyan szintű hozzáféréssel rendelkezik az előfizetés hatókörében, mint a Tulajdonos szerepkörrel rendelkező felhasználók.

A Azure Portal kezelheti a Co-Administrators, vagy megtekintheti a szolgáltatás-rendszergazdát a Klasszikus rendszergazdák lapon.

Klasszikus Azure-előfizetések rendszergazdái a Azure Portal

A Azure Portal megtekintheti vagy módosíthatja a szolgáltatás-rendszergazdát, vagy megtekintheti a fiókad rendszergazdáját az előfizetés tulajdonságok paneljéből.

Fiókadminisztrátor és szolgáltatás-rendszergazda az Azure Portalon

További információ: Klasszikus Azure-előfizetés-adminisztrátorok.

Azure-fiók és Azure-előfizetések

Egy Azure-fiók egy számlázási kapcsolatot jelent. Az Azure-fiók egy felhasználói identitásból, egy vagy több Azure-előfizetésből és az azokhoz kapcsolódó Azure-erőforrásokból áll. A fiókot létrehozó személy lesz a fiókon belül létrehozott összes előfizetés fiókadminisztrátora. Ez a személy egyben az előfizetés alapértelmezett szolgáltatás-rendszergazdája is lesz.

Az Azure-előfizetés segít az Azure-erőforrásokhoz való hozzáférés rendezésében. Ezenfelül az előfizetés révén azt is megszabhatja, hogy hogyan szeretne jelentést készíteni az erőforrások használatáról, hogy hogyan számlázzák ki azt Önnek, illetve, hogy hogyan szeretne fizetni érte. Az egyes előfizetésekhez eltérő számlázási és fizetési beállítások tartozhatnak, így irodánként, részlegenként, projektenként stb. különböző előfizetéseket és csomagokat használhat. Minden szolgáltatás egy előfizetéshez tartozik, programozott műveletekhez pedig szükség lehet az előfizetés-azonosítóra.

Minden előfizetés egy Azure AD-címtárhoz van társítva. Az előfizetéshez társított címtár megkereséhez nyissa meg az Előfizetések struktúrát a Azure Portal majd válasszon ki egy előfizetést a címtár megnyitásához.

A fiókokat és előfizetéseket a következő Azure Portal.

Azure-szerepkörök

Az Azure RBAC az Azure Resource Managerre épülő engedélyezési rendszer, amely részletes hozzáférés-kezelési lehetőségeket nyújt például a számítási és a tárolási Azure-erőforrásokhoz. Az Azure RBAC több mint 70 beépített szerepkört tartalmaz. Négy alapvető Azure-szerepkör van. Az első három minden erőforrástípusra vonatkozik:

Azure-szerepkör Engedélyek Jegyzetek
Tulajdonos
  • Teljes hozzáféréssel rendelkezik az összes erőforráshoz.
  • Hozzáférést delegálhat mások számára.
A szolgáltatás-rendszergazda és társadminisztrátor Tulajdonos szerepkört kap az előfizetés hatókörében.
Minden erőforrástípusra alkalmazható.
Közreműködő
  • Bármilyen típusú Azure-erőforrást létrehozhat és kezelhet.
  • Új bérlő létrehozása a Azure Active Directory
  • Nem adhat hozzáférést mások számára.
Minden erőforrástípusra alkalmazható.
Olvasó
  • Megtekintheti az Azure-erőforrásokat.
Minden erőforrástípusra alkalmazható.
Felhasználói hozzáférés adminisztrátora
  • Kezelheti az Azure-erőforrásokhoz való felhasználói hozzáférést.

A többi beépített szerepkör adott Azure-erőforrások kezelését teszi lehetővé. Például a Virtuális gépek közreműködője szerepkör virtuális gépek létrehozását és kezelését teszi lehetővé. A beépített szerepkörök listájáért lásd: Az Azure beépített szerepkörei.

Csak a Azure Portal és a Azure Resource Manager API-k támogatják az Azure RBAC-t. Az Azure-szerepkörökhöz rendelt felhasználók, csoportok és alkalmazások nem tudják használni a klasszikus Azure-beli üzembe helyezési modell API-ját.

A Azure Portal szerepkör-hozzárendelések az Azure RBAC használatával jelennek meg a Hozzáférés-vezérlés (IAM) panelen. Ez a panel megtalálható a portálon, például felügyeleti csoportok, előfizetések, erőforráscsoportok és különböző erőforrások.

A Hozzáférés-vezérlés (IAM) panel az Azure Portalon

Amikor a Szerepkörök lapra kattint, megjelenik a beépített és az egyéni szerepkörök listája.

Beépített szerepkörök az Azure Portalon

További információ: Azure-szerepkörök hozzárendelése a Azure Portal.

Azure AD-szerepkörök

Az Azure AD-szerepkörök az Azure AD-erőforrások kezelésére szolgálnak egy címtárban, például felhasználók létrehozására vagy szerkesztésére, rendszergazdai szerepkörök másokhoz való hozzárendelésére, felhasználói jelszavak visszaállítására, felhasználói licencek kezelésére és tartományok kezelésére. Az alábbi táblázat néhány fontosabb Azure AD-szerepkört ismertet.

Azure AD-szerepkör Engedélyek Jegyzetek
Globális rendszergazda
  • Kezeli az Azure Active Directory összes rendszergazdai funkciójához való hozzáférést, valamint az Azure Active Directoryban összevont szolgáltatásokat.
  • Rendszergazdai szerepköröket rendelhet másokhoz.
  • Bármely felhasználó és az összes többi rendszergazda jelszavát visszaállíthatja.
Az Azure Active Directory-bérlőre regisztráló személy lesz a globális rendszergazda.
Felhasználói rendszergazda
  • A felhasználók és csoportok minden összetevőjét létrehozhatja és kezelheti.
  • Támogatási jegyek kezelése
  • Monitorozhatja a szolgáltatás állapotát.
  • Módosíthatja a felhasználók, az ügyfélszolgálati rendszergazdák és egyéb felhasználói rendszergazdák jelszavát.
Számlázási rendszergazda
  • Vásárlásokat hajthat végre.
  • Előfizetések kezelése
  • Támogatási jegyek kezelése
  • Monitorozhatja a szolgáltatás állapotát.

A Azure Portal az Azure AD-szerepkörök listáját a Szerepkörök és rendszergazdák panelen láthatja. Az összes Azure AD-szerepkör listájáért lásd: Rendszergazdai szerepkör engedélyei a Azure Active Directory.

Azure AD-szerepkörök a Azure Portal

Az Azure-szerepkörök és az Azure AD-szerepkörök közti különbségek

Az Azure-szerepkörök magas szinten az Azure-erőforrások kezelésére vonatkozó engedélyeket, az Azure AD-szerepkörök pedig az erőforrások kezeléséhez Azure Active Directory engedélyeket. A következő táblázat a fontosabb különbségeket ismerteti.

Azure-szerepkörök Azure AD-szerepkörök
Azure-erőforrásokhoz való hozzáférés kezelése Az Azure Active Directory-erőforrásokhoz való hozzáférést kezelik.
Támogatják az egyéni szerepköröket. Támogatják az egyéni szerepköröket.
A hatókör több szinten adható meg (kezelési csoport, előfizetés, erőforráscsoport, erőforrás). A hatókört megadhatja a bérlő szintjén (szervezeti szintű), felügyeleti egységben vagy egy különálló objektumon (például egy adott alkalmazáson)
A szerepkörre vonatkozó információk az Azure Portalon, az Azure CLI-ben, az Azure PowerShellben, az Azure Resource Manager-sablonokban vagy a REST API-n érhetők el. A szerepkör adatai az Azure felügyeleti portálon, az Azure Microsoft 365 Felügyeleti központ, Microsoft Graph, az AzureAD PowerShellben érhetők el

Átfedésben vannak egymással az Azure-szerepkörök és az Azure AD-szerepkörök?

Alapértelmezés szerint az Azure-szerepkörök és az Azure AD-szerepkörök nem az Azure-t és az Azure AD-t is átfogják. Ha azonban egy globális rendszergazda az Azure Portal-ban az Azure-erőforrások hozzáférés-kezelési kapcsolójának kiválasztásával emeli a hozzáférését, a globális rendszergazda a felhasználói hozzáférés-rendszergazda szerepkört (Azure-szerepkör) fogja biztosítani az adott bérlő összes előfizetéséhez. A felhasználói hozzáférés rendszergazdája szerepkörrel a felhasználó hozzáférést biztosíthat mások számára Azure-erőforrásokhoz. Ez a kapcsoló az előfizetésekhez való hozzáférés visszanyeréséhez lehet hasznos. További információ: Hozzáférési szint megemelve az összes Azure-előfizetés és felügyeleti csoport kezeléséhez.

Számos Azure AD-szerepkör ható ki az Azure AD-Microsoft 365, például a globális rendszergazda és a felhasználói rendszergazda szerepkör. Ha például a globális rendszergazdai szerepkör tagja, globális rendszergazdai képességekkel rendelkezik az Azure AD-ban és a Microsoft 365-ban, például módosítja a Microsoft Exchange-et és a Microsoft SharePointot. Alapértelmezés szerint azonban a globális rendszergazda nem rendelkezik hozzáféréssel az Azure-erőforrásokhoz.

Az Azure RBAC és az Azure AD szerepkörei

További lépések