Informazioni sull'accesso alle risorse in AzureUnderstanding resource access in Azure

La fatturazione costituisce il punto di partenza per il controllo di accesso in Azure.Access control in Azure starts from a billing perspective. Il proprietario di un account Azure, a cui si accede tramite il Centro account di Azure, è l'amministratore account.The owner of an Azure account, accessed by visiting the Azure Accounts Center, is the Account Administrator (AA). Le sottoscrizioni sono contenitori per la fatturazione, ma vengono usate anche come limiti per la sicurezza: ogni sottoscrizione ha un Amministratore del servizio (SA) che può aggiungere, rimuovere e modificare le risorse di Azure nella sottoscrizione tramite il portale di Azure.Subscriptions are a container for billing, but they also act as a security boundary: each subscription has a Service Administrator (SA) who can add, remove, and modify Azure resources in that subscription by using the Azure portal. L'Amministratore del servizio predefinito di una nuova sottoscrizione è l'Amministratore dell'account, ma quest'ultimo può modificare l'Amministratore del servizio nel Centro account di Azure.The default SA of a new subscription is the AA, but the AA can change the SA in the Azure Accounts Center.



Account Azure

Le sottoscrizioni dispongono anche di un'associazione a una directory.Subscriptions also have an association with a directory. Una directory definisce un set di utenti.The directory defines a set of users. Possono essere utenti dell'azienda o dell'istituto di istruzione che ha creato la directory o utenti esterni, ovvero utenti con un account Microsoft.These can be users from the work or school that created the directory or they can be external users (that is, Microsoft Accounts). Le sottoscrizioni sono accessibili da un sottogruppo di questi utenti della directory che sono stati nominati Amministratori del servizio (SA) o Co-amministratori (CA); l'unica eccezione è che, per motivi di compatibilità, gli account Microsoft (precedentemente Windows Live ID) possono essere nominati SA o CA senza essere presenti nella directory.Subscriptions are accessible by a subset of those directory users who have been assigned as either Service Administrator (SA) or Co-Administrator (CA); the only exception is that, for legacy reasons, Microsoft Accounts (formerly Windows Live ID) can be assigned as SA or CA without being present in the directory.



Controllo di accesso in Azure

La funzionalità all'interno del portale di Azure classico consente agli amministratori che hanno eseguito l'accesso con un Account Microsoft di modificare la directory a cui è associata una sottoscrizione tramite il comando Modifica directory nella pagina Sottoscrizioni in Impostazioni.Functionality within the Azure classic portal enables SAs that are signed in using a Microsoft Account to change the directory that a subscription is associated with by using the Edit Directory command on the Subscriptions page in Settings. Si noti che questa operazione può influire sul controllo di accesso di quella sottoscrizione.Note that this operation has implications on the access control of that subscription.

Nota

Il comando Modifica directory nel portale di Azure classico non è disponibile per gli utenti che hanno eseguito l'accesso con un account aziendale o dell'istituto di istruzione, perché con questi account è possibile accedere solo alla directory a cui appartengono.The Edit Directory command in the Azure classic portal is not available to users who are signed in using a work or school account because those accounts can sign in only to the directory to which they belong.



Flusso di accesso utente semplice

Nel caso più semplice un'organizzazione, ad esempio Contoso, imporrà la fatturazione e il controllo di accesso nello stesso set di sottoscrizioni.In the simple case, an organization (such as Contoso) will enforce billing and access control across the same set of subscriptions. Questo significa che la directory è associata alle sottoscrizioni di proprietà di un singolo account Azure.That is, the directory is associated to subscriptions that are owned by a single Azure Account. Dopo l'accesso al portale di Azure classico, gli utenti visualizzeranno due raccolte di risorse, illustrate in arancione nella figura precedente:Upon successful login to the Azure classic portal, users see two collections of resources (depicted in orange in the previous illustration):

  • Directory in cui è presente l'account utente (originato o aggiunto come entità esterna).Directories where their user account exists (sourced or added as a foreign principal). Si noti che la directory usata per l'accesso non è rilevante ai fini di questo calcolo, di conseguenza verranno sempre visualizzate tutte le directory, indipendentemente da quella usata per l'accesso.Note that the directory used for login isn’t relevant to this computation, so your directories will always be shown regardless of where you logged in.
  • Risorse che fanno parte delle sottoscrizioni associate alla directory usata per l'accesso E a cui l'utente può accedere (perché è amministratore dei servizi o coamministratore).Resources that are part of subscriptions that are associated with the directory used for login AND which the user can access (where they are an SA or CA).



Utente con più sottoscrizioni e directory

Gli utenti con sottoscrizioni in più directory possono cambiare il contesto corrente del portale di Azure classico con il filtro della sottoscrizione.Users with subscriptions across multiple directories have the ability to switch the current context of the Azure classic portal by using the subscription filter. Questo comporta un accesso separato a una directory diversa, operazione che viene eseguita automaticamente tramite l'accesso Single Sign-On.Under the covers, this results in a separate login to a different directory, but this is accomplished seamlessly using single sign-on (SSO).

Operazioni quali lo spostamento di risorse tra sottoscrizioni possono risultare più difficoltose a causa della visualizzazione a directory singola delle sottoscrizioni.Operations such as moving resources between subscriptions can be more difficult as a result of this single directory view of subscriptions. Per eseguire il trasferimento di risorse, potrebbe essere necessario usare prima il comando Modifica directory nella pagina Sottoscrizioni di Impostazioni per associare le sottoscrizioni alla stessa directory.To perform the resource transfer, it may be necessary to first use the Edit Directory command on the Subscriptions page in Settings to associate the subscriptions to the same directory.

Passaggi successiviNext Steps