Ruoli di amministratore sottoscrizione classico, ruoli di controllo degli accessi in base al ruolo di Azure e ruoli di amministratore di Azure ADClassic subscription administrator roles, Azure RBAC roles, and Azure AD administrator roles

Se non si ha familiarità con Azure, può risultare un difficile comprendere i diversi ruoli disponibili in Azure.If you are new to Azure, you may find it a little challenging to understand all the different roles in Azure. Questo articolo descrive i ruoli seguenti e il loro utilizzo:This article helps explain the following roles and when you would use each:

  • Ruoli di amministratore sottoscrizione classicaClassic subscription administrator roles
  • Ruoli di controllo degli accessi in base al ruolo di AzureAzure role-based access control (RBAC) roles
  • Ruoli di amministratore di Azure Active Directory (Azure AD)Azure Active Directory (Azure AD) administrator roles

Per comprendere meglio i ruoli in Azure, può essere utile conoscere parte della loro evoluzione.To better understand roles in Azure, it helps to know some of the history. Nelle prime versioni di Azure l'accesso alle risorse veniva gestito con solo tre ruoli di amministratore: amministratore account, amministratore del servizio e coamministratore.When Azure was initially released, access to resources was managed with just three administrator roles: Account Administrator, Service Administrator, and Co-Administrator. In seguito venne aggiunto il controllo degli accessi in base al ruolo (RBAC) per le risorse di Azure.Later, role-based access control (RBAC) for Azure resources was added. Il controllo degli accessi in base al ruolo (RBAC) di Azure è un sistema di autorizzazione più recente che offre una gestione degli accessi alle risorse di Azure più specifica.Azure RBAC is a newer authorization system that provides fine-grained access management to Azure resources. Il controllo degli accessi in base al ruolo (RBAC) include diversi ruoli predefiniti, può essere assegnato in ambiti diversi e consente di creare ruoli personalizzati.RBAC includes many built-in roles, can be assigned at different scopes, and allows you to create your own custom roles. Per la gestione delle risorse in Azure AD, ad esempio utenti, gruppi e domini, sono disponibili diversi ruoli di amministratore di Azure AD.To manage resources in Azure AD, such as users, groups, and domains, there are several Azure AD administrator roles.

L'illustrazione seguente offre una panoramica generale della correlazione tra i ruoli di amministratore sottoscrizione classica, di controllo degli accessi in base al ruolo (RBAC) di Azure e di amministratore di Azure AD.The following diagram is a high-level view of how the classic subscription administrator roles, Azure RBAC roles, and Azure AD administrator roles are related.

Ruoli disponibili in Azure

Ruoli di amministratore sottoscrizione classicaClassic subscription administrator roles

Amministratore account, Amministratore del servizio e Coamministratore sono i tre ruoli di amministratore per una sottoscrizione classica in Azure.Account Administrator, Service Administrator, and Co-Administrator are the three classic subscription administrator roles in Azure. I ruoli di amministratore sottoscrizione classica hanno accesso completo alla sottoscrizione di AzureClassic subscription administrators have full access to the Azure subscription. e possono gestire le risorse con il portale di Azure, con le API di Azure Resource Manager e con le API del modello di distribuzione classica.They can manage resources using the Azure portal, Azure Resource Manager APIs, and the classic deployment model APIs. L'account usato per iscriversi a Azure viene impostato automaticamente come amministratore account e amministratore del servizio.The account that is used to sign up for Azure is automatically set as both the Account Administrator and Service Administrator. I coamministratori possono essere aggiunti in seguito.Then, additional Co-Administrators can be added. L'amministratore del servizio e i coamministratori dispongono di un accesso equivalente a quello degli utenti cui è stato assegnato il ruolo Proprietario (un ruolo Controllo degli accessi in base al ruolo di Azure) nell'ambito della sottoscrizione.The Service Administrator and the Co-Administrators have the equivalent access of users who have been assigned the Owner role (an Azure RBAC role) at the subscription scope. La tabella seguente descrive le differenze tra questi tre ruoli di amministratore sottoscrizione classica.The following table describes the differences between these three classic subscription administrative roles.

Amministratore sottoscrizione classicaClassic subscription administrator LimiteLimit AutorizzazioniPermissions NoteNotes
Amministratore dell'accountAccount Administrator 1 per ogni account di Azure1 per Azure account
  • Accedere al Centro account di AzureAccess the Azure Account Center
  • Gestire tutte le sottoscrizioni in un accountManage all subscriptions in an account
  • Creare nuove sottoscrizioniCreate new subscriptions
  • Annullare le sottoscrizioniCancel subscriptions
  • Modificare la fatturazione per una sottoscrizioneChange the billing for a subscription
  • Modificare l'amministratore del servizioChange the Service Administrator
Concettualmente, il proprietario della fatturazione della sottoscrizione.Conceptually, the billing owner of the subscription.
L'amministratore account non ha accesso al portale di Azure.The Account Administrator has no access to the Azure portal.
Amministratore del servizioService Administrator 1 per ogni sottoscrizione di Azure1 per Azure subscription
  • Gestire i servizi nel portale di AzureManage services in the Azure portal
  • Annullare la sottoscrizioneCancel the subscription
  • Assegnare utenti al ruolo di coamministratoreAssign users to the Co-Administrator role
Per impostazione predefinita, per una nuova sottoscrizione l'amministratore account è anche amministratore del servizio.By default, for a new subscription, the Account Administrator is also the Service Administrator.
L'amministratore del servizio ha un accesso equivalente a quello di un utente cui viene assegnato il ruolo di proprietario nell'ambito della sottoscrizione.The Service Administrator has the equivalent access of a user who is assigned the Owner role at the subscription scope.
L'amministratore del servizio ha accesso completo al portale di Azure.The Service Administrator has full access to the Azure portal.
CoamministratoreCo-Administrator 200 per ogni sottoscrizione200 per subscription
  • Questo ruolo ha gli stessi privilegi di accesso dell'amministratore del servizio, ma non può modificare l'associazione di sottoscrizioni alle directory di AzureSame access privileges as the Service Administrator, but can’t change the association of subscriptions to Azure directories
  • Può assegnare utenti al ruolo di coamministratore, ma non può modificare l'amministratore del servizioAssign users to the Co-Administrator role, but cannot change the Service Administrator
Il coamministratore ha un accesso equivalente a quello di un utente cui viene assegnato il ruolo di proprietario nell'ambito della sottoscrizione.The Co-Administrator has the equivalent access of a user who is assigned the Owner role at the subscription scope.

Nel portale di Azure è possibile gestire i coamministratori o visualizzare l'amministratore del servizio usando la scheda Amministratori (versione classica) .In the Azure portal, you can manage Co-Administrators or view the Service Administrator by using the Classic administrators tab.

Amministratori della sottoscrizione classica di Azure nel portale di Azure

Nel portale di Azure è possibile visualizzare o cambiare l'amministratore del servizio o visualizzare l'amministratore account nel pannello delle proprietà della sottoscrizione.In the Azure portal, you can view or change the Service Administrator or view the Account Administrator on the properties blade of your subscription.

Account amministratore e amministratore del servizio nel portale di Azure

Per altre informazioni, vedere Amministratori della sottoscrizione classica di Azure.For more information, see Azure classic subscription administrators.

Account e sottoscrizioni di AzureAzure account and Azure subscriptions

Un account di Azure rappresenta una relazione di fatturazione.An Azure account represents a billing relationship. Un account di Azure include un'identità utente, una o più sottoscrizioni di Azure e un set associato di risorse di Azure.An Azure account is a user identity, one or more Azure subscriptions, and an associated set of Azure resources. La persona che crea l'account è l'amministratore account di tutte le sottoscrizioni create nell'account.The person who creates the account is the Account Administrator for all subscriptions created in that account. È anche l'amministratore del servizio predefinito per la sottoscrizione.That person is also the default Service Administrator for the subscription.

Le sottoscrizioni di Azure consentono di organizzare l'accesso alle risorse di Azure.Azure subscriptions help you organize access to Azure resources. Consentono inoltre di controllare come l'utilizzo delle risorse viene segnalato, fatturato e pagato.They also help you control how resource usage is reported, billed, and paid for. Ogni sottoscrizione può disporre di un’impostazione di fatturazione e pagamento diversa, in modo da poter avere sottoscrizioni e piani diversi per ufficio, reparto, progetto e così via.Each subscription can have a different billing and payment setup, so you can have different subscriptions and different plans by office, department, project, and so on. Ogni servizio appartiene a una sottoscrizione e l'ID sottoscrizione può essere necessario per le operazioni a livello di codice.Every service belongs to a subscription, and the subscription ID may be required for programmatic operations.

Ogni sottoscrizione è associata a una directory di Azure AD.Each subscription is associated with an Azure AD directory. Per trovare la directory a cui è associata la sottoscrizione, aprire Sottoscrizioni nel portale di Azure, quindi selezionare una sottoscrizione per visualizzare la directory.To find the directory the subscription is associated with, open Subscriptions in the Azure portal and then select a subscription to see the directory.

Gli account e le sottoscrizioni sono gestiti nel Centro account di Azure.Accounts and subscriptions are managed in the Azure Account Center.

Ruoli di controllo degli accessi in base al ruolo di AzureAzure RBAC roles

Il controllo degli accessi in base al ruolo di Azure è un sistema di autorizzazione basato su Azure Resource Manager che offre una gestione degli accessi dettagliata alle risorse in Azure, ad esempio alle risorse di calcolo e di archiviazione.Azure RBAC is an authorization system built on Azure Resource Manager that provides fine-grained access management to Azure resources, such as compute and storage. Il controllo degli accessi in base al ruolo di Azure include oltre 70 ruoli predefiniti.Azure RBAC includes over 70 built-in roles. Sono disponibili quattro ruoli principali di controllo degli accessi in base al ruolo.There are four fundamental RBAC roles. I primi tre si applicano a tutti i tipi di risorse:The first three apply to all resource types:

Ruolo Controllo degli accessi in base al ruolo di AzureAzure RBAC role AutorizzazioniPermissions NoteNotes
ProprietarioOwner
  • Accesso completo a tutte le risorseFull access to all resources
  • Delegare l'accesso ad altri utentiDelegate access to others
All'amministratore del servizio e ai coamministratori viene assegnato il ruolo di proprietario nell'ambito della sottoscrizione.The Service Administrator and Co-Administrators are assigned the Owner role at the subscription scope
Si applica a tutti i tipi di risorsa.Applies to all resource types.
CollaboratoreContributor
  • Creare e gestire tutti i tipi di risorse di AzureCreate and manage all of types of Azure resources
  • Non può concedere l'accesso ad altri utentiCannot grant access to others
Si applica a tutti i tipi di risorsa.Applies to all resource types.
LettoreReader
  • Visualizzare le risorse di AzureView Azure resources
Si applica a tutti i tipi di risorsa.Applies to all resource types.
Amministratore accessi utenteUser Access Administrator
  • Gestire l'accesso degli utenti alle risorse di AzureManage user access to Azure resources

Gli altri ruoli predefiniti consentono la gestione di risorse di Azure specifiche.The rest of the built-in roles allow management of specific Azure resources. Ad esempio, il ruolo Collaboratore Macchina virtuale consente all'utente di creare e gestire macchine virtuali.For example, the Virtual Machine Contributor role allows the user to create and manage virtual machines. Per un elenco di tutti i ruoli predefiniti, vedere Ruoli predefiniti per le risorse di Azure.For a list of all the built-in roles, see Built-in roles for Azure resources.

Solo il portale di Azure e le API di Azure Resource Manager supportano il Controllo degli accessi in base al ruolo.Only the Azure portal and the Azure Resource Manager APIs support RBAC. Gli utenti, i gruppi e le applicazioni a cui vengono assegnati ruoli Controllo degli accessi in base al ruolo non possono usare le API del modello di distribuzione classica di Azure.Users, groups, and applications that are assigned RBAC roles cannot use the Azure classic deployment model APIs.

Nel portale di Azure le assegnazioni di ruolo tramite il controllo degli accessi in base al ruolo sono visualizzate nel pannello Controllo di accesso (IAM) .In the Azure portal, role assignments using RBAC appear on the Access control (IAM) blade. Il pannello è disponibile in tutto il portale, ad esempio nei gruppi di gestione, nelle sottoscrizioni, nei gruppi di risorse e in varie risorse.This blade can be found throughout the portal, such as management groups, subscriptions, resource groups, and various resources.

Pannello Controllo di accesso (IAM) nel portale di Azure

Quando si fa clic sulla scheda Ruoli, viene visualizzato l'elenco dei ruoli predefiniti e personalizzati.When you click the Roles tab, you will see the list of built-in and custom roles.

Ruoli predefiniti nel portale di Azure

Per altre informazioni, vedere Gestire l'accesso alle risorse di Azure usando il controllo degli accessi in base al ruolo e il portale di Azure.For more information, see Manage access to Azure resources using RBAC and the Azure portal.

Ruoli di amministratore di Azure ADAzure AD administrator roles

I ruoli di amministratore di Azure AD consentono di gestire le risorse di Azure AD in una directory, ad esempio di creare o modificare gli utenti, assegnare ruoli di amministratore ad altri utenti, reimpostare le password utente, gestire le licenze degli utenti e gestire i domini.Azure AD administrator roles are used to manage Azure AD resources in a directory such as create or edit users, assign administrative roles to others, reset user passwords, manage user licenses, and manage domains. La tabella seguente descrive alcuni dei ruoli di amministratore di Azure AD più importanti.The following table describes a few of the more important Azure AD administrator roles.

Ruolo di amministratore di Azure ADAzure AD administrator role AutorizzazioniPermissions NoteNotes
Amministratore globaleGlobal Administrator
  • Gestire l'accesso a tutte le funzionalità di amministrazione in Azure Active Directory, nonché ai servizi che attuano la federazione in Azure Active DirectoryManage access to all administrative features in Azure Active Directory, as well as services that federate to Azure Active Directory
  • Assegnare i ruoli di amministratore ad altri utentiAssign administrator roles to others
  • Reimpostare la password per qualsiasi utente e per tutti gli altri amministratoriReset the password for any user and all other administrators
La persona che effettua l'iscrizione per il tenant di Azure Active Directory diventa amministratore globale.The person who signs up for the Azure Active Directory tenant becomes a Global Administrator.
Amministratore utentiUser Administrator
  • Creare e gestire tutti gli aspetti di utenti e gruppiCreate and manage all aspects of users and groups
  • Gestire i ticket di supportoManage support tickets
  • Monitorare l'integrità dei serviziMonitor service health
  • Modificare le password degli utenti, degli amministratori del supporto tecnico e di altri amministratori degli utentiChange passwords for users, Helpdesk administrators, and other User Administrators
Amministratore fatturazioneBilling Administrator
  • Effettuare acquistiMake purchases
  • Gestire le sottoscrizioniManage subscriptions
  • Gestire i ticket di supportoManage support tickets
  • Monitorare l'integrità dei serviziMonitors service health

Nel portale di Azure è possibile visualizzare l'elenco dei ruoli di amministratore di Azure AD nel pannello Ruoli e amministratori.In the Azure portal, you can see the list of Azure AD administrator roles on the Roles and administrators blade. Per un elenco di tutti i ruoli di amministratore di Azure AD, vedere Autorizzazioni del ruolo di amministratore in Azure Active Directory.For a list of all the Azure AD administrator roles, see Administrator role permissions in Azure Active Directory.

Ruoli di amministratore di Azure AD nel portale di Azure

Differenze tra i ruoli di controllo dell'accesso in base al ruolo di Azure e i ruoli di amministratore di Azure ADDifferences between Azure RBAC roles and Azure AD administrator roles

A livello generale, i ruoli di controllo dell'accesso in base al ruolo di Azure controllano le autorizzazioni per gestire le risorse di Azure, mentre i ruoli di amministratore di Azure AD controllano le autorizzazioni per gestire le risorse di Azure Active Directory.At a high level, Azure RBAC roles control permissions to manage Azure resources, while Azure AD administrator roles control permissions to manage Azure Active Directory resources. La tabella seguente confronta alcune differenze.The following table compares some of the differences.

Ruoli di controllo degli accessi in base al ruolo di AzureAzure RBAC roles Ruoli di amministratore di Azure ADAzure AD administrator roles
Gestire l'accesso alle risorse di AzureManage access to Azure resources Gestire l'accesso alle risorse di Azure Active DirectoryManage access to Azure Active Directory resources
Supportano i ruoli personalizzatiSupports custom roles Supportano i ruoli personalizzatiSupports custom roles
È possibile specificare l'ambito a più livelli (gruppo di gestione, sottoscrizione, gruppo di risorse, risorsa)Scope can be specified at multiple levels (management group, subscription, resource group, resource) L'ambito è a livello di tenantScope is at the tenant level
Le informazioni sui ruoli sono accessibili nel portale di Azure, nell'interfaccia della riga di comando di Azure, in Azure PowerShell, nei modelli di Azure Resource Manager, nell'API RESTRole information can be accessed in Azure portal, Azure CLI, Azure PowerShell, Azure Resource Manager templates, REST API Le informazioni sui ruoli sono accessibili nel portale di amministrazione di Azure, nell'interfaccia di amministrazione di Microsoft 365, in Microsoft Graph e in AzureAD PowerShellRole information can be accessed in Azure admin portal, Microsoft 365 admin center, Microsoft Graph, AzureAD PowerShell

I ruoli di controllo dell'accesso in base al ruolo di Azure e i ruoli di amministratore di Azure AD si sovrappongono?Do Azure RBAC roles and Azure AD administrator roles overlap?

Per impostazione predefinita, i ruoli di controllo dell'accesso in base al ruolo di Azure e i ruoli di amministratore di Azure AD non si estendono oltre Azure e Azure AD.By default, Azure RBAC roles and Azure AD administrator roles do not span Azure and Azure AD. Tuttavia, se un amministratore globale ne eleva l'accesso scegliendo l'opzione Gli amministratori globali possono gestire le sottoscrizioni di Azure e i gruppi di gestione nel portale di Azure, all'amministratore globale verrà assegnato il ruolo Amministratore Accesso utenti (un ruolo di controllo degli accessi in base al ruolo) in tutte le sottoscrizioni di un tenant specifico.However, if a Global Administrator elevates their access by choosing the Global admin can manage Azure Subscriptions and Management Groups switch in the Azure portal, the Global Administrator will be granted the User Access Administrator role (an RBAC role) on all subscriptions for a particular tenant. Il ruolo Amministratore Accesso utenti consente all'utente di assegnare ad altri utenti l'accesso alle risorse di Azure.The User Access Administrator role enables the user to grant other users access to Azure resources. Questa opzione può essere utile per ottenere nuovamente l'accesso a una sottoscrizione.This switch can be helpful to regain access to a subscription. Per altre informazioni, vedere Elevate access as an Azure AD administrator (Elevare l'accesso come amministratore di Azure AD).For more information, see Elevate access as an Azure AD administrator.

Diversi ruoli di amministratore di Azure si applicano ad Azure AD e a Microsoft Office 365, ad esempio i ruoli di amministratore globale e di amministratore utenti.Several Azure AD administrator roles span Azure AD and Microsoft Office 365, such as the Global Administrator and User Administrator roles. Ad esempio, se si è un membro del ruolo Amministratore globale, si dispone delle autorizzazioni di amministratore globale in Azure AD e Office 365, ad esempio per effettuare modifiche in Microsoft Exchange e Microsoft SharePoint.For example, if you are a member of the Global Administrator role, you have global administrator capabilities in Azure AD and Office 365, such as making changes to Microsoft Exchange and Microsoft SharePoint. Tuttavia, per impostazione predefinita, l'amministratore globale non ha accesso alle risorse di Azure.However, by default, the Global Administrator doesn't have access to Azure resources.

Ruoli di controllo dell'accesso in base al ruolo di Azure e ruoli di amministratore di Azure AD

Passaggi successiviNext steps