Ruoli di amministratore della sottoscrizione classica, ruoli di Azure e ruoli di Azure AD

Se non si ha familiarità con Azure, può risultare un difficile comprendere i diversi ruoli disponibili in Azure. Questo articolo descrive i ruoli seguenti e il loro utilizzo:

  • Ruoli di amministratore sottoscrizione classica
  • Ruoli di Azure
  • Ruoli di Azure Active Directory (Azure AD)

Per comprendere meglio i ruoli in Azure, può essere utile conoscere parte della loro evoluzione. Nelle prime versioni di Azure l'accesso alle risorse veniva gestito con solo tre ruoli di amministratore: amministratore account, amministratore del servizio e coamministratore. In seguito è stato aggiunto il controllo degli accessi in base al ruolo di Azure. Il controllo degli accessi in base al ruolo (RBAC) di Azure è un sistema di autorizzazione più recente che offre una gestione degli accessi alle risorse di Azure più specifica. Il controllo degli accessi in base al ruolo di Azure include diversi ruoli predefiniti, può essere assegnato ad ambiti diversi e consente di creare ruoli personalizzati. Per la gestione delle risorse in Azure AD, ad esempio utenti, gruppi e domini, sono disponibili diversi ruoli di Azure AD.

Il diagramma seguente offre una panoramica generale della correlazione tra i ruoli di amministratore sottoscrizione classica, i ruoli di Azure e i ruoli di Azure AD.

Ruoli disponibili in Azure

Ruoli di amministratore sottoscrizione classica

Amministratore account, Amministratore del servizio e Coamministratore sono i tre ruoli di amministratore per una sottoscrizione classica in Azure. I ruoli di amministratore sottoscrizione classica hanno accesso completo alla sottoscrizione di Azure e possono gestire le risorse con il portale di Azure, con le API di Azure Resource Manager e con le API del modello di distribuzione classica. L'account usato per iscriversi a Azure viene impostato automaticamente come amministratore account e amministratore del servizio. I coamministratori possono essere aggiunti in seguito. L'amministratore del servizio e i coamministratori dispongono di un accesso equivalente a quello degli utenti cui è stato assegnato il ruolo Proprietario (un ruolo di Azure) nell'ambito della sottoscrizione. La tabella seguente descrive le differenze tra questi tre ruoli di amministratore sottoscrizione classica.

Amministratore sottoscrizione classica Limite Autorizzazioni Note
Amministratore dell'account 1 per ogni account di Azure
  • Può accedere al portale di Azure e gestire la fatturazione
  • Gestire la fatturazione per tutte le sottoscrizioni nell'account
  • Creare nuove sottoscrizioni
  • Annullare le sottoscrizioni
  • Modificare la fatturazione per una sottoscrizione
  • Modificare l'amministratore del servizio
  • Non è possibile annullare le sottoscrizioni a meno che non abbia il ruolo amministratore del servizio o proprietario della sottoscrizione
Concettualmente, il proprietario della fatturazione della sottoscrizione.
Amministratore del servizio 1 per ogni sottoscrizione di Azure
  • Gestire i servizi nel portale di Azure
  • Annullare la sottoscrizione
  • Assegnare utenti al ruolo di coamministratore
Per impostazione predefinita, per una nuova sottoscrizione l'amministratore account è anche amministratore del servizio.
L'amministratore del servizio ha un accesso equivalente a quello di un utente cui viene assegnato il ruolo di proprietario nell'ambito della sottoscrizione.
L'amministratore del servizio ha accesso completo al portale di Azure.
Coamministratore 200 per ogni sottoscrizione
  • Questo ruolo ha gli stessi privilegi di accesso dell'amministratore del servizio, ma non può modificare l'associazione di sottoscrizioni alle directory di Azure
  • Può assegnare utenti al ruolo di coamministratore, ma non può modificare l'amministratore del servizio
Il coamministratore ha un accesso equivalente a quello di un utente cui viene assegnato il ruolo di proprietario nell'ambito della sottoscrizione.

Nel portale di Azure è possibile gestire i coamministratori o visualizzare l'amministratore del servizio usando la scheda Amministratori (versione classica) .

Amministratori della sottoscrizione classica di Azure nel portale di Azure

Nel portale di Azure è possibile visualizzare o cambiare l'amministratore del servizio o visualizzare l'amministratore account nel pannello delle proprietà della sottoscrizione.

Account amministratore e amministratore del servizio nel portale di Azure

Per altre informazioni, vedere Amministratori della sottoscrizione classica di Azure.

Account e sottoscrizioni di Azure

Un account di Azure rappresenta una relazione di fatturazione. Un account di Azure include un'identità utente, una o più sottoscrizioni di Azure e un set associato di risorse di Azure. La persona che crea l'account è l'amministratore account di tutte le sottoscrizioni create nell'account. È anche l'amministratore del servizio predefinito per la sottoscrizione.

Le sottoscrizioni di Azure consentono di organizzare l'accesso alle risorse di Azure. Consentono inoltre di controllare come l'utilizzo delle risorse viene segnalato, fatturato e pagato. Ogni sottoscrizione può disporre di un’impostazione di fatturazione e pagamento diversa, in modo da poter avere sottoscrizioni e piani diversi per ufficio, reparto, progetto e così via. Ogni servizio appartiene a una sottoscrizione e l'ID sottoscrizione può essere necessario per le operazioni a livello di codice.

Ogni sottoscrizione è associata a una directory di Azure AD. Per trovare la directory a cui è associata la sottoscrizione, aprire Sottoscrizioni nel portale di Azure, quindi selezionare una sottoscrizione per visualizzare la directory.

Gli account e le sottoscrizioni vengono gestiti nel portale di Azure.

Ruoli di Azure

Il controllo degli accessi in base al ruolo di Azure è un sistema di autorizzazione basato su Azure Resource Manager che offre una gestione degli accessi dettagliata alle risorse in Azure, ad esempio alle risorse di calcolo e di archiviazione. Il controllo degli accessi in base al ruolo di Azure include oltre 70 ruoli predefiniti. Sono disponibili quattro ruoli principali di Azure. I primi tre si applicano a tutti i tipi di risorse:

Ruolo di Azure Autorizzazioni Note
Proprietario
  • Accesso completo a tutte le risorse
  • Delegare l'accesso ad altri utenti
All'amministratore del servizio e ai coamministratori viene assegnato il ruolo di proprietario nell'ambito della sottoscrizione.
Si applica a tutti i tipi di risorsa.
Collaboratore
  • Creare e gestire tutti i tipi di risorse di Azure
  • Creare un nuovo tenant in Azure Active Directory
  • Non può concedere l'accesso ad altri utenti
Si applica a tutti i tipi di risorsa.
Lettore
  • Visualizzare le risorse di Azure
Si applica a tutti i tipi di risorsa.
Amministratore accessi utente
  • Gestire l'accesso degli utenti alle risorse di Azure

Gli altri ruoli predefiniti consentono la gestione di risorse di Azure specifiche. Ad esempio, il ruolo Collaboratore Macchina virtuale consente all'utente di creare e gestire macchine virtuali. Per un elenco di tutti i ruoli predefiniti, vedere Ruoli predefiniti di Azure.

Solo il portale di Azure e le API di Azure Resource Manager supportano il Controllo degli accessi in base al ruolo di Azure. Gli utenti, i gruppi e le applicazioni a cui vengono assegnati i ruoli di Azure non possono usare le API del modello di distribuzione classica di Azure.

Nel portale di Azure le assegnazioni di ruolo tramite il controllo degli accessi in base al ruolo di Azure sono visualizzate nel pannello Controllo di accesso (IAM) . Il pannello è disponibile in tutto il portale, ad esempio nei gruppi di gestione, nelle sottoscrizioni, nei gruppi di risorse e in varie risorse.

Pannello Controllo di accesso (IAM) nel portale di Azure

Quando si fa clic sulla scheda Ruoli, viene visualizzato l'elenco dei ruoli predefiniti e personalizzati.

Ruoli predefiniti nel portale di Azure

Per altre informazioni, vedere Assegnare ruoli di Azure usando portale di Azure.

Ruoli di Azure AD

I ruoli di Azure AD consentono di gestire le risorse di Azure AD in una directory, ad esempio di creare o modificare gli utenti, assegnare ruoli di amministratore ad altri utenti, reimpostare le password utente, gestire le licenze degli utenti e gestire i domini. La tabella seguente descrive alcuni dei ruoli di Azure AD più importanti.

Ruolo di Azure AD Autorizzazioni Note
Amministratore globale
  • Gestire l'accesso a tutte le funzionalità di amministrazione in Azure Active Directory, nonché ai servizi che attuano la federazione in Azure Active Directory
  • Assegnare i ruoli di amministratore ad altri utenti
  • Reimpostare la password per qualsiasi utente e per tutti gli altri amministratori
La persona che effettua l'iscrizione per il tenant di Azure Active Directory diventa amministratore globale.
Amministratore utenti
  • Creare e gestire tutti gli aspetti di utenti e gruppi
  • Gestire i ticket di supporto
  • Monitorare l'integrità dei servizi
  • Modificare le password degli utenti, degli amministratori del supporto tecnico e di altri amministratori degli utenti
Amministratore fatturazione
  • Effettuare acquisti
  • Gestire le sottoscrizioni
  • Gestire i ticket di supporto
  • Monitorare l'integrità dei servizi

Nel portale di Azure è possibile visualizzare l'elenco dei ruoli di Azure AD nel pannello Ruoli e amministratori. Per un elenco di tutti i ruoli di Azure AD, vedere Autorizzazioni del ruolo di amministratore in Azure Active Directory.

Ruoli di Azure AD nel portale di Azure

Differenze tra i ruoli di Azure e i ruoli di Azure AD

A livello generale, i ruoli di Azure controllano le autorizzazioni per gestire le risorse di Azure, mentre i ruoli di Azure AD controllano le autorizzazioni per gestire le risorse di Azure Active Directory. La tabella seguente confronta alcune differenze.

Ruoli di Azure Ruoli di Azure AD
Gestire l'accesso alle risorse di Azure Gestire l'accesso alle risorse di Azure Active Directory
Supportano i ruoli personalizzati Supportano i ruoli personalizzati
È possibile specificare l'ambito a più livelli (gruppo di gestione, sottoscrizione, gruppo di risorse, risorsa) L'ambito può essere specificato a livello di tenant (a livello di organizzazione), unità amministrativa o su un singolo oggetto (ad esempio, un'applicazione specifica)
Le informazioni sui ruoli sono accessibili nel portale di Azure, nell'interfaccia della riga di comando di Azure, in Azure PowerShell, nei modelli di Azure Resource Manager, nell'API REST Le informazioni sui ruoli sono accessibili nel portale di amministrazione di Azure, nell'interfaccia di amministrazione di Microsoft 365, in Microsoft Graph e in AzureAD PowerShell

I ruoli di Azure e i ruoli di Azure AD si sovrappongono?

Per impostazione predefinita, i ruoli di Azure e i ruoli di Azure AD non si estendono oltre Azure e Azure AD. Tuttavia, se un amministratore globale ne eleva l'accesso scegliendo l'opzione Gestione degli accessi per le risorse di Azure nel portale di Azure, gli verrà assegnato il ruolo Amministratore Accesso utenti (un ruolo di Azure) in tutte le sottoscrizioni di un tenant specifico. Il ruolo Amministratore Accesso utenti consente all'utente di assegnare ad altri utenti l'accesso alle risorse di Azure. Questa opzione può essere utile per ottenere nuovamente l'accesso a una sottoscrizione. Per altre informazioni, vedere Elevare i privilegi di accesso per gestire tutte le sottoscrizioni e i gruppi di gestione di Azure.

Diversi ruoli di Azure si estendono ad Azure AD e a Microsoft 365, ad esempio i ruoli Amministratore globale e Amministratore utenti. Ad esempio, se si è un membro del ruolo Amministratore globale, si dispone delle autorizzazioni di amministratore globale in Azure AD e Microsoft 365, ad esempio per effettuare modifiche in Microsoft Exchange e Microsoft SharePoint. Tuttavia, per impostazione predefinita, l'amministratore globale non ha accesso alle risorse di Azure.

Ruoli di controllo degli accessi in base al ruolo di Azure e ruoli di Azure AD

Passaggi successivi