Ruoli di amministratore della sottoscrizione classica, ruoli di Azure e ruoli di Azure ADClassic subscription administrator roles, Azure roles, and Azure AD roles

Se non si ha familiarità con Azure, può risultare un difficile comprendere i diversi ruoli disponibili in Azure.If you are new to Azure, you may find it a little challenging to understand all the different roles in Azure. Questo articolo descrive i ruoli seguenti e il loro utilizzo:This article helps explain the following roles and when you would use each:

  • Ruoli di amministratore sottoscrizione classicaClassic subscription administrator roles
  • Ruoli di AzureAzure roles
  • Ruoli di Azure Active Directory (Azure AD)Azure Active Directory (Azure AD) roles

Per comprendere meglio i ruoli in Azure, può essere utile conoscere parte della loro evoluzione.To better understand roles in Azure, it helps to know some of the history. Nelle prime versioni di Azure l'accesso alle risorse veniva gestito con solo tre ruoli di amministratore: amministratore account, amministratore del servizio e coamministratore.When Azure was initially released, access to resources was managed with just three administrator roles: Account Administrator, Service Administrator, and Co-Administrator. In seguito è stato aggiunto il controllo degli accessi in base al ruolo di Azure.Later, Azure role-based access control (Azure RBAC) was added. Il controllo degli accessi in base al ruolo (RBAC) di Azure è un sistema di autorizzazione più recente che offre una gestione degli accessi alle risorse di Azure più specifica.Azure RBAC is a newer authorization system that provides fine-grained access management to Azure resources. Il controllo degli accessi in base al ruolo di Azure include diversi ruoli predefiniti, può essere assegnato ad ambiti diversi e consente di creare ruoli personalizzati.Azure RBAC includes many built-in roles, can be assigned at different scopes, and allows you to create your own custom roles. Per la gestione delle risorse in Azure AD, ad esempio utenti, gruppi e domini, sono disponibili diversi ruoli di Azure AD.To manage resources in Azure AD, such as users, groups, and domains, there are several Azure AD roles.

Il diagramma seguente offre una panoramica generale della correlazione tra i ruoli di amministratore sottoscrizione classica, i ruoli di Azure e i ruoli di Azure AD.The following diagram is a high-level view of how the classic subscription administrator roles, Azure roles, and Azure AD roles are related.

Ruoli disponibili in Azure

Ruoli di amministratore sottoscrizione classicaClassic subscription administrator roles

Amministratore account, Amministratore del servizio e Coamministratore sono i tre ruoli di amministratore per una sottoscrizione classica in Azure.Account Administrator, Service Administrator, and Co-Administrator are the three classic subscription administrator roles in Azure. I ruoli di amministratore sottoscrizione classica hanno accesso completo alla sottoscrizione di AzureClassic subscription administrators have full access to the Azure subscription. e possono gestire le risorse con il portale di Azure, con le API di Azure Resource Manager e con le API del modello di distribuzione classica.They can manage resources using the Azure portal, Azure Resource Manager APIs, and the classic deployment model APIs. L'account usato per iscriversi a Azure viene impostato automaticamente come amministratore account e amministratore del servizio.The account that is used to sign up for Azure is automatically set as both the Account Administrator and Service Administrator. I coamministratori possono essere aggiunti in seguito.Then, additional Co-Administrators can be added. L'amministratore del servizio e i coamministratori dispongono di un accesso equivalente a quello degli utenti cui è stato assegnato il ruolo Proprietario (un ruolo di Azure) nell'ambito della sottoscrizione.The Service Administrator and the Co-Administrators have the equivalent access of users who have been assigned the Owner role (an Azure role) at the subscription scope. La tabella seguente descrive le differenze tra questi tre ruoli di amministratore sottoscrizione classica.The following table describes the differences between these three classic subscription administrative roles.

Amministratore sottoscrizione classicaClassic subscription administrator LimiteLimit AutorizzazioniPermissions NoteNotes
Amministratore dell'accountAccount Administrator 1 per ogni account di Azure1 per Azure account
  • Gestire la fatturazione nel portale di AzureManage billing in the Azure portal
  • Gestire tutte le sottoscrizioni in un accountManage all subscriptions in an account
  • Creare nuove sottoscrizioniCreate new subscriptions
  • Annullare le sottoscrizioniCancel subscriptions
  • Modificare la fatturazione per una sottoscrizioneChange the billing for a subscription
  • Modificare l'amministratore del servizioChange the Service Administrator
Concettualmente, il proprietario della fatturazione della sottoscrizione.Conceptually, the billing owner of the subscription.
Amministratore del servizioService Administrator 1 per ogni sottoscrizione di Azure1 per Azure subscription
  • Gestire i servizi nel portale di AzureManage services in the Azure portal
  • Annullare la sottoscrizioneCancel the subscription
  • Assegnare utenti al ruolo di coamministratoreAssign users to the Co-Administrator role
Per impostazione predefinita, per una nuova sottoscrizione l'amministratore account è anche amministratore del servizio.By default, for a new subscription, the Account Administrator is also the Service Administrator.
L'amministratore del servizio ha un accesso equivalente a quello di un utente cui viene assegnato il ruolo di proprietario nell'ambito della sottoscrizione.The Service Administrator has the equivalent access of a user who is assigned the Owner role at the subscription scope.
L'amministratore del servizio ha accesso completo al portale di Azure.The Service Administrator has full access to the Azure portal.
CoamministratoreCo-Administrator 200 per ogni sottoscrizione200 per subscription
  • Questo ruolo ha gli stessi privilegi di accesso dell'amministratore del servizio, ma non può modificare l'associazione di sottoscrizioni alle directory di AzureSame access privileges as the Service Administrator, but can’t change the association of subscriptions to Azure directories
  • Può assegnare utenti al ruolo di coamministratore, ma non può modificare l'amministratore del servizioAssign users to the Co-Administrator role, but cannot change the Service Administrator
Il coamministratore ha un accesso equivalente a quello di un utente cui viene assegnato il ruolo di proprietario nell'ambito della sottoscrizione.The Co-Administrator has the equivalent access of a user who is assigned the Owner role at the subscription scope.

Nel portale di Azure è possibile gestire i coamministratori o visualizzare l'amministratore del servizio usando la scheda Amministratori (versione classica) .In the Azure portal, you can manage Co-Administrators or view the Service Administrator by using the Classic administrators tab.

Amministratori della sottoscrizione classica di Azure nel portale di Azure

Nel portale di Azure è possibile visualizzare o cambiare l'amministratore del servizio o visualizzare l'amministratore account nel pannello delle proprietà della sottoscrizione.In the Azure portal, you can view or change the Service Administrator or view the Account Administrator on the properties blade of your subscription.

Account amministratore e amministratore del servizio nel portale di Azure

Per altre informazioni, vedere Amministratori della sottoscrizione classica di Azure.For more information, see Azure classic subscription administrators.

Account e sottoscrizioni di AzureAzure account and Azure subscriptions

Un account di Azure rappresenta una relazione di fatturazione.An Azure account represents a billing relationship. Un account di Azure include un'identità utente, una o più sottoscrizioni di Azure e un set associato di risorse di Azure.An Azure account is a user identity, one or more Azure subscriptions, and an associated set of Azure resources. La persona che crea l'account è l'amministratore account di tutte le sottoscrizioni create nell'account.The person who creates the account is the Account Administrator for all subscriptions created in that account. È anche l'amministratore del servizio predefinito per la sottoscrizione.That person is also the default Service Administrator for the subscription.

Le sottoscrizioni di Azure consentono di organizzare l'accesso alle risorse di Azure.Azure subscriptions help you organize access to Azure resources. Consentono inoltre di controllare come l'utilizzo delle risorse viene segnalato, fatturato e pagato.They also help you control how resource usage is reported, billed, and paid for. Ogni sottoscrizione può disporre di un’impostazione di fatturazione e pagamento diversa, in modo da poter avere sottoscrizioni e piani diversi per ufficio, reparto, progetto e così via.Each subscription can have a different billing and payment setup, so you can have different subscriptions and different plans by office, department, project, and so on. Ogni servizio appartiene a una sottoscrizione e l'ID sottoscrizione può essere necessario per le operazioni a livello di codice.Every service belongs to a subscription, and the subscription ID may be required for programmatic operations.

Ogni sottoscrizione è associata a una directory di Azure AD.Each subscription is associated with an Azure AD directory. Per trovare la directory a cui è associata la sottoscrizione, aprire Sottoscrizioni nel portale di Azure, quindi selezionare una sottoscrizione per visualizzare la directory.To find the directory the subscription is associated with, open Subscriptions in the Azure portal and then select a subscription to see the directory.

Gli account e le sottoscrizioni vengono gestiti nel portale di Azure.Accounts and subscriptions are managed in the Azure portal.

Ruoli di AzureAzure roles

Il controllo degli accessi in base al ruolo di Azure è un sistema di autorizzazione basato su Azure Resource Manager che offre una gestione degli accessi dettagliata alle risorse in Azure, ad esempio alle risorse di calcolo e di archiviazione.Azure RBAC is an authorization system built on Azure Resource Manager that provides fine-grained access management to Azure resources, such as compute and storage. Il controllo degli accessi in base al ruolo di Azure include oltre 70 ruoli predefiniti.Azure RBAC includes over 70 built-in roles. Sono disponibili quattro ruoli principali di Azure.There are four fundamental Azure roles. I primi tre si applicano a tutti i tipi di risorse:The first three apply to all resource types:

Ruolo di AzureAzure role AutorizzazioniPermissions NoteNotes
ProprietarioOwner
  • Accesso completo a tutte le risorseFull access to all resources
  • Delegare l'accesso ad altri utentiDelegate access to others
All'amministratore del servizio e ai coamministratori viene assegnato il ruolo di proprietario nell'ambito della sottoscrizione.The Service Administrator and Co-Administrators are assigned the Owner role at the subscription scope
Si applica a tutti i tipi di risorsa.Applies to all resource types.
CollaboratoreContributor
  • Creare e gestire tutti i tipi di risorse di AzureCreate and manage all of types of Azure resources
  • Creare un nuovo tenant in Azure Active DirectoryCreate a new tenant in Azure Active Directory
  • Non può concedere l'accesso ad altri utentiCannot grant access to others
Si applica a tutti i tipi di risorsa.Applies to all resource types.
LettoreReader
  • Visualizzare le risorse di AzureView Azure resources
Si applica a tutti i tipi di risorsa.Applies to all resource types.
Amministratore accessi utenteUser Access Administrator
  • Gestire l'accesso degli utenti alle risorse di AzureManage user access to Azure resources

Gli altri ruoli predefiniti consentono la gestione di risorse di Azure specifiche.The rest of the built-in roles allow management of specific Azure resources. Ad esempio, il ruolo Collaboratore Macchina virtuale consente all'utente di creare e gestire macchine virtuali.For example, the Virtual Machine Contributor role allows the user to create and manage virtual machines. Per un elenco di tutti i ruoli predefiniti, vedere Ruoli predefiniti di Azure.For a list of all the built-in roles, see Azure built-in roles.

Solo il portale di Azure e le API di Azure Resource Manager supportano il Controllo degli accessi in base al ruolo di Azure.Only the Azure portal and the Azure Resource Manager APIs support Azure RBAC. Gli utenti, i gruppi e le applicazioni a cui vengono assegnati i ruoli di Azure non possono usare le API del modello di distribuzione classica di Azure.Users, groups, and applications that are assigned Azure roles cannot use the Azure classic deployment model APIs.

Nel portale di Azure le assegnazioni di ruolo tramite il controllo degli accessi in base al ruolo di Azure sono visualizzate nel pannello Controllo di accesso (IAM) .In the Azure portal, role assignments using Azure RBAC appear on the Access control (IAM) blade. Il pannello è disponibile in tutto il portale, ad esempio nei gruppi di gestione, nelle sottoscrizioni, nei gruppi di risorse e in varie risorse.This blade can be found throughout the portal, such as management groups, subscriptions, resource groups, and various resources.

Pannello Controllo di accesso (IAM) nel portale di Azure

Quando si fa clic sulla scheda Ruoli, viene visualizzato l'elenco dei ruoli predefiniti e personalizzati.When you click the Roles tab, you will see the list of built-in and custom roles.

Ruoli predefiniti nel portale di Azure

Per altre informazioni, vedere Aggiungere o rimuovere assegnazioni di ruolo di Azure usando il portale di Azure.For more information, see Add or remove Azure role assignments using the Azure portal.

Ruoli di Azure ADAzure AD roles

I ruoli di Azure AD consentono di gestire le risorse di Azure AD in una directory, ad esempio di creare o modificare gli utenti, assegnare ruoli di amministratore ad altri utenti, reimpostare le password utente, gestire le licenze degli utenti e gestire i domini.Azure AD roles are used to manage Azure AD resources in a directory such as create or edit users, assign administrative roles to others, reset user passwords, manage user licenses, and manage domains. La tabella seguente descrive alcuni dei ruoli di Azure AD più importanti.The following table describes a few of the more important Azure AD roles.

Ruolo di Azure ADAzure AD role AutorizzazioniPermissions NoteNotes
Amministratore globaleGlobal Administrator
  • Gestire l'accesso a tutte le funzionalità di amministrazione in Azure Active Directory, nonché ai servizi che attuano la federazione in Azure Active DirectoryManage access to all administrative features in Azure Active Directory, as well as services that federate to Azure Active Directory
  • Assegnare i ruoli di amministratore ad altri utentiAssign administrator roles to others
  • Reimpostare la password per qualsiasi utente e per tutti gli altri amministratoriReset the password for any user and all other administrators
La persona che effettua l'iscrizione per il tenant di Azure Active Directory diventa amministratore globale.The person who signs up for the Azure Active Directory tenant becomes a Global Administrator.
Amministratore utentiUser Administrator
  • Creare e gestire tutti gli aspetti di utenti e gruppiCreate and manage all aspects of users and groups
  • Gestire i ticket di supportoManage support tickets
  • Monitorare l'integrità dei serviziMonitor service health
  • Modificare le password degli utenti, degli amministratori del supporto tecnico e di altri amministratori degli utentiChange passwords for users, Helpdesk administrators, and other User Administrators
Amministratore fatturazioneBilling Administrator
  • Effettuare acquistiMake purchases
  • Gestire le sottoscrizioniManage subscriptions
  • Gestire i ticket di supportoManage support tickets
  • Monitorare l'integrità dei serviziMonitors service health

Nel portale di Azure è possibile visualizzare l'elenco dei ruoli di Azure AD nel pannello Ruoli e amministratori.In the Azure portal, you can see the list of Azure AD roles on the Roles and administrators blade. Per un elenco di tutti i ruoli di Azure AD, vedere Autorizzazioni del ruolo di amministratore in Azure Active Directory.For a list of all the Azure AD roles, see Administrator role permissions in Azure Active Directory.

Ruoli di Azure AD nel portale di Azure

Differenze tra i ruoli di Azure e i ruoli di Azure ADDifferences between Azure roles and Azure AD roles

A livello generale, i ruoli di Azure controllano le autorizzazioni per gestire le risorse di Azure, mentre i ruoli di Azure AD controllano le autorizzazioni per gestire le risorse di Azure Active Directory.At a high level, Azure roles control permissions to manage Azure resources, while Azure AD roles control permissions to manage Azure Active Directory resources. La tabella seguente confronta alcune differenze.The following table compares some of the differences.

Ruoli di AzureAzure roles Ruoli di Azure ADAzure AD roles
Gestire l'accesso alle risorse di AzureManage access to Azure resources Gestire l'accesso alle risorse di Azure Active DirectoryManage access to Azure Active Directory resources
Supportano i ruoli personalizzatiSupports custom roles Supportano i ruoli personalizzatiSupports custom roles
È possibile specificare l'ambito a più livelli (gruppo di gestione, sottoscrizione, gruppo di risorse, risorsa)Scope can be specified at multiple levels (management group, subscription, resource group, resource) L'ambito è a livello di tenantScope is at the tenant level
Le informazioni sui ruoli sono accessibili nel portale di Azure, nell'interfaccia della riga di comando di Azure, in Azure PowerShell, nei modelli di Azure Resource Manager, nell'API RESTRole information can be accessed in Azure portal, Azure CLI, Azure PowerShell, Azure Resource Manager templates, REST API Le informazioni sui ruoli sono accessibili nel portale di amministrazione di Azure, nell'interfaccia di amministrazione di Microsoft 365, in Microsoft Graph e in AzureAD PowerShellRole information can be accessed in Azure admin portal, Microsoft 365 admin center, Microsoft Graph, AzureAD PowerShell

I ruoli di Azure e i ruoli di Azure AD si sovrappongono?Do Azure roles and Azure AD roles overlap?

Per impostazione predefinita, i ruoli di Azure e i ruoli di Azure AD non si estendono oltre Azure e Azure AD.By default, Azure roles and Azure AD roles do not span Azure and Azure AD. Tuttavia, se un amministratore globale ne eleva l'accesso scegliendo l'opzione Gestione degli accessi per le risorse di Azure nel portale di Azure, gli verrà assegnato il ruolo Amministratore Accesso utenti (un ruolo di Azure) in tutte le sottoscrizioni di un tenant specifico.However, if a Global Administrator elevates their access by choosing the Access management for Azure resources switch in the Azure portal, the Global Administrator will be granted the User Access Administrator role (an Azure role) on all subscriptions for a particular tenant. Il ruolo Amministratore Accesso utenti consente all'utente di assegnare ad altri utenti l'accesso alle risorse di Azure.The User Access Administrator role enables the user to grant other users access to Azure resources. Questa opzione può essere utile per ottenere nuovamente l'accesso a una sottoscrizione.This switch can be helpful to regain access to a subscription. Per altre informazioni, vedere Elevare i privilegi di accesso per gestire tutte le sottoscrizioni e i gruppi di gestione di Azure.For more information, see Elevate access to manage all Azure subscriptions and management groups.

Diversi ruoli di Azure si estendono ad Azure AD e a Microsoft 365, ad esempio i ruoli Amministratore globale e Amministratore utenti.Several Azure AD roles span Azure AD and Microsoft 365, such as the Global Administrator and User Administrator roles. Ad esempio, se si è un membro del ruolo Amministratore globale, si dispone delle autorizzazioni di amministratore globale in Azure AD e Microsoft 365, ad esempio per effettuare modifiche in Microsoft Exchange e Microsoft SharePoint.For example, if you are a member of the Global Administrator role, you have global administrator capabilities in Azure AD and Microsoft 365, such as making changes to Microsoft Exchange and Microsoft SharePoint. Tuttavia, per impostazione predefinita, l'amministratore globale non ha accesso alle risorse di Azure.However, by default, the Global Administrator doesn't have access to Azure resources.

Ruoli di controllo degli accessi in base al ruolo di Azure e ruoli di Azure AD

Passaggi successiviNext steps