Ruoli di Azure, ruoli di Microsoft Entra e ruoli di amministratore della sottoscrizione classica
Se non si ha familiarità con Azure, può risultare un difficile comprendere i diversi ruoli disponibili in Azure. Questo articolo descrive i ruoli seguenti e il loro utilizzo:
- Ruoli di Azure
- Ruoli di Microsoft Entra
- Ruoli di amministratore sottoscrizione classica
Correlazione tra i ruoli
Per comprendere meglio i ruoli in Azure, può essere utile conoscere parte della loro evoluzione. Nelle prime versioni di Azure l'accesso alle risorse veniva gestito con solo tre ruoli di amministratore: amministratore account, amministratore del servizio e coamministratore. In seguito è stato aggiunto il controllo degli accessi in base al ruolo di Azure. Il controllo degli accessi in base al ruolo (RBAC) di Azure è un sistema di autorizzazione più recente che offre una gestione degli accessi alle risorse di Azure più specifica. Il controllo degli accessi in base al ruolo di Azure include diversi ruoli predefiniti, può essere assegnato ad ambiti diversi e consente di creare ruoli personalizzati. Per gestire le risorse in Microsoft Entra ID, ad esempio utenti, gruppi e domini, esistono diversi ruoli di Microsoft Entra.
Il diagramma seguente è una panoramica generale del modo in cui sono correlati i ruoli di Azure, i ruoli di Microsoft Entra e i ruoli di amministratore della sottoscrizione classica.
Ruoli di Azure
Il controllo degli accessi in base al ruolo di Azure è un sistema di autorizzazione basato su Azure Resource Manager che offre una gestione degli accessi con granularità fine alle risorse di Azure, ad esempio calcolo e archiviazione. Il controllo degli accessi in base al ruolo di Azure include oltre 100 ruoli predefiniti. Esistono cinque ruoli fondamentali di Azure. I primi tre si applicano a tutti i tipi di risorse:
| Ruolo di Azure | Autorizzazioni | Note |
|---|---|---|
| Proprietario |
|
All'amministratore del servizio e ai coamministratori viene assegnato il ruolo di proprietario nell'ambito della sottoscrizione. Si applica a tutti i tipi di risorsa. |
| Collaboratore |
|
Si applica a tutti i tipi di risorsa. |
| Lettore |
|
Si applica a tutti i tipi di risorsa. |
| Controllo di accesso Amministrazione istrator basato su ruoli |
|
|
| Amministratore accessi utente |
|
Gli altri ruoli predefiniti consentono la gestione di risorse di Azure specifiche. Ad esempio, il ruolo Collaboratore Macchina virtuale consente all'utente di creare e gestire macchine virtuali. Per un elenco di tutti i ruoli predefiniti, vedere Ruoli predefiniti di Azure.
Solo il portale di Azure e le API di Azure Resource Manager supportano il Controllo degli accessi in base al ruolo di Azure. Gli utenti, i gruppi e le applicazioni a cui vengono assegnati i ruoli di Azure non possono usare le API del modello di distribuzione classica di Azure.
Nella portale di Azure le assegnazioni di ruolo con il controllo degli accessi in base al ruolo di Azure vengono visualizzate nella pagina Controllo di accesso (IAM). Questa pagina è disponibile in tutto il portale, ad esempio gruppi di gestione, sottoscrizioni, gruppi di risorse e varie risorse.
Quando si fa clic sulla scheda Ruoli , verrà visualizzato l'elenco dei ruoli predefiniti e personalizzati.
Per ulteriori informazioni, vedi Assegnare ruoli di Azure usando il portale di Azure.
Ruoli di Microsoft Entra
I ruoli di Microsoft Entra vengono usati per gestire le risorse di Microsoft Entra in una directory, ad esempio creare o modificare gli utenti, assegnare ruoli amministrativi ad altri utenti, reimpostare le password utente, gestire le licenze utente e gestire i domini. La tabella seguente descrive alcuni dei ruoli più importanti di Microsoft Entra.
| Ruolo Microsoft Entra | Autorizzazioni | Note |
|---|---|---|
| Amministratore globale |
|
La persona che effettua l'iscrizione al tenant di Microsoft Entra diventa un Amministrazione istrator globale. |
| Amministratore utenti |
|
|
| Amministratore fatturazione |
|
Nella portale di Azure è possibile visualizzare l'elenco dei ruoli di Microsoft Entra nella pagina Ruoli e amministratori. Per un elenco di tutti i ruoli di Microsoft Entra, vedere Amministrazione istrator role permissions in Microsoft Entra ID(
Differenze tra i ruoli di Azure e i ruoli di Microsoft Entra
A livello generale, i ruoli di Azure controllano le autorizzazioni per gestire le risorse di Azure, mentre i ruoli di Microsoft Entra controllano le autorizzazioni per gestire le risorse di Microsoft Entra. La tabella seguente confronta alcune differenze.
| Ruoli di Azure | Ruoli di Microsoft Entra |
|---|---|
| Gestire l'accesso alle risorse di Azure | Gestire l'accesso alle risorse di Microsoft Entra |
| Supportano i ruoli personalizzati | Supportano i ruoli personalizzati |
| È possibile specificare l'ambito a più livelli (gruppo di gestione, sottoscrizione, gruppo di risorse, risorsa) | L'ambito può essere specificato a livello di tenant (a livello di organizzazione), unità amministrativa o su un singolo oggetto (ad esempio, un'applicazione specifica) |
| Le informazioni sui ruoli sono accessibili nel portale di Azure, nell'interfaccia della riga di comando di Azure, in Azure PowerShell, nei modelli di Azure Resource Manager, nell'API REST | È possibile accedere alle informazioni sui ruoli nella portale di Azure, nell'interfaccia di amministrazione di Microsoft Entra, interfaccia di amministrazione di Microsoft 365, Microsoft Graph, Microsoft Graph PowerShell |
I ruoli di Azure e i ruoli di Microsoft Entra si sovrappongono?
Per impostazione predefinita, i ruoli di Azure e i ruoli di Microsoft Entra non si estendono su Azure e Microsoft Entra ID. Tuttavia, se un amministratore globale ne eleva l'accesso scegliendo l'opzione Gestione degli accessi per le risorse di Azure nel portale di Azure, gli verrà assegnato il ruolo Amministratore Accesso utenti (un ruolo di Azure) in tutte le sottoscrizioni di un tenant specifico. Il ruolo Amministratore Accesso utenti consente all'utente di assegnare ad altri utenti l'accesso alle risorse di Azure. Questa opzione può essere utile per ottenere nuovamente l'accesso a una sottoscrizione. Per altre informazioni, vedere Elevare i privilegi di accesso per gestire tutte le sottoscrizioni e i gruppi di gestione di Azure.
Diversi ruoli di Microsoft Entra si estendono su Microsoft Entra ID e Microsoft 365, ad esempio i ruoli Amministratore globale e Amministratore utenti. Se ad esempio si è un membro del ruolo Amministratore globale, si dispone delle autorizzazioni di amministratore globale in Microsoft Entra ID e Microsoft 365, ad esempio per effettuare modifiche in Microsoft Exchange e Microsoft SharePoint. Tuttavia, per impostazione predefinita, l'amministratore globale non ha accesso alle risorse di Azure.
Ruoli di amministratore sottoscrizione classica
Importante
Le risorse classiche e gli amministratori classici verranno ritirati il 31 agosto 2024. A partire dal 3 aprile 2024, non sarà possibile aggiungere nuovi co-Amministrazione istratori. Questa data è stata estesa di recente. Rimuovere i co-Amministrazione istratori non necessari e usare il controllo degli accessi in base al ruolo di Azure per il controllo degli accessi con granularità fine.
Amministratore account, Amministratore del servizio e Coamministratore sono i tre ruoli di amministratore della sottoscrizione classica in Azure. I ruoli di amministratore sottoscrizione classica hanno accesso completo alla sottoscrizione di Azure e possono gestire le risorse con il portale di Azure, con le API di Azure Resource Manager e con le API del modello di distribuzione classica. L'account usato per iscriversi ad Azure viene impostato automaticamente come Amministratore account e Amministratore del servizio. I coamministratori possono essere aggiunti in seguito. L'amministratore del servizio e i coamministratori dispongono di un accesso equivalente a quello degli utenti cui è stato assegnato il ruolo Proprietario (un ruolo di Azure) nell'ambito della sottoscrizione. La tabella seguente descrive le differenze tra questi tre ruoli di amministratore sottoscrizione classica.
| Amministratore sottoscrizione classica | Limite | Autorizzazioni | Note |
|---|---|---|---|
| Amministratore dell'account | 1 per ogni account di Azure |
|
Concettualmente, il proprietario della fatturazione della sottoscrizione. |
| Amministratore del servizio | 1 per ogni sottoscrizione di Azure |
|
Per impostazione predefinita, per una nuova sottoscrizione l'amministratore account è anche amministratore del servizio. L'amministratore del servizio ha un accesso equivalente a quello di un utente cui viene assegnato il ruolo di proprietario nell'ambito della sottoscrizione. L'amministratore del servizio ha accesso completo al portale di Azure. |
| Coamministratore | 200 per ogni sottoscrizione |
|
Il coamministratore ha un accesso equivalente a quello di un utente cui viene assegnato il ruolo di proprietario nell'ambito della sottoscrizione. |
Nel portale di Azure è possibile gestire i coamministratori o visualizzare l'amministratore del servizio usando la scheda Amministratori (versione classica).
Per altre informazioni, vedere Amministratori della sottoscrizione classica di Azure.
Account e sottoscrizioni di Azure
Un account Azure viene usato per stabilire una relazione di fatturazione. Un account di Azure include un'identità utente, una o più sottoscrizioni di Azure e un set associato di risorse di Azure. La persona che crea l'account è l'amministratore account di tutte le sottoscrizioni create nell'account. È anche l'amministratore del servizio predefinito per la sottoscrizione.
Le sottoscrizioni di Azure consentono di organizzare l'accesso alle risorse di Azure. Consentono inoltre di controllare come l'utilizzo delle risorse viene segnalato, fatturato e pagato. Ogni sottoscrizione può avere una configurazione di fatturazione e pagamento diversa, quindi è possibile avere sottoscrizioni e piani diversi per ufficio, reparto, progetto e così via. Ogni servizio appartiene a una sottoscrizione e l'ID sottoscrizione può essere necessario per le operazioni a livello di codice.
Ogni sottoscrizione è associata a una directory Microsoft Entra. Per trovare la directory a cui è associata la sottoscrizione, aprire Sottoscrizioni nel portale di Azure, quindi selezionare una sottoscrizione per visualizzare la directory.
Gli account e le sottoscrizioni vengono gestiti nel portale di Azure.