Klassieke abonnementsbeheerdersrollen, Azure-rollen en Azure AD-rollenClassic subscription administrator roles, Azure roles, and Azure AD roles

Als u nieuw bent bij Azure, is het misschien lastig om een goed beeld te krijgen van de verschillende rollen in Azure.If you are new to Azure, you may find it a little challenging to understand all the different roles in Azure. In dit artikel vindt u informatie over de volgende rollen en wanneer u elk type rol moet gebruiken:This article helps explain the following roles and when you would use each:

  • Klassieke abonnementsbeheerdersrollenClassic subscription administrator roles
  • Azure-rollenAzure roles
  • Azure Active Directory-rollen (Azure AD)Azure Active Directory (Azure AD) roles

Een korte beschrijving van de geschiedenis van Azure helpt om een beter beeld te krijgen van de verschillende rollen.To better understand roles in Azure, it helps to know some of the history. Bij de introductie van Azure waren er voor het beheer van resources slechts drie beheerdersrollen: Accountbeheerder, Servicebeheerder en Co-beheerder.When Azure was initially released, access to resources was managed with just three administrator roles: Account Administrator, Service Administrator, and Co-Administrator. Later is Azure RBAC (op rollen gebaseerd toegangsbeheer) toegevoegd.Later, Azure role-based access control (Azure RBAC) was added. Azure RBAC is een nieuwer autorisatiesysteem dat gedetailleerd toegangsbeheer biedt voor Azure-resources.Azure RBAC is a newer authorization system that provides fine-grained access management to Azure resources. Azure RBAC bevat allerlei ingebouwde rollen, kan worden toegewezen aan verschillende bereiken en stelt u in staat om uw eigen aangepaste rollen te maken.Azure RBAC includes many built-in roles, can be assigned at different scopes, and allows you to create your own custom roles. Voor het beheren van resources in Azure AD, zoals gebruikers, groepen en domeinen, zijn verschillende Azure AD-rollen beschikbaar.To manage resources in Azure AD, such as users, groups, and domains, there are several Azure AD roles.

In het volgende schema diagram ziet u een algemeen overzicht van hoe de klassieke abonnementsbeheerdersrollen, Azure-rollen en Azure AD-rollen zich tot elkaar verhouden.The following diagram is a high-level view of how the classic subscription administrator roles, Azure roles, and Azure AD roles are related.

De verschillende rollen in Azure

Klassieke abonnementsbeheerdersrollenClassic subscription administrator roles

Accountbeheerder, Servicebeheerder en Medebeheerder zijn de drie klassieke abonnementsbeheerdersrollen in Azure.Account Administrator, Service Administrator, and Co-Administrator are the three classic subscription administrator roles in Azure. Klassieke abonnementsbeheerders hebben volledige toegang tot het Azure-abonnement.Classic subscription administrators have full access to the Azure subscription. Ze kunnen resources beheren met behulp van Azure Portal, API's van Azure Resource Manager en API's van het klassieke implementatiemodel.They can manage resources using the Azure portal, Azure Resource Manager APIs, and the classic deployment model APIs. Het account dat wordt gebruikt voor registratie bij Azure wordt automatisch ingesteld als de accountbeheerder en de servicebeheerder.The account that is used to sign up for Azure is automatically set as both the Account Administrator and Service Administrator. Vervolgens kunnen er extra medebeheerders of co-beheerders worden toegevoegd.Then, additional Co-Administrators can be added. De servicebeheerder en de medebeheerders hebben dezelfde toegang als gebruikers met de rol van eigenaar (een Azure-rol) op abonnementsniveau.The Service Administrator and the Co-Administrators have the equivalent access of users who have been assigned the Owner role (an Azure role) at the subscription scope. De volgende tabel beschrijft de verschillen tussen deze drie klassieke abonnementsbeheerdersrollen.The following table describes the differences between these three classic subscription administrative roles.

Klassiek abonnement beheerderClassic subscription administrator LimietLimit MachtigingenPermissions OpmerkingenNotes
AccountbeheerderAccount Administrator 1 per Azure-account1 per Azure account
  • Facturering beheren in de Azure-portalManage billing in the Azure portal
  • Alle abonnementen in een account beherenManage all subscriptions in an account
  • Nieuwe abonnementen makenCreate new subscriptions
  • Abonnementen annulerenCancel subscriptions
  • De facturering voor een abonnement wijzigenChange the billing for a subscription
  • De servicebeheerder wijzigenChange the Service Administrator
Conceptueel gezien de factureringseigenaar van het abonnement.Conceptually, the billing owner of the subscription.
ServicebeheerderService Administrator 1 per Azure-abonnement1 per Azure subscription
  • Services beheren in Azure PortalManage services in the Azure portal
  • Het abonnement opzeggenCancel the subscription
  • Gebruikers de rol van medebeheerder gevenAssign users to the Co-Administrator role
Voor een nieuw abonnement is het standaard zo dat de accountbeheerder ook de servicebeheerder is.By default, for a new subscription, the Account Administrator is also the Service Administrator.
De servicebeheerder heeft dezelfde toegang als een gebruiker met de rol van eigenaar op abonnementsniveau.The Service Administrator has the equivalent access of a user who is assigned the Owner role at the subscription scope.
De servicebeheerder heeft volledige toegang tot de Azure-portal.The Service Administrator has full access to the Azure portal.
MedebeheerderCo-Administrator 200 per abonnement200 per subscription
  • Deze rol heeft dezelfde toegangsrechten als de rol Servicebeheerder, maar kan de koppeling van abonnementen aan Azure-adreslijsten niet wijzigenSame access privileges as the Service Administrator, but can’t change the association of subscriptions to Azure directories
  • Gebruikers toewijzen aan de rol Medebeheerder, maar kan de servicebeheerder niet wijzigenAssign users to the Co-Administrator role, but cannot change the Service Administrator
De medebeheerder heeft dezelfde toegang als een gebruiker met de rol van eigenaar op abonnementsniveau.The Co-Administrator has the equivalent access of a user who is assigned the Owner role at the subscription scope.

In de Azure-portal kunt u co-beheerders beheren of de servicebeheerder weergeven met behulp van het tabblad Klassieke beheerders.In the Azure portal, you can manage Co-Administrators or view the Service Administrator by using the Classic administrators tab.

Klassieke abonnementsbeheerders van Azure in de Azure-portal

In de Azure-portal kunt u de servicebeheerder weergeven of wijzigen en de accountbeheerder weergeven op de blade Eigenschappen van uw abonnement.In the Azure portal, you can view or change the Service Administrator or view the Account Administrator on the properties blade of your subscription.

Accountbeheerder en Servicebeheerder in Azure Portal

Ga voor meer informatie naar Klassieke abonnementsbeheerders van Azure.For more information, see Azure classic subscription administrators.

Azure-account en Azure-abonnementenAzure account and Azure subscriptions

Een Azure-account vertegenwoordigt een factureringsrelatie.An Azure account represents a billing relationship. Een Azure-account wordt gevormd door een gebruikersidentiteit, een of meer Azure-abonnementen en een bijbehorende set Azure-resources.An Azure account is a user identity, one or more Azure subscriptions, and an associated set of Azure resources. De persoon die het account maakt, is de accountbeheerder voor alle abonnementen die in dat account worden gemaakt.The person who creates the account is the Account Administrator for all subscriptions created in that account. Deze persoon is standaard ook de servicebeheerder voor het abonnement.That person is also the default Service Administrator for the subscription.

Azure-abonnementen helpen u de toegang tot Azure-resources in goede banen te leiden.Azure subscriptions help you organize access to Azure resources. Ze helpen u ook om te bepalen hoe resourcegebruik wordt gerapporteerd, gefactureerd en betaald.They also help you control how resource usage is reported, billed, and paid for. Elk abonnement kan een andere facturerings- en betalingsinstelling hebben, zodat u per kantoor, afdeling, project, enzovoort verschillende abonnementen en plannen kunt hebben.Each subscription can have a different billing and payment setup, so you can have different subscriptions and different plans by office, department, project, and so on. Elke service hoort bij een abonnement en de abonnements-id is mogelijk vereist voor programmatische bewerkingen.Every service belongs to a subscription, and the subscription ID may be required for programmatic operations.

Elk abonnement is gekoppeld aan een Azure AD-directory.Each subscription is associated with an Azure AD directory. Als u wilt zoeken naar de map waaraan het abonnement is gekoppeld, opent u Abonnementen in de Azure-portal en selecteert u vervolgens een abonnement om de map weer te geven.To find the directory the subscription is associated with, open Subscriptions in the Azure portal and then select a subscription to see the directory.

Accounts en abonnementen worden beheerd in het Azure Portal.Accounts and subscriptions are managed in the Azure portal.

Azure-rollenAzure roles

Azure RBAC staat voor op rollen gebaseerd toegangsbeheer en is een machtigingssysteem dat is gebouwd op Azure Resource Manager. Het voorziet in een geavanceerd toegangsbeheer van resources in Azure, zoals rekenbronnen en opslag.Azure RBAC is an authorization system built on Azure Resource Manager that provides fine-grained access management to Azure resources, such as compute and storage. Azure RBAC bevat meer dan 70 ingebouwde rollen.Azure RBAC includes over 70 built-in roles. Er zijn vier primaire Azure-rollen.There are four fundamental Azure roles. De eerste drie gelden voor alle resourcetypen:The first three apply to all resource types:

Azure-rolAzure role MachtigingenPermissions OpmerkingenNotes
EigenaarOwner
  • Volledige toegang tot alle resourcesFull access to all resources
  • Toegang aan anderen delegerenDelegate access to others
De servicebeheerder en medebeheerders krijgen de rol van eigenaar op abonnementsniveauThe Service Administrator and Co-Administrators are assigned the Owner role at the subscription scope
Geldt voor alle resourcetypen.Applies to all resource types.
InzenderContributor
  • Alle soorten Azure-resources maken en beherenCreate and manage all of types of Azure resources
  • Een nieuwe tenant maken in Azure Active DirectoryCreate a new tenant in Azure Active Directory
  • Kan geen toegang aan anderen verlenenCannot grant access to others
Geldt voor alle resourcetypen.Applies to all resource types.
LezerReader
  • Azure-resources weergevenView Azure resources
Geldt voor alle resourcetypen.Applies to all resource types.
Beheerder van gebruikerstoegangUser Access Administrator
  • Toegang van gebruikers tot Azure-resources beherenManage user access to Azure resources

De overige ingebouwde rollen zijn bedoeld voor het beheer van specifieke Azure-resources.The rest of the built-in roles allow management of specific Azure resources. Met de rol Inzender voor virtuele machines kan een gebruiker bijvoorbeeld virtuele machines maken en beheren.For example, the Virtual Machine Contributor role allows the user to create and manage virtual machines. Zie Ingebouwde Azure-rollen voor een lijst met alle ingebouwde rollen.For a list of all the built-in roles, see Azure built-in roles.

Alleen de Azure-portal en de API's van Azure Resource Manager ondersteunen RBAC voor Azure-portal.Only the Azure portal and the Azure Resource Manager APIs support Azure RBAC. Gebruikers, groepen en toepassingen met toegewezen Azure-rollen kunnen geen gebruikmaken van de API's van het klassieke implementatiemodel van Azure.Users, groups, and applications that are assigned Azure roles cannot use the Azure classic deployment model APIs.

In de Azure-portal worden roltoewijzingen met Azure RBAC weergegeven op de blade Toegangsbeheer (IAM) .In the Azure portal, role assignments using Azure RBAC appear on the Access control (IAM) blade. Deze blade is overal in de portal beschikbaar, zoals in beheergroepen, abonnementen, resourcegroepen en verschillende resources.This blade can be found throughout the portal, such as management groups, subscriptions, resource groups, and various resources.

De blade Toegangsbeheer (IAM) in Azure Portal

Wanneer u op het tabblad Rollen klikt, ziet u de lijst met geïntegreerde en aangepaste rollen.When you click the Roles tab, you will see the list of built-in and custom roles.

Ingebouwde rollen in Azure Portal

Zie Azure-rollen toewijzen met behulp van de Azure Portalvoor meer informatie.For more information, see Assign Azure roles using the Azure portal.

Azure AD-rollenAzure AD roles

Azure AD-rollen worden gebruikt voor het beheren van Azure AD-resources in een directory, zoals voor het maken of bewerken van gebruikers, het toewijzen van beheerdersrollen aan anderen, het opnieuw instellen van gebruikerswachtwoorden, het beheren van gebruikerslicenties en het beheren van domeinen.Azure AD roles are used to manage Azure AD resources in a directory such as create or edit users, assign administrative roles to others, reset user passwords, manage user licenses, and manage domains. In de volgende tabel worden enkele van de belangrijkste Azure AD-rollen beschreven.The following table describes a few of the more important Azure AD roles.

Azure AD-rolAzure AD role MachtigingenPermissions OpmerkingenNotes
Globale beheerderGlobal Administrator
  • Toegang tot alle beheerfuncties in Azure Active Directory beheren, evenals services die federeren naar Azure Active DirectoryManage access to all administrative features in Azure Active Directory, as well as services that federate to Azure Active Directory
  • Beheerdersrollen aan anderen toewijzenAssign administrator roles to others
  • Het wachtwoord voor gebruikers en alle andere beheerders opnieuw instellenReset the password for any user and all other administrators
De persoon die zich registreert voor de Azure Active Directory-tenant wordt de globale beheerder.The person who signs up for the Azure Active Directory tenant becomes a Global Administrator.
GebruikersbeheerderUser Administrator
  • Alle aspecten van gebruikers en groepen maken en beherenCreate and manage all aspects of users and groups
  • Ondersteuningstickets beherenManage support tickets
  • Servicestatus bewakenMonitor service health
  • Wachtwoorden wijzigen voor gebruikers, helpdeskbeheerders en andere gebruikersbeheerdersChange passwords for users, Helpdesk administrators, and other User Administrators
FactureringsbeheerderBilling Administrator
  • Aankopen doenMake purchases
  • Abonnementen beherenManage subscriptions
  • Ondersteuningstickets beherenManage support tickets
  • Servicestatus beherenMonitors service health

In de Azure-portal kunt u de lijst met Azure AD-rollen bekijken op de blade Rollen en beheerders.In the Azure portal, you can see the list of Azure AD roles on the Roles and administrators blade. Zie Machtigingen voor beheerdersrol toewijzen in Azure Active Directory voor een lijst met alle Azure AD-rollen.For a list of all the Azure AD roles, see Administrator role permissions in Azure Active Directory.

Azure AD-rollen in de Azure-portal

Verschillen tussen Azure-rollen en Azure AD-rollenDifferences between Azure roles and Azure AD roles

In algemene zin worden Azure-rollen gebruikt voor het beheren van Azure-resources, terwijl Azure AD-rollen worden gebruikt voor het beheren van Azure Active Directory-resources.At a high level, Azure roles control permissions to manage Azure resources, while Azure AD roles control permissions to manage Azure Active Directory resources. In de volgende tabel worden enkele verschillen vergeleken.The following table compares some of the differences.

Azure-rollenAzure roles Azure AD-rollenAzure AD roles
Toegang tot Azure-resources beherenManage access to Azure resources Toegang tot Azure Active Directory-resources beherenManage access to Azure Active Directory resources
Ondersteuning voor aangepaste rollenSupports custom roles Ondersteuning voor aangepaste rollenSupports custom roles
Bereik kan worden opgegeven op meerdere niveaus (beheergroep, abonnement, resourcegroep, resource)Scope can be specified at multiple levels (management group, subscription, resource group, resource) Bereik kan worden opgegeven op Tenant niveau (organisatiebreed), administratieve eenheid of op een afzonderlijk object (bijvoorbeeld een specifieke toepassing)Scope can be specified at the tenant level (organization-wide), administrative unit, or on an individual object (for example, a specific application)
Gegevens van rollen zijn beschikbaar vanuit Azure Portal, Azure CLI, Azure PowerShell, Azure Resource Manager-sjablonen en de REST-APIRole information can be accessed in Azure portal, Azure CLI, Azure PowerShell, Azure Resource Manager templates, REST API Gegevens van rollen zijn beschikbaar vanuit de beheerportal van Azure, het beheercentrum van Microsoft 365, Microsoft Graph en AzureAD PowerShellRole information can be accessed in Azure admin portal, Microsoft 365 admin center, Microsoft Graph, AzureAD PowerShell

Overlappen Azure-rollen en Azure AD-rollen elkaar?Do Azure roles and Azure AD roles overlap?

In het standaardscenario is er geen overlap tussen Azure-rollen en Azure AD-rollen.By default, Azure roles and Azure AD roles do not span Azure and Azure AD. Als een globale beheerder zijn of haar toegang echter verhoogt door de schakeloptie Toegangsbeheer voor Azure-resources te kiezen in de Azure-portal, krijgt de globale beheerder de rol Beheerder van gebruikerstoegang (een Azure-rol) voor alle abonnementen voor een bepaalde tenant.However, if a Global Administrator elevates their access by choosing the Access management for Azure resources switch in the Azure portal, the Global Administrator will be granted the User Access Administrator role (an Azure role) on all subscriptions for a particular tenant. De rol Beheerder van gebruikerstoegang stelt de gebruiker in staat om andere gebruikers toegang te verlenen tot Azure-resources.The User Access Administrator role enables the user to grant other users access to Azure resources. Deze schakeloptie kan handig zijn om weer toegang te krijgen tot een abonnement.This switch can be helpful to regain access to a subscription. Zie voor meer informatie Toegang verhogen om alle Azure-abonnementen en beheergroepen te beheren.For more information, see Elevate access to manage all Azure subscriptions and management groups.

Er zijn verschillende Azure AD-rollen die Azure AD en Microsoft 365 overlappen, zoals de rollen Globale beheerder en Gebruikersbeheerder.Several Azure AD roles span Azure AD and Microsoft 365, such as the Global Administrator and User Administrator roles. Als u bijvoorbeeld lid bent van de rol Globale beheerder, hebt u de bevoegdheden van globale beheerders in Azure AD en Microsoft 365, zoals het doorvoeren van wijzigingen in Microsoft Exchange en Microsoft SharePoint.For example, if you are a member of the Global Administrator role, you have global administrator capabilities in Azure AD and Microsoft 365, such as making changes to Microsoft Exchange and Microsoft SharePoint. De globale beheerder heeft echter standaard geen toegang tot Azure-resources.However, by default, the Global Administrator doesn't have access to Azure resources.

Azure RBAC-rollen vergeleken met Azure AD-rollen

Volgende stappenNext steps