Role klasycznego administratora subskrypcji, role platformy Azure i role usługi Azure AD

Jeśli dopiero zaczynasz korzystać z platformy Azure, zrozumienie poszczególnych ról może sprawiać pewne trudności. W tym artykule wyjaśniono następujące role i możliwości ich zastosowania:

  • Role klasycznego administratora subskrypcji
  • Role platformy Azure
  • Role usługi Azure Active Directory (Azure AD)

Aby lepiej zrozumieć, na czym polegają role dostępne na platformie Azure, warto sięgnąć pamięcią nieco wstecz. W początkowej wersji platformy Azure dostępem do zasobów można było zarządzać przy użyciu trzech ról administratora: administratora konta, administratora usługi i współadministratora. Później dodano kontrolę dostępu opartą na rolach (RBAC) platformy Azure. Kontrola RBAC platformy Azure to nowszy system autoryzacji umożliwiający szczegółowe zarządzanie dostępem do zasobów platformy Azure. Kontrola dostępu oparta na rolach platformy Azure obejmuje wiele wbudowanych ról, można przypisać w różnych zakresach i umożliwia tworzenie własnych ról niestandardowych. Aby zarządzać zasobami w usłudze Azure AD, takimi jak użytkownicy, grupy i domeny, istnieje kilka ról usługi Azure AD.

Na poniższym diagramie przedstawiono ogólne informacje o tym, jak są powiązane role klasycznego administratora subskrypcji, role platformy Azure i role usługi Azure AD.

The different roles in Azure

Role klasycznego administratora subskrypcji

Administrator konta, administrator usługi i współadministrator to trzy role klasycznego administratora subskrypcji na platformie Azure. Klasyczni administratorzy subskrypcji mają pełny dostęp do subskrypcji platformy Azure. Mogą zarządzać zasobami przy użyciu witryny Azure Portal, interfejsów API usługi Azure Resource Manager i interfejsów API klasycznego modelu wdrożenia. Konto używane do rejestracji na platformie Azure zostanie automatycznie przypisane do administratora konta i administratora usługi. Następnie można dodać dodatkowych współadministratorów. Administrator i współadministratorzy usługi mają takie same uprawnienia dostępu co użytkownicy, którzy mają przypisaną rolę Właściciel (rolę platformy Azure) w zakresie subskrypcji. Poniższa tabela zawiera różnice między tymi trzema klasycznymi rolami administracyjnymi subskrypcji.

Klasyczny administrator subskrypcji Limit Uprawnienia Uwagi
Administrator konta 1 na konto platformy Azure
  • Może uzyskiwać dostęp do witryny Azure Portal i zarządzać rozliczeniami
  • Zarządzanie rozliczeniami dla wszystkich subskrypcji na koncie
  • Tworzenie nowych subskrypcji
  • Anulowanie subskrypcji
  • Zmienianie rozliczeń dla subskrypcji
  • Zmienianie administratora usługi
  • Nie można anulować subskrypcji, chyba że mają rolę administratora usługi lub właściciela subskrypcji
Równoważny właścicielowi modelu rozliczania subskrypcji.
Administrator usługi 1 na subskrypcję platformy Azure
  • Zarządzanie usługami w witrynie Azure Portal
  • Anulowanie subskrypcji
  • Przypisywanie użytkowników do roli współadministratora
W przypadku nowych subskrypcji administrator konta jest również domyślnie administratorem usługi.
Administrator usługi ma takie same uprawnienia dostępu co użytkownik, któremu przypisano rolę właściciela w zakresie subskrypcji.
Administrator usługi ma pełny dostęp do witryny Azure Portal.
Współadministrator 200 na subskrypcję
  • Te same uprawnienia dostępu co administrator usługi, ale nie można zmienić skojarzenia subskrypcji z katalogami usługi Azure AD
  • Przypisywanie użytkowników do roli współadministratora, ale bez możliwości zmiany administratora usługi
Współadministrator ma takie same uprawnienia dostępu co użytkownik, któremu przypisano rolę właściciela w zakresie subskrypcji.

W witrynie Azure Portal można zarządzać współadministratorami lub wyświetlać administratora usługi za pomocą karty Klasyczni administratorzy.

Azure classic subscription administrators in the Azure portal

W witrynie Azure Portal możesz wyświetlić lub zmienić administratora usługi albo wyświetlić administratora konta w bloku właściwości Twojej subskrypcji.

Account Administrator and Service Administrator in the Azure portal

Aby uzyskać więcej informacji, zobacz Klasyczni administratorzy subskrypcji platformy Azure.

Konto platformy Azure i subskrypcje platformy Azure

Konto platformy Azure reprezentuje relację rozliczeniową. Konto platformy Azure składa się z tożsamości użytkownika, co najmniej jednej subskrypcji platformy Azure oraz ze skojarzonego zestawu zasobów platformy Azure. Osoba, która tworzy konto, jest jego administratorem dla wszystkich subskrypcji utworzonych w ramach tego konta. Osoba ta jest również domyślnym administratorem usługi dla subskrypcji.

Subskrypcje platformy Azure pozwalają organizować dostęp do zasobów platformy Azure. Subskrypcje te ułatwiają również zarządzanie raportowaniem i rozliczaniem użycia zasobów oraz regulowaniem płatności za to użycie. Poszczególne subskrypcje mogą mieć różne ustawienia rozliczeń i płatności, co pozwala na korzystanie z wielu subskrypcji i planów dostosowanych do potrzeb konkretnych biur, działów, projektów itp. Każda usługa należy do subskrypcji, a identyfikator subskrypcji może być wymagany podczas wykonywania operacji programistycznych.

Każda subskrypcja jest skojarzona z katalogiem usługi Azure AD. Aby znaleźć katalog skojarzony z subskrypcją, otwórz pozycję Subskrypcje w witrynie Azure Portal, a następnie wybierz subskrypcję, aby wyświetlić katalog.

Konta i subskrypcje są zarządzane w witrynie Azure Portal.

Role platformy Azure

Kontrola dostępu oparta na rolach (RBAC) platformy Azure stanowi system autoryzacji oparty na usłudze Azure Resource Manager, umożliwiający szczegółowe zarządzanie dostępem do zasobów platformy Azure, takich jak zasoby obliczeniowe i magazynowe. Kontrola RBAC platformy Azure obejmuje ponad 70 wbudowanych ról. Istnieją cztery podstawowe role platformy Azure. Pierwsze trzy mają zastosowanie do wszystkich typów zasobów:

Rola na platformie Azure Uprawnienia Uwagi
Właściciel
  • Pełny dostęp do wszystkich zasobów
  • Delegowanie dostępu do innych osób
Do administratora usługi i współadministratorów jest przypisana rola właściciela w zakresie subskrypcji
Dotyczy wszystkich typów zasobów.
Współautor
  • Tworzenie wszystkich typów zasobów platformy Azure i zarządzanie nimi
  • Tworzenie nowej dzierżawy w usłudze Azure Active Directory
  • Brak możliwości przyznawania dostępu innym osobom
Dotyczy wszystkich typów zasobów.
Czytelnik
  • Wyświetlanie zasobów platformy Azure
Dotyczy wszystkich typów zasobów.
Administrator dostępu użytkowników
  • Zarządzanie dostępem użytkowników do zasobów platformy Azure

Pozostałe role wbudowane umożliwiają zarządzanie określonymi zasobami platformy Azure. Na przykład rola współautora maszyny wirtualnej pozwala użytkownikom na tworzenie maszyn wirtualnych i zarządzanie nimi. Aby uzyskać listę wbudowanych ról, zobacz Wbudowane role platformy Azure.

Tylko witryna Azure Portal i interfejsy API usługi Azure Resource Manager obsługują kontrolę RBAC platformy Azure. Użytkownicy, grupy i aplikacje, którym zostały przypisane role platformy Azure, nie mogą używać interfejsów API klasycznego modelu wdrażania platformy Azure.

W witrynie Azure Portal przypisania ról dokonane przy użyciu kontroli RBAC platformy Azure pojawiają się w bloku Zarządzanie dostępem (IAM) . Ten blok można znaleźć w różnych miejscach portalu, na przykład dotyczących grup zarządzania, subskrypcji, grup zasobów i różnych zasobów.

Access control (IAM) blade in the Azure portal

Po kliknięciu karty Role zostanie wyświetlona lista wbudowanych i niestandardowych ról.

Built-in roles in the Azure portal

Aby uzyskać więcej informacji, zobacz Przypisywanie ról platformy Azure przy użyciu witryny Azure Portal.

Role usługi Azure Active Directory

Role usługi Azure AD służą do zarządzania zasobami usługi Azure AD w katalogu, takim jak tworzenie lub edytowanie użytkowników, przypisywanie ról administracyjnych innym osobom, resetowanie haseł użytkowników, zarządzanie licencjami użytkowników i zarządzanie domenami. W poniższej tabeli opisano kilka ważniejszych ról usługi Azure AD.

Rola usługi Azure AD Uprawnienia Uwagi
Administrator globalny
  • Zarządzanie dostępem do wszystkich funkcji administracyjnych w usłudze Azure Active Directory, a także usług, które są sfederowane z usługą Azure Active Directory
  • Przypisywanie ról administratorów do innych osób
  • Resetowanie haseł wszystkich użytkowników oraz wszystkich innych administratorów
Osoba, która zarejestruje się dla dzierżawy usługi Azure Active Directory, staje się administratorem globalnym.
Administrator użytkowników
  • Tworzenie i zarządzanie wszystkimi aspektami użytkowników i grup
  • Zarządzanie biletami pomocy technicznej
  • Monitorowanie kondycji usługi
  • Zmienianie haseł użytkowników, administratorów pomocy technicznej i innych administratorów użytkowników
Administrator rozliczeń
  • Dokonywanie zakupów
  • Zarządzanie subskrypcjami
  • Zarządzanie biletami pomocy technicznej
  • Monitorowanie kondycji usługi

W witrynie Azure Portal można wyświetlić listę ról usługi Azure AD w bloku Role i administratorzy . Aby uzyskać listę wszystkich ról usługi Azure AD, zobacz Uprawnienia roli administratora w usłudze Azure Active Directory.

Azure AD roles in the Azure portal

Różnice między rolami platformy Azure i rolami usługi Azure AD

Na wysokim poziomie role platformy Azure kontrolują uprawnienia do zarządzania zasobami platformy Azure, a role usługi Azure AD kontrolują uprawnienia do zarządzania zasobami usługi Azure Active Directory. W poniższej tabeli porównano niektóre różnice.

Role platformy Azure Role usługi Azure Active Directory
Zarządzanie dostępem do zasobów platformy Azure Zarządzanie dostępem do zasobów usługi Azure Active Directory
Obsługa ról niestandardowych Obsługa ról niestandardowych
Możliwość określenia zakresu na wielu poziomach (grupa zarządzania, subskrypcja, grupa zasobów, zasób) Zakres można określić na poziomie dzierżawy (w całej organizacji), jednostce administracyjnej lub na pojedynczym obiekcie (na przykład określonej aplikacji)
Informacje o rolach można uzyskać w witrynie Azure Portal, interfejsie wiersza polecenia platformy Azure, programie Azure PowerShell, szablonach usługi Azure Resource Manager, interfejsie API REST Dostęp do informacji o rolach można uzyskać w portalu administracyjnym platformy Azure, centrum administracyjnym platformy Microsoft 365, programie Microsoft Graph, programie AzureAD PowerShell

Czy role platformy Azure i role usługi Azure AD nakładają się na siebie?

Domyślnie role platformy Azure i role usługi Azure AD nie obejmują platformy Azure i usługi Azure AD. Jeśli jednak administrator globalny podniesie swój dostęp, wybierając przełącznik Zarządzanie dostępem dla zasobów platformy Azure w witrynie Azure Portal, administrator globalny otrzyma rolę administratora dostępu użytkowników (rolę platformy Azure) we wszystkich subskrypcjach dla określonej dzierżawy. Rola administratora dostępu użytkowników pozwala użytkownikom udzielać innym użytkownikom dostępu do zasobów platformy Azure. Ten przełącznik może być przydatny w odzyskaniu dostępu do subskrypcji. Aby uzyskać więcej informacji, zobacz Podnoszenie poziomu dostępu w celu zarządzania wszystkimi subskrypcjami platformy Azure i grupami zarządzania.

Niektóre role usługi Azure AD obejmują usługi Azure AD i platformę Microsoft 365, takie jak role administratora globalnego i administratora użytkowników. Jeśli na przykład jesteś członkiem roli administratora globalnego, masz możliwości administratora globalnego w usługach Azure AD i Microsoft 365, takie jak wprowadzanie zmian w programie Microsoft Exchange i programie Microsoft SharePoint. Jednak domyślnie administrator globalny nie ma dostępu do zasobów platformy Azure.

Azure RBAC versus Azure AD roles

Następne kroki