Role administratora klasycznej subskrypcji, role platformy Azure i role usługi Azure ADClassic subscription administrator roles, Azure roles, and Azure AD roles

Jeśli dopiero zaczynasz korzystać z platformy Azure, zrozumienie poszczególnych ról może sprawiać pewne trudności.If you are new to Azure, you may find it a little challenging to understand all the different roles in Azure. W tym artykule wyjaśniono następujące role i możliwości ich zastosowania:This article helps explain the following roles and when you would use each:

  • Role klasycznego administratora subskrypcjiClassic subscription administrator roles
  • Role platformy AzureAzure roles
  • Role usługi Azure Active Directory (Azure AD)Azure Active Directory (Azure AD) roles

Aby lepiej zrozumieć, na czym polegają role dostępne na platformie Azure, warto sięgnąć pamięcią nieco wstecz.To better understand roles in Azure, it helps to know some of the history. W początkowej wersji platformy Azure dostępem do zasobów można było zarządzać przy użyciu trzech ról administratora: administratora konta, administratora usługi i współadministratora.When Azure was initially released, access to resources was managed with just three administrator roles: Account Administrator, Service Administrator, and Co-Administrator. Później została dodana kontrola dostępu oparta na rolach (Azure RBAC).Later, Azure role-based access control (Azure RBAC) was added. Kontrola RBAC platformy Azure to nowszy system autoryzacji umożliwiający szczegółowe zarządzanie dostępem do zasobów platformy Azure.Azure RBAC is a newer authorization system that provides fine-grained access management to Azure resources. Usługa Azure RBAC obejmuje wiele wbudowanych ról, które mogą być przypisane do różnych zakresów i umożliwiają tworzenie własnych ról niestandardowych.Azure RBAC includes many built-in roles, can be assigned at different scopes, and allows you to create your own custom roles. Aby zarządzać zasobami w usłudze Azure AD, takimi jak użytkownicy, grupy i domeny, istnieje kilka ról usługi Azure AD.To manage resources in Azure AD, such as users, groups, and domains, there are several Azure AD roles.

Poniższy diagram stanowi ogólny widok sposobu, w jaki są powiązane role administratora klasycznej subskrypcji, role platformy Azure i role usługi Azure AD.The following diagram is a high-level view of how the classic subscription administrator roles, Azure roles, and Azure AD roles are related.

Różne role na platformie Azure

Role klasycznego administratora subskrypcjiClassic subscription administrator roles

Administrator konta, administrator usługi i współadministrator to trzy role klasycznego administratora subskrypcji na platformie Azure.Account Administrator, Service Administrator, and Co-Administrator are the three classic subscription administrator roles in Azure. Klasyczni administratorzy subskrypcji mają pełny dostęp do subskrypcji platformy Azure.Classic subscription administrators have full access to the Azure subscription. Mogą zarządzać zasobami przy użyciu witryny Azure Portal, interfejsów API usługi Azure Resource Manager i interfejsów API klasycznego modelu wdrożenia.They can manage resources using the Azure portal, Azure Resource Manager APIs, and the classic deployment model APIs. Konto używane do rejestracji na platformie Azure zostanie automatycznie przypisane do administratora konta i administratora usługi.The account that is used to sign up for Azure is automatically set as both the Account Administrator and Service Administrator. Następnie można dodać dodatkowych współadministratorów.Then, additional Co-Administrators can be added. Administrator usługi i Co-Administrators mają odpowiedni dostęp do użytkowników, którym przypisano rolę właściciela (rolę platformy Azure) w zakresie subskrypcji.The Service Administrator and the Co-Administrators have the equivalent access of users who have been assigned the Owner role (an Azure role) at the subscription scope. Poniższa tabela zawiera różnice między tymi trzema klasycznymi rolami administracyjnymi subskrypcji.The following table describes the differences between these three classic subscription administrative roles.

Klasyczny administrator subskrypcjiClassic subscription administrator LimitLimit UprawnieniaPermissions UwagiNotes
Administrator kontaAccount Administrator 1 na konto platformy Azure1 per Azure account
  • Zarządzanie rozliczeniami w Azure PortalManage billing in the Azure portal
  • Zarządzanie wszystkimi subskrypcjami na koncieManage all subscriptions in an account
  • Tworzenie nowych subskrypcjiCreate new subscriptions
  • Anulowanie subskrypcjiCancel subscriptions
  • Zmienianie rozliczeń dla subskrypcjiChange the billing for a subscription
  • Zmienianie administratora usługiChange the Service Administrator
Równoważny właścicielowi modelu rozliczania subskrypcji.Conceptually, the billing owner of the subscription.
Administrator usługiService Administrator 1 na subskrypcję platformy Azure1 per Azure subscription
  • Zarządzanie usługami w witrynie Azure PortalManage services in the Azure portal
  • Anuluj subskrypcjęCancel the subscription
  • Przypisywanie użytkowników do roli współadministratoraAssign users to the Co-Administrator role
W przypadku nowych subskrypcji administrator konta jest również domyślnie administratorem usługi.By default, for a new subscription, the Account Administrator is also the Service Administrator.
Administrator usługi ma takie same uprawnienia dostępu co użytkownik, któremu przypisano rolę właściciela w zakresie subskrypcji.The Service Administrator has the equivalent access of a user who is assigned the Owner role at the subscription scope.
Administrator usługi ma pełny dostęp do witryny Azure Portal.The Service Administrator has full access to the Azure portal.
WspóładministratorCo-Administrator 200 na subskrypcję200 per subscription
  • Takie same uprawnienia dostępu jak administrator usługi, ale bez możliwości zmiany skojarzenia subskrypcji do katalogów platformy AzureSame access privileges as the Service Administrator, but can’t change the association of subscriptions to Azure directories
  • Przypisywanie użytkowników do roli współadministratora, ale bez możliwości zmiany administratora usługiAssign users to the Co-Administrator role, but cannot change the Service Administrator
Współadministrator ma takie same uprawnienia dostępu co użytkownik, któremu przypisano rolę właściciela w zakresie subskrypcji.The Co-Administrator has the equivalent access of a user who is assigned the Owner role at the subscription scope.

W witrynie Azure Portal można zarządzać współadministratorami lub wyświetlać administratora usługi za pomocą karty Klasyczni administratorzy.In the Azure portal, you can manage Co-Administrators or view the Service Administrator by using the Classic administrators tab.

Klasyczni administratorzy subskrypcji platformy Azure w witrynie Azure Portal

W witrynie Azure Portal możesz wyświetlić lub zmienić administratora usługi albo wyświetlić administratora konta w bloku właściwości Twojej subskrypcji.In the Azure portal, you can view or change the Service Administrator or view the Account Administrator on the properties blade of your subscription.

Administrator konta i administrator usługi w witrynie Azure Portal

Aby uzyskać więcej informacji, zobacz Klasyczni administratorzy subskrypcji platformy Azure.For more information, see Azure classic subscription administrators.

Konto platformy Azure i subskrypcje platformy AzureAzure account and Azure subscriptions

Konto platformy Azure reprezentuje relację rozliczeniową.An Azure account represents a billing relationship. Konto platformy Azure składa się z tożsamości użytkownika, co najmniej jednej subskrypcji platformy Azure oraz ze skojarzonego zestawu zasobów platformy Azure.An Azure account is a user identity, one or more Azure subscriptions, and an associated set of Azure resources. Osoba, która tworzy konto, jest jego administratorem dla wszystkich subskrypcji utworzonych w ramach tego konta.The person who creates the account is the Account Administrator for all subscriptions created in that account. Osoba ta jest również domyślnym administratorem usługi dla subskrypcji.That person is also the default Service Administrator for the subscription.

Subskrypcje platformy Azure pozwalają organizować dostęp do zasobów platformy Azure.Azure subscriptions help you organize access to Azure resources. Subskrypcje te ułatwiają również zarządzanie raportowaniem i rozliczaniem użycia zasobów oraz regulowaniem płatności za to użycie.They also help you control how resource usage is reported, billed, and paid for. Poszczególne subskrypcje mogą mieć różne ustawienia rozliczeń i płatności, co pozwala na korzystanie z wielu subskrypcji i planów dostosowanych do potrzeb konkretnych biur, działów, projektów itp.Each subscription can have a different billing and payment setup, so you can have different subscriptions and different plans by office, department, project, and so on. Każda usługa należy do subskrypcji, a identyfikator subskrypcji może być wymagany podczas wykonywania operacji programistycznych.Every service belongs to a subscription, and the subscription ID may be required for programmatic operations.

Każda subskrypcja jest skojarzona z katalogiem usługi Azure AD.Each subscription is associated with an Azure AD directory. Aby znaleźć katalog, z którym jest skojarzona subskrypcja, Otwórz pozycję subskrypcje w Azure Portal a następnie wybierz subskrypcję, aby wyświetlić katalog.To find the directory the subscription is associated with, open Subscriptions in the Azure portal and then select a subscription to see the directory.

Konta i subskrypcje są zarządzane w Azure Portal.Accounts and subscriptions are managed in the Azure portal.

Role platformy AzureAzure roles

Kontrola dostępu oparta na rolach (RBAC) platformy Azure stanowi system autoryzacji oparty na usłudze Azure Resource Manager, umożliwiający szczegółowe zarządzanie dostępem do zasobów platformy Azure, takich jak zasoby obliczeniowe i magazynowe.Azure RBAC is an authorization system built on Azure Resource Manager that provides fine-grained access management to Azure resources, such as compute and storage. Kontrola RBAC platformy Azure obejmuje ponad 70 wbudowanych ról.Azure RBAC includes over 70 built-in roles. Istnieją cztery podstawowe role platformy Azure.There are four fundamental Azure roles. Pierwsze trzy mają zastosowanie do wszystkich typów zasobów:The first three apply to all resource types:

Rola na platformie AzureAzure role UprawnieniaPermissions UwagiNotes
WłaścicielOwner
  • Pełny dostęp do wszystkich zasobówFull access to all resources
  • Delegowanie dostępu do innych osóbDelegate access to others
Do administratora usługi i współadministratorów jest przypisana rola właściciela w zakresie subskrypcjiThe Service Administrator and Co-Administrators are assigned the Owner role at the subscription scope
Dotyczy wszystkich typów zasobów.Applies to all resource types.
WspółautorContributor
  • Tworzenie wszystkich typów zasobów platformy Azure i zarządzanie nimiCreate and manage all of types of Azure resources
  • Tworzenie nowej dzierżawy w usłudze Azure Active DirectoryCreate a new tenant in Azure Active Directory
  • Brak możliwości przyznawania dostępu innym osobomCannot grant access to others
Dotyczy wszystkich typów zasobów.Applies to all resource types.
CzytelnikReader
  • Wyświetlanie zasobów platformy AzureView Azure resources
Dotyczy wszystkich typów zasobów.Applies to all resource types.
Administrator dostępu użytkownikówUser Access Administrator
  • Zarządzanie dostępem użytkowników do zasobów platformy AzureManage user access to Azure resources

Pozostałe role wbudowane umożliwiają zarządzanie określonymi zasobami platformy Azure.The rest of the built-in roles allow management of specific Azure resources. Na przykład rola współautora maszyny wirtualnej pozwala użytkownikom na tworzenie maszyn wirtualnych i zarządzanie nimi.For example, the Virtual Machine Contributor role allows the user to create and manage virtual machines. Aby uzyskać listę wszystkich wbudowanych ról, zobacz role wbudowane platformy Azure.For a list of all the built-in roles, see Azure built-in roles.

Tylko Azure Portal i interfejsy API Azure Resource Manager obsługują rolę RBAC platformy Azure.Only the Azure portal and the Azure Resource Manager APIs support Azure RBAC. Użytkownicy, grupy i aplikacje, które są przypisane do ról platformy Azure, nie mogą używać interfejsów API klasycznego modelu wdrażania platformy Azure.Users, groups, and applications that are assigned Azure roles cannot use the Azure classic deployment model APIs.

W Azure Portal przypisania ról korzystające z usługi Azure RBAC są wyświetlane w bloku kontroli dostępu (IAM) .In the Azure portal, role assignments using Azure RBAC appear on the Access control (IAM) blade. Ten blok można znaleźć w portalu, takich jak grupy zarządzania, subskrypcje, grupy zasobów i różne zasoby.This blade can be found throughout the portal, such as management groups, subscriptions, resource groups, and various resources.

Blok zarządzania dostępem i tożsamościami (IAM) w witrynie Azure Portal

Po kliknięciu karty Role zostanie wyświetlona lista wbudowanych i niestandardowych ról.When you click the Roles tab, you will see the list of built-in and custom roles.

Wbudowane role w witrynie Azure Portal

Aby uzyskać więcej informacji, zobacz Przypisywanie ról platformy Azure przy użyciu Azure Portal.For more information, see Assign Azure roles using the Azure portal.

Role usługi Azure Active DirectoryAzure AD roles

Role usługi Azure AD służą do zarządzania zasobami usługi Azure AD w katalogu, takim jak tworzenie i edytowanie użytkowników, przypisywanie ról administracyjnych do innych, resetowanie haseł użytkowników, zarządzanie licencjami użytkowników i Zarządzanie domenami.Azure AD roles are used to manage Azure AD resources in a directory such as create or edit users, assign administrative roles to others, reset user passwords, manage user licenses, and manage domains. W poniższej tabeli opisano kilka najważniejszych ról usługi Azure AD.The following table describes a few of the more important Azure AD roles.

Rola usługi Azure ADAzure AD role UprawnieniaPermissions UwagiNotes
Administrator globalnyGlobal Administrator
  • Zarządzanie dostępem do wszystkich funkcji administracyjnych w usłudze Azure Active Directory, a także usług, które są sfederowane z usługą Azure Active DirectoryManage access to all administrative features in Azure Active Directory, as well as services that federate to Azure Active Directory
  • Przypisywanie ról administratorów do innych osóbAssign administrator roles to others
  • Resetowanie haseł wszystkich użytkowników oraz wszystkich innych administratorówReset the password for any user and all other administrators
Osoba, która zarejestruje się dla dzierżawy usługi Azure Active Directory, staje się administratorem globalnym.The person who signs up for the Azure Active Directory tenant becomes a Global Administrator.
Administrator użytkownikówUser Administrator
  • Tworzenie i zarządzanie wszystkimi aspektami użytkowników i grupCreate and manage all aspects of users and groups
  • Zarządzanie biletami pomocy technicznejManage support tickets
  • Monitorowanie kondycji usługiMonitor service health
  • Zmienianie haseł użytkowników, administratorów pomocy technicznej i innych administratorów użytkownikówChange passwords for users, Helpdesk administrators, and other User Administrators
Administrator rozliczeńBilling Administrator
  • Dokonywanie zakupówMake purchases
  • Zarządzanie subskrypcjamiManage subscriptions
  • Zarządzanie biletami pomocy technicznejManage support tickets
  • Monitorowanie kondycji usługiMonitors service health

W Azure Portal można zobaczyć listę ról usługi Azure AD w bloku role i Administratorzy .In the Azure portal, you can see the list of Azure AD roles on the Roles and administrators blade. Aby uzyskać listę wszystkich ról usługi Azure AD, zobacz uprawnienia roli administrator w Azure Active Directory.For a list of all the Azure AD roles, see Administrator role permissions in Azure Active Directory.

Role usługi Azure AD w Azure Portal

Różnice między rolami platformy Azure i rolami usługi Azure ADDifferences between Azure roles and Azure AD roles

Na wysokim poziomie role platformy Azure kontrolują uprawnienia do zarządzania zasobami platformy Azure, podczas gdy role usługi Azure AD kontrolują uprawnienia do zarządzania zasobami Azure Active Directory.At a high level, Azure roles control permissions to manage Azure resources, while Azure AD roles control permissions to manage Azure Active Directory resources. W poniższej tabeli porównano niektóre różnice.The following table compares some of the differences.

Role platformy AzureAzure roles Role usługi Azure Active DirectoryAzure AD roles
Zarządzanie dostępem do zasobów platformy AzureManage access to Azure resources Zarządzanie dostępem do zasobów usługi Azure Active DirectoryManage access to Azure Active Directory resources
Obsługa ról niestandardowychSupports custom roles Obsługa ról niestandardowychSupports custom roles
Możliwość określenia zakresu na wielu poziomach (grupa zarządzania, subskrypcja, grupa zasobów, zasób)Scope can be specified at multiple levels (management group, subscription, resource group, resource) Zakres może być określony na poziomie dzierżawy (całej organizacji), jednostce administracyjnej lub na pojedynczym obiekcie (na przykład konkretnej aplikacji)Scope can be specified at the tenant level (organization-wide), administrative unit, or on an individual object (for example, a specific application)
Informacje o rolach można uzyskać w witrynie Azure Portal, interfejsie wiersza polecenia platformy Azure, programie Azure PowerShell, szablonach usługi Azure Resource Manager, interfejsie API RESTRole information can be accessed in Azure portal, Azure CLI, Azure PowerShell, Azure Resource Manager templates, REST API Dostęp do informacji o rolach można uzyskać w portalu administracyjnym platformy Azure, Microsoft 365 centrum administracyjnym, Microsoft Graph, AzureAD PowerShellRole information can be accessed in Azure admin portal, Microsoft 365 admin center, Microsoft Graph, AzureAD PowerShell

Czy role platformy Azure i role usługi Azure AD nakładają się?Do Azure roles and Azure AD roles overlap?

Domyślnie role platformy Azure i role usługi Azure AD nie obejmują platformy Azure i usługi Azure AD.By default, Azure roles and Azure AD roles do not span Azure and Azure AD. Jeśli jednak Administrator globalny Podnieś poziom dostępu, wybierając w Azure Portal przełącznik Zarządzanie dostępem dla zasobów platformy Azure , Administrator globalny otrzyma rolę administratora dostępu użytkowników (rolę platformy Azure) we wszystkich subskrypcjach dla danej dzierżawy.However, if a Global Administrator elevates their access by choosing the Access management for Azure resources switch in the Azure portal, the Global Administrator will be granted the User Access Administrator role (an Azure role) on all subscriptions for a particular tenant. Rola administratora dostępu użytkowników pozwala użytkownikom udzielać innym użytkownikom dostępu do zasobów platformy Azure.The User Access Administrator role enables the user to grant other users access to Azure resources. Ten przełącznik może być przydatny w odzyskaniu dostępu do subskrypcji.This switch can be helpful to regain access to a subscription. Aby uzyskać więcej informacji, zobacz Podnieś poziom dostępu do zarządzania wszystkimi subskrypcjami i grupami zarządzania platformy Azure.For more information, see Elevate access to manage all Azure subscriptions and management groups.

Kilka ról usługi Azure AD obejmuje usługę Azure AD i Microsoft 365, takie jak role administratora globalnego i administratora.Several Azure AD roles span Azure AD and Microsoft 365, such as the Global Administrator and User Administrator roles. Na przykład jeśli jesteś członkiem roli administratora globalnego, masz uprawnienia administratora globalnego w usłudze Azure AD i Microsoft 365, takie jak wprowadzanie zmian w programie Microsoft Exchange i Microsoft SharePoint.For example, if you are a member of the Global Administrator role, you have global administrator capabilities in Azure AD and Microsoft 365, such as making changes to Microsoft Exchange and Microsoft SharePoint. Jednak domyślnie administrator globalny nie ma dostępu do zasobów platformy Azure.However, by default, the Global Administrator doesn't have access to Azure resources.

Role RBAC platformy Azure a usługi Azure AD

Następne krokiNext steps