Azure-roller, Microsoft Entra-roller och klassiska administratörsroller för prenumerationer

  • Artikel

Om du är nybörjare på Azure kan det vara lite svårt att förstå alla olika roller i Azure. Den här artikeln förklarar följande roller och när du ska använda dem:

  • Azure-roller
  • Microsoft Entra-roller
  • Administratörsroller för klassiska prenumerationer

För att bättre förstå rollerna i Azure är det bra att känna till lite av historien. När Azure ursprungligen lanserades hanterades åtkomst till resurser med bara tre administratörsroller: kontoadministratör, tjänstadministratör och medadministratör. Senare lades rollbaserad åtkomstkontroll i Azure (Azure RBAC) till. Azure RBAC är ett nyare auktoriseringssystem som ger detaljerad åtkomsthantering för Azure-resurser. Azure RBAC innehåller många inbyggda roller, kan tilldelas i olika omfång och gör att du kan skapa egna anpassade roller. För att hantera resurser i Microsoft Entra-ID, till exempel användare, grupper och domäner, finns det flera Microsoft Entra-roller.

Följande diagram är en översikt över hur Azure-roller, Microsoft Entra-roller och klassiska prenumerationsadministratörsroller är relaterade.

Diagram över de olika rollerna i Azure.

Azure-roller

Azure RBAC är ett auktoriseringssystem som bygger på Azure Resource Manager och som ger detaljerad åtkomsthantering till Azure-resurser, till exempel beräkning och lagring. Azure RBAC innehåller över 100 inbyggda roller. Det finns fem grundläggande Azure-roller. De första tre gäller för alla resurstyper:

Azure-roll Behörigheter Kommentar
Ägare
  • Ger fullständig åtkomst för att hantera alla resurser
  • Tilldela roller i Azure RBAC
 Tjänstadministratören och medadministratörer tilldelas rollen Ägare i prenumerationsomfånget
Gäller för alla resurstyper.
Deltagare
  • Ger fullständig åtkomst för att hantera alla resurser
  • Det går inte att tilldela roller i Azure RBAC
  • Det går inte att hantera tilldelningar i Azure Blueprints eller dela bildgallerier
 Gäller för alla resurstyper.
Läsare
  • Visa Azure-resurser
 Gäller för alla resurstyper.
Administratör för rollbaserad åtkomstkontroll
  • Hantera användaråtkomst till Azure-resurser
  • Tilldela roller i Azure RBAC
  • Tilldela sig själva eller andra rollen Ägare
  • Det går inte att hantera åtkomst på andra sätt, till exempel Azure Policy
Administratör för användaråtkomst
  • Hantera användaråtkomst till Azure-resurser
  • Tilldela roller i Azure RBAC
  • Tilldela sig själva eller andra rollen Ägare

Resten av de inbyggda rollerna tillåter hantering av specifika Azure-resurser. Till exempel tillåter rollen Virtuell datordeltagare att en användare skapar och hanterar virtuella datorer. En lista över inbyggda roller finns i Inbyggda Azure-roller.

Endast Azure-portalen och Azure Resource Manager-API:er stöder Azure RBAC. Användare, grupper och program som tilldelas Azure-roller kan inte använda API:er för den klassiska Azure-distributionsmodellen.

I Azure-portalen visas rolltilldelningar med Azure RBAC på sidan Åtkomstkontroll (IAM). Den här sidan finns i hela portalen, till exempel hanteringsgrupper, prenumerationer, resursgrupper och olika resurser.

Skärmbild av sidan Åtkomstkontroll (IAM) i Azure-portalen.

När du klickar på fliken Roller visas listan över inbyggda och anpassade roller.

Skärmbild av inbyggda roller i Azure-portalen.

Mer information finns i Tilldela Azure-roller med Azure-portalen.

Microsoft Entra-roller

Microsoft Entra-roller används för att hantera Microsoft Entra-resurser i en katalog, till exempel skapa eller redigera användare, tilldela administrativa roller till andra, återställa användarlösenord, hantera användarlicenser och hantera domäner. I följande tabell beskrivs några av de viktigare Microsoft Entra-rollerna.

Microsoft Entra-roll Behörigheter Kommentar
Global administratör för
  • Hantera åtkomst till alla administrativa funktioner i Microsoft Entra-ID samt tjänster som federeras till Microsoft Entra-ID
  • Tilldela administratörsroller till andra
  • Återställa lösenordet för valfri användare och alla andra administratörer
 Den person som registrerar sig för Microsoft Entra-klientorganisationen blir global administratör.
Användaradministratör
  • Skapa och hantera alla aspekter av användare och grupper
  • Hantera supportbegäranden
  • Övervaka tjänstens hälsa
  • Ändra lösenord för användare, supportadministratörer och andra användaradministratörer
Faktureringsadministratör
  • Genomför inköp
  • Hantera prenumerationer
  • Hantera supportbegäranden
  • Övervakar tjänstens hälsa

I Azure-portalen kan du se listan över Microsoft Entra-roller på sidan Roller och administratörer . En lista över alla Microsoft Entra-roller finns i Administratörsrollbehörigheter i Microsoft Entra-ID.

Skärmbild av Microsoft Entra-roller i Azure-portalen.

Skillnader mellan Azure-roller och Microsoft Entra-roller

På hög nivå styr Azure-roller behörigheter för att hantera Azure-resurser, medan Microsoft Entra-roller styr behörigheter för att hantera Microsoft Entra-resurser. I följande tabell jämförs några av skillnaderna.

Azure-roller Microsoft Entra-roller
Hantera åtkomst till Azure-resurser Hantera åtkomst till Microsoft Entra-resurser
Stöder anpassade roller Stöder anpassade roller
Omfånget kan anges på flera nivåer (hanteringsgrupp, prenumeration, resursgrupp och resurs) Omfång kan anges på klientorganisationsnivå (organisationsomfattande), administrativ enhet eller på ett enskilt objekt (till exempel ett specifikt program)
Rollinformation kan nås i Azure-portalen, Azure CLI, Azure PowerShell, Azure Resource Manager-mallar samt REST API Rollinformation kan nås i Azure-portalen, Administrationscenter för Microsoft Entra, Administrationscenter för Microsoft 365, Microsoft Graph, Microsoft Graph PowerShell

Överlappar Azure-roller och Microsoft Entra-roller?

Som standard omfattar inte Azure-roller och Microsoft Entra-roller Azure- och Microsoft Entra-ID. Men om en global administratör höjer sin åtkomst genom att välja växlingen Åtkomsthantering för Azure-resurser i Azure-portalen beviljas den globala administratören rollen Administratör för användaråtkomst (en Azure-roll) för alla prenumerationer för en viss klientorganisation. Med rollen Administratör för användaråtkomst kan användaren bevilja åtkomst till Azure-resurser för andra användare. Den här växeln kan vara användbar för att få åtkomst till en prenumeration. Läs mer i Utöka åtkomst för att hantera alla Azure-prenumerationer och hanteringsgrupper.

Flera Microsoft Entra-roller omfattar Microsoft Entra-ID och Microsoft 365, till exempel rollerna Global administratör och Användaradministratör. Om du till exempel är medlem i rollen Global administratör har du globala administratörsfunktioner i Microsoft Entra-ID och Microsoft 365, till exempel att göra ändringar i Microsoft Exchange och Microsoft SharePoint. Som standard har den globala administratören dock inte åtkomst till Azure-resurser.

Diagram som visar Azure RBAC jämfört med Microsoft Entra-roller.

Administratörsroller för klassiska prenumerationer

Viktigt!

Klassiska resurser och klassiska administratörer dras tillbaka den 31 augusti 2024. Från och med den 3 april 2024 kan du inte lägga till nya medadministratörer. Det här datumet har nyligen förlängts. Ta bort onödiga medadministratörer och använd Azure RBAC för detaljerad åtkomstkontroll.

Kontoadministratör, tjänstadministratör och medadministratör är de tre administratörsrollerna för klassiska prenumerationer i Azure. Administratörer för klassiska prenumerationer har fullständig åtkomst till Azure-prenumerationen. De kan hantera resurser med hjälp av Azure-portalen, Azure Resource Manager-API:er och den klassiska distributionsmodellens API:er. Det konto som används för att registrera sig för Azure anges automatiskt som både kontoadministratör och tjänstadministratör. Sedan kan ytterligare medadministratörer läggas till. Tjänstadministratören och medadministratörerna har samma åtkomst som användare som tilldelats rollen Ägare (en Azure-roll) i prenumerationsomfånget. I följande tabell beskrivs skillnaderna mellan dessa tre administrativa roller för klassiska prenumerationer.

Klassisk prenumerationsadministratör Gräns Behörigheter Kommentar
Kontoadministratör 1 per Azure-konto
  • Kan komma åt Azure-portalen och hantera fakturering
  • Hantera fakturering för alla prenumerationer i kontot
  • Skapa nya prenumerationer
  • Avbryt prenumerationer
  • Ändra faktureringen för en prenumeration
  • Ändra tjänstadministratör
  • Det går inte att avbryta prenumerationer om de inte har rollen Tjänstadministratör eller prenumerationsägare
 Begreppsmässigt är detta faktureringsägaren för prenumerationen.
Tjänstadministratör 1 per Azure-prenumeration
  • Hantera tjänster i Azure-portalen
  • Avbryta prenumerationen
  • Tilldela användare till rollen Medadministratör
 Som standard för en ny prenumeration är kontoadministratören också tjänstadministratören.
Tjänstadministratören har likvärdig åtkomst som en användare som har tilldelats rollen Ägare i prenumerationsomfånget.
Tjänstadministratören har fullständig åtkomst till Azure-portalen.
Medadministratör 200 per prenumeration
  • Samma åtkomstbehörigheter som tjänstadministratören, men kan inte ändra associationen för prenumerationer till Microsoft Entra-kataloger
  • Tilldela användare till rollen Medadministratör, men kan inte ändra tjänstadministratör
 Medadministratören har likvärdig åtkomst som en användare som har tilldelats rollen Ägare i prenumerationsomfånget.

I Azure-portalen kan du hantera medadministratörer eller visa tjänstadministratören med hjälp av fliken Klassiska administratörer.

Skärmbild av klassiska Azure-prenumerationsadministratörer i Azure-portalen.

Mer information finns i Klassiska Azure-prenumerationsadministratörer.

Azure-konto och Azure-prenumerationer

Ett Azure-konto används för att upprätta en faktureringsrelation. Ett Azure-konto är en användaridentitet, en eller flera Azure-prenumerationer och en associerad uppsättning Azure-resurser. Den person som skapar kontot är kontoadministratör för alla prenumerationer som skapas i det kontot. Den personen är även standardtjänstadministratör för prenumerationen.

Azure-prenumerationer hjälper dig att organisera åtkomst till Azure-resurser. samt styra hur resursanvändningen rapporteras, faktureras och betalas. Varje prenumeration kan ha olika fakturerings- och betalningsinställningar, så du kan ha olika prenumerationer och olika abonnemang efter kontor, avdelning, projekt och så vidare. Varje tjänst tillhör en prenumeration, och prenumerations-ID kan krävas för programmässiga åtgärder.

Varje prenumeration är associerad med en Microsoft Entra-katalog. Om du vill hitta katalogen som prenumerationen är associerad med öppnar du Prenumerationer i Azure-portalen och väljer sedan en prenumeration för att se katalogen.

Konton och prenumerationer hanteras i Azure-portalen.

Nästa steg