أدوار Azure وأدوار Microsoft Entra وأدوار مسؤول الاشتراك الكلاسيكي
إذا كنت جديدًا على Azure، فقد تواجه بعض التحديات في فهم كل الأدوار المختلفة في Azure. ستساعدك هذه المقالة على شرح الأدوار التالية ومتى تستخدم كل منها:
- أدوار Azure
- أدوار Microsoft Entra
- أدوار المسؤول عن الاشتراك الكلاسيكي
كيف ترتبط الأدوار ببعضها
قد يساعدك معرفة بعض التاريخ، على فهم الأدوار في Azure بشكل أفضل. عندما تم إصدار Azure في البداية، كان الوصول إلى الموارد يُدار من خلال ثلاثة أدوار مسؤولين فقط: Account Administrator وService Administrator وCo-Administrator. لاحقًا، تمت إضافة عنصر التحكم في الوصول المستند إلى دور Azure (Azure RBAC). يعد Azure RBAC هو نظام تخويل أحدث يوفر إدارة وصول دقيقة إلى موارد Azure. ويتضمن نظام Azure RBAC العديد من الأدوار المدمجة التي يمكن تعيينها إلى نطاقات مختلفة، وتسمح لك بإنشاء أدوارك المخصصة. لإدارة الموارد في معرف Microsoft Entra، مثل المستخدمين والمجموعات والمجالات، هناك العديد من أدوار Microsoft Entra.
الرسم التخطيطي التالي هو طريقة عرض عالية المستوى لكيفية ارتباط أدوار Azure وأدوار Microsoft Entra وأدوار مسؤول الاشتراك الكلاسيكي.
أدوار Azure
Azure RBAC هو نظام تخويل مبني على Azure Resource Manager يوفر إدارة وصول دقيقة إلى موارد Azure، مثل الحوسبة والتخزين. يتضمن Azure RBAC أكثر من 100 دور مضمن. هناك خمسة أدوار أساسية ل Azure. تنطبق أول ثلاثة عناصر على كل أنواع الموارد:
| دور Azure | الأذونات | ملاحظات |
|---|---|---|
| المالك |
|
يتم تعيين دور المالك إلى مسؤول الخدمة ومساعدي المسؤول في نطاق الاشتراك ينطبق على كافة أنواع الموارد. |
| المساهم |
|
ينطبق على كافة أنواع الموارد. |
| القارئ |
|
ينطبق على كافة أنواع الموارد. |
| عنصر التحكم في الوصول المستند إلى الدور مسؤول istrator |
|
|
| المسؤول عن وصول المستخدم |
|
تسمح بقية الأدوار المضمنة بإدارة بعض موارد Azure. على سبيل المثال، يسمح دور مساهم الجهاز الظاهري للمستخدم بإنشاء الأجهزة الظاهرية وإدارتها. للحصول على قائمة بجميع الأدوار المُضمنة، راجع أدوار Azure المُضمنة.
إن مدخل Azure وواجهات برمجة تطبيقات Azure Resource Manager يدعمان Azure RBAC. لا يمكن للمستخدمين والمجموعات والتطبيقات التي تم تعيين أدوار Azure لها استخدام واجهات برمجة تطبيقات نموذج التوزيع الكلاسيكي Azure.
في مدخل Microsoft Azure، تظهر تعيينات الأدوار باستخدام Azure RBAC في صفحة التحكم في الوصول (IAM). يمكن العثور على هذه الصفحة في جميع أنحاء المدخل، مثل مجموعات الإدارة والاشتراكات ومجموعات الموارد والموارد المختلفة.
عند النقر فوق علامة التبويب أدوار ، سترى قائمة الأدوار المضمنة والمخصصة.
لمزيد من المعلومات، راجع تعيين أدوار Azure باستخدام مدخل Azure.
أدوار Microsoft Entra
تستخدم أدوار Microsoft Entra لإدارة موارد Microsoft Entra في دليل مثل إنشاء مستخدمين أو تحريرهم، وتعيين أدوار إدارية للآخرين، وإعادة تعيين كلمات مرور المستخدمين، وإدارة تراخيص المستخدمين، وإدارة المجالات. يصف الجدول التالي بعض أدوار Microsoft Entra الأكثر أهمية.
| دور Microsoft Entra | الأذونات | ملاحظات |
|---|---|---|
| مسؤول العمومي |
|
يصبح الشخص الذي يقوم بالتسجيل في مستأجر Microsoft Entra مسؤول istrator عموميا. |
| المستخدم مسؤول istrator |
|
|
| مسؤول istrator للفوترة |
|
في مدخل Microsoft Azure، يمكنك مشاهدة قائمة أدوار Microsoft Entra في صفحة الأدوار والمسؤولين . للحصول على قائمة بجميع أدوار Microsoft Entra، راجع أذونات دور مسؤول istrator في معرف Microsoft Entra.
الاختلافات بين أدوار Azure وأدوار Microsoft Entra
على مستوى عال، تتحكم أدوار Azure في الأذونات لإدارة موارد Azure، بينما تتحكم أدوار Microsoft Entra في الأذونات لإدارة موارد Microsoft Entra. ويتضمن الجدول الآتي مقارنة بين بعض الاختلافات.
| أدوار Azure | أدوار Microsoft Entra |
|---|---|
| تدير الوصول إلى موارد Azure | إدارة الوصول إلى موارد Microsoft Entra |
| تدعم الأدوار المُخصصة | تدعم الأدوار المُخصصة |
| يمكن تحديد نطاق البحث على مستويات متعددة: (مجموعة إدارة، اشتراك، مجموعة موارد، مورد) | يمكن تحديد النطاق على مستوى المستأجر (على مستوى المؤسسة)، أو الوحدة الإدارية، أو على كائن فردي (على سبيل المثال، تطبيق معين) |
| يمكن الوصول إلى معلومات الدور من خلال مدخل Azure، وAzure CLI، وAzure PowerShell، وقوالب Azure Resource Manager، وواجهة برمجة تطبيقات REST | يمكن الوصول إلى معلومات الدور في مدخل Microsoft Azure ومركز مسؤولي Microsoft Entra مركز مسؤولي Microsoft 365 وMicrosoft Graph وMicrosoft Graph PowerShell |
هل تتداخل أدوار Azure وأدوار Microsoft Entra؟
بشكل افتراضي، لا تمتد أدوار Azure وأدوار Microsoft Entra إلى Azure ومعرف Microsoft Entra. ومع ذلك، إن رفع المسؤول العام مستوى وصوله عن طريق اختيار مفتاح إدارة الوصول إلى موارد Azure في مدخل Azure، سيمنح المسؤول العام دور مسؤول وصول المستخدم (دور Azure) في كل الاشتراكات لمستأجر معين. من خلال دور مسؤول الوصول إلى المستخدم يتمكن المستخدم من منح المستخدمين الآخرين إذن الوصول إلى موارد Azure. يمكن أن يكون التبديل هذا مفيدًا لاستعادة الوصول إلى الاشتراك. لمزيد من المعلومات، راجع رفع مستوى الوصول لإدارة كافة اشتراكات Azure ومجموعات الإدارة.
تمتد العديد من أدوار Microsoft Entra عبر معرف Microsoft Entra وMicrosoft 365، مثل أدوار مسؤول istrator العمومية مسؤول istrator للمستخدم. على سبيل المثال، إذا كنت عضوا في دور global مسؤول istrator، فلديك قدرات المسؤول العام في Microsoft Entra ID وMicrosoft 365، مثل إجراء تغييرات على Microsoft Exchange وMicrosoft SharePoint. ومع ذلك، بشكل افتراضي، لا يمتلك المسؤول العام إذن الوصول إلى موارد Azure.
أدوار المسؤول عن الاشتراك الكلاسيكي
هام
سيتم إيقاف الموارد الكلاسيكية والمسؤولين الكلاسيكيين في 31 أغسطس 2024. اعتبارا من 3 أبريل 2024، لن تتمكن من إضافة مسؤول istrators جديدة. تم تمديد هذا التاريخ مؤخرا. قم بإزالة مسؤول istrators غير الضرورية واستخدم Azure RBAC للتحكم في الوصول الدقيق.
مسؤول الحساب، ومسؤول الخدمات، والمسؤول المشارك هي أدوار مسؤول الاشتراك الكلاسيكي الثلاثة في Azure. يتمتع مسؤولو الاشتراك الكلاسيكي بالوصول الكامل إلى اشتراك Azure. يمكنهم إدارة الموارد باستخدام مدخل Azure، وواجهات برمجة تطبيقات Azure Resource Manager، وواجهات برمجة التطبيقات النموذجية الكلاسيكية للنشر. يتم تعيين الحساب المستخدم للتسجيل في Azure تلقائيًا كمسؤول الحساب ومسؤول الخدمة. ثم يمكن إضافة مسؤولين مشاركين إضافيين. يتمتع مسؤول الخدمة والمسؤولون المشاركون بحق الوصول المكافئ للمستخدمين الذين تم تعيين دور المالك (دور Azure) في نطاق الاشتراك. يصف الجدول التالي الاختلافات بين الأدوار الإدارية الثلاثة الكلاسيكية للاشتراك.
| مسؤول الاشتراك الكلاسيكي | الحد | الأذونات | ملاحظات |
|---|---|---|---|
| مسؤول الحساب | 1 لكل حساب Azure |
|
من الناحية النظرية، مالك الفوترة للاشتراك. |
| مسؤول الخدمة | 1 لكل اشتراك Azure |
|
بالنسبة إلى الاشتراك الجديد، مسؤول الحساب هو أيضًا مسؤول الخدمة بشكل افتراضي. يتمتع مسؤول الخدمة بحق الوصول المكافئ لمستخدم تم تعيينه دور المالك في نطاق الاشتراك. يتمتع مسؤول الخدمة بحق الوصول الكامل إلى مدخل Azure. |
| المسؤول المشارك | 200 لكل اشتراك |
|
يتمتع المسؤول المشارك بحق الوصول المكافئ للمستخدم الذي تم تعيينه دور المالك في نطاق الاشتراك. |
في مدخل Azure، يمكنك إدارة المسؤولين المشاركين أو عرض مسؤول الخدمة باستخدام علامة التبويب المسؤولون الكلاسيكيون.
لمزيد من المعلومات، راجع مسؤولو الاشتراك الكلاسيكي في Azure.
حساب Azure واشتراكات Azure
يتم استخدام حساب Azure لإنشاء علاقة فوترة. حساب Azure هو هوية مستخدم، وأحد اشتراكات Azure أو أكثرها، ومجموعة مقترنة من موارد Azure. الشخص الذي يقوم بإنشاء الحساب هو مسؤول الحساب لكافة الاشتراكات التي تم إنشاؤها في ذلك الحساب. هذا الشخص هو أيضًا مسؤول الخدمة الافتراضي للاشتراك.
تساعدك اشتراكات Azure على تنظيم الوصول إلى موارد Azure. كما تساعدك على التحكم في كيفية الإبلاغ عن استخدام الموارد، والفواتير، ودفع ثمنها. يمكن أن يكون لكل اشتراك فوترة مختلفة وإعداد للسداد، ليمكن أن يكون لديك اشتراكات مختلفة وخطط مختلفة على حسب المكتب، والقسم، والمشروع، وما إلى ذلك. تنتمي كل خدمة إلى اشتراك، وقد يلزم معرف الاشتراك للعمليات المنهجية.
يرتبط كل اشتراك بدليل Microsoft Entra. للبحث عن الدليل المرتبط بالاشتراك، افتح الاشتراكات في مدخل Azure، ثم حدّد اشتراكًا للاطلاع على الدليل.
تتم إدارة الحسابات والاشتراكات في مدخل Azure.