Role Azure, role Microsoft Entra a klasické role správce předplatného

Pokud s Azure začínáte, může být trochu náročné pochopit všechny různé role v Azure. Tento článek vám pomůže porozumět následujícím rolím a tomu, kdy je použít:

• Role Azure
• Role Microsoft Entra
• Role klasického správce předplatného

Jak spolu role souvisejí

Lepšímu porozumění rolí v Azure pomůže znalost trochy historie. Když byla poprvé služba Azure vydána, byl přístup k prostředkům spravován pomocí pouhých tří rolí správce: správce účtu, správce služeb a spolusprávce. Později se přidalo řízení přístupu na základě role v Azure (Azure RBAC). Azure RBAC je novější systém autorizace, který poskytuje podrobnou správu přístupu k prostředkům Azure. Azure RBAC zahrnuje mnoho předdefinovaných rolí, které je možné přiřadit v různých oborech a umožňuje vytvářet vlastní role. Ke správě prostředků v Microsoft Entra ID, jako jsou uživatelé, skupiny a domény, existuje několik rolí Microsoft Entra.

Následující diagram znázorňuje vztah rolí Azure, rolí Microsoft Entra a klasických rolí správce předplatného.

Role Azure

Azure RBAC je autorizační systém založený na Azure Resource Manageru , který poskytuje jemně odstupňovanou správu přístupu k prostředkům Azure, jako jsou výpočetní prostředky a úložiště. Azure RBAC zahrnuje více než 100 předdefinovaných rolí. Existuje pět základních rolí Azure. První tři se vztahují ke všem typům prostředků:

Role Azure	Oprávnění	Notes
Vlastník	Uděluje úplný přístup ke správě všech prostředků. Přiřazení rolí v Azure RBAC	Správce služeb a spolusprávci mají přiřazenu roli vlastníka v oboru předplatného. Platí pro všechny typy prostředků.
Přispěvatel	Uděluje úplný přístup ke správě všech prostředků. Nejde přiřadit role v Azure RBAC Nejde spravovat přiřazení v Azure Blueprints nebo sdílet galerie imagí	Platí pro všechny typy prostředků.
Čtenář	Zobrazení prostředků Azure	Platí pro všechny typy prostředků.
Řízení přístupu na základě role Správa istrator	Správa uživatelských přístupů k prostředkům Azure Přiřazení rolí v Azure RBAC Přiřaďte sami sobě nebo jiným uživatelům roli Vlastník Nejde spravovat přístup pomocí jiných způsobů, jako je Azure Policy
Správce uživatelského přístupu	Správa uživatelských přístupů k prostředkům Azure Přiřazení rolí v Azure RBAC Přiřaďte sami sobě nebo jiným uživatelům roli Vlastník

Zbývající předdefinované role umožňují správu konkrétních prostředků Azure. Role Přispěvatel virtuálních počítačů například uživateli umožňuje vytvářet a spravovat virtuální počítače. Seznam všech předdefinovaných rolí najdete v tématu Předdefinované role Azure.

Řízení přístupu na základě role (RBAC) v Azure podporují pouze Azure Portal a rozhraní API Azure Resource Manageru. Uživatelé, skupiny a aplikace s přiřazenými rolemi Azure nemůžou používat rozhraní API modelu nasazení Azure Classic.

Na webu Azure Portal se přiřazení rolí pomocí Azure RBAC zobrazí na stránce Řízení přístupu (IAM). Tuto stránku najdete na portálu, jako jsou skupiny pro správu, předplatná, skupiny prostředků a různé prostředky.

Když kliknete na kartu Role , zobrazí se seznam předdefinovaných a vlastních rolí.

Další informace viz Přiřazení rolí Azure pomocí webu Azure Portal.

Role Microsoft Entra

Role Microsoft Entra se používají ke správě prostředků Microsoft Entra v adresáři, jako jsou vytváření nebo úpravy uživatelů, přiřazování rolí pro správu jiným uživatelům, resetování hesel uživatelů, správa uživatelských licencí a správa domén. Následující tabulka popisuje několik důležitějších rolí Microsoft Entra.

Role Microsoft Entra	Oprávnění	Notes
Globální správce	Správa přístupu ke všem funkcím správy v MICROSOFT Entra ID a službám, které se federuje k Microsoft Entra ID Přiřazení rolí správce dalším uživatelům Resetování hesel uživatelů a všech ostatních správců	Osoba, která se zaregistruje do tenanta Microsoft Entra, se stane globálním Správa istratorem.
Správce uživatelů	Vytváření a správa všech aspektů uživatelů a skupin Správa lístků podpory Monitorování stavu služby Změna hesel pro uživatele, správce helpdesku a další správce uživatelů
Správce fakturace	Nové nákupy Správa předplatných Správa lístků podpory Monitorování stavu služby

Na webu Azure Portal se na stránce Role a správci zobrazí seznam rolí Microsoft Entra. Seznam všech rolí Microsoft Entra naleznete v tématu Správa istrator oprávnění role v Microsoft Entra ID.

Rozdíly mezi rolemi Azure a rolemi Microsoft Entra

Na vysoké úrovni řídí role Azure oprávnění ke správě prostředků Azure, zatímco role Microsoft Entra řídí oprávnění ke správě prostředků Microsoft Entra. Následující tabulka obsahuje přehled některých rozdílů.

Role Azure	Role Microsoft Entra
Správa přístupu k prostředkům Azure	Správa přístupu k prostředkům Microsoft Entra
Podpora vlastních rolí	Podpora vlastních rolí
Možnost zadání oboru na více úrovních (skupina pro správu, předplatné, skupina prostředků, prostředek)	Rozsah je možné zadat na úrovni tenanta (v celé organizaci), jednotce pro správu nebo u jednotlivých objektů (například na konkrétní aplikaci).
Dostupnost informací o roli na portálu Azure Portal, v Azure CLI, Azure PowerShellu, šablonách Azure Resource Manageru, rozhraní REST API	Informace o rolích jsou přístupné na webu Azure Portal, v Centru pro správu Microsoft Entra, Centrum pro správu Microsoftu 365, Microsoft Graphu, Microsoft Graphu PowerShellu.

Překrývají se role Azure a role Microsoft Entra?

Ve výchozím nastavení se role Azure a role Microsoft Entra nezabývají do Azure a Microsoft Entra ID. Pokud ale globální Správa istrator zvýší úroveň svého přístupu tak, že na webu Azure Portal zvolí řízení přístupu pro prostředky Azure, udělí globální Správa istrator roli User Access Správa istrator (roli Azure) pro všechna předplatná pro konkrétního tenanta. Role správce uživatelských přístupů uživateli umožňuje udělit dalším uživatelům přístup k prostředkům Azure. Tento přepínač může být užitečný pro opakované získání přístupu k předplatnému. Podrobnosti najdete v tématu Zvýšení úrovně přístupu pro správu všech předplatných Azure a skupin pro správu.

Několik rolí Microsoft Entra zahrnuje Microsoft Entra ID a Microsoft 365, jako jsou globální Správa istrator a role user Správa istrator. Pokud jste například členem role Globální Správa istrator, máte možnosti globálního správce v Microsoft Entra ID a Microsoft 365, například provádění změn systému Microsoft Exchange a Microsoft SharePoint. Ve výchozím nastavení ale globální správce nemá přístup k prostředkům Azure.

Role klasického správce předplatného

Důležité

Klasické prostředky a klasické správce budou vyřazeny 31. srpna 2024. Od 3. dubna 2024 nebudete moct přidat nové Správa istrátory. Toto datum bylo nedávno prodlouženo. Odeberte nepotřebné Správa istrátory a použijte Azure RBAC k jemně odstupňovanému řízení přístupu.

Správce účtu, správce služeb a spolusprávce jsou tři role klasického správce předplatného v Azure. Klasičtí správci předplatného mají úplný přístup k předplatnému Azure. Mohou spravovat prostředky pomocí portálu Azure Portal, rozhraní API Azure Resource Manageru a rozhraní API modelu nasazení Classic. Účet, který slouží k registraci v Azure, je automaticky nastaven jako účet správce účtu a správce služeb. Potom je možné přidat další spolusprávce. Správce služeb a spolusprávci mají stejný přístup jako uživatelé s přiřazenou rolí vlastníka (role Azure) v oboru předplatného. Následující tabulka popisuje rozdíly mezi třemi rolemi klasického správce předplatného.

Klasický správce předplatného	Omezení	Oprávnění	Notes
Správce účtu	1 na účet Azure	Má přístup k webu Azure Portal a může spravovat fakturaci. Správa fakturace pro všechna předplatná v účtu Vytváření nových předplatných Rušení předplatných Změna fakturace předplatného Změna správce služeb Předplatná se nedají zrušit, pokud nemají roli vlastníka služby nebo Správa istratoru nebo předplatného.	Koncepčně se jedná o vlastníka fakturace předplatného.
Správce služeb	1 na předplatné Azure	Správa služeb na portálu Azure Portal Zrušení předplatného Přiřazení role spolusprávce uživatelům	Ve výchozím nastavení u nového předplatného je správce účtu současně i správcem služeb. Správce služeb má stejný přístup jako uživatel, který má přidělenu roli vlastníka v oboru předplatného. Správce služeb má úplný přístup k webu Azure Portal.
Spolusprávce	200 na předplatné	Stejná přístupová oprávnění jako služba Správa istrator, ale nemůžete změnit přidružení předplatných k adresářům Microsoft Entra. Může uživatelům přiřadit roli spolusprávce, ale nemůže měnit správce služeb.	Spolusprávce má stejný přístup jako uživatel, který má přidělenu roli vlastníka v oboru předplatného.

Na webu Azure Portal můžete spravovat spolusprávce nebo zobrazit správce služeb na kartě Klasičtí správci.

Další informace najdete v tématu Klasičtí správci předplatných Azure.

Účet Azure a předplatná Azure

K vytvoření fakturačního vztahu se používá účet Azure. Účet Azure je identita uživatele, jedno nebo více předplatných Azure a přidružená skupina prostředků Azure. Osoba, která vytvoří účet, je správcem účtu pro všechna předplatná vytvořená v daném účtu. Tato osoba je také výchozím správcem služeb pro předplatné.

Předplatná Azure vám usnadňují organizaci přístupu k prostředkům Azure. Zároveň vám pomohou řídit způsob, jak je používání prostředků vykazováno, fakturováno a placeno. Každé předplatné může být z hlediska fakturace a plateb nastaveno jinak, takže můžete mít různá předplatná a plány podle kanceláří, oddělení, projektů atd. Každá služba patří do předplatného a pro programové operace se může vyžadovat ID předplatného.

Každé předplatné je přidružené k adresáři Microsoft Entra. Pokud chcete najít adresář, ke kterým je předplatné přidružené, otevřete na webu Azure Portal předplatná a vyberte předplatné, aby se tento adresář zobrazil.

Účty a předplatná se spravují na webu Azure Portal.

Další kroky

• Přiřazování rolí Azure s využitím webu Azure Portal
• Přiřazení rolí Microsoft Entra uživatelům
• Role pro služby Microsoft 365 v Microsoft Entra ID