Role správce klasického předplatného, role Azure a role Azure AD

Pokud s Azure teprve začínáte, může být pro vás trochu obtížné vyznat se v různých rolích v Azure. Tento článek vám pomůže porozumět následujícím rolím a tomu, kdy je použít:

  • Role klasického správce předplatného
  • Role Azure
  • Role Azure Active Directory (Azure AD)

Lepšímu porozumění rolí v Azure pomůže znalost trochy historie. Když byla poprvé služba Azure vydána, byl přístup k prostředkům spravován pomocí pouhých tří rolí správce: správce účtu, správce služeb a spolusprávce. Později se přidalo řízení přístupu na základě role v Azure (Azure RBAC). Azure RBAC je novější systém autorizace, který poskytuje podrobnou správu přístupu k prostředkům Azure. Azure RBAC zahrnuje řadu předdefinovaných rolí, které je možné přiřadit v různých oborech a umožňuje vytvářet vlastní role. Pokud chcete spravovat prostředky v Azure AD, jako jsou uživatelé, skupiny a domény, existuje několik Azure AD rolí.

Následující schéma znázorňuje, jak spolu souvisejí role klasických správců předplatného, role Azure a role Azure AD.

Různé role v Azure

Role klasického správce předplatného

Správce účtu, správce služeb a spolusprávce jsou tři role klasického správce předplatného v Azure. Klasičtí správci předplatného mají úplný přístup k předplatnému Azure. Mohou spravovat prostředky pomocí portálu Azure Portal, rozhraní API Azure Resource Manageru a rozhraní API modelu nasazení Classic. Účet, který slouží k registraci v Azure, je automaticky nastaven jako účet správce účtu a správce služeb. Potom je možné přidat další spolusprávce. Správce služeb a spolusprávci mají stejný přístup jako uživatelé s přiřazenou rolí vlastníka (role Azure) v oboru předplatného. Následující tabulka popisuje rozdíly mezi třemi rolemi klasického správce předplatného.

Klasický správce předplatného Omezení Oprávnění Poznámky
Správce účtu 1 na účet Azure
  • Má přístup k webu Azure Portal a může spravovat fakturaci.
  • Správa fakturace pro všechna předplatná v účtu
  • Vytváření nových předplatných
  • Rušení předplatných
  • Změna fakturace předplatného
  • Změna správce služeb
  • Předplatná nejde zrušit, pokud nemají roli správce služeb nebo vlastníka předplatného.
Koncepčně se jedná o vlastníka fakturace předplatného.
Správce služeb 1 na předplatné Azure
  • Správa služeb na portálu Azure Portal
  • Zrušení předplatného
  • Přiřazení role spolusprávce uživatelům
Ve výchozím nastavení u nového předplatného je správce účtu současně i správcem služeb.
Správce služeb má stejný přístup jako uživatel, který má přidělenu roli vlastníka v oboru předplatného.
Správce služeb má úplný přístup k webu Azure Portal.
Spolusprávce 200 na předplatné
  • Stejná přístupová oprávnění jako správce služeb, ale nemůže změnit přidružení předplatných na Azure AD adresářů
  • Může uživatelům přiřazovat role spolusprávce, ale nemůže měnit správce služeb.
Spolusprávce má stejný přístup jako uživatel, který má přidělenu roli vlastníka v oboru předplatného.

Na webu Azure Portal můžete spravovat spolusprávce nebo zobrazit správce služeb na kartě Klasičtí správci.

Správci klasických předplatných Azure v Azure Portal

Na webu Azure Portal můžete zobrazit nebo změnit správce služeb nebo zobrazit správce účtu v okně Vlastnosti vašeho předplatného.

Správce účtu a správce služeb na portálu Azure Portal

Další informace najdete v tématu Klasičtí správci předplatných Azure.

Účet Azure a předplatná Azure

Účet Azure se používá k vytvoření fakturačního vztahu. Účet Azure je identita uživatele, jedno nebo více předplatných Azure a přidružená skupina prostředků Azure. Osoba, která vytvoří účet, je správcem účtu pro všechna předplatná vytvořená v daném účtu. Tato osoba je také výchozím správcem služeb pro předplatné.

Předplatná Azure vám usnadňují organizaci přístupu k prostředkům Azure. Zároveň vám pomohou řídit způsob, jak je používání prostředků vykazováno, fakturováno a placeno. Každé předplatné může mít jiné nastavení fakturace a plateb. Můžete tedy mít jiná předplatná a jiné plány pro různé pobočky, oddělení, projekty a podobně. Každá služba patří do předplatného a pro programové operace se může vyžadovat ID předplatného.

Každé předplatné je přidružené k adresáři Azure AD. Pokud chcete najít adresář, ke kterým je předplatné přidružené, otevřete v Azure Portal předplatná a vyberte předplatné, které chcete zobrazit.

Účty a předplatná se spravují v Azure Portal.

Role Azure

Azure RBAC je systém autorizace založený na Azure Resource Manageru, který poskytuje podrobnou správu přístupu k prostředkům Azure, jako jsou výpočetní služby a úložiště. Azure RBAC zahrnuje více než 70 předdefinovaných rolí. Existují čtyři základní role Azure. První tři se vztahují ke všem typům prostředků:

Role Azure Oprávnění Poznámky
Vlastník
  • Úplný přístup ke všem prostředkům
  • Delegování přístupu na jiné uživatele
Správce služeb a spolusprávci mají přiřazenu roli vlastníka v oboru předplatného.
Platí pro všechny typy prostředků.
Přispěvatel
  • Vytváření a správa všech typů prostředků Azure
  • Vytvoření nového tenanta v Azure Active Directory
  • Nemůže udělovat přístup ostatním
Platí pro všechny typy prostředků.
Čtenář
  • Zobrazení prostředků Azure
Platí pro všechny typy prostředků.
Správce uživatelského přístupu
  • Správa uživatelských přístupů k prostředkům Azure

Zbývající předdefinované role umožňují správu konkrétních prostředků Azure. Role Přispěvatel virtuálních počítačů například uživateli umožňuje vytvářet a spravovat virtuální počítače. Seznam všech předdefinovaných rolí najdete v tématu Předdefinované role Azure.

Řízení přístupu na základě role (RBAC) v Azure podporují pouze Azure Portal a rozhraní API Azure Resource Manageru. Uživatelé, skupiny a aplikace s přiřazenými rolemi Azure nemohou používat rozhraní API modelu nasazení Azure Classic.

Na webu Azure Portal se přiřazení rolí pomocí Azure RBAC zobrazují v okně Řízení přístupu (IAM) . Toto okno najdete na celém portálu, například u skupin pro správu, předplatných, skupin prostředků a různých prostředků.

Okno Řízení přístupu (IAM) na portálu Azure Portal

Když kliknete na kartu Role , zobrazí se seznam předdefinovaných a vlastních rolí.

Předdefinované role na portálu Azure Portal

Další informace najdete v tématu Přiřazení rolí Azure pomocí webu Azure Portal.

Role Azure AD

Azure AD role slouží ke správě Azure AD prostředků v adresáři, jako je vytváření nebo úpravy uživatelů, přiřazování rolí správce jiným uživatelům, resetování uživatelských hesel, správa uživatelských licencí a správa domén. Následující tabulka popisuje několik důležitějších rolí Azure AD.

role Azure AD Oprávnění Poznámky
Globální správce
  • Správa přístupu ke všem administrativním funkcím v Azure Active Directory i službám federovaným do Azure Active Directory
  • Přiřazení rolí správce dalším uživatelům
  • Resetování hesel uživatelů a všech ostatních správců
Osoba, která se zaregistruje v tenantovi Azure Active Directory, se stává globálním správcem.
Správce uživatelů
  • Vytváření a správa všech aspektů uživatelů a skupin
  • Správa lístků podpory
  • Monitorování stavu služby
  • Změna hesel pro uživatele, správce helpdesku a další správce uživatelů
Správce fakturace
  • Nové nákupy
  • Správa předplatných
  • Správa lístků podpory
  • Monitorování stavu služby

V Azure Portal můžete zobrazit seznam rolí Azure AD v okně Role a správci. Seznam všech rolí Azure AD najdete v tématu Oprávnění role správce v Azure Active Directory.

Azure AD role v Azure Portal

Rozdíly v rolích Azure a Azure AD

Na vysoké úrovni řídí role Azure oprávnění ke správě prostředků Azure, zatímco Azure AD role řídí oprávnění ke správě prostředků Azure Active Directory. Následující tabulka obsahuje přehled některých rozdílů.

Role Azure Role Azure AD
Správa přístupu k prostředkům Azure Správa přístupu k prostředkům Azure Active Directory
Podpora vlastních rolí Podpora vlastních rolí
Možnost zadání oboru na více úrovních (skupina pro správu, předplatné, skupina prostředků, prostředek) Obor je možné zadat na úrovni tenanta (pro celou organizaci), jednotce pro správu nebo u jednotlivého objektu (například na konkrétní aplikaci).
Dostupnost informací o roli na portálu Azure Portal, v Azure CLI, Azure PowerShellu, šablonách Azure Resource Manageru, rozhraní REST API Informace o rolích jsou přístupné na portálu pro správu Azure, Centrum pro správu Microsoftu 365, Microsoft Graphu, AzureAD PowerShellu.

Překrývají se role Azure a role Azure AD?

Ve výchozím nastavení role Azure a role Azure AD nepokrývají Azure a Azure AD. Pokud ale globální správce zvýší svůj přístup výběrem správy přístupu pro prostředky Azure v Azure Portal, globální správce udělí roli Správce uživatelských přístupů (roli Azure) pro všechna předplatná pro konkrétního tenanta. Role správce uživatelských přístupů uživateli umožňuje udělit dalším uživatelům přístup k prostředkům Azure. Tento přepínač může být užitečný pro opakované získání přístupu k předplatnému. Podrobnosti najdete v tématu Zvýšení úrovně přístupu pro správu všech předplatných Azure a skupin pro správu.

Několik rolí Azure AD zahrnuje Azure AD a Microsoft 365, například role globálního správce a správce uživatelů. Pokud jste například členem role globálního správce, máte možnosti globálního správce v Azure AD a Microsoftu 365, jako je třeba provádění změn systému Microsoft Exchange a Microsoft SharePoint. Ve výchozím nastavení ale globální správce nemá přístup k prostředkům Azure.

Azure RBAC versus role Azure AD

Další kroky