Role Azure, role Microsoft Entra a klasické role správce předplatného
Pokud s Azure začínáte, může být trochu náročné pochopit všechny různé role v Azure. Tento článek vám pomůže porozumět následujícím rolím a tomu, kdy je použít:
- Role Azure
- Role Microsoft Entra
- Role klasického správce předplatného
Jak spolu role souvisejí
Lepšímu porozumění rolí v Azure pomůže znalost trochy historie. Když byla poprvé služba Azure vydána, byl přístup k prostředkům spravován pomocí pouhých tří rolí správce: správce účtu, správce služeb a spolusprávce. Později se přidalo řízení přístupu na základě role v Azure (Azure RBAC). Azure RBAC je novější systém autorizace, který poskytuje podrobnou správu přístupu k prostředkům Azure. Azure RBAC zahrnuje mnoho předdefinovaných rolí, které je možné přiřadit v různých oborech a umožňuje vytvářet vlastní role. Ke správě prostředků v Microsoft Entra ID, jako jsou uživatelé, skupiny a domény, existuje několik rolí Microsoft Entra.
Následující diagram znázorňuje vztah rolí Azure, rolí Microsoft Entra a klasických rolí správce předplatného.
Role Azure
Azure RBAC je autorizační systém založený na Azure Resource Manageru , který poskytuje jemně odstupňovanou správu přístupu k prostředkům Azure, jako jsou výpočetní prostředky a úložiště. Azure RBAC zahrnuje více než 100 předdefinovaných rolí. Existuje pět základních rolí Azure. První tři se vztahují ke všem typům prostředků:
Role Azure | Oprávnění | Notes |
---|---|---|
Vlastník |
|
Správce služeb a spolusprávci mají přiřazenu roli vlastníka v oboru předplatného. Platí pro všechny typy prostředků. |
Přispěvatel |
|
Platí pro všechny typy prostředků. |
Čtenář |
|
Platí pro všechny typy prostředků. |
Správce řízení přístupu na základě rolí |
|
|
Správce uživatelského přístupu |
|
Zbývající předdefinované role umožňují správu konkrétních prostředků Azure. Role Přispěvatel virtuálních počítačů například uživateli umožňuje vytvářet a spravovat virtuální počítače. Seznam všech předdefinovaných rolí najdete v tématu Předdefinované role Azure.
Řízení přístupu na základě role (RBAC) v Azure podporují pouze Azure Portal a rozhraní API Azure Resource Manageru. Uživatelé, skupiny a aplikace s přiřazenými rolemi Azure nemůžou používat rozhraní API modelu nasazení Azure Classic.
Na webu Azure Portal se přiřazení rolí pomocí Azure RBAC zobrazí na stránce Řízení přístupu (IAM). Tuto stránku najdete na portálu, jako jsou skupiny pro správu, předplatná, skupiny prostředků a různé prostředky.
Když kliknete na kartu Role , zobrazí se seznam předdefinovaných a vlastních rolí.
Další informace viz Přiřazení rolí Azure pomocí webu Azure Portal.
Role Microsoft Entra
Role Microsoft Entra se používají ke správě prostředků Microsoft Entra v adresáři, jako jsou vytváření nebo úpravy uživatelů, přiřazování rolí pro správu jiným uživatelům, resetování hesel uživatelů, správa uživatelských licencí a správa domén. Následující tabulka popisuje několik důležitějších rolí Microsoft Entra.
Role Microsoft Entra | Oprávnění | Notes |
---|---|---|
Globální správce |
|
Osoba, která se zaregistruje do tenanta Microsoft Entra, se stane globálním správcem. |
Správce uživatelů |
|
|
Správce fakturace |
|
Na webu Azure Portal se na stránce Role a správci zobrazí seznam rolí Microsoft Entra. Seznam všech rolí Microsoft Entra naleznete v tématu Oprávnění role správce v Microsoft Entra ID.
Rozdíly mezi rolemi Azure a rolemi Microsoft Entra
Na vysoké úrovni řídí role Azure oprávnění ke správě prostředků Azure, zatímco role Microsoft Entra řídí oprávnění ke správě prostředků Microsoft Entra. Následující tabulka obsahuje přehled některých rozdílů.
Role Azure | Role Microsoft Entra |
---|---|
Správa přístupu k prostředkům Azure | Správa přístupu k prostředkům Microsoft Entra |
Podpora vlastních rolí | Podpora vlastních rolí |
Možnost zadání oboru na více úrovních (skupina pro správu, předplatné, skupina prostředků, prostředek) | Rozsah je možné zadat na úrovni tenanta (v celé organizaci), jednotce pro správu nebo u jednotlivých objektů (například na konkrétní aplikaci). |
Dostupnost informací o roli na portálu Azure Portal, v Azure CLI, Azure PowerShellu, šablonách Azure Resource Manageru, rozhraní REST API | Informace o rolích jsou přístupné na webu Azure Portal, v Centru pro správu Microsoft Entra, Centrum pro správu Microsoftu 365, Microsoft Graphu, Microsoft Graphu PowerShellu. |
Překrývají se role Azure a role Microsoft Entra?
Ve výchozím nastavení se role Azure a role Microsoft Entra nezabývají do Azure a Microsoft Entra ID. Pokud ale globální správce zvýší úroveň svého přístupu tak, že na webu Azure Portal zvolí přepínač Správa přístupu pro prostředky Azure, udělí globální správce roli Správce uživatelských přístupů (roli Azure) pro všechna předplatná pro konkrétního tenanta. Role správce uživatelských přístupů uživateli umožňuje udělit dalším uživatelům přístup k prostředkům Azure. Tento přepínač může být užitečný pro opakované získání přístupu k předplatnému. Podrobnosti najdete v tématu Zvýšení úrovně přístupu pro správu všech předplatných Azure a skupin pro správu.
Několik rolí Microsoft Entra zahrnuje Microsoft Entra ID a Microsoft 365, jako jsou role globálního správce a správce uživatelů. Pokud jste například členem role globálního správce, máte možnosti globálního správce v Microsoft Entra ID a Microsoftu 365, například provádění změn systému Microsoft Exchange a Microsoft SharePointu. Ve výchozím nastavení ale globální správce nemá přístup k prostředkům Azure.
Role klasického správce předplatného
Důležité
Od 31. srpna 2024 se role klasického správce Azure (spolu s klasickými prostředky Azure a Azure Service Managerem) vyřadí z provozu a už se nepodporují. Pokud stále máte aktivní přiřazení rolí Spolusprávce nebo správce služeb, okamžitě převeďte tato přiřazení rolí na Azure RBAC.
Další informace najdete v tématu Klasičtí správci předplatných Azure.
Správce účtu, správce služeb a spolusprávce jsou tři role klasického správce předplatného v Azure. Klasičtí správci předplatného mají úplný přístup k předplatnému Azure. Mohou spravovat prostředky pomocí portálu Azure Portal, rozhraní API Azure Resource Manageru a rozhraní API modelu nasazení Classic. Účet, který slouží k registraci v Azure, je automaticky nastaven jako účet správce účtu a správce služeb. Potom je možné přidat další spolusprávce. Správce služeb a spolusprávci mají stejný přístup jako uživatelé s přiřazenou rolí vlastníka (role Azure) v oboru předplatného. Následující tabulka popisuje rozdíly mezi třemi rolemi klasického správce předplatného.
Klasický správce předplatného | Omezení | Oprávnění | Notes |
---|---|---|---|
Správce účtu | 1 na účet Azure |
|
Koncepčně se jedná o vlastníka fakturace předplatného. |
Správce služeb | 1 na předplatné Azure |
|
Ve výchozím nastavení u nového předplatného je správce účtu současně i správcem služeb. Správce služeb má stejný přístup jako uživatel, který má přidělenu roli vlastníka v oboru předplatného. Správce služeb má úplný přístup k webu Azure Portal. |
Spolusprávce | 200 na předplatné |
|
Spolusprávce má stejný přístup jako uživatel, který má přidělenu roli vlastníka v oboru předplatného. |
Na webu Azure Portal můžete spravovat spolusprávce nebo zobrazit správce služeb na kartě Klasičtí správci.
Další informace najdete v tématu Klasičtí správci předplatných Azure.
Účet Azure a předplatná Azure
K vytvoření fakturačního vztahu se používá účet Azure. Účet Azure je identita uživatele, jedno nebo více předplatných Azure a přidružená skupina prostředků Azure. Osoba, která vytvoří účet, je správcem účtu pro všechna předplatná vytvořená v daném účtu. Tato osoba je také výchozím správcem služeb pro předplatné.
Předplatná Azure vám usnadňují organizaci přístupu k prostředkům Azure. Zároveň vám pomohou řídit způsob, jak je používání prostředků vykazováno, fakturováno a placeno. Každé předplatné může být z hlediska fakturace a plateb nastaveno jinak, takže můžete mít různá předplatná a plány podle kanceláří, oddělení, projektů atd. Většina služeb patří k předplatnému a ID předplatného se může vyžadovat pro programové operace.
Každé předplatné je přidružené k adresáři Microsoft Entra. Pokud chcete najít adresář, ke kterým je předplatné přidružené, otevřete na webu Azure Portal předplatná a vyberte předplatné, aby se tento adresář zobrazil.
Účty a předplatná se spravují na webu Azure Portal.