Role Azure, role Microsoft Entra a klasické role správce předplatného
Článek
Pokud s Azure začínáte, může být trochu náročné pochopit všechny různé role v Azure. Tento článek vám pomůže porozumět následujícím rolím a tomu, kdy je použít:
Role Azure
Role Microsoft Entra
Role klasického správce předplatného
Jak spolu role souvisejí
Lepšímu porozumění rolí v Azure pomůže znalost trochy historie. Když byla poprvé služba Azure vydána, byl přístup k prostředkům spravován pomocí pouhých tří rolí správce: správce účtu, správce služeb a spolusprávce. Později se přidalo řízení přístupu na základě role v Azure (Azure RBAC). Azure RBAC je novější systém autorizace, který poskytuje podrobnou správu přístupu k prostředkům Azure. Azure RBAC zahrnuje mnoho předdefinovaných rolí, které je možné přiřadit v různých oborech a umožňuje vytvářet vlastní role. Ke správě prostředků v Microsoft Entra ID, jako jsou uživatelé, skupiny a domény, existuje několik rolí Microsoft Entra.
Následující diagram znázorňuje vztah rolí Azure, rolí Microsoft Entra a klasických rolí správce předplatného.
Role Azure
Azure RBAC je autorizační systém založený na Azure Resource Manageru , který poskytuje jemně odstupňovanou správu přístupu k prostředkům Azure, jako jsou výpočetní prostředky a úložiště. Azure RBAC zahrnuje více než 100 předdefinovaných rolí. Existuje pět základních rolí Azure. První tři se vztahují ke všem typům prostředků:
Přiřaďte sami sobě nebo jiným uživatelům roli Vlastník
Zbývající předdefinované role umožňují správu konkrétních prostředků Azure. Role Přispěvatel virtuálních počítačů například uživateli umožňuje vytvářet a spravovat virtuální počítače. Seznam všech předdefinovaných rolí najdete v tématu Předdefinované role Azure.
Řízení přístupu na základě role (RBAC) v Azure podporují pouze Azure Portal a rozhraní API Azure Resource Manageru. Uživatelé, skupiny a aplikace s přiřazenými rolemi Azure nemůžou používat rozhraní API modelu nasazení Azure Classic.
Na webu Azure Portal se přiřazení rolí pomocí Azure RBAC zobrazí na stránce Řízení přístupu (IAM). Tuto stránku najdete na portálu, jako jsou skupiny pro správu, předplatná, skupiny prostředků a různé prostředky.
Když kliknete na kartu Role , zobrazí se seznam předdefinovaných a vlastních rolí.
Role Microsoft Entra se používají ke správě prostředků Microsoft Entra v adresáři, jako jsou vytváření nebo úpravy uživatelů, přiřazování rolí pro správu jiným uživatelům, resetování hesel uživatelů, správa uživatelských licencí a správa domén. Následující tabulka popisuje několik důležitějších rolí Microsoft Entra.
Na webu Azure Portal se na stránce Role a správci zobrazí seznam rolí Microsoft Entra. Seznam všech rolí Microsoft Entra naleznete v tématu Oprávnění role správce v Microsoft Entra ID.
Rozdíly mezi rolemi Azure a rolemi Microsoft Entra
Na vysoké úrovni řídí role Azure oprávnění ke správě prostředků Azure, zatímco role Microsoft Entra řídí oprávnění ke správě prostředků Microsoft Entra. Následující tabulka obsahuje přehled některých rozdílů.
Role Azure
Role Microsoft Entra
Správa přístupu k prostředkům Azure
Správa přístupu k prostředkům Microsoft Entra
Podpora vlastních rolí
Podpora vlastních rolí
Možnost zadání oboru na více úrovních (skupina pro správu, předplatné, skupina prostředků, prostředek)
Rozsah je možné zadat na úrovni tenanta (v celé organizaci), jednotce pro správu nebo u jednotlivých objektů (například na konkrétní aplikaci).
Dostupnost informací o roli na portálu Azure Portal, v Azure CLI, Azure PowerShellu, šablonách Azure Resource Manageru, rozhraní REST API
Informace o rolích jsou přístupné na webu Azure Portal, v Centru pro správu Microsoft Entra, Centrum pro správu Microsoftu 365, Microsoft Graphu, Microsoft Graphu PowerShellu.
Překrývají se role Azure a role Microsoft Entra?
Ve výchozím nastavení se role Azure a role Microsoft Entra nezabývají do Azure a Microsoft Entra ID. Pokud ale globální správce zvýší úroveň svého přístupu tak, že na webu Azure Portal zvolí přepínač Správa přístupu pro prostředky Azure, udělí globální správce roli Správce uživatelských přístupů (roli Azure) pro všechna předplatná pro konkrétního tenanta. Role správce uživatelských přístupů uživateli umožňuje udělit dalším uživatelům přístup k prostředkům Azure. Tento přepínač může být užitečný pro opakované získání přístupu k předplatnému. Podrobnosti najdete v tématu Zvýšení úrovně přístupu pro správu všech předplatných Azure a skupin pro správu.
Několik rolí Microsoft Entra zahrnuje Microsoft Entra ID a Microsoft 365, jako jsou role globálního správce a správce uživatelů. Pokud jste například členem role globálního správce, máte možnosti globálního správce v Microsoft Entra ID a Microsoftu 365, například provádění změn systému Microsoft Exchange a Microsoft SharePointu. Ve výchozím nastavení ale globální správce nemá přístup k prostředkům Azure.
Role klasického správce předplatného
Důležité
Od 31. srpna 2024 se role klasického správce Azure (spolu s klasickými prostředky Azure a Azure Service Managerem) vyřadí z provozu a už se nepodporují. Pokud máte stále aktivní přiřazení rolí Co-Administrator nebo Service Administrator, okamžitě je převeďte na Azure RBAC.
Správce účtu, správce služeb a spolusprávce jsou tři role klasického správce předplatného v Azure. Klasičtí správci předplatného mají úplný přístup k předplatnému Azure. Mohou spravovat prostředky pomocí portálu Azure Portal, rozhraní API Azure Resource Manageru a rozhraní API modelu nasazení Classic. Účet, který slouží k registraci v Azure, je automaticky nastaven jako účet správce účtu a správce služeb. Potom je možné přidat další spolusprávce. Správce služeb a spolusprávci mají stejný přístup jako uživatelé s přiřazenou rolí vlastníka (role Azure) v oboru předplatného. Následující tabulka popisuje rozdíly mezi třemi rolemi klasického správce předplatného.
Klasický správce předplatného
Omezení
Oprávnění
Notes
Správce účtu
1 na účet Azure
Má přístup k webu Azure Portal a může spravovat fakturaci.
Správa fakturace pro všechna předplatná v účtu
Vytváření nových předplatných
Rušení předplatných
Změna fakturace předplatného
Změna správce služeb
Předplatná nejde zrušit, pokud nemají roli správce služeb nebo vlastníka předplatného.
Koncepčně se jedná o vlastníka fakturace předplatného.
Ve výchozím nastavení u nového předplatného je správce účtu současně i správcem služeb. Správce služeb má stejný přístup jako uživatel, který má přidělenu roli vlastníka v oboru předplatného. Správce služeb má úplný přístup k webu Azure Portal.
Spolusprávce
200 na předplatné
Stejná přístupová oprávnění jako správce služeb, ale nemůže změnit přidružení předplatných k adresářům Microsoft Entra
Může uživatelům přiřadit roli spolusprávce, ale nemůže měnit správce služeb.
Spolusprávce má stejný přístup jako uživatel, který má přidělenu roli vlastníka v oboru předplatného.
Na webu Azure Portal můžete spravovat spolusprávce nebo zobrazit správce služeb na kartě Klasičtí správci.
K vytvoření fakturačního vztahu se používá účet Azure. Účet Azure je identita uživatele, jedno nebo více předplatných Azure a přidružená skupina prostředků Azure. Osoba, která vytvoří účet, je správcem účtu pro všechna předplatná vytvořená v daném účtu. Tato osoba je také výchozím správcem služeb pro předplatné.
Předplatná Azure vám usnadňují organizaci přístupu k prostředkům Azure. Zároveň vám pomohou řídit způsob, jak je používání prostředků vykazováno, fakturováno a placeno. Každé předplatné může být z hlediska fakturace a plateb nastaveno jinak, takže můžete mít různá předplatná a plány podle kanceláří, oddělení, projektů atd. Většina služeb patří k předplatnému a ID předplatného se může vyžadovat pro programové operace.
Každé předplatné je přidružené k adresáři Microsoft Entra. Pokud chcete najít adresář, ke kterým je předplatné přidružené, otevřete na webu Azure Portal předplatná a vyberte předplatné, aby se tento adresář zobrazil.
Účty a předplatná se spravují na webu Azure Portal.
Prozkoumejte, jak pomocí předdefinovaných rolí Azure, spravovaných identit a zásad RBAC řídit přístup k prostředkům Azure. Identita je klíčem k zabezpečení řešení.
Zjistěte, jak určit, k jakým prostředkům mají uživatelé, skupiny, instanční objekty nebo spravované identity přístup pomocí webu Azure Portal a řízení přístupu na základě role v Azure (Azure RBAC).
Tento článek obsahuje seznam předdefinovaných rolí Azure pro řízení přístupu na základě role v Azure (Azure RBAC) v kategorii Privilegované. Obsahuje seznam Akcí, NotActions, DataActions a NotDataActions.
Tento článek popisuje předdefinované role Azure pro řízení přístupu na základě role v Azure (Azure RBAC). Obsahuje seznam Akcí, NotActions, DataActions a NotDataActions.
Přečtěte si víc o využití řízení přístupu na základě role v Azure (Azure RBAC) ke správě toho, kdo má přístup k prostředkům Azure, co může s těmito prostředky dělat a k jakým oblastem má přístup.
V tomto kurzu se dozvíte, jak uživateli udělit přístup k prostředkům Azure pomocí webu Azure Portal a řízení přístupu na základě role v Azure (Azure RBAC).