Role Azure, Azure AD role a role klasického správce předplatného
Pokud s Azure začínáte, může být trochu náročné porozumět všem různým rolím v Azure. Tento článek vám pomůže porozumět následujícím rolím a tomu, kdy je použít:
- Role Azure
- Role Azure Active Directory (Azure AD)
- Role klasického správce předplatného
Jak spolu role souvisejí
Lepšímu porozumění rolí v Azure pomůže znalost trochy historie. Když byla poprvé služba Azure vydána, byl přístup k prostředkům spravován pomocí pouhých tří rolí správce: správce účtu, správce služeb a spolusprávce. Později bylo přidáno řízení přístupu na základě role v Azure (Azure RBAC). Azure RBAC je novější systém autorizace, který poskytuje podrobnou správu přístupu k prostředkům Azure. Azure RBAC zahrnuje mnoho předdefinovaných rolí, je možné je přiřadit v různých oborech a umožňuje vytvářet vlastní role. Ke správě prostředků v Azure AD, jako jsou uživatelé, skupiny a domény, existuje několik Azure AD rolí.
Následující diagram znázorňuje, jak spolu souvisejí role Azure, Azure AD role a role klasického správce předplatného.
Role Azure
Azure RBAC je autorizační systém založený na Azure Resource Manager, který poskytuje podrobnou správu přístupu k prostředkům Azure, jako jsou výpočetní prostředky a úložiště. Azure RBAC zahrnuje více než 70 předdefinovaných rolí. Existují čtyři základní role Azure. První tři se vztahují ke všem typům prostředků:
| Role Azure | Oprávnění | Poznámky |
|---|---|---|
| Vlastník |
|
Správce služeb a spolusprávci mají přiřazenu roli vlastníka v oboru předplatného. Platí pro všechny typy prostředků. |
| Přispěvatel |
|
Platí pro všechny typy prostředků. |
| Čtenář |
|
Platí pro všechny typy prostředků. |
| Správce uživatelského přístupu |
|
Zbývající předdefinované role umožňují správu konkrétních prostředků Azure. Role Přispěvatel virtuálních počítačů například uživateli umožňuje vytvářet a spravovat virtuální počítače. Seznam všech předdefinovaných rolí najdete v tématu Předdefinované role Azure.
Řízení přístupu na základě role (RBAC) v Azure podporují pouze Azure Portal a rozhraní API Azure Resource Manageru. Uživatelé, skupiny a aplikace s přiřazenými rolemi Azure nemůžou používat rozhraní API modelu nasazení Azure Classic.
V Azure Portal se přiřazení rolí pomocí Azure RBAC zobrazí na stránce Řízení přístupu (IAM). Tuto stránku najdete na portálu, jako jsou skupiny pro správu, předplatná, skupiny prostředků a různé prostředky.
Když kliknete na kartu Role , zobrazí se seznam předdefinovaných a vlastních rolí.
Další informace najdete v tématu Přiřazení rolí Azure pomocí webu Azure Portal.
Role Azure AD
Azure AD role slouží ke správě Azure AD prostředků v adresáři, jako je vytváření nebo úprava uživatelů, přiřazování rolí pro správu jiným uživatelům, resetování hesel uživatelů, správa uživatelských licencí a správa domén. Následující tabulka popisuje několik důležitějších rolí Azure AD.
| Azure AD role | Oprávnění | Poznámky |
|---|---|---|
| Globální správce |
|
Osoba, která se zaregistruje v tenantovi Azure Active Directory, se stává globálním správcem. |
| Správce uživatelů |
|
|
| Správce fakturace |
|
V Azure Portal můžete zobrazit seznam Azure AD rolí na stránce Role a správci. Seznam všech Azure AD rolí najdete v tématu Oprávnění role správce v Azure Active Directory.
Rozdíly v rolích Azure a Azure AD
Role Azure na vysoké úrovni řídí oprávnění ke správě prostředků Azure, zatímco Azure AD role řídí oprávnění ke správě prostředků Azure Active Directory. Následující tabulka obsahuje přehled některých rozdílů.
| Role Azure | Role Azure AD |
|---|---|
| Správa přístupu k prostředkům Azure | Správa přístupu k prostředkům Azure Active Directory |
| Podpora vlastních rolí | Podpora vlastních rolí |
| Možnost zadání oboru na více úrovních (skupina pro správu, předplatné, skupina prostředků, prostředek) | Obor je možné zadat na úrovni tenanta (v celé organizaci), v jednotce pro správu nebo na jednotlivém objektu (například v konkrétní aplikaci). |
| Dostupnost informací o roli na portálu Azure Portal, v Azure CLI, Azure PowerShellu, šablonách Azure Resource Manageru, rozhraní REST API | Informace o rolích jsou přístupné na portálu pro správu Azure, Centrum pro správu Microsoftu 365, Microsoft Graphu, AzureAD PowerShellu. |
Překrývají se role Azure a Azure AD role?
Role Azure a Azure AD role ve výchozím nastavení nepřesahují azure a Azure AD. Pokud ale globální správce zvýší svůj přístup tím, že v Azure Portal zvolí přepínač Správa přístupu k prostředkům Azure, udělí se mu role Správce uživatelských přístupů (role Azure) ve všech předplatných pro konkrétního tenanta. Role správce uživatelských přístupů uživateli umožňuje udělit dalším uživatelům přístup k prostředkům Azure. Tento přepínač může být užitečný pro opakované získání přístupu k předplatnému. Podrobnosti najdete v tématu Zvýšení úrovně přístupu pro správu všech předplatných Azure a skupin pro správu.
Několik Azure AD rolí zahrnuje Azure AD a Microsoft 365, například role globálního správce a správce uživatelů. Pokud jste například členem role Globální správce, máte možnosti globálního správce v Azure AD a Microsoft 365, jako je provádění změn v Microsoft Exchange a Microsoft SharePointu. Ve výchozím nastavení ale globální správce nemá přístup k prostředkům Azure.
Role klasického správce předplatného
Správce účtu, správce služeb a spolusprávce jsou tři role klasického správce předplatného v Azure. Klasičtí správci předplatného mají úplný přístup k předplatnému Azure. Mohou spravovat prostředky pomocí portálu Azure Portal, rozhraní API Azure Resource Manageru a rozhraní API modelu nasazení Classic. Účet, který slouží k registraci v Azure, je automaticky nastaven jako účet správce účtu a správce služeb. Potom je možné přidat další spolusprávce. Správce služeb a spolusprávci mají stejný přístup jako uživatelé s přiřazenou rolí vlastníka (role Azure) v oboru předplatného. Následující tabulka popisuje rozdíly mezi třemi rolemi klasického správce předplatného.
| Klasický správce předplatného | Omezení | Oprávnění | Poznámky |
|---|---|---|---|
| Správce účtu | 1 na účet Azure |
|
Koncepčně se jedná o vlastníka fakturace předplatného. |
| Správce služeb | 1 na předplatné Azure |
|
Ve výchozím nastavení u nového předplatného je správce účtu současně i správcem služeb. Správce služeb má stejný přístup jako uživatel, který má přidělenu roli vlastníka v oboru předplatného. Správce služeb má úplný přístup k webu Azure Portal. |
| Spolusprávce | 200 na předplatné |
|
Spolusprávce má stejný přístup jako uživatel, který má přidělenu roli vlastníka v oboru předplatného. |
Na webu Azure Portal můžete spravovat spolusprávce nebo zobrazit správce služeb na kartě Klasičtí správci.
V Azure Portal můžete zobrazit nebo změnit správce služeb nebo zobrazit správce účtu na stránce vlastností vašeho předplatného.
Další informace najdete v tématu Klasičtí správci předplatných Azure.
Účet Azure a předplatná Azure
Účet Azure se používá k navázání fakturačního vztahu. Účet Azure je identita uživatele, jedno nebo více předplatných Azure a přidružená skupina prostředků Azure. Osoba, která vytvoří účet, je správcem účtu pro všechna předplatná vytvořená v daném účtu. Tato osoba je také výchozím správcem služeb pro předplatné.
Předplatná Azure vám usnadňují organizaci přístupu k prostředkům Azure. Zároveň vám pomohou řídit způsob, jak je používání prostředků vykazováno, fakturováno a placeno. Každé předplatné může mít jiné nastavení fakturace a plateb. Můžete tedy mít jiná předplatná a jiné plány pro různé pobočky, oddělení, projekty a podobně. Každá služba patří do předplatného a pro programové operace se může vyžadovat ID předplatného.
Každé předplatné je přidružené k adresáři Azure AD. Pokud chcete najít adresář, ke kterým je předplatné přidružené, otevřete v Azure Portal Předplatná a výběrem předplatného adresář zobrazte.
Účty a předplatná se spravují v Azure Portal.