Role Azure, Microsoft Entra a role klasického správce předplatného

Pokud s Azure začínáte, může být trochu náročné pochopit všechny různé role v Azure. Tento článek vám pomůže vysvětlit následující role a kdy byste je použili:

• Role Azure
• Role systému Microsoft Entra
• Role klasického správce předplatného

Jak spolu role souvisejí

Pokud chcete lépe porozumět rolím v Azure, pomůže vám to znát některé z historie. Když byla poprvé služba Azure vydána, byl přístup k prostředkům spravován pomocí pouhých tří rolí správce: správce účtu, správce služeb a spolusprávce. Později bylo přidáno řízení přístupu na základě role Azure (Azure RBAC). Azure RBAC je novější systém autorizace, který poskytuje podrobnou správu přístupu k prostředkům Azure. Azure RBAC zahrnuje mnoho předdefinovaných rolí, může být přiřazeno v různých rozsazích a umožňuje vytvářet vlastní role. Ke správě prostředků v Microsoft Entra ID, jako jsou uživatelé, skupiny a domény, existuje několik rolí Microsoft Entra.

Následující diagram znázorňuje vztah rolí Azure, rolí Microsoft Entra a klasických rolí správce předplatného.

Role Azure

Azure RBAC je autorizační systém založený na Azure Resource Manageru , který poskytuje jemně odstupňovanou správu přístupu k prostředkům Azure, jako jsou výpočetní prostředky a úložiště. Azure RBAC zahrnuje více než 100 předdefinovaných rolí. Existuje pět základních rolí Azure. První tři se vztahují ke všem typům prostředků:

Azure Role	Permissions	Notes
Owner	Uděluje úplný přístup ke správě všech prostředků. Přiřazení rolí v Azure RBAC	Správce služeb a spolusprávci mají přiřazenu roli vlastníka v oboru předplatného. Platí pro všechny typy prostředků.
Contributor	Uděluje úplný přístup ke správě všech prostředků. Nejde přiřadit role v Azure RBAC Nejde spravovat přiřazení v Azure Blueprints nebo sdílet galerie imagí	Platí pro všechny typy prostředků.
Reader	Zobrazení prostředků Azure	Platí pro všechny typy prostředků.
Správce řízení přístupu na základě rolí	Správa přístupu uživatelů k prostředkům Azure Přiřazení rolí v Azure RBAC Přiřaďte sami sobě nebo jiným uživatelům roli Vlastník Nejde spravovat přístup pomocí jiných způsobů, jako je Azure Policy
Správce uživatelského přístupu	Správa přístupu uživatelů k prostředkům Azure Přiřazení rolí v Azure RBAC Přiřaďte sami sobě nebo jiným uživatelům roli Vlastník

Zbývající předdefinované role umožňují správu konkrétních prostředků Azure. Role Přispěvatel virtuálních počítačů například uživateli umožňuje vytvářet a spravovat virtuální počítače. Seznam všech předdefinovaných rolí najdete v tématu Předdefinované role Azure.

Řízení přístupu na základě role (RBAC) v Azure podporují pouze Azure Portal a rozhraní API Azure Resource Manageru. Uživatelé, skupiny a aplikace s přiřazenými rolemi Azure nemůžou používat rozhraní API modelu nasazení Azure Classic.

Na webu Azure Portal se přiřazení rolí pomocí Azure RBAC zobrazí na stránce Řízení přístupu (IAM). Tuto stránku lze nalézt napříč různými částmi portálu, včetně skupin pro správu, předplatných, skupin prostředků a různých prostředků.

Když kliknete na kartu Role , zobrazí se seznam předdefinovaných a vlastních rolí.

Další informace viz Přiřazení rolí Azure pomocí webu Azure Portal.

Role systému Microsoft Entra

Role Microsoft Entra slouží ke správě prostředků Microsoft Entra v adresáři, například k vytváření nebo úpravě uživatelů, přiřazování rolí pro správu ostatním, resetování hesel uživatelů, správě uživatelských licencí a správě domén. Následující tabulka popisuje několik důležitějších rolí Microsoft Entra.

Role Microsoft Entra	Permissions	Notes
Globální správce	Spravujte přístup ke všem administrativním funkcím v Microsoft Entra ID a ke službám, které federují s Microsoft Entra ID. Přiřazení rolí správce jiným uživatelům Resetování hesla pro libovolného uživatele a všechny ostatní správce	Osoba, která se registruje v tenantovi Microsoft Entra, se stává globálním správcem.
Uživatelský administrátor	Vytváření a správa všech aspektů uživatelů a skupin Správa lístků podpory Monitorování stavu služby Změna hesel pro uživatele, správce helpdesku a další správce uživatelů
Správce fakturace	Nákupy Správa předplatných Správa lístků podpory Monitorování stavu služby

Na webu Azure Portal najdete seznam rolí Microsoft Entra na stránce Role a správci. Seznam všech rolí Microsoft Entra naleznete v tématu Oprávnění role správce v Microsoft Entra ID.

Rozdíly mezi rolemi Azure a rolemi Microsoft Entra

Na vysoké úrovni udělují role Azure oprávnění ke správě prostředků Azure, zatímco role Microsoft Entra udělují oprávnění ke správě prostředků Microsoft Entra. Následující tabulka porovnává některé rozdíly.

Role Azure	Role systému Microsoft Entra
Správa přístupu k prostředkům Azure	Správa přístupu k prostředkům Microsoft Entra
Podporuje vlastní role.	Podporuje vlastní role.
Rozsah je možné zadat na několika úrovních (správní skupina, předplatné, skupina prostředků, prostředek)	Rozsah je možné zadat na úrovni tenanta (v celé organizaci), jednotce pro správu nebo u jednotlivých objektů (například na konkrétní aplikaci).
Informace o rolích jsou přístupné na webu Azure Portal, Azure CLI, Azure PowerShellu, šablonách Azure Resource Manageru, rozhraní REST API.	Informace o rolích jsou přístupné na webu Azure Portal, Centru pro správu Microsoft Entra, Centru pro správu Microsoftu 365, Microsoft Graphu, Microsoft Graphu PowerShellu.

Překrývají se role Azure a role Microsoft Entra?

Ve výchozím nastavení role Azure a role Microsoft Entra nezahrnují Azure a Microsoft Entra ID. Pokud ale globální správce zvýší úroveň svého přístupu tak, že na webu Azure Portal zvolí přepínač Správa přístupu pro prostředky Azure , udělí globální správce roli Správce uživatelských přístupů (roli Azure) pro všechna předplatná pro konkrétního tenanta. Role Správce uživatelských přístupů umožňuje uživateli udělit ostatním uživatelům přístup k prostředkům Azure. Tento přepínač může být užitečný pro opětovné získání přístupu k předplatnému. Podrobnosti najdete v tématu Zvýšení úrovně přístupu pro správu všech předplatných Azure a skupin pro správu.

Několik rolí Microsoft Entra zahrnuje Microsoft Entra ID a Microsoft 365, jako jsou role globálního správce a správce uživatelů. Pokud jste například členem role globálního správce, máte možnosti globálního správce v Microsoft Entra ID a Microsoftu 365, například provádění změn systému Microsoft Exchange a Microsoft SharePointu. Ve výchozím nastavení ale globální správce nemá přístup k prostředkům Azure.

Role klasického správce předplatného

Important

Od 31. srpna 2024 se role klasického správce Azure (spolu s klasickými prostředky Azure a Azure Service Managerem) vyřadí z provozu a už se nepodporují. Pokud máte stále aktivní přiřazení rolí Co-Administrator nebo Service Administrator, okamžitě je převeďte na Azure RBAC. Od prosince 2025 začne Azure automaticky přiřazovat roli vlastníka v rozsahu předplatného uživatelům ve veřejném cloudu, kteří mají stále přiřazenou roli Co-Administrator nebo správce služeb.

Další informace najdete v tématu Klasičtí správci předplatných Azure.

Správce účtu, správce služeb a spolusprávce jsou tři role klasického správce předplatného v Azure. Klasičtí správci předplatného mají úplný přístup k předplatnému Azure. Mohou spravovat prostředky pomocí portálu Azure Portal, rozhraní API Azure Resource Manageru a rozhraní API modelu nasazení Classic. Účet, který slouží k registraci v Azure, je automaticky nastaven jako účet správce účtu a správce služeb. Potom je možné přidat další spolusprávce. Správce služeb a spolusprávci mají stejný přístup jako uživatelé s přiřazenou rolí vlastníka (role Azure) v oboru předplatného. Následující tabulka popisuje rozdíly mezi těmito třemi klasickými rolemi správy předplatného.

Klasický správce předplatného	Limit	Permissions	Notes
Správce účtu	1 na účet Azure	Přístup k webu Azure Portal a správa fakturace Správa fakturace pro všechna předplatná v účtu Vytvoření nových předplatných Zrušení předplatných Změna fakturace předplatného Změna správce služeb Předplatná nejde zrušit, pokud nemají roli správce služeb nebo vlastníka předplatného.	Osoba odpovědná za fakturaci v rámci předplatného.
Správce služeb	1 na předplatné Azure	Správa služeb na webu Azure Portal Zrušení předplatného Přiřazení uživatelů k roli Co-Administrator	Ve výchozím nastavení u nového předplatného je správce účtu současně i správcem služeb. Správce služeb má ekvivalentní přístup uživatele, který má přiřazenou roli Vlastník v oboru předplatného. Správce služeb má úplný přístup k webu Azure Portal.
Co-Administrator	200 na předplatné	Stejná přístupová oprávnění jako správce služeb, ale nemůže změnit přidružení předplatných k adresářům Microsoft Entra Přiřaďte uživatele ke roli spolusprávce, ale nemůžete změnit Správce služby.	Co-administrátor má stejnou úroveň přístupu jako uživatel s přiřazenou rolí Vlastník v rámci oboru předplatného.

Na webu Azure Portal můžete spravovat spolusprávce nebo zobrazit správce služeb na kartě Klasičtí správci.

Další informace najdete v tématu Klasičtí správci předplatných Azure.

Účet Azure a předplatná Azure

K vytvoření fakturačního vztahu slouží účet Azure. Účet Azure je identita uživatele, jedno nebo více předplatných Azure a přidružená sada prostředků Azure. Osoba, která účet vytvoří, je správcem účtu pro všechna předplatná vytvořená v daném účtu. Tato osoba je také výchozím správcem služeb pro předplatné.

Předplatná Azure vám usnadňují organizaci přístupu k prostředkům Azure. Pomáhají také řídit, jak se využití prostředků hlásí, fakturuje a platí. Každé předplatné může mít jiné nastavení fakturace a platby, takže můžete mít různá předplatná a různé plány podle office, oddělení, projektu atd. Většina služeb patří k předplatnému a ID předplatného se může vyžadovat pro programové operace.

Každé předplatné je přidružené k adresáři Microsoft Entra. Pokud chcete vyhledat adresář, ke kterému je přidruženo předplatné, na webu Azure Portal otevřete Předplatná a poté výběrem předplatného zobrazte tento adresář.

Účty a předplatná se spravují na webu Azure Portal.

Další kroky

• Přiřazení rolí Azure pomocí webu Azure Portal
• Přiřazení Microsoft Entra rolí uživatelům
• Role pro služby Microsoft 365 v Microsoft Entra ID