Megosztás a következőn keresztül:


Azure-szerepkörök, Microsoft Entra-szerepkörök és klasszikus előfizetés-rendszergazdai szerepkörök

Ha még csak most ismerkedik az Azure-sal, előfordulhat, hogy egy kicsit nehéz megértenie az Azure összes különböző szerepkörét. Ez a cikk segítséget nyújt az alábbi szerepkörök áttekintéséhez, és ahhoz, hogy mikor érdemes használni őket:

  • Azure-szerepkörök
  • Microsoft Entra szerepek
  • A hagyományos előfizetés-rendszergazdai szerepkörök

Az Azure szerepköreinek megismeréséhez érdemes tudni azok előzményeit is. Az Azure első megjelenésekor az erőforrásokhoz való hozzáférés kezeléséhez mindössze három rendszergazdai szerepkör állt rendelkezésre: a fiókadminisztrátor, a szolgáltatás-rendszergazda és a társadminisztrátor. Később azure-beli szerepköralapú hozzáférés-vezérlés (Azure RBAC) lett hozzáadva. Az Azure RBAC egy viszonylag új engedélyezési rendszer, amely részletes hozzáférés-kezelési lehetőségeket nyújt az Azure-erőforrásokhoz. Az Azure RBAC számos beépített szerepkört tartalmaz, különböző hatókörökhöz rendelhető hozzá, és lehetővé teszi saját egyéni szerepkörök létrehozását. A Microsoft Entra-azonosítóban lévő erőforrások( például felhasználók, csoportok és tartományok) kezeléséhez számos Microsoft Entra-szerepkör létezik.

Az alábbi ábra az Azure-szerepkörök, a Microsoft Entra-szerepkörök és a klasszikus előfizetés-rendszergazdai szerepkörök kapcsolatának magas szintű nézetét mutatja be.

Az Azure különböző szerepköreinek diagramja.

Azure-szerepkörök

Az Azure RBAC az Azure Resource Managerre épülő engedélyezési rendszer, amely részletes hozzáférés-kezelést biztosít az Azure-erőforrásokhoz, például a számításhoz és a tároláshoz. Az Azure RBAC több mint 100 beépített szerepkört tartalmaz. Öt alapvető Azure-szerepkör van. Az első három minden erőforrástípusra vonatkozik:

Azure-szerepkör Engedélyek Jegyzetek
Tulajdonos
  • Teljes hozzáférést biztosít az összes erőforrás kezeléséhez
  • Szerepkörök hozzárendelése az Azure RBAC-ben
A szolgáltatás-rendszergazda és társadminisztrátor Tulajdonos szerepkört kap az előfizetés hatókörében.
Minden erőforrástípusra alkalmazható.
Közreműködő
  • Teljes hozzáférést biztosít az összes erőforrás kezeléséhez
  • Nem lehet szerepköröket hozzárendelni az Azure RBAC-ben
  • Nem kezelhetők a hozzárendelések az Azure Blueprintsben, és nem oszthatók meg képgalériák
Minden erőforrástípusra alkalmazható.
Olvasó
  • Megtekintheti az Azure-erőforrásokat.
Minden erőforrástípusra alkalmazható.
Szerepköralapú hozzáférés-vezérlési Rendszergazda istrator
  • Kezelheti az Azure-erőforrásokhoz való felhasználói hozzáférést.
  • Szerepkörök hozzárendelése az Azure RBAC-ben
  • Saját vagy mások hozzárendelése tulajdonosi szerepkörhöz
  • A hozzáférés nem kezelhető más módokon, például az Azure Policy használatával
Felhasználói hozzáférés adminisztrátora
  • Kezelheti az Azure-erőforrásokhoz való felhasználói hozzáférést.
  • Szerepkörök hozzárendelése az Azure RBAC-ben
  • Saját vagy mások hozzárendelése tulajdonosi szerepkörhöz

A többi beépített szerepkör adott Azure-erőforrások kezelését teszi lehetővé. Például a Virtuális gépek közreműködője szerepkör virtuális gépek létrehozását és kezelését teszi lehetővé. A beépített szerepkörök listája a Beépített Azure-szerepkörök című szakaszban található.

Az Azure RBAC-t csak az Azure Portal és az Azure Resource Manager API-k támogatják. Azok a felhasználók, csoportok és alkalmazások, amelyekhez Azure-szerepkör van hozzárendelve, nem használhatják a klasszikus Azure üzemi modell API-jait.

Az Azure Portalon az Azure RBAC-t használó szerepkör-hozzárendelések megjelennek a Hozzáférés-vezérlés (IAM) lapon. Ez a lap az egész portálon megtalálható, például felügyeleti csoportok, előfizetések, erőforráscsoportok és különböző erőforrások.

Képernyőkép az Azure Portal Hozzáférés-vezérlés (IAM) oldaláról.

Amikor a Szerepkörök fülre kattint, megjelenik a beépített és az egyéni szerepkörök listája.

Képernyőkép az Azure Portal beépített szerepköreiről.

További információ: Azure-szerepkörök hozzárendelése a Azure Portal.

Microsoft Entra szerepek

A Microsoft Entra-szerepkörök a Microsoft Entra-erőforrások címtárban való kezelésére szolgálnak, például felhasználók létrehozására vagy szerkesztésére, rendszergazdai szerepkörök másokhoz való hozzárendelésére, a felhasználói jelszavak alaphelyzetbe állítására, a felhasználói licencek kezelésére és a tartományok kezelésére. Az alábbi táblázat néhány fontosabb Microsoft Entra-szerepkört ismertet.

Microsoft Entra szerepkör Engedélyek Jegyzetek
Globális rendszergazda
  • A Microsoft Entra ID összes felügyeleti funkcióhoz való hozzáférésének, valamint a Microsoft Entra-azonosítóhoz összevont szolgáltatásoknak a kezelése
  • Rendszergazdai szerepköröket rendelhet másokhoz.
  • Bármely felhasználó és az összes többi rendszergazda jelszavát visszaállíthatja.
A Microsoft Entra-bérlőre regisztráló személy globális Rendszergazda istrator lesz.
Felhasználói rendszergazda
  • A felhasználók és csoportok minden összetevőjét létrehozhatja és kezelheti.
  • Támogatási jegyek kezelése
  • Monitorozhatja a szolgáltatás állapotát.
  • Módosíthatja a felhasználók, az ügyfélszolgálati rendszergazdák és egyéb felhasználói rendszergazdák jelszavát.
Számlázási rendszergazda
  • Vásárlásokat hajthat végre.
  • Előfizetések kezelése
  • Támogatási jegyek kezelése
  • Monitorozhatja a szolgáltatás állapotát.

Az Azure Portalon a Microsoft Entra szerepköreinek listája látható a Szerepkörök és rendszergazdák lapon. Az összes Microsoft Entra-szerepkör listáját a Microsoft Entra-azonosító Rendszergazda istrator szerepkör-engedélyeivel kapcsolatban találja.

Képernyőkép a Microsoft Entra szerepköreiről az Azure Portalon.

Az Azure-szerepkörök és a Microsoft Entra-szerepkörök közötti különbségek

Magas szinten az Azure-szerepkörök szabályozzák az Azure-erőforrások kezeléséhez szükséges engedélyeket, a Microsoft Entra-szerepkörök pedig a Microsoft Entra-erőforrások kezeléséhez szükséges engedélyeket. A következő táblázat a fontosabb különbségeket ismerteti.

Azure-szerepkörök Microsoft Entra szerepek
Azure-erőforrásokhoz való hozzáférés kezelése A Microsoft Entra-erőforrásokhoz való hozzáférés kezelése
Támogatják az egyéni szerepköröket. Támogatják az egyéni szerepköröket.
A hatókör több szinten adható meg (kezelési csoport, előfizetés, erőforráscsoport, erőforrás). A hatókör megadható bérlői szinten (szervezetszintű), felügyeleti egységben vagy egy adott objektumon (például egy adott alkalmazáson)
A szerepkörre vonatkozó információk az Azure Portalon, az Azure CLI-ben, az Azure PowerShellben, az Azure Resource Manager-sablonokban vagy a REST API-n érhetők el. A szerepköradatok az Azure Portalon, a Microsoft Entra felügyeleti központban, Microsoft 365 Felügyeleti központ, a Microsoft Graphban, a Microsoft Graph PowerShellben érhetők el

Átfedésben vannak az Azure-szerepkörök és a Microsoft Entra-szerepkörök?

Alapértelmezés szerint az Azure-szerepkörök és a Microsoft Entra-szerepkörök nem terjednek ki az Azure-ra és a Microsoft Entra-azonosítóra. Ha azonban egy globális Rendszergazda istrator az Azure Portalon az Azure-erőforrások hozzáférés-kezelésének kapcsolójának kiválasztásával emeli a hozzáférést, a globális Rendszergazda istrator az adott bérlő összes előfizetésén felhasználói hozzáférési Rendszergazda istrator szerepkört (Azure-szerepkört) kap. A felhasználói hozzáférés rendszergazdája szerepkörrel a felhasználó hozzáférést biztosíthat mások számára Azure-erőforrásokhoz. Ez a kapcsoló az előfizetésekhez való hozzáférés visszanyeréséhez lehet hasznos. További információért tekintse meg a Hozzáférési jogosultságszint emelése az összes Azure-előfizetés és felügyeleti csoport kezeléséhez szakaszt.

A Microsoft Entra számos szerepköre kiterjed a Microsoft Entra ID-re és a Microsoft 365-re, például a globális Rendszergazda istrator és a felhasználói Rendszergazda istrator szerepkörre. Ha például a Globális Rendszergazda istrator szerepkör tagja, globális rendszergazdai képességekkel rendelkezik a Microsoft Entra ID-ban és a Microsoft 365-ben, például módosíthatja a Microsoft Exchange-et és a Microsoft SharePointot. Alapértelmezés szerint azonban a globális rendszergazda nem rendelkezik hozzáféréssel az Azure-erőforrásokhoz.

Az Azure RBAC és a Microsoft Entra szerepköröket bemutató ábra.

A hagyományos előfizetés-rendszergazdai szerepkörök

Fontos

A klasszikus erőforrásokat és a klasszikus rendszergazdákat 2024. augusztus 31-én kivonjuk. 2024. április 3-tól nem fog tudni új társadminisztrátorokat hozzáadni. Ezt a határidőt nemrég meghosszabbítottuk. Távolítsa el a szükségtelen társadminisztrátorokat, és használja az Azure RBAC-t a részletes hozzáférés-vezérléshez.

Az Azure három hagyományos előfizetés-rendszergazdai szerepköre a fiókadminisztrátor, a szolgáltatás-rendszergazda és a társadminisztrátor. A hagyományos előfizetés-rendszergazdák teljes körű hozzáféréssel rendelkeznek az Azure-előfizetéshez. Az Azure Portal, Azure Resource Manager API-k és a klasszikus üzemi modell segítségével végzik az erőforrások felügyeletét. Az Azure-beli regisztrációhoz használt fiók lesz automatikusan a fiókadminisztrátor és a szolgáltatás-rendszergazda. Ezután további társadminisztrátorok is hozzáadhatók. A szolgáltatásadminisztrátor és a társadminisztrátor ugyanolyan szintű hozzáféréssel rendelkeznek az előfizetés hatókörében, mint a Tulajdonos szerepkörrel (Azure-szerepkör) rendelkező felhasználók. Az alábbi tábla a három hagyományos előfizetés-rendszergazdai szerepkör közötti különbségeket ismerteti.

Hagyományos előfizetés-adminisztrátor Korlát Engedélyek Jegyzetek
Fiókadminisztrátor Azure-fiókonként 1
  • Eléri az Azure Portalt és kezelheti a számlázást
  • Kezelheti a fiók alá tartozó előfizetések számlázását
  • Új előfizetéseket hozhat létre.
  • Megszüntetheti az előfizetéseket.
  • Módosíthatja az előfizetés számlázási lehetőségeit.
  • A szolgáltatásadminisztrátor módosítása
  • Az előfizetéseket csak akkor mondhatja le, ha rendelkezik a Szolgáltatás Rendszergazda istrator vagy az előfizetés tulajdonosi szerepkörével
Elméleti szinten az előfizetés számlázási tulajdonosa.
Szolgáltatás-rendszergazda Azure-előfizetésenként 1
  • Kezelheti a szolgáltatásokat az Azure Portalon.
  • Lemondhatja az előfizetést
  • Felhasználókat rendelhet hozzá a társadminisztrátor szerepkörhöz.
Alapértelmezés szerint új előfizetések esetén a fiókadminisztrátor a szolgáltatás-rendszergazda is egyben.
A szolgáltatás-rendszergazda ugyanolyan szintű hozzáféréssel rendelkezik az előfizetés hatókörében, mint a Tulajdonos szerepkörrel rendelkező felhasználók.
A szolgáltatásadminisztrátor teljes hozzáféréssel rendelkezik az Azure Portalhoz.
Társadminisztrátor Előfizetésenként 200
  • Ugyanazok a hozzáférési jogosultságok, mint a Szolgáltatás Rendszergazda istrator, de nem módosíthatja az előfizetések Microsoft Entra-címtárakhoz való társítását
  • Felhasználókat rendelhet hozzá a társadminisztrátori szerepkörhöz, de nem változtathatja meg a szolgáltatásadminisztrátor személyét
A társadminisztrátor ugyanolyan szintű hozzáféréssel rendelkezik az előfizetés hatókörében, mint a Tulajdonos szerepkörrel rendelkező felhasználók.

Az Azure Portalon a Klasszikus adminisztrátorok lapon kezelheti a társadminisztrátort és tekintheti meg a szolgáltatásadminisztrátort.

Képernyőkép a klasszikus Azure-előfizetés rendszergazdáiról az Azure Portalon.

További információ: Azure klasszikus előfizetés-adminisztrátorok.

Azure-fiók és Azure-előfizetések

A rendszer egy Azure-fiókot használ a számlázási kapcsolat létrehozásához. Az Azure-fiók egy felhasználói identitásból, egy vagy több Azure-előfizetésből és az azokhoz kapcsolódó Azure-erőforrásokból áll. A fiókot létrehozó személy lesz a fiókon belül létrehozott összes előfizetés fiókadminisztrátora. Ez a személy egyben az előfizetés alapértelmezett szolgáltatás-rendszergazdája is lesz.

Az Azure-előfizetés segít az Azure-erőforrásokhoz való hozzáférés rendezésében. Ezenfelül az előfizetés révén azt is megszabhatja, hogy hogyan szeretne jelentést készíteni az erőforrások használatáról, hogy hogyan számlázzák ki azt Önnek, illetve, hogy hogyan szeretne fizetni érte. Minden előfizetéshez külön számlázási és fizetési beállítás tartozhat, így saját előfizetése lehet az egyes irodáknak, osztályoknak, projekteknek stb. A legtöbb szolgáltatás egy előfizetéshez tartozik, és előfordulhat, hogy az előfizetés azonosítója szükséges a programozott műveletekhez.

Minden előfizetés egy Microsoft Entra-címtárhoz van társítva. Az előfizetéshez társított címtár megkereséséhez nyissa meg az Előfizetéseket az Azure Portalon, majd válasszon ki egy előfizetést a címtár megtekintéséhez.

A fiókok és előfizetések kezelése az Azure Portalon történik.

Következő lépések