Azure-szerepkörök, Microsoft Entra-szerepkörök és klasszikus előfizetés-rendszergazdai szerepkörök

Ha még csak most ismerkedik az Azure-sal, előfordulhat, hogy egy kicsit nehéz megértenie az Azure összes különböző szerepkörét. Ez a cikk segítséget nyújt az alábbi szerepkörök áttekintéséhez, és ahhoz, hogy mikor érdemes használni őket:

• Azure-szerepkörök
• Microsoft Entra szerepek
• A hagyományos előfizetés-rendszergazdai szerepkörök

Hogyan kapcsolódnak egymáshoz a szerepkörök?

Az Azure szerepköreinek megismeréséhez érdemes tudni azok előzményeit is. Az Azure első megjelenésekor az erőforrásokhoz való hozzáférés kezeléséhez mindössze három rendszergazdai szerepkör állt rendelkezésre: a fiókadminisztrátor, a szolgáltatás-rendszergazda és a társadminisztrátor. Később azure-beli szerepköralapú hozzáférés-vezérlés (Azure RBAC) lett hozzáadva. Az Azure RBAC egy viszonylag új engedélyezési rendszer, amely részletes hozzáférés-kezelési lehetőségeket nyújt az Azure-erőforrásokhoz. Az Azure RBAC számos beépített szerepkört tartalmaz, különböző hatókörökhöz rendelhető hozzá, és lehetővé teszi saját egyéni szerepkörök létrehozását. A Microsoft Entra-azonosítóban lévő erőforrások( például felhasználók, csoportok és tartományok) kezeléséhez számos Microsoft Entra-szerepkör létezik.

Az alábbi ábra az Azure-szerepkörök, a Microsoft Entra-szerepkörök és a klasszikus előfizetés-rendszergazdai szerepkörök kapcsolatának magas szintű nézetét mutatja be.

Azure-szerepkörök

Az Azure RBAC az Azure Resource Managerre épülő engedélyezési rendszer, amely részletes hozzáférés-kezelést biztosít az Azure-erőforrásokhoz, például a számításhoz és a tároláshoz. Az Azure RBAC több mint 100 beépített szerepkört tartalmaz. Öt alapvető Azure-szerepkör van. Az első három minden erőforrástípusra vonatkozik:

Azure-szerepkör	Engedélyek	Jegyzetek
Tulajdonos	Teljes hozzáférést biztosít az összes erőforrás kezeléséhez Szerepkörök hozzárendelése az Azure RBAC-ben	A szolgáltatás-rendszergazda és társadminisztrátor Tulajdonos szerepkört kap az előfizetés hatókörében. Minden erőforrástípusra alkalmazható.
Közreműködő	Teljes hozzáférést biztosít az összes erőforrás kezeléséhez Nem lehet szerepköröket hozzárendelni az Azure RBAC-ben Nem kezelhetők a hozzárendelések az Azure Blueprintsben, és nem oszthatók meg képgalériák	Minden erőforrástípusra alkalmazható.
Olvasó	Megtekintheti az Azure-erőforrásokat.	Minden erőforrástípusra alkalmazható.
Szerepköralapú hozzáférés-vezérlési rendszergazda	Kezelheti az Azure-erőforrásokhoz való felhasználói hozzáférést. Szerepkörök hozzárendelése az Azure RBAC-ben Saját vagy mások hozzárendelése tulajdonosi szerepkörhöz A hozzáférés nem kezelhető más módokon, például az Azure Policy használatával
Felhasználói hozzáférés adminisztrátora	Kezelheti az Azure-erőforrásokhoz való felhasználói hozzáférést. Szerepkörök hozzárendelése az Azure RBAC-ben Saját vagy mások hozzárendelése tulajdonosi szerepkörhöz

A többi beépített szerepkör adott Azure-erőforrások kezelését teszi lehetővé. Például a Virtuális gépek közreműködője szerepkör virtuális gépek létrehozását és kezelését teszi lehetővé. A beépített szerepkörök listája a Beépített Azure-szerepkörök című szakaszban található.

Az Azure RBAC-t csak az Azure Portal és az Azure Resource Manager API-k támogatják. Azok a felhasználók, csoportok és alkalmazások, amelyekhez Azure-szerepkör van hozzárendelve, nem használhatják a klasszikus Azure üzemi modell API-jait.

Az Azure Portalon az Azure RBAC-t használó szerepkör-hozzárendelések megjelennek a Hozzáférés-vezérlés (IAM) lapon. Ez a lap az egész portálon megtalálható, például felügyeleti csoportok, előfizetések, erőforráscsoportok és különböző erőforrások.

Amikor a Szerepkörök fülre kattint, megjelenik a beépített és az egyéni szerepkörök listája.

További információ: Azure-szerepkörök hozzárendelése a Azure Portal.

Microsoft Entra szerepek

A Microsoft Entra-szerepkörök a Microsoft Entra-erőforrások címtárban való kezelésére szolgálnak, például felhasználók létrehozására vagy szerkesztésére, rendszergazdai szerepkörök másokhoz való hozzárendelésére, a felhasználói jelszavak alaphelyzetbe állítására, a felhasználói licencek kezelésére és a tartományok kezelésére. Az alábbi táblázat néhány fontosabb Microsoft Entra-szerepkört ismertet.

Microsoft Entra szerepkör	Engedélyek	Jegyzetek
Globális rendszergazda	A Microsoft Entra ID összes felügyeleti funkcióhoz való hozzáférésének, valamint a Microsoft Entra-azonosítóhoz összevont szolgáltatásoknak a kezelése Rendszergazdai szerepköröket rendelhet másokhoz. Bármely felhasználó és az összes többi rendszergazda jelszavát visszaállíthatja.	A Microsoft Entra-bérlőre regisztráló személy globális rendszergazda lesz.
Felhasználói rendszergazda	A felhasználók és csoportok minden összetevőjét létrehozhatja és kezelheti. Támogatási jegyek kezelése Monitorozhatja a szolgáltatás állapotát. Módosíthatja a felhasználók, az ügyfélszolgálati rendszergazdák és egyéb felhasználói rendszergazdák jelszavát.
Számlázási rendszergazda	Vásárlásokat hajthat végre. Előfizetések kezelése Támogatási jegyek kezelése Monitorozhatja a szolgáltatás állapotát.

Az Azure Portalon a Microsoft Entra szerepköreinek listája látható a Szerepkörök és rendszergazdák lapon. Az összes Microsoft Entra-szerepkör listáját a Microsoft Entra ID rendszergazdai szerepkör-engedélyeivel kapcsolatban találja.

Az Azure-szerepkörök és a Microsoft Entra-szerepkörök közötti különbségek

Magas szinten az Azure-szerepkörök szabályozzák az Azure-erőforrások kezeléséhez szükséges engedélyeket, a Microsoft Entra-szerepkörök pedig a Microsoft Entra-erőforrások kezeléséhez szükséges engedélyeket. A következő táblázat a fontosabb különbségeket ismerteti.

Azure-szerepkörök	Microsoft Entra szerepek
Azure-erőforrásokhoz való hozzáférés kezelése	A Microsoft Entra-erőforrásokhoz való hozzáférés kezelése
Támogatják az egyéni szerepköröket.	Támogatják az egyéni szerepköröket.
A hatókör több szinten adható meg (kezelési csoport, előfizetés, erőforráscsoport, erőforrás).	A hatókör megadható bérlői szinten (szervezetszintű), felügyeleti egységben vagy egy adott objektumon (például egy adott alkalmazáson)
A szerepkörre vonatkozó információk az Azure Portalon, az Azure CLI-ben, az Azure PowerShellben, az Azure Resource Manager-sablonokban vagy a REST API-n érhetők el.	A szerepköradatok az Azure Portalon, a Microsoft Entra felügyeleti központban, Microsoft 365 Felügyeleti központ, a Microsoft Graphban, a Microsoft Graph PowerShellben érhetők el

Átfedésben vannak az Azure-szerepkörök és a Microsoft Entra-szerepkörök?

Alapértelmezés szerint az Azure-szerepkörök és a Microsoft Entra-szerepkörök nem terjednek ki az Azure-ra és a Microsoft Entra-azonosítóra. Ha azonban egy globális rendszergazda az Azure Portalon az Azure-erőforrások hozzáférés-kezelésének kiválasztásával emeli a hozzáférését, a globális rendszergazda megkapja a felhasználói hozzáférés-rendszergazdai szerepkört (egy Azure-szerepkört) egy adott bérlő összes előfizetésén. A felhasználói hozzáférés rendszergazdája szerepkörrel a felhasználó hozzáférést biztosíthat mások számára Azure-erőforrásokhoz. Ez a kapcsoló az előfizetésekhez való hozzáférés visszanyeréséhez lehet hasznos. További információért tekintse meg a Hozzáférési jogosultságszint emelése az összes Azure-előfizetés és felügyeleti csoport kezeléséhez szakaszt.

A Microsoft Entra számos szerepköre kiterjed a Microsoft Entra-azonosítóra és a Microsoft 365-re, például a globális rendszergazdai és a felhasználói rendszergazdai szerepkörökre. Ha például tagja a globális rendszergazdai szerepkörnek, globális rendszergazdai képességekkel rendelkezik a Microsoft Entra ID-ban és a Microsoft 365-ben, például módosíthatja a Microsoft Exchange-et és a Microsoft SharePointot. Alapértelmezés szerint azonban a globális rendszergazda nem rendelkezik hozzáféréssel az Azure-erőforrásokhoz.

A hagyományos előfizetés-rendszergazdai szerepkörök

Fontos

2024. augusztus 31-étől a klasszikus Azure-rendszergazdai szerepkörök (az Azure klasszikus erőforrásaival és az Azure Service Managerrel együtt) megszűnnek, és már nem támogatottak. Ha továbbra is aktív társadminisztrátori vagy szolgáltatásadminisztrátori szerepkör-hozzárendelésekkel rendelkezik, ezeket a szerepkör-hozzárendeléseket azonnal konvertálja Azure RBAC-vé.

További információ: Azure klasszikus előfizetés-adminisztrátorok.

Az Azure három hagyományos előfizetés-rendszergazdai szerepköre a fiókadminisztrátor, a szolgáltatás-rendszergazda és a társadminisztrátor. A hagyományos előfizetés-rendszergazdák teljes körű hozzáféréssel rendelkeznek az Azure-előfizetéshez. Az Azure Portal, Azure Resource Manager API-k és a klasszikus üzemi modell segítségével végzik az erőforrások felügyeletét. Az Azure-beli regisztrációhoz használt fiók lesz automatikusan a fiókadminisztrátor és a szolgáltatás-rendszergazda. Ezután további társadminisztrátorok is hozzáadhatók. A szolgáltatásadminisztrátor és a társadminisztrátor ugyanolyan szintű hozzáféréssel rendelkeznek az előfizetés hatókörében, mint a Tulajdonos szerepkörrel (Azure-szerepkör) rendelkező felhasználók. Az alábbi tábla a három hagyományos előfizetés-rendszergazdai szerepkör közötti különbségeket ismerteti.

Hagyományos előfizetés-adminisztrátor	Korlát	Engedélyek	Jegyzetek
Fiókadminisztrátor	Azure-fiókonként 1	Eléri az Azure Portalt és kezelheti a számlázást Kezelheti a fiók alá tartozó előfizetések számlázását Új előfizetéseket hozhat létre. Megszüntetheti az előfizetéseket. Módosíthatja az előfizetés számlázási lehetőségeit. A szolgáltatásadminisztrátor módosítása Csak akkor mondhatja le az előfizetéseket, ha rendelkezik szolgáltatásadminisztrátori vagy előfizetés-tulajdonosi szerepkörsel	Elméleti szinten az előfizetés számlázási tulajdonosa.
Szolgáltatás-rendszergazda	Azure-előfizetésenként 1	Kezelheti a szolgáltatásokat az Azure Portalon. Lemondhatja az előfizetést Felhasználókat rendelhet hozzá a társadminisztrátor szerepkörhöz.	Alapértelmezés szerint új előfizetések esetén a fiókadminisztrátor a szolgáltatás-rendszergazda is egyben. A szolgáltatás-rendszergazda ugyanolyan szintű hozzáféréssel rendelkezik az előfizetés hatókörében, mint a Tulajdonos szerepkörrel rendelkező felhasználók. A szolgáltatásadminisztrátor teljes hozzáféréssel rendelkezik az Azure Portalhoz.
Társadminisztrátor	Előfizetésenként 200	Ugyanazok a hozzáférési jogosultságok, mint a szolgáltatásadminisztrátor, de nem módosíthatja az előfizetések Microsoft Entra-címtárakhoz való társítását Felhasználókat rendelhet hozzá a társadminisztrátori szerepkörhöz, de nem változtathatja meg a szolgáltatásadminisztrátor személyét	A társadminisztrátor ugyanolyan szintű hozzáféréssel rendelkezik az előfizetés hatókörében, mint a Tulajdonos szerepkörrel rendelkező felhasználók.

Az Azure Portalon a Klasszikus adminisztrátorok lapon kezelheti a társadminisztrátort és tekintheti meg a szolgáltatásadminisztrátort.

További információ: Azure klasszikus előfizetés-adminisztrátorok.

Azure-fiók és Azure-előfizetések

A rendszer egy Azure-fiókot használ a számlázási kapcsolat létrehozásához. Az Azure-fiók egy felhasználói identitásból, egy vagy több Azure-előfizetésből és az azokhoz kapcsolódó Azure-erőforrásokból áll. A fiókot létrehozó személy lesz a fiókon belül létrehozott összes előfizetés fiókadminisztrátora. Ez a személy egyben az előfizetés alapértelmezett szolgáltatás-rendszergazdája is lesz.

Az Azure-előfizetés segít az Azure-erőforrásokhoz való hozzáférés rendezésében. Ezenfelül az előfizetés révén azt is megszabhatja, hogy hogyan szeretne jelentést készíteni az erőforrások használatáról, hogy hogyan számlázzák ki azt Önnek, illetve, hogy hogyan szeretne fizetni érte. Minden előfizetéshez külön számlázási és fizetési beállítás tartozhat, így saját előfizetése lehet az egyes irodáknak, osztályoknak, projekteknek stb. A legtöbb szolgáltatás egy előfizetéshez tartozik, és előfordulhat, hogy az előfizetés azonosítója szükséges a programozott műveletekhez.

Minden előfizetés egy Microsoft Entra-címtárhoz van társítva. Az előfizetéshez társított címtár megkereséséhez nyissa meg az Előfizetéseket az Azure Portalon, majd válasszon ki egy előfizetést a címtár megtekintéséhez.

A fiókok és előfizetések kezelése az Azure Portalon történik.

Következő lépések

• Azure-szerepkörök hozzárendelése az Azure Portalon
• Microsoft Entra szerepkörök hozzárendelése a felhasználókhoz
• Szerepkörök a Microsoft 365-szolgáltatásokhoz a Microsoft Entra-azonosítóban