Peran Azure, peran Microsoft Entra, dan peran administrator langganan klasik

  • Artikel

Jika Anda baru menggunakan Azure, Anda mungkin merasa sedikit sulit untuk memahami semua peran yang berbeda di Azure. Artikel ini membantu menjelaskan peran berikut dan kapan Anda bisa menggunakan setiap peran tersebut:

  • Peran Azure
  • Peran Microsoft Entra
  • Peran administrator langganan klasik

Untuk lebih memahami peran di Azure, sebaiknya Anda mengetahui riwayat setiap peran tersebut. Saat Azure pertama kali dirilis, akses ke sumber daya dikelola hanya dengan tiga peran administrator: Administrator Akun, Administrator Layanan, dan Administrator Bersama. Kemudian, kontrol akses berbasis peran Azure (Azure RBAC) ditambahkan. Azure RBAC adalah sistem otorisasi yang lebih baru yang menyediakan manajemen akses yang mendetail ke sumber daya Azure. Azure RBAC mencakup banyak peran bawaan, dapat ditetapkan pada cakupan yang berbeda, dan memungkinkan Anda untuk membuat peran kustom sendiri. Untuk mengelola sumber daya di ID Microsoft Entra, seperti pengguna, grup, dan domain, ada beberapa peran Microsoft Entra.

Diagram berikut adalah tampilan tingkat tinggi tentang bagaimana peran Azure, peran Microsoft Entra, dan peran administrator langganan klasik terkait.

Diagram peran yang berbeda di Azure.

Peran Azure

Azure RBAC adalah sistem otorisasi yang dibangun di Azure Resource Manager yang menyediakan manajemen akses terperinci ke sumber daya Azure, seperti komputasi dan penyimpanan. Azure RBAC menyertakan lebih dari 100 peran bawaan. Ada lima peran Dasar Azure. Tiga peran yang pertama berlaku untuk semua jenis sumber daya:

Peran Azure Izin Catatan
Pemilik
  • Memberikan akses penuh untuk mengelola semua sumber daya
  • Menetapkan peran di Azure RBAC
 Administrator Layanan dan Administrator Bersama diberi peran Pemilik di cakupan langganan
Berlaku untuk semua jenis sumber daya.
Kontributor
  • Memberikan akses penuh untuk mengelola semua sumber daya
  • Tidak dapat menetapkan peran di Azure RBAC
  • Tidak dapat mengelola penugasan di Azure Blueprints atau berbagi galeri gambar
 Berlaku untuk semua jenis sumber daya.
Pembaca
  • Menampilkan sumber daya Azure
 Berlaku untuk semua jenis sumber daya.
Administrator Kontrol Akses Berbasis Peran
  • Mengelola akses pengguna ke sumber daya Azure
  • Menetapkan peran di Azure RBAC
  • Menetapkan diri mereka sendiri atau orang lain peran Pemilik
  • Tidak dapat mengelola akses menggunakan cara lain, seperti Azure Policy
Administrator Akses Pengguna
  • Mengelola akses pengguna ke sumber daya Azure
  • Menetapkan peran di Azure RBAC
  • Menetapkan diri mereka sendiri atau orang lain peran Pemilik

Peran bawaan lainnya memungkinkan pengelolaan sumber daya Azure tertentu. Misalnya, peran Kontributor Komputer Virtual memungkinkan pengguna membuat dan mengelola komputer virtual. Untuk mengetahui daftar peran bawaan, lihat Peran bawaan Azure.

Hanya portal Azure dan API Azure Resource Manager yang mendukung Azure RBAC. Pengguna, grup, dan aplikasi yang diberi peran Azure yang ditetapkan tidak dapat menggunakan API model penyebaran klasik Azure.

Di portal Azure, penetapan peran menggunakan Azure RBAC muncul di halaman Kontrol akses (IAM). Halaman ini dapat ditemukan di seluruh portal, seperti grup manajemen, langganan, grup sumber daya, dan berbagai sumber daya.

Cuplikan layar halaman Kontrol akses (IAM) di portal Azure.

Saat mengklik tab Peran , Anda akan melihat daftar peran bawaan dan kustom.

Cuplikan layar peran bawaan dalam portal Azure.

Untuk informasi selengkapnya, lihat Menetapkan peran Azure menggunakan portal Microsoft Azure.

Peran Microsoft Entra

Peran Microsoft Entra digunakan untuk mengelola sumber daya Microsoft Entra dalam direktori seperti membuat atau mengedit pengguna, menetapkan peran administratif kepada orang lain, mengatur ulang kata sandi pengguna, mengelola lisensi pengguna, dan mengelola domain. Tabel berikut ini menjelaskan beberapa peran Microsoft Entra yang lebih penting.

Peran Microsoft Entra Izin Catatan
Administrator Global
  • Mengelola akses ke semua fitur administratif di ID Microsoft Entra, serta layanan yang bergabung ke ID Microsoft Entra
  • Menetapkan peran administrator untuk orang lain
  • Mereset kata sandi untuk setiap pengguna dan semua administrator lainnya
 Orang yang mendaftar penyewa Microsoft Entra menjadi Administrator Global.
Admin Pengguna
  • Membuat dan mengelola semua aspek pengguna dan grup
  • Mengelola tiket dukungan
  • Memantau kondisi layanan
  • Mengubah kata sandi untuk pengguna, administrator Bantuan Teknis, dan Administrator Pengguna lainnya
Admin Penagihan
  • Melakukan pembelian
  • Kelola langganan
  • Mengelola tiket dukungan
  • Memantau kondisi layanan

Di portal Azure, Anda dapat melihat daftar peran Microsoft Entra di halaman Peran dan administrator. Untuk daftar semua peran Microsoft Entra, lihat Izin peran administrator di ID Microsoft Entra.

Cuplikan layar peran Microsoft Entra di portal Azure.

Perbedaan antara peran Azure dan peran Microsoft Entra

Pada tingkat tinggi, peran Azure mengontrol izin untuk mengelola sumber daya Azure, sementara peran Microsoft Entra mengontrol izin untuk mengelola sumber daya Microsoft Entra. Tabel berikut membandingkan beberapa perbedaan.

Peran Azure Peran Microsoft Entra
Mengelola akses ke sumber daya Azure Mengelola akses ke sumber daya Microsoft Entra
Mendukung peran kustom Mendukung peran kustom
Cakupan dapat ditentukan di beberapa tingkat (grup manajemen, langganan, grup sumber daya, sumber daya) Cakupan dapat ditentukan pada tingkat penyewa (seluruh organisasi), unit administratif, atau pada objek individual (misalnya, aplikasi tertentu)
Informasi peran dapat diakses di portal Microsoft Azure, Azure CLI, Azure PowerShell, templat Azure Resource Manager, REST API Informasi peran dapat diakses di portal Azure, pusat admin Microsoft Entra, pusat admin Microsoft 365, Microsoft Graph, Microsoft Graph PowerShell

Apakah peran Azure dan peran Microsoft Entra tumpang tindih?

Secara default, peran Azure dan peran Microsoft Entra tidak menjangkau Azure dan ID Microsoft Entra. Namun, jika Administrator Global meningkatkan akses mereka dengan memilih Manajemen akses untuk sumber daya Azure beralih di portal Microsoft Azure, Administrator Global akan diberi peran Administrator Akses Pengguna (peran Azure) pada semua langganan untuk penyewa tertentu. Peran Administrator Akses Pengguna memungkinkan pengguna untuk memberi pengguna lain akses ke sumber daya Azure. Peralihan ini dapat membantu mendapatkan kembali akses ke langganan. Untuk informasi lebih lanjut, lihat Tingkatkan akses untuk mengelola semua langganan Azure dan grup manajemen.

Beberapa peran Microsoft Entra mencakup ID Microsoft Entra dan Microsoft 365, seperti peran Administrator Global dan Administrator Pengguna. Misalnya, jika Anda adalah anggota peran Administrator Global, Anda memiliki kemampuan administrator global di MICROSOFT Entra ID dan Microsoft 365, seperti membuat perubahan pada Microsoft Exchange dan Microsoft SharePoint. Namun, secara default, Administrator Global tidak memiliki akses ke sumber daya Azure.

Diagram yang memperlihatkan Azure RBAC versus peran Microsoft Entra.

Peran administrator langganan klasik

Penting

Sumber daya klasik dan administrator klasik akan dihentikan pada 31 Agustus 2024. Mulai 3 April 2024, Anda tidak akan dapat menambahkan Co-Administrator baru. Tanggal ini baru saja diperpanjang. Hapus Co-Administrator yang tidak perlu dan gunakan Azure RBAC untuk kontrol akses terperinci.

Administrator Akun, Administrator Layanan, dan Administrator Bersama adalah tiga peran administrator langganan klasik di Azure. Admin langganan klasik memiliki akses penuh ke langganan Azure dan dapat mengelola sumber daya. Mereka dapat mengelola sumber daya menggunakan portal Microsoft Azure, API Azure Resource Manager, dan API model penerapan klasik. Akun yang digunakan untuk mendaftar Azure secara otomatis diatur sebagai Admin Akun dan Administrator Layanan. Kemudian, Co-Admin tambahan dapat ditambahkan. Administrator Layanan dan Co-Admin memiliki akses yang setara dari pengguna yang telah ditetapkan peran Pemilik (peran Azure) di cakupan langganan. Tabel berikut ini menjelaskan perbedaan antara tiga peran administratif langganan klasik ini.

Administrator langganan klasik Batas Izin Catatan
Administrator akun 1 per akun Azure
  • Dapat mengakses portal Azure dan mengelola tagihan
  • Mengelola tagihan untuk semua langganan di akun
  • Membuat langganan baru
  • Membatalkan langganan
  • Mengubah tagihan untuk langganan
  • Mengubah Administrator Layanan
  • Tidak dapat membatalkan langganan kecuali terdapat peran Administrator Layanan atau Pemilik langganan
 Secara konseptual, pemilik tagihan langganan.
Administrator Layanan 1 per langganan Azure
  • Mengelola layanan di portal Microsoft Azure
  • Membatalkan langganan
  • Menetapkan pengguna ke peran Administrator Bersama
 Secara default, untuk langganan baru, Administrator Akun juga merupakan Administrator Layanan.
Administrator Layanan memiliki akses yang setara dari pengguna yang diberi peran Pemilik di cakupan langganan.
Administrator Layanan memiliki akses penuh ke portal Microsoft Azure.
Administrator Bersama 200 per langganan
  • Hak istimewa akses yang sama dengan Administrator Layanan, tetapi tidak dapat mengubah asosiasi langganan ke direktori Microsoft Entra
  • Menetapkan pengguna ke peran Administrator Bersama, tetapi tidak bisa mengubah Administrator Layanan
 Administrator Bersama memiliki akses yang setara dari pengguna yang diberi peran Pemilik di cakupan langganan.

Di portal Microsoft Azure, Anda dapat mengelola Administrator Bersama atau tampilkan Administrator Layanan dengan menggunakan tab Administrator klasik.

Cuplikan layar administrator langganan klasik Azure di portal Azure.

Untuk informasi selengkapnya, lihat Administrator langganan klasik Azure.

Akun Azure dan langganan Azure

Akun Azure digunakan untuk membuat hubungan penagihan. Akun Azure adalah identitas pengguna, satu atau beberapa langganan Azure, dan sekumpulan sumber daya Azure terkait. Orang yang membuat akun adalah Administrator Akun untuk semua langganan yang dibuat di akun tersebut. Orang tersebut juga merupakan Administrator Layanan default untuk langganan.

Langganan Azure membantu Anda mengelola akses ke sumber daya Azure. Mereka juga membantu Anda mengontrol bagaimana penggunaan sumber daya dilaporkan, ditagih, dan dibayar. Setiap langganan dapat memiliki penyiapan tagihan dan pembayaran yang berbeda, sehingga Anda dapat memiliki langganan yang berbeda dan paket yang berbeda berdasarkan kantor, departemen, proyek, dan sebagainya. Setiap layanan milik langganan, dan ID langganan mungkin diperlukan untuk operasi terprogram.

Setiap langganan dikaitkan dengan direktori Microsoft Entra. Untuk menemukan direktori langganan yang terkait dengan, buka Langganan di portal Microsoft Azure lalu pilih langganan untuk melihat direktori.

Akun dan langganan dikelola di portal Microsoft Azure.

Langkah berikutnya