Ruoli di amministratore della sottoscrizione classica, ruoli di Azure e ruoli di Azure AD
Se non si ha familiarità con Azure, può risultare un difficile comprendere i diversi ruoli disponibili in Azure. Questo articolo descrive i ruoli seguenti e il loro utilizzo:
- Ruoli di amministratore sottoscrizione classica
- Ruoli di Azure
- Ruoli di Azure Active Directory (Azure AD)
Correlazione tra i ruoli
Per comprendere meglio i ruoli in Azure, può essere utile conoscere parte della loro evoluzione. Nelle prime versioni di Azure l'accesso alle risorse veniva gestito con solo tre ruoli di amministratore: amministratore account, amministratore del servizio e coamministratore. In seguito è stato aggiunto il controllo degli accessi in base al ruolo di Azure. Il controllo degli accessi in base al ruolo (RBAC) di Azure è un sistema di autorizzazione più recente che offre una gestione degli accessi alle risorse di Azure più specifica. Il controllo degli accessi in base al ruolo di Azure include diversi ruoli predefiniti, può essere assegnato ad ambiti diversi e consente di creare ruoli personalizzati. Per la gestione delle risorse in Azure AD, ad esempio utenti, gruppi e domini, sono disponibili diversi ruoli di Azure AD.
Il diagramma seguente offre una panoramica generale della correlazione tra i ruoli di amministratore sottoscrizione classica, i ruoli di Azure e i ruoli di Azure AD.
Ruoli di amministratore sottoscrizione classica
Amministratore account, Amministratore del servizio e Coamministratore sono i tre ruoli di amministratore per una sottoscrizione classica in Azure. I ruoli di amministratore sottoscrizione classica hanno accesso completo alla sottoscrizione di Azure e possono gestire le risorse con il portale di Azure, con le API di Azure Resource Manager e con le API del modello di distribuzione classica. L'account usato per iscriversi a Azure viene impostato automaticamente come amministratore account e amministratore del servizio. I coamministratori possono essere aggiunti in seguito. L'amministratore del servizio e i coamministratori dispongono di un accesso equivalente a quello degli utenti cui è stato assegnato il ruolo Proprietario (un ruolo di Azure) nell'ambito della sottoscrizione. La tabella seguente descrive le differenze tra questi tre ruoli di amministratore sottoscrizione classica.
| Amministratore sottoscrizione classica | Limite | Autorizzazioni | Note |
|---|---|---|---|
| Amministratore dell'account | 1 per ogni account di Azure |
|
Concettualmente, il proprietario della fatturazione della sottoscrizione. |
| Amministratore del servizio | 1 per ogni sottoscrizione di Azure |
|
Per impostazione predefinita, per una nuova sottoscrizione l'amministratore account è anche amministratore del servizio. L'amministratore del servizio ha un accesso equivalente a quello di un utente cui viene assegnato il ruolo di proprietario nell'ambito della sottoscrizione. L'amministratore del servizio ha accesso completo al portale di Azure. |
| Coamministratore | 200 per ogni sottoscrizione |
|
Il coamministratore ha un accesso equivalente a quello di un utente cui viene assegnato il ruolo di proprietario nell'ambito della sottoscrizione. |
Nel portale di Azure è possibile gestire i coamministratori o visualizzare l'amministratore del servizio usando la scheda Amministratori (versione classica) .
Nel portale di Azure è possibile visualizzare o cambiare l'amministratore del servizio o visualizzare l'amministratore account nel pannello delle proprietà della sottoscrizione.
Per altre informazioni, vedere Amministratori della sottoscrizione classica di Azure.
Account e sottoscrizioni di Azure
Un account Azure viene usato per stabilire una relazione di fatturazione. Un account di Azure include un'identità utente, una o più sottoscrizioni di Azure e un set associato di risorse di Azure. La persona che crea l'account è l'amministratore account di tutte le sottoscrizioni create nell'account. È anche l'amministratore del servizio predefinito per la sottoscrizione.
Le sottoscrizioni di Azure consentono di organizzare l'accesso alle risorse di Azure. Consentono inoltre di controllare come l'utilizzo delle risorse viene segnalato, fatturato e pagato. Ogni sottoscrizione può disporre di un’impostazione di fatturazione e pagamento diversa, in modo da poter avere sottoscrizioni e piani diversi per ufficio, reparto, progetto e così via. Ogni servizio appartiene a una sottoscrizione e l'ID sottoscrizione può essere necessario per le operazioni a livello di codice.
Ogni sottoscrizione è associata a una directory di Azure AD. Per trovare la directory a cui è associata la sottoscrizione, aprire Sottoscrizioni nel portale di Azure, quindi selezionare una sottoscrizione per visualizzare la directory.
Gli account e le sottoscrizioni vengono gestiti nel portale di Azure.
Ruoli di Azure
Il controllo degli accessi in base al ruolo di Azure è un sistema di autorizzazione basato su Azure Resource Manager che offre una gestione degli accessi dettagliata alle risorse in Azure, ad esempio alle risorse di calcolo e di archiviazione. Il controllo degli accessi in base al ruolo di Azure include oltre 70 ruoli predefiniti. Sono disponibili quattro ruoli principali di Azure. I primi tre si applicano a tutti i tipi di risorse:
| Ruolo di Azure | Autorizzazioni | Note |
|---|---|---|
| Proprietario |
|
All'amministratore del servizio e ai coamministratori viene assegnato il ruolo di proprietario nell'ambito della sottoscrizione. Si applica a tutti i tipi di risorsa. |
| Collaboratore |
|
Si applica a tutti i tipi di risorsa. |
| Lettore |
|
Si applica a tutti i tipi di risorsa. |
| Amministratore accessi utente |
|
Gli altri ruoli predefiniti consentono la gestione di risorse di Azure specifiche. Ad esempio, il ruolo Collaboratore Macchina virtuale consente all'utente di creare e gestire macchine virtuali. Per un elenco di tutti i ruoli predefiniti, vedere Ruoli predefiniti di Azure.
Solo il portale di Azure e le API di Azure Resource Manager supportano il Controllo degli accessi in base al ruolo di Azure. Gli utenti, i gruppi e le applicazioni a cui vengono assegnati i ruoli di Azure non possono usare le API del modello di distribuzione classica di Azure.
Nel portale di Azure le assegnazioni di ruolo tramite il controllo degli accessi in base al ruolo di Azure sono visualizzate nel pannello Controllo di accesso (IAM) . Il pannello è disponibile in tutto il portale, ad esempio nei gruppi di gestione, nelle sottoscrizioni, nei gruppi di risorse e in varie risorse.
Quando si fa clic sulla scheda Ruoli, viene visualizzato l'elenco dei ruoli predefiniti e personalizzati.
Per altre informazioni, vedere Assegnare ruoli di Azure usando il portale di Azure.
Ruoli di Azure AD
I ruoli di Azure AD consentono di gestire le risorse di Azure AD in una directory, ad esempio di creare o modificare gli utenti, assegnare ruoli di amministratore ad altri utenti, reimpostare le password utente, gestire le licenze degli utenti e gestire i domini. La tabella seguente descrive alcuni dei ruoli di Azure AD più importanti.
| Ruolo di Azure AD | Autorizzazioni | Note |
|---|---|---|
| Amministratore globale |
|
La persona che effettua l'iscrizione per il tenant di Azure Active Directory diventa amministratore globale. |
| Amministratore utenti |
|
|
| Amministratore fatturazione |
|
Nel portale di Azure è possibile visualizzare l'elenco dei ruoli di Azure AD nel pannello Ruoli e amministratori. Per un elenco di tutti i ruoli di Azure AD, vedere Autorizzazioni del ruolo di amministratore in Azure Active Directory.
Differenze tra i ruoli di Azure e i ruoli di Azure AD
A livello generale, i ruoli di Azure controllano le autorizzazioni per gestire le risorse di Azure, mentre i ruoli di Azure AD controllano le autorizzazioni per gestire le risorse di Azure Active Directory. La tabella seguente confronta alcune differenze.
| Ruoli di Azure | Ruoli di Azure AD |
|---|---|
| Gestire l'accesso alle risorse di Azure | Gestire l'accesso alle risorse di Azure Active Directory |
| Supportano i ruoli personalizzati | Supportano i ruoli personalizzati |
| È possibile specificare l'ambito a più livelli (gruppo di gestione, sottoscrizione, gruppo di risorse, risorsa) | L'ambito può essere specificato a livello di tenant (organizzazione), unità amministrativa o in un singolo oggetto (ad esempio, un'applicazione specifica) |
| Le informazioni sui ruoli sono accessibili nel portale di Azure, nell'interfaccia della riga di comando di Azure, in Azure PowerShell, nei modelli di Azure Resource Manager, nell'API REST | Le informazioni sui ruoli sono accessibili nel portale di amministrazione di Azure, nell'interfaccia di amministrazione di Microsoft 365, in Microsoft Graph e in AzureAD PowerShell |
I ruoli di Azure e i ruoli di Azure AD si sovrappongono?
Per impostazione predefinita, i ruoli di Azure e i ruoli di Azure AD non si estendono oltre Azure e Azure AD. Tuttavia, se un amministratore globale ne eleva l'accesso scegliendo l'opzione Gestione degli accessi per le risorse di Azure nel portale di Azure, gli verrà assegnato il ruolo Amministratore Accesso utenti (un ruolo di Azure) in tutte le sottoscrizioni di un tenant specifico. Il ruolo Amministratore Accesso utenti consente all'utente di assegnare ad altri utenti l'accesso alle risorse di Azure. Questa opzione può essere utile per ottenere nuovamente l'accesso a una sottoscrizione. Per altre informazioni, vedere Elevare i privilegi di accesso per gestire tutte le sottoscrizioni e i gruppi di gestione di Azure.
Diversi ruoli di Azure si estendono ad Azure AD e a Microsoft 365, ad esempio i ruoli Amministratore globale e Amministratore utenti. Ad esempio, se si è un membro del ruolo Amministratore globale, si dispone delle autorizzazioni di amministratore globale in Azure AD e Microsoft 365, ad esempio per effettuare modifiche in Microsoft Exchange e Microsoft SharePoint. Tuttavia, per impostazione predefinita, l'amministratore globale non ha accesso alle risorse di Azure.
