Role platformy Azure, role entra firmy Microsoft i klasyczne role administratora subskrypcji
Jeśli dopiero zaczynasz korzystać z platformy Azure, zrozumienie wszystkich różnych ról na platformie Azure może okazać się trudne. W tym artykule wyjaśniono następujące role i możliwości ich zastosowania:
- Role na platformie Azure
- Role Microsoft Entra
- Role klasycznego administratora subskrypcji
Jak role są powiązane ze sobą
Aby lepiej zrozumieć, na czym polegają role dostępne na platformie Azure, warto sięgnąć pamięcią nieco wstecz. W początkowej wersji platformy Azure dostępem do zasobów można było zarządzać przy użyciu trzech ról administratora: administratora konta, administratora usługi i współadministratora. Później dodano kontrolę dostępu opartą na rolach (RBAC) platformy Azure. Kontrola RBAC platformy Azure to nowszy system autoryzacji umożliwiający szczegółowe zarządzanie dostępem do zasobów platformy Azure. Kontrola dostępu oparta na rolach platformy Azure obejmuje wiele wbudowanych ról, można przypisywać w różnych zakresach i umożliwia tworzenie własnych ról niestandardowych. Aby zarządzać zasobami w identyfikatorze Entra firmy Microsoft, takim jak użytkownicy, grupy i domeny, istnieje kilka ról firmy Microsoft Entra.
Na poniższym diagramie przedstawiono ogólny widok sposobu, w jaki są powiązane role platformy Azure, role firmy Microsoft Entra i klasyczne role administratora subskrypcji.
Role na platformie Azure
Kontrola dostępu oparta na rolach platformy Azure to system autoryzacji oparty na usłudze Azure Resource Manager , który zapewnia szczegółowe zarządzanie dostępem do zasobów platformy Azure, takich jak zasoby obliczeniowe i magazyn. Kontrola dostępu oparta na rolach platformy Azure obejmuje ponad 100 wbudowanych ról. Istnieją pięć podstawowych ról platformy Azure. Pierwsze trzy mają zastosowanie do wszystkich typów zasobów:
| Rola na platformie Azure | Uprawnienia | Uwagi |
|---|---|---|
| Właściciel |
|
Do administratora usługi i współadministratorów jest przypisana rola właściciela w zakresie subskrypcji Dotyczy wszystkich typów zasobów. |
| Współautor |
|
Dotyczy wszystkich typów zasobów. |
| Czytelnik |
|
Dotyczy wszystkich typów zasobów. |
| Administracja istrator kontroli dostępu opartej na rolach |
|
|
| Administrator dostępu użytkowników |
|
Pozostałe role wbudowane umożliwiają zarządzanie określonymi zasobami platformy Azure. Na przykład rola współautora maszyny wirtualnej pozwala użytkownikom na tworzenie maszyn wirtualnych i zarządzanie nimi. Aby uzyskać listę wbudowanych ról, zobacz Wbudowane role platformy Azure.
Tylko witryna Azure Portal i interfejsy API usługi Azure Resource Manager obsługują kontrolę RBAC platformy Azure. Użytkownicy, grupy i aplikacje, którym zostały przypisane role platformy Azure, nie mogą używać interfejsów API klasycznego modelu wdrażania platformy Azure.
W witrynie Azure Portal przypisania ról przy użyciu kontroli dostępu opartej na rolach platformy Azure są wyświetlane na stronie Kontrola dostępu (Zarządzanie dostępem i tożsamościami). Tę stronę można znaleźć w portalu, na przykład w grupach zarządzania, subskrypcjach, grupach zasobów i różnych zasobach.
Po kliknięciu karty Role zostanie wyświetlona lista wbudowanych i niestandardowych ról.
Aby uzyskać więcej informacji, zobacz przypisywanie ról Azure za pomocą portalu Azure.
Role Microsoft Entra
Role firmy Microsoft Entra służą do zarządzania zasobami firmy Microsoft Entra w katalogu, takim jak tworzenie lub edytowanie użytkowników, przypisywanie ról administracyjnych innym osobom, resetowanie haseł użytkowników, zarządzanie licencjami użytkowników i zarządzanie domenami. W poniższej tabeli opisano kilka ważniejszych ról firmy Microsoft Entra.
| Rola Microsoft Entra | Uprawnienia | Uwagi |
|---|---|---|
| Globalny administrator usługi |
|
Osoba, która zarejestruje się w dzierżawie firmy Microsoft Entra, staje się globalnym Administracja istratorem. |
| Administrator użytkowników |
|
|
| Administrator rozliczeń |
|
W witrynie Azure Portal można wyświetlić listę ról firmy Microsoft na stronie Role i administratorzy . Aby uzyskać listę wszystkich ról usługi Microsoft Entra, zobacz Administracja istrator role permissions in Microsoft Entra ID (Uprawnienia roli Administracja istratora w identyfikatorze Entra firmy Microsoft).
Różnice między rolami platformy Azure i rolami firmy Microsoft Entra
Na wysokim poziomie role platformy Azure kontrolują uprawnienia do zarządzania zasobami platformy Azure, podczas gdy role firmy Microsoft Entra kontrolują uprawnienia do zarządzania zasobami firmy Microsoft Entra. W poniższej tabeli porównano niektóre różnice.
| Role na platformie Azure | Role Microsoft Entra |
|---|---|
| Zarządzanie dostępem do zasobów platformy Azure | Zarządzanie dostępem do zasobów firmy Microsoft Entra |
| Obsługa ról niestandardowych | Obsługa ról niestandardowych |
| Możliwość określenia zakresu na wielu poziomach (grupa zarządzania, subskrypcja, grupa zasobów, zasób) | Zakres można określić na poziomie dzierżawy (w całej organizacji), jednostce administracyjnej lub w pojedynczym obiekcie (na przykład określonej aplikacji) |
| Informacje o rolach można uzyskać w witrynie Azure Portal, interfejsie wiersza polecenia platformy Azure, programie Azure PowerShell, szablonach usługi Azure Resource Manager, interfejsie API REST | Dostęp do informacji o rolach można uzyskać w witrynie Azure Portal, centrum administracyjnym firmy Microsoft Entra, Centrum administracyjne platformy Microsoft 365, Microsoft Graph, Microsoft Graph PowerShell |
Czy role platformy Azure i role firmy Microsoft Entra nakładają się na siebie?
Domyślnie role platformy Azure i role firmy Microsoft Entra nie obejmują platformy Azure i identyfikatora Entra firmy Microsoft. Jeśli jednak globalny Administracja istrator podniesie swój dostęp, wybierając przełącznik Zarządzanie dostępem dla zasobów platformy Azure w witrynie Azure Portal, administrator globalny Administracja istrator otrzyma rolę Administracja istratora dostępu użytkowników (rolę platformy Azure) we wszystkich subskrypcjach dla określonej dzierżawy. Rola administratora dostępu użytkowników pozwala użytkownikom udzielać innym użytkownikom dostępu do zasobów platformy Azure. Ten przełącznik może być przydatny w odzyskaniu dostępu do subskrypcji. Aby uzyskać więcej informacji, zobacz Podnoszenie poziomu dostępu w celu zarządzania wszystkimi subskrypcjami platformy Azure i grupami zarządzania.
Kilka ról firmy Microsoft Entra obejmuje role Microsoft Entra ID i Microsoft 365, takie jak globalny Administracja istrator i Administracja istrator użytkowników. Jeśli na przykład jesteś członkiem roli Global Administracja istrator, masz możliwości administratora globalnego w usłudze Microsoft Entra ID i Microsoft 365, takie jak wprowadzanie zmian w programach Microsoft Exchange i Microsoft SharePoint. Jednak domyślnie administrator globalny nie ma dostępu do zasobów platformy Azure.
Role klasycznego administratora subskrypcji
Ważne
Zasoby klasyczne i administratorzy klasyczni zostaną wycofane 31 sierpnia 2024 r. Od 3 kwietnia 2024 r. nie będzie można dodać nowych współd Administracja istratorów. Ta data została niedawno przedłużona. Usuń niepotrzebne Administracja istratory i użyj kontroli dostępu na podstawie ról platformy Azure w celu uzyskania szczegółowej kontroli dostępu.
Administrator konta, administrator usługi i współadministrator to trzy role klasycznego administratora subskrypcji na platformie Azure. Klasyczni administratorzy subskrypcji mają pełny dostęp do subskrypcji platformy Azure. Mogą zarządzać zasobami przy użyciu witryny Azure Portal, interfejsów API usługi Azure Resource Manager i interfejsów API klasycznego modelu wdrożenia. Konto używane do rejestracji na platformie Azure zostanie automatycznie przypisane do administratora konta i administratora usługi. Następnie można dodać dodatkowych współadministratorów. Administrator i współadministratorzy usługi mają takie same uprawnienia dostępu co użytkownicy, którzy mają przypisaną rolę Właściciel (rolę platformy Azure) w zakresie subskrypcji. Poniższa tabela zawiera różnice między tymi trzema klasycznymi rolami administracyjnymi subskrypcji.
| Klasyczny administrator subskrypcji | Limit | Uprawnienia | Uwagi |
|---|---|---|---|
| Administrator konta | 1 na konto platformy Azure |
|
Równoważny właścicielowi modelu rozliczania subskrypcji. |
| Administrator usługi | 1 na subskrypcję platformy Azure |
|
W przypadku nowych subskrypcji administrator konta jest również domyślnie administratorem usługi. Administrator usługi ma takie same uprawnienia dostępu co użytkownik, któremu przypisano rolę właściciela w zakresie subskrypcji. Administrator usługi ma pełny dostęp do witryny Azure Portal. |
| Współadministrator | 200 na subskrypcję |
|
Współadministrator ma takie same uprawnienia dostępu co użytkownik, któremu przypisano rolę właściciela w zakresie subskrypcji. |
W witrynie Azure Portal można zarządzać współadministratorami lub wyświetlać administratora usługi za pomocą karty Klasyczni administratorzy.
Aby uzyskać więcej informacji, zobacz Klasyczni administratorzy subskrypcji platformy Azure.
Konto platformy Azure i subskrypcje platformy Azure
Konto platformy Azure służy do ustanawiania relacji rozliczeń. Konto platformy Azure składa się z tożsamości użytkownika, co najmniej jednej subskrypcji platformy Azure oraz ze skojarzonego zestawu zasobów platformy Azure. Osoba, która tworzy konto, jest jego administratorem dla wszystkich subskrypcji utworzonych w ramach tego konta. Osoba ta jest również domyślnym administratorem usługi dla subskrypcji.
Subskrypcje platformy Azure pozwalają organizować dostęp do zasobów platformy Azure. Subskrypcje te ułatwiają również zarządzanie raportowaniem i rozliczaniem użycia zasobów oraz regulowaniem płatności za to użycie. Każda subskrypcja może mieć różne ustawienia dotyczące rozliczeń i płatności, dzięki czemu możesz mieć różne subskrypcje i różne plany według biura, działu, projektu itd. Każda usługa należy do subskrypcji, a identyfikator subskrypcji może być wymagany podczas wykonywania operacji programistycznych.
Każda subskrypcja jest skojarzona z katalogiem Microsoft Entra. Aby znaleźć katalog skojarzony z subskrypcją, otwórz pozycję Subskrypcje w witrynie Azure Portal, a następnie wybierz subskrypcję, aby wyświetlić katalog.
Konta i subskrypcje są zarządzane w witrynie Azure Portal.