Role platformy Azure, role entra firmy Microsoft i klasyczne role administratora subskrypcji

Jeśli dopiero zaczynasz korzystać z platformy Azure, zrozumienie wszystkich różnych ról na platformie Azure może okazać się trudne. W tym artykule wyjaśniono następujące role i możliwości ich zastosowania:

• Role na platformie Azure
• Role Microsoft Entra
• Role klasycznego administratora subskrypcji

Jak role są powiązane ze sobą

Aby lepiej zrozumieć, na czym polegają role dostępne na platformie Azure, warto sięgnąć pamięcią nieco wstecz. W początkowej wersji platformy Azure dostępem do zasobów można było zarządzać przy użyciu trzech ról administratora: administratora konta, administratora usługi i współadministratora. Później dodano kontrolę dostępu opartą na rolach (RBAC) platformy Azure. Kontrola RBAC platformy Azure to nowszy system autoryzacji umożliwiający szczegółowe zarządzanie dostępem do zasobów platformy Azure. Kontrola dostępu oparta na rolach platformy Azure obejmuje wiele wbudowanych ról, można przypisywać w różnych zakresach i umożliwia tworzenie własnych ról niestandardowych. Aby zarządzać zasobami w identyfikatorze Entra firmy Microsoft, takim jak użytkownicy, grupy i domeny, istnieje kilka ról firmy Microsoft Entra.

Na poniższym diagramie przedstawiono ogólny widok sposobu, w jaki są powiązane role platformy Azure, role firmy Microsoft Entra i klasyczne role administratora subskrypcji.

Role na platformie Azure

Kontrola dostępu oparta na rolach platformy Azure to system autoryzacji oparty na usłudze Azure Resource Manager , który zapewnia szczegółowe zarządzanie dostępem do zasobów platformy Azure, takich jak zasoby obliczeniowe i magazyn. Kontrola dostępu oparta na rolach platformy Azure obejmuje ponad 100 wbudowanych ról. Istnieją pięć podstawowych ról platformy Azure. Pierwsze trzy mają zastosowanie do wszystkich typów zasobów:

Rola na platformie Azure	Uprawnienia	Uwagi
Właściciel	Udziela pełnego dostępu do zarządzania wszystkimi zasobami Przypisywanie ról w kontroli dostępu opartej na rolach platformy Azure	Do administratora usługi i współadministratorów jest przypisana rola właściciela w zakresie subskrypcji Dotyczy wszystkich typów zasobów.
Współautor	Udziela pełnego dostępu do zarządzania wszystkimi zasobami Nie można przypisać ról w kontroli dostępu opartej na rolach platformy Azure Nie można zarządzać przypisaniami w usłudze Azure Blueprints ani udostępniać galerii obrazów	Dotyczy wszystkich typów zasobów.
Czytelnik	Wyświetlanie zasobów platformy Azure	Dotyczy wszystkich typów zasobów.
Administrator kontroli dostępu opartej na rolach	Zarządzanie dostępem użytkowników do zasobów platformy Azure Przypisywanie ról w kontroli dostępu opartej na rolach platformy Azure Przypisywanie sobie lub innym osobom roli Właściciel Nie można zarządzać dostępem przy użyciu innych sposobów, takich jak usługa Azure Policy
Administrator dostępu użytkowników	Zarządzanie dostępem użytkowników do zasobów platformy Azure Przypisywanie ról w kontroli dostępu opartej na rolach platformy Azure Przypisywanie sobie lub innym osobom roli Właściciel

Pozostałe role wbudowane umożliwiają zarządzanie określonymi zasobami platformy Azure. Na przykład rola współautora maszyny wirtualnej pozwala użytkownikom na tworzenie maszyn wirtualnych i zarządzanie nimi. Aby uzyskać listę wbudowanych ról, zobacz Wbudowane role platformy Azure.

Tylko witryna Azure Portal i interfejsy API usługi Azure Resource Manager obsługują kontrolę RBAC platformy Azure. Użytkownicy, grupy i aplikacje, którym zostały przypisane role platformy Azure, nie mogą używać interfejsów API klasycznego modelu wdrażania platformy Azure.

W witrynie Azure Portal przypisania ról przy użyciu kontroli dostępu opartej na rolach platformy Azure są wyświetlane na stronie Kontrola dostępu (Zarządzanie dostępem i tożsamościami). Tę stronę można znaleźć w portalu, na przykład w grupach zarządzania, subskrypcjach, grupach zasobów i różnych zasobach.

Po kliknięciu karty Role zostanie wyświetlona lista wbudowanych i niestandardowych ról.

Aby uzyskać więcej informacji, zobacz przypisywanie ról Azure za pomocą portalu Azure.

Role Microsoft Entra

Role firmy Microsoft Entra służą do zarządzania zasobami firmy Microsoft Entra w katalogu, takim jak tworzenie lub edytowanie użytkowników, przypisywanie ról administracyjnych innym osobom, resetowanie haseł użytkowników, zarządzanie licencjami użytkowników i zarządzanie domenami. W poniższej tabeli opisano kilka ważniejszych ról firmy Microsoft Entra.

Rola Microsoft Entra	Uprawnienia	Uwagi
Globalny administrator usługi	Zarządzanie dostępem do wszystkich funkcji administracyjnych w usłudze Microsoft Entra ID, a także usług federujących się z identyfikatorem Entra firmy Microsoft Przypisywanie ról administratorów do innych osób Resetowanie haseł wszystkich użytkowników oraz wszystkich innych administratorów	Osoba, która zarejestruje się w dzierżawie firmy Microsoft Entra, zostanie administratorem globalnym.
Administrator użytkowników	Tworzenie i zarządzanie wszystkimi aspektami użytkowników i grup Zarządzanie biletami pomocy technicznej Monitorowanie kondycji usługi Zmienianie haseł użytkowników, administratorów pomocy technicznej i innych administratorów użytkowników
Administrator rozliczeń	Dokonywanie zakupów Zarządzanie subskrypcjami Zarządzanie biletami pomocy technicznej Monitorowanie kondycji usługi

W witrynie Azure Portal można wyświetlić listę ról firmy Microsoft na stronie Role i administratorzy . Aby uzyskać listę wszystkich ról usługi Microsoft Entra, zobacz Uprawnienia roli administratora w identyfikatorze Entra firmy Microsoft.

Różnice między rolami platformy Azure i rolami firmy Microsoft Entra

Na wysokim poziomie role platformy Azure kontrolują uprawnienia do zarządzania zasobami platformy Azure, podczas gdy role firmy Microsoft Entra kontrolują uprawnienia do zarządzania zasobami firmy Microsoft Entra. W poniższej tabeli porównano niektóre różnice.

Role na platformie Azure	Role Microsoft Entra
Zarządzanie dostępem do zasobów platformy Azure	Zarządzanie dostępem do zasobów firmy Microsoft Entra
Obsługa ról niestandardowych	Obsługa ról niestandardowych
Możliwość określenia zakresu na wielu poziomach (grupa zarządzania, subskrypcja, grupa zasobów, zasób)	Zakres można określić na poziomie dzierżawy (w całej organizacji), jednostce administracyjnej lub w pojedynczym obiekcie (na przykład określonej aplikacji)
Informacje o rolach można uzyskać w witrynie Azure Portal, interfejsie wiersza polecenia platformy Azure, programie Azure PowerShell, szablonach usługi Azure Resource Manager, interfejsie API REST	Dostęp do informacji o rolach można uzyskać w witrynie Azure Portal, centrum administracyjnym firmy Microsoft Entra, Centrum administracyjne platformy Microsoft 365, Microsoft Graph, Microsoft Graph PowerShell

Czy role platformy Azure i role firmy Microsoft Entra nakładają się na siebie?

Domyślnie role platformy Azure i role firmy Microsoft Entra nie obejmują platformy Azure i identyfikatora Entra firmy Microsoft. Jeśli jednak administrator globalny podniesie swój dostęp, wybierając przełącznik Zarządzanie dostępem dla zasobów platformy Azure w witrynie Azure Portal, administrator globalny otrzyma rolę Administratora dostępu użytkowników (rolę platformy Azure) we wszystkich subskrypcjach dla określonej dzierżawy. Rola administratora dostępu użytkowników pozwala użytkownikom udzielać innym użytkownikom dostępu do zasobów platformy Azure. Ten przełącznik może być przydatny w odzyskaniu dostępu do subskrypcji. Aby uzyskać więcej informacji, zobacz Podnoszenie poziomu dostępu w celu zarządzania wszystkimi subskrypcjami platformy Azure i grupami zarządzania.

Kilka ról firmy Microsoft Entra obejmuje role Microsoft Entra ID i Microsoft 365, takie jak role administratora globalnego i administratora użytkowników. Jeśli na przykład jesteś członkiem roli administratora globalnego, masz możliwości administratora globalnego w usłudze Microsoft Entra ID i Microsoft 365, takie jak wprowadzanie zmian w programach Microsoft Exchange i Microsoft SharePoint. Jednak domyślnie administrator globalny nie ma dostępu do zasobów platformy Azure.

Role klasycznego administratora subskrypcji

Ważne

Od 31 sierpnia 2024 r. klasyczne role administratora platformy Azure (wraz z klasycznymi zasobami platformy Azure i programem Azure Service Manager) są wycofane i nie są już obsługiwane. Jeśli nadal masz aktywne przypisania roli Współadministrator lub Administrator usługi, przekonwertuj te przypisania ról na kontrolę dostępu opartą na rolach platformy Azure natychmiast.

Aby uzyskać więcej informacji, zobacz Klasyczni administratorzy subskrypcji platformy Azure.

Administrator konta, administrator usługi i współadministrator to trzy role klasycznego administratora subskrypcji na platformie Azure. Klasyczni administratorzy subskrypcji mają pełny dostęp do subskrypcji platformy Azure. Mogą zarządzać zasobami przy użyciu witryny Azure Portal, interfejsów API usługi Azure Resource Manager i interfejsów API klasycznego modelu wdrożenia. Konto używane do rejestracji na platformie Azure zostanie automatycznie przypisane do administratora konta i administratora usługi. Następnie można dodać dodatkowych współadministratorów. Administrator i współadministratorzy usługi mają takie same uprawnienia dostępu co użytkownicy, którzy mają przypisaną rolę Właściciel (rolę platformy Azure) w zakresie subskrypcji. Poniższa tabela zawiera różnice między tymi trzema klasycznymi rolami administracyjnymi subskrypcji.

Klasyczny administrator subskrypcji	Limit	Uprawnienia	Uwagi
Administrator konta	1 na konto platformy Azure	Może uzyskiwać dostęp do witryny Azure Portal i zarządzać rozliczeniami Zarządzanie rozliczeniami dla wszystkich subskrypcji na koncie Tworzenie nowych subskrypcji Anulowanie subskrypcji Zmienianie rozliczeń dla subskrypcji Zmienianie administratora usługi Nie można anulować subskrypcji, chyba że mają rolę administratora usługi lub właściciela subskrypcji	Równoważny właścicielowi modelu rozliczania subskrypcji.
Administrator usługi	1 na subskrypcję platformy Azure	Zarządzanie usługami w witrynie Azure Portal Anulowanie subskrypcji Przypisywanie użytkowników do roli współadministratora	W przypadku nowych subskrypcji administrator konta jest również domyślnie administratorem usługi. Administrator usługi ma takie same uprawnienia dostępu co użytkownik, któremu przypisano rolę właściciela w zakresie subskrypcji. Administrator usługi ma pełny dostęp do witryny Azure Portal.
Współadministrator	200 na subskrypcję	Te same uprawnienia dostępu co administrator usługi, ale nie mogą zmienić skojarzenia subskrypcji z katalogami firmy Microsoft Entra Przypisywanie użytkowników do roli współadministratora, ale bez możliwości zmiany administratora usługi	Współadministrator ma takie same uprawnienia dostępu co użytkownik, któremu przypisano rolę właściciela w zakresie subskrypcji.

W witrynie Azure Portal można zarządzać współadministratorami lub wyświetlać administratora usługi za pomocą karty Klasyczni administratorzy.

Aby uzyskać więcej informacji, zobacz Klasyczni administratorzy subskrypcji platformy Azure.

Konto platformy Azure i subskrypcje platformy Azure

Konto platformy Azure służy do ustanawiania relacji rozliczeń. Konto platformy Azure składa się z tożsamości użytkownika, co najmniej jednej subskrypcji platformy Azure oraz ze skojarzonego zestawu zasobów platformy Azure. Osoba, która tworzy konto, jest jego administratorem dla wszystkich subskrypcji utworzonych w ramach tego konta. Osoba ta jest również domyślnym administratorem usługi dla subskrypcji.

Subskrypcje platformy Azure pozwalają organizować dostęp do zasobów platformy Azure. Subskrypcje te ułatwiają również zarządzanie raportowaniem i rozliczaniem użycia zasobów oraz regulowaniem płatności za to użycie. Każda subskrypcja może mieć różne ustawienia dotyczące rozliczeń i płatności, dzięki czemu możesz mieć różne subskrypcje i różne plany według biura, działu, projektu itd. Większość usług należy do subskrypcji, a identyfikator subskrypcji może być wymagany w przypadku operacji programowych.

Każda subskrypcja jest skojarzona z katalogiem Microsoft Entra. Aby znaleźć katalog skojarzony z subskrypcją, otwórz pozycję Subskrypcje w witrynie Azure Portal, a następnie wybierz subskrypcję, aby wyświetlić katalog.

Konta i subskrypcje są zarządzane w witrynie Azure Portal.

Następne kroki

• Przypisywanie ról platformy Azure przy użyciu witryny Azure Portal
• Przypisz role usługi Microsoft Entra do użytkowników.
• Role dla usług Platformy Microsoft 365 w identyfikatorze Entra firmy Microsoft