Notatka
Dostęp do tej strony wymaga autoryzacji. Może spróbować zalogować się lub zmienić katalogi.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Jeśli dopiero zaczynasz korzystać z platformy Azure, zrozumienie wszystkich różnych ról na platformie Azure może okazać się trudne. W tym artykule wyjaśniono następujące role i możliwości ich zastosowania:
- Role na platformie Azure
- Role Microsoft Entra
- Role klasycznego administratora subskrypcji
Jak role są powiązane ze sobą
Aby lepiej zrozumieć, na czym polegają role dostępne na platformie Azure, warto sięgnąć pamięcią nieco wstecz. W początkowej wersji platformy Azure dostępem do zasobów można było zarządzać przy użyciu trzech ról administratora: administratora konta, administratora usługi i współadministratora. Później dodano kontrolę dostępu opartą na rolach (RBAC) platformy Azure. System RBAC Azure to nowszy system autoryzacji umożliwiający drobiazgowe zarządzanie dostępem do zasobów platformy Azure. Platforma Azure RBAC zawiera wiele wbudowanych ról, które można przypisywać na różnych poziomach, oraz umożliwia tworzenie własnych ról niestandardowych. Aby zarządzać zasobami w identyfikatorze Entra firmy Microsoft, takim jak użytkownicy, grupy i domeny, istnieje kilka ról firmy Microsoft Entra.
Na poniższym diagramie przedstawiono ogólny widok sposobu, w jaki są powiązane role platformy Azure, role firmy Microsoft Entra i klasyczne role administratora subskrypcji.
Role na platformie Azure
Azure RBAC (Kontrola dostępu oparta na rolach) to system autoryzacji oparty na usłudze Azure Resource Manager, który zapewnia szczegółowe zarządzanie dostępem do zasobów platformy Azure, takich jak obliczenia i magazynowanie. Kontrola dostępu oparta na rolach platformy Azure obejmuje ponad 100 wbudowanych ról. Istnieją pięć podstawowych ról platformy Azure. Pierwsze trzy mają zastosowanie do wszystkich typów zasobów:
| Rola na platformie Azure | Uprawnienia | Uwagi |
|---|---|---|
| Właściciel |
|
Administrator usługi i współadministratorzy mają przypisaną rolę Właściciela w ramach subskrypcji. Dotyczy wszystkich typów zasobów. |
| Współautor |
|
Dotyczy wszystkich typów zasobów. |
| Czytelnik |
|
Dotyczy wszystkich typów zasobów. |
| Administrator kontroli dostępu opartej na rolach |
|
|
| Administrator dostępu użytkowników |
|
Pozostałe role wbudowane umożliwiają zarządzanie określonymi zasobami platformy Azure. Na przykład rola współautora maszyny wirtualnej pozwala użytkownikom na tworzenie maszyn wirtualnych i zarządzanie nimi. Aby uzyskać listę wbudowanych ról, zobacz Wbudowane role platformy Azure.
Tylko Azure Portal i interfejsy API Azure Resource Manager obsługują Azure RBAC. Użytkownicy, grupy i aplikacje, którym zostały przypisane role platformy Azure, nie mogą używać interfejsów API klasycznego modelu wdrażania platformy Azure.
W portalu Azure przypisania ról przy użyciu Azure RBAC są wyświetlane na stronie Kontrola dostępu (IAM). Tę stronę można znaleźć w portalu, na przykład w grupach zarządzania, subskrypcjach, grupach zasobów i różnych zasobach.
Po kliknięciu karty Role zostanie wyświetlona lista wbudowanych i niestandardowych ról.
Aby uzyskać więcej informacji, zobacz przypisywanie ról Azure za pomocą portalu Azure.
Role Microsoft Entra
Role firmy Microsoft Entra służą do zarządzania zasobami firmy Microsoft Entra w katalogu, takim jak tworzenie lub edytowanie użytkowników, przypisywanie ról administracyjnych innym osobom, resetowanie haseł użytkowników, zarządzanie licencjami użytkowników i zarządzanie domenami. W poniższej tabeli opisano kilka ważniejszych ról firmy Microsoft Entra.
| Rola Microsoft Entra | Uprawnienia | Uwagi |
|---|---|---|
| Globalny administrator usługi |
|
Osoba, która zarejestruje się jako dzierżawca Microsoft Entra, zostanie Administratorem Globalnym. |
| Administrator użytkowników |
|
|
| Administrator rozliczeń |
|
W portalu Azure można zobaczyć listę ról Microsoft Entra na stronie Role i administratorzy. Aby uzyskać listę wszystkich ról usługi Microsoft Entra, zobacz Uprawnienia roli administratora w identyfikatorze Entra firmy Microsoft.
Różnice między rolami platformy Azure i rolami firmy Microsoft Entra
Na wysokim poziomie role platformy Azure kontrolują uprawnienia do zarządzania zasobami platformy Azure, podczas gdy role firmy Microsoft Entra kontrolują uprawnienia do zarządzania zasobami firmy Microsoft Entra. W poniższej tabeli porównano niektóre różnice.
| Role na platformie Azure | Role Microsoft Entra |
|---|---|
| Zarządzanie dostępem do zasobów platformy Azure | Zarządzanie dostępem do zasobów firmy Microsoft Entra |
| Obsługa ról niestandardowych | Obsługa ról niestandardowych |
| Zakres może być określony na wielu poziomach (grupa zarządzania, subskrypcja, grupa zasobów, zasób) | Zakres można określić na poziomie dzierżawy (w całej organizacji), jednostce administracyjnej lub w pojedynczym obiekcie (na przykład określonej aplikacji) |
| Informacje o rolach można uzyskać w witrynie Azure Portal, interfejsie wiersza polecenia platformy Azure, programie Azure PowerShell, szablonach usługi Azure Resource Manager, interfejsie API REST | Dostęp do informacji o rolach można uzyskać w witrynie Azure Portal, centrum administracyjnym firmy Microsoft Entra, Centrum administracyjne platformy Microsoft 365, Microsoft Graph, Microsoft Graph PowerShell |
Czy role platformy Azure i role firmy Microsoft Entra nakładają się na siebie?
Domyślnie role platformy Azure i role firmy Microsoft Entra nie obejmują platformy Azure i identyfikatora Entra firmy Microsoft. Jeśli jednak administrator globalny podniesie swój dostęp, wybierając przełącznik Zarządzanie dostępem dla zasobów platformy Azure w witrynie Azure Portal, administrator globalny otrzyma rolę Administratora dostępu użytkowników (rolę platformy Azure) we wszystkich subskrypcjach dla określonej dzierżawy. Rola administratora dostępu użytkowników pozwala użytkownikom udzielać innym użytkownikom dostępu do zasobów platformy Azure. Ten przełącznik może być przydatny w odzyskaniu dostępu do subskrypcji. Aby uzyskać więcej informacji, zobacz Podnoszenie poziomu dostępu w celu zarządzania wszystkimi subskrypcjami platformy Azure i grupami zarządzania.
Kilka ról firmy Microsoft Entra obejmuje role Microsoft Entra ID i Microsoft 365, takie jak role administratora globalnego i administratora użytkowników. Jeśli na przykład jesteś członkiem roli administratora globalnego, masz możliwości administratora globalnego w usłudze Microsoft Entra ID i Microsoft 365, takie jak wprowadzanie zmian w programach Microsoft Exchange i Microsoft SharePoint. Jednak domyślnie administrator globalny nie ma dostępu do zasobów platformy Azure.
Role klasycznego administratora subskrypcji
Ważne
Od 31 sierpnia 2024 r. klasyczne role administratora platformy Azure (wraz z klasycznymi zasobami platformy Azure i programem Azure Menedżer Usług) są wycofane i nie są już obsługiwane. Od grudnia 2025 Azure będzie automatycznie przypisywać rolę Właściciela w zakresie subskrypcji użytkownikom w chmurze publicznej, którzy nadal mają przypisaną rolę Co-Administrator lub Administrator Usługi. Od maja 2026 klasyczna rola administratora jest w pełni wycofana i musisz przypisać rolę w kontroli dostępu opartej na rolach w Azure (RBAC), aby zarządzać dostępem.
Aby uzyskać więcej informacji, zobacz Klasyczni administratorzy subskrypcji platformy Azure.
Administrator konta, administrator usługi i współadministrator to trzy role klasycznego administratora subskrypcji na platformie Azure. Klasyczni administratorzy subskrypcji mieli pełny dostęp do subskrypcji Azure. Mogą zarządzać zasobami przy użyciu portalu Azure, interfejsów API Azure Resource Manager i klasycznych interfejsów API modelu wdrażania. Konto używane do rejestracji na platformie Azure zostanie automatycznie przypisane do administratora konta i administratora usługi. Następnie można dodać dodatkowych współadministratorów. Administrator usługi i Co-Administrators mieli równoważny dostęp użytkowników, którym przypisano rolę Właściciela (rolę Azure) w zakresie subskrypcji. Poniższa tabela zawiera różnice między tymi trzema klasycznymi rolami administracyjnymi subskrypcji.
| Klasyczny administrator subskrypcji | Ograniczenie | Uprawnienia | Uwagi |
|---|---|---|---|
| Administrator konta | 1 na konto platformy Azure |
|
Koncepcyjnie, właściciel rozliczeń subskrypcji. |
| Administrator usługi | 1 na subskrypcję platformy Azure |
|
W przypadku nowych subskrypcji administrator konta jest również domyślnie administratorem usługi. Administrator usługi ma takie same uprawnienia dostępu co użytkownik, któremu przypisano rolę właściciela w zakresie subskrypcji. Administrator usługi ma pełny dostęp do witryny Azure Portal. |
| Współadministrator | 200 na subskrypcję |
|
Współadministrator ma takie same uprawnienia dostępu co użytkownik, któremu przypisano rolę właściciela w zakresie subskrypcji. |
Aby uzyskać więcej informacji, zobacz Klasyczni administratorzy subskrypcji platformy Azure.
Konto platformy Azure i subskrypcje platformy Azure
Konto platformy Azure służy do ustanawiania relacji rozliczeń. Konto platformy Azure składa się z tożsamości użytkownika, co najmniej jednej subskrypcji platformy Azure oraz ze skojarzonego zestawu zasobów platformy Azure. Osoba, która tworzy konto, jest jego administratorem dla wszystkich subskrypcji utworzonych w ramach tego konta. Osoba ta jest również domyślnym administratorem usługi dla subskrypcji.
Subskrypcje platformy Azure pozwalają organizować dostęp do zasobów platformy Azure. Subskrypcje te ułatwiają również zarządzanie raportowaniem i rozliczaniem użycia zasobów oraz regulowaniem płatności za to użycie. Każda subskrypcja może mieć różne ustawienia dotyczące rozliczeń i płatności, dzięki czemu możesz mieć różne subskrypcje i różne plany według biura, działu, projektu itd. Większość usług należy do subskrypcji, a identyfikator subskrypcji może być wymagany w przypadku operacji programowych.
Każda subskrypcja jest skojarzona z katalogiem Microsoft Entra. Aby znaleźć katalog skojarzony z subskrypcją, otwórz pozycję Subskrypcje w witrynie Azure Portal, a następnie wybierz subskrypcję, aby wyświetlić katalog.
Konta i subskrypcje są zarządzane w witrynie Azure Portal.