Role platformy Azure, role Azure AD i klasyczne role administratora subskrypcji
Jeśli dopiero zaczynasz korzystać z platformy Azure, warto zrozumieć wszystkie różne role na platformie Azure. W tym artykule wyjaśniono następujące role i możliwości ich zastosowania:
- Role platformy Azure
- Role usługi Azure Active Directory (Azure AD)
- Role klasycznego administratora subskrypcji
Jak role są powiązane ze sobą
Aby lepiej zrozumieć, na czym polegają role dostępne na platformie Azure, warto sięgnąć pamięcią nieco wstecz. W początkowej wersji platformy Azure dostępem do zasobów można było zarządzać przy użyciu trzech ról administratora: administratora konta, administratora usługi i współadministratora. Później dodano kontrolę dostępu opartą na rolach (RBAC) platformy Azure. Kontrola RBAC platformy Azure to nowszy system autoryzacji umożliwiający szczegółowe zarządzanie dostępem do zasobów platformy Azure. Kontrola dostępu oparta na rolach platformy Azure obejmuje wiele wbudowanych ról, można przypisać w różnych zakresach i umożliwia tworzenie własnych ról niestandardowych. Aby zarządzać zasobami w Azure AD, takich jak użytkownicy, grupy i domeny, istnieje kilka Azure AD ról.
Poniższy diagram przedstawia ogólny sposób, w jaki są powiązane role platformy Azure, role Azure AD i klasyczne role administratora subskrypcji.
Role platformy Azure
Kontrola dostępu oparta na rolach platformy Azure to system autoryzacji oparty na usłudze Azure Resource Manager, który zapewnia szczegółowe zarządzanie dostępem do zasobów platformy Azure, takich jak zasoby obliczeniowe i magazyn. Kontrola RBAC platformy Azure obejmuje ponad 70 wbudowanych ról. Istnieją cztery podstawowe role platformy Azure. Pierwsze trzy mają zastosowanie do wszystkich typów zasobów:
| Rola na platformie Azure | Uprawnienia | Uwagi |
|---|---|---|
| Właściciel |
|
Do administratora usługi i współadministratorów jest przypisana rola właściciela w zakresie subskrypcji Dotyczy wszystkich typów zasobów. |
| Współautor |
|
Dotyczy wszystkich typów zasobów. |
| Czytelnik |
|
Dotyczy wszystkich typów zasobów. |
| Administrator dostępu użytkowników |
|
Pozostałe role wbudowane umożliwiają zarządzanie określonymi zasobami platformy Azure. Na przykład rola współautora maszyny wirtualnej pozwala użytkownikom na tworzenie maszyn wirtualnych i zarządzanie nimi. Aby uzyskać listę wbudowanych ról, zobacz Wbudowane role platformy Azure.
Tylko witryna Azure Portal i interfejsy API usługi Azure Resource Manager obsługują kontrolę RBAC platformy Azure. Użytkownicy, grupy i aplikacje, którym zostały przypisane role platformy Azure, nie mogą używać interfejsów API klasycznego modelu wdrażania platformy Azure.
W Azure Portal przypisania ról przy użyciu kontroli dostępu opartej na rolach platformy Azure są wyświetlane na stronie Kontrola dostępu (IAM). Ta strona znajduje się w portalu, takich jak grupy zarządzania, subskrypcje, grupy zasobów i różne zasoby.
Po kliknięciu karty Role zostanie wyświetlona lista wbudowanych i niestandardowych ról.
Aby uzyskać więcej informacji, zobacz Przypisywanie ról platformy Azure przy użyciu witryny Azure Portal.
Role usługi Azure Active Directory
Azure AD role służą do zarządzania zasobami Azure AD w katalogu, takim jak tworzenie lub edytowanie użytkowników, przypisywanie ról administracyjnych innym osobom, resetowanie haseł użytkowników, zarządzanie licencjami użytkowników i zarządzanie domenami. W poniższej tabeli opisano kilka ważniejszych ról Azure AD.
| rola Azure AD | Uprawnienia | Uwagi |
|---|---|---|
| Administrator globalny |
|
Osoba, która zarejestruje się dla dzierżawy usługi Azure Active Directory, staje się administratorem globalnym. |
| Administrator użytkowników |
|
|
| Administrator rozliczeń |
|
W Azure Portal można wyświetlić listę ról Azure AD na stronie Role i administratorzy. Aby uzyskać listę wszystkich ról Azure AD, zobacz Uprawnienia roli administratora w usłudze Azure Active Directory.
Różnice między rolami platformy Azure i rolami usługi Azure AD
Na wysokim poziomie role platformy Azure kontrolują uprawnienia do zarządzania zasobami platformy Azure, a Azure AD role kontrolują uprawnienia do zarządzania zasobami usługi Azure Active Directory. W poniższej tabeli porównano niektóre różnice.
| Role platformy Azure | Role usługi Azure Active Directory |
|---|---|
| Zarządzanie dostępem do zasobów platformy Azure | Zarządzanie dostępem do zasobów usługi Azure Active Directory |
| Obsługa ról niestandardowych | Obsługa ról niestandardowych |
| Możliwość określenia zakresu na wielu poziomach (grupa zarządzania, subskrypcja, grupa zasobów, zasób) | Zakres można określić na poziomie dzierżawy (w całej organizacji), jednostce administracyjnej lub w pojedynczym obiekcie (na przykład określonej aplikacji) |
| Informacje o rolach można uzyskać w witrynie Azure Portal, interfejsie wiersza polecenia platformy Azure, programie Azure PowerShell, szablonach usługi Azure Resource Manager, interfejsie API REST | Dostęp do informacji o rolach można uzyskać w witrynie Azure Admin Portal, Centrum administracyjne platformy Microsoft 365, Microsoft Graph, AzureAD PowerShell |
Czy role platformy Azure i role Azure AD nakładają się na siebie?
Domyślnie role platformy Azure i role Azure AD nie obejmują platformy Azure i Azure AD. Jeśli jednak administrator globalny podwyższy poziom dostępu, wybierając przełącznik Zarządzanie dostępem dla zasobów platformy Azure w Azure Portal, administrator globalny otrzyma rolę Administratora dostępu użytkowników (rolę platformy Azure) dla wszystkich subskrypcji dla określonej dzierżawy. Rola administratora dostępu użytkowników pozwala użytkownikom udzielać innym użytkownikom dostępu do zasobów platformy Azure. Ten przełącznik może być przydatny w odzyskaniu dostępu do subskrypcji. Aby uzyskać więcej informacji, zobacz Podnoszenie poziomu dostępu w celu zarządzania wszystkimi subskrypcjami platformy Azure i grupami zarządzania.
Kilka ról Azure AD obejmuje Azure AD i platformę Microsoft 365, na przykład role administratora globalnego i administratora użytkowników. Jeśli na przykład jesteś członkiem roli administratora globalnego, masz możliwości administratora globalnego w usługach Azure AD i Microsoft 365, takich jak wprowadzanie zmian w programach Microsoft Exchange i Microsoft SharePoint. Jednak domyślnie administrator globalny nie ma dostępu do zasobów platformy Azure.
Role klasycznego administratora subskrypcji
Administrator konta, administrator usługi i współadministrator to trzy role klasycznego administratora subskrypcji na platformie Azure. Klasyczni administratorzy subskrypcji mają pełny dostęp do subskrypcji platformy Azure. Mogą zarządzać zasobami przy użyciu witryny Azure Portal, interfejsów API usługi Azure Resource Manager i interfejsów API klasycznego modelu wdrożenia. Konto używane do rejestracji na platformie Azure zostanie automatycznie przypisane do administratora konta i administratora usługi. Następnie można dodać dodatkowych współadministratorów. Administrator i współadministratorzy usługi mają takie same uprawnienia dostępu co użytkownicy, którzy mają przypisaną rolę Właściciel (rolę platformy Azure) w zakresie subskrypcji. Poniższa tabela zawiera różnice między tymi trzema klasycznymi rolami administracyjnymi subskrypcji.
| Klasyczny administrator subskrypcji | Limit | Uprawnienia | Uwagi |
|---|---|---|---|
| Administrator konta | 1 na konto platformy Azure |
|
Równoważny właścicielowi modelu rozliczania subskrypcji. |
| Administrator usługi | 1 na subskrypcję platformy Azure |
|
W przypadku nowych subskrypcji administrator konta jest również domyślnie administratorem usługi. Administrator usługi ma takie same uprawnienia dostępu co użytkownik, któremu przypisano rolę właściciela w zakresie subskrypcji. Administrator usługi ma pełny dostęp do witryny Azure Portal. |
| Współadministrator | 200 na subskrypcję |
|
Współadministrator ma takie same uprawnienia dostępu co użytkownik, któremu przypisano rolę właściciela w zakresie subskrypcji. |
W witrynie Azure Portal można zarządzać współadministratorami lub wyświetlać administratora usługi za pomocą karty Klasyczni administratorzy.
W Azure Portal możesz wyświetlić lub zmienić administratora usługi albo wyświetlić administratora konta na stronie właściwości subskrypcji.
Aby uzyskać więcej informacji, zobacz Klasyczni administratorzy subskrypcji platformy Azure.
Konto platformy Azure i subskrypcje platformy Azure
Konto platformy Azure służy do ustanawiania relacji rozliczeniowych. Konto platformy Azure składa się z tożsamości użytkownika, co najmniej jednej subskrypcji platformy Azure oraz ze skojarzonego zestawu zasobów platformy Azure. Osoba, która tworzy konto, jest jego administratorem dla wszystkich subskrypcji utworzonych w ramach tego konta. Osoba ta jest również domyślnym administratorem usługi dla subskrypcji.
Subskrypcje platformy Azure pozwalają organizować dostęp do zasobów platformy Azure. Subskrypcje te ułatwiają również zarządzanie raportowaniem i rozliczaniem użycia zasobów oraz regulowaniem płatności za to użycie. Poszczególne subskrypcje mogą mieć różne ustawienia rozliczeń i płatności, co pozwala na korzystanie z wielu subskrypcji i planów dostosowanych do potrzeb konkretnych biur, działów, projektów itp. Każda usługa należy do subskrypcji, a identyfikator subskrypcji może być wymagany podczas wykonywania operacji programistycznych.
Każda subskrypcja jest skojarzona z katalogiem Azure AD. Aby znaleźć katalog skojarzony z subskrypcją, otwórz pozycję Subskrypcje w Azure Portal, a następnie wybierz subskrypcję, aby wyświetlić katalog.
Konta i subskrypcje są zarządzane w Azure Portal.