Роли Azure, роли Microsoft Entra и роли администратора классической подписки

  • Статья

Если вы еще не знакомы с Azure, вам будет нелегко разобраться в многообразии ролей Azure. В этой статье описываются следующие роли и приводятся рекомендации по их использованию:

  • Роли в Azure
  • Роли Microsoft Entra
  • Роли классического администратора подписки

Для лучшего понимания ролей в Azure требуется определенная историческая справка. Сразу после выпуска Azure для управления доступом к ресурсам использовались всего три роли администраторов: администратор учетных записей, администратор служб и соадминистратор. Позже было добавлено управление доступом на основе ролей Azure (RBAC Azure). RBAC Azure — это новая система авторизации, которая обеспечивает более точное управление доступом к ресурсам Azure. В системе RBAC Azure есть множество встроенных ролей, которые можно назначать в различных областях. Кроме того, она позволяет создавать настраиваемые роли. Для управления ресурсами в идентификаторе Microsoft Entra, таких как пользователи, группы и домены, существует несколько ролей Microsoft Entra.

На следующей схеме представлено высокоуровневое представление о том, как связаны роли Azure, роли Microsoft Entra и классические роли администратора подписки.

Схема различных ролей в Azure.

Роли в Azure

Azure RBAC — это система авторизации, основанная на Azure Resource Manager , которая обеспечивает точное управление доступом к ресурсам Azure, таким как вычисления и хранилище. Azure RBAC включает более 100 встроенных ролей. Существует пять основных ролей Azure. Первые три роли охватывают все типы ресурсов:

Роль Azure Разрешения Примечания.
Ответственное лицо
  • Предоставляет полный доступ для управления всеми ресурсами
  • Назначение ролей в Azure RBAC
 Администратору служб и соадминистраторам назначается роль владельца в области действия подписки
Применяется ко всем типам ресурсов.
Участник
  • Предоставляет полный доступ для управления всеми ресурсами
  • Не удается назначить роли в Azure RBAC
  • Не удается управлять назначениями в Azure Blueprints или предоставлять общий доступ к коллекциям образов
 Применяется ко всем типам ресурсов.
Читатель
  • Просмотр ресурсов Azure
 Применяется ко всем типам ресурсов.
Контроль доступа Администратор istrator на основе ролей
  • Управление доступом пользователей к ресурсам Azure
  • Назначение ролей в Azure RBAC
  • Назначьте себе или другим роль владельца
  • Не удается управлять доступом с помощью других способов, таких как Политика Azure
Администратор доступа пользователей
  • Управление доступом пользователей к ресурсам Azure
  • Назначение ролей в Azure RBAC
  • Назначьте себе или другим роль владельца

Остальные встроенные роли разрешают управление определенными ресурсами Azure. Например, роль Участник виртуальных машин позволяет пользователю создавать виртуальные машины и управлять ими. Полный список встроенных ролей см. в статье Встроенные роли Azure.

Модель RBAC Azure поддерживается только порталом Azure и API-интерфейсами Azure Resource Manager. Пользователи, группы и приложения, которым назначены роли Azure, не могут использовать API классической модели развертывания Azure.

В портал Azure назначения ролей с помощью Azure RBAC отображаются на странице управления доступом (IAM). Эта страница можно найти на портале, например группы управления, подписки, группы ресурсов и различные ресурсы.

Снимок экрана: страница управления доступом (IAM) в портал Azure.

Щелкнув вкладку "Роли ", вы увидите список встроенных и настраиваемых ролей.

Снимок экрана со встроенными ролями в портал Azure.

Дополнительные сведения см. в разделе Назначение ролей Azure с помощью портала Azure.

Роли Microsoft Entra

Роли Microsoft Entra используются для управления ресурсами Microsoft Entra в каталоге, таком как создание или изменение пользователей, назначение административных ролей другим пользователям, сброс паролей пользователей, управление лицензиями пользователей и управление доменами. В следующей таблице описаны несколько более важных ролей Microsoft Entra.

Роль Microsoft Entra Разрешения Примечания.
Глобальный администратор
  • Управление доступом ко всем административным функциям в идентификаторе Microsoft Entra, а также службам, которые федеративны с идентификатором Microsoft Entra
  • Назначение ролей администратора другим пользователям
  • Сброс паролей для любого пользователя и других администраторов
 Пользователь, который регистрируется в клиенте Microsoft Entra, становится глобальным Администратор istrator.
Администратор пользователей
  • Создание всех аспектов пользователей и групп и управление ими
  • Управление запросами в службу поддержки
  • Мониторинг работоспособности служб
  • Изменение паролей для пользователей, администраторов службы технической поддержки и других администраторов пользователей
Администратор выставления счетов
  • Совершение покупок
  • Управление подписками
  • Управление запросами в службу поддержки
  • Мониторинг работоспособности службы

В портал Azure вы увидите список ролей Microsoft Entra на странице "Роли и администраторы". Список всех ролей Microsoft Entra см. в разделе Администратор установщик разрешений роли в идентификаторе Microsoft Entra.

Снимок экрана: роли Microsoft Entra в портал Azure.

Различия между ролями Azure и ролями Microsoft Entra

На высоком уровне разрешения управления ролями Azure для управления ресурсами Azure, а роли Microsoft Entra управляют разрешениями для управления ресурсами Microsoft Entra. Сравнение различий приводится в следующей таблице.

Роли в Azure Роли Microsoft Entra
Управление доступом к ресурсам Azure Управление доступом к ресурсам Microsoft Entra
Поддержка пользовательских ролей Поддержка пользовательских ролей
Возможность указывать область действия на нескольких уровнях (группа управления, подписка, группа ресурсов, ресурс) Область может быть указана на уровне клиента (в масштабах всей организации), для административной единицы или отдельного объекта (например, для конкретного приложения)
Сведения о роли можно получить на портале Azure, в Azure CLI, Azure PowerShell, в шаблонах Azure Resource Manager и API REST Сведения о роли можно получить в портал Azure, Центре администрирования Microsoft Entra, Центр администрирования Microsoft 365, Microsoft Graph, Microsoft Graph PowerShell

Перекрываются ли роли Azure и роли Microsoft Entra?

По умолчанию роли Azure и роли Microsoft Entra не охватывают идентификатор Azure и Microsoft Entra. Тем не менее, если глобальный администратор повысит свой уровень доступа с помощью параметра Управление доступом для ресурсов Azure на портале Azure, глобальному администратору будет назначена роль Администратор доступа пользователей (роль Azure) для всех подписок соответствующего клиента. Роль администратора доступа пользователей позволяет предоставлять другим пользователям доступ к ресурсам Azure. Этот параметр может использоваться для восстановления доступа к подписке. Дополнительные сведения см. в статье Повышение прав доступа для управления всеми подписками Azure и группами управления.

Несколько ролей Microsoft Entra охватывают идентификатор Microsoft Entra и Microsoft 365, такие как глобальный Администратор istrator и роли пользователя Администратор istrator. Например, если вы являетесь членом глобальной роли Администратор istrator, у вас есть возможности глобального администратора в идентификаторе Microsoft Entra и Microsoft 365, такие как внесение изменений в Microsoft Exchange и Microsoft SharePoint. Тем не менее по умолчанию у глобального администратора отсутствуют права доступа к ресурсам Azure.

Схема, показывающая роли Azure RBAC и Роли Microsoft Entra.

Роли классического администратора подписки

Внимание

Классические ресурсы и классические администраторы будут прекращены 31 августа 2024 г. Начиная с 3 апреля 2024 г., вы не сможете добавлять новые совместно Администратор istratorы. Эта дата была недавно расширена. Удалите ненужные совместно Администратор istrator и используйте Azure RBAC для точного управления доступом.

В Azure предусмотрено три роли классического администратора подписки: администратор учетной записи, администратор службы и соадминистратор. Классические администраторы подписки имеют полный доступ к подписке Azure. Они могут управлять ресурсами с помощью портала Azure, интерфейсов API Azure Resource Manager и классической модели развертывания Azure. Учетной записи, используемой для регистрации в Azure, автоматически назначается роль администратора учетной записи и администратора службы. Дополнительные роли соадминистратора можно добавить уже позже. Администратор служб и соадминистратор имеют эквивалентные права доступа для пользователей, которым была назначена роль владельца (роль Azure) в области действия подписки. В следующей таблице представлены различия между этими тремя ролями классического администратора подписки.

Классический администратор подписки Ограничение Разрешения Примечания.
Администратор учетной записи Один на учетную запись Azure
  • Может получать доступ к порталу Azure и управлять выставлением счетов
  • Управление выставлением счетов для всех подписок в учетной записи
  • Создание новых подписок
  • Отмена подписок
  • Изменение тарифного плана для подписки
  • Изменение администратора служб
  • Нельзя отменять подписки, если у нет роли "Администратор службы" или "Владелец подписки".
 По существу, это владелец подписки, которому выставляются счета.
Администратор служб Один на подписку Azure
  • Управление службами на портале Azure
  • Отмена подписки
  • Назначение роли соадминистратора пользователям
 По умолчанию для новой подписки администратор учетных записей является также администратором службы.
Администратор служб имеет эквивалентные права доступа для пользователя, которому назначена роль владельца в области действия подписки.
Администратор служб имеет полный доступ к порталу Azure.
Соадминистратор 200 на подписку
  • Те же привилегии доступа, что и служба Администратор istrator, но не могут изменить связь подписок с каталогами Microsoft Entra
  • Назначение пользователям роли соадминистратора без возможности изменения администратора службы
 Соадминистратор имеет эквивалентные права доступа для пользователя, которому назначена роль владельца в области действия подписки.

На вкладке Классические администраторы портала Azure вы можете управлять соадминистраторами или просмотреть данные об администраторах служб.

Снимок экрана: администраторы классических подписок Azure в портал Azure.

Дополнительные сведения см. в статье Классические администраторы подписок Azure.

Учетная запись Azure и подписки Azure

Учетная запись Azure используется для установления связи выставления счетов. Учетная запись Azure представляет собой удостоверение пользователя, одну или несколько подписок Azure и связанный набор ресурсов Azure. Пользователь, создавший учетную запись, является администратором учетной записи для всех создаваемых в ее рамках подписок. Этот пользователь также по умолчанию назначается администратором служб для этой подписки.

Подписки Azure служат для организованного доступа к ресурсам Azure. Они также позволяют управлять составлением отчетов об использовании ресурса, выставлением счетов за использование и их оплатой. Каждая подписка может иметь особую конфигурацию выставления счетов и оплаты, поэтому для подразделений, отделов, проектов и т. д. можно использовать разные подписки и планы. Каждая служба привязана к подписке, идентификатор которой может требоваться для выполнения программных операций.

Каждая подписка связана с каталогом Microsoft Entra. Чтобы найти каталог, с которым связана подписка, перейдите в раздел Подписки на портале Azure и выберите подписку.

Управление учетными записями и подписками осуществляется на портале Azure.

Следующие шаги