Сравнение ролей Azure с ролями Microsoft Entra
Для управления доступом в Azure доступны три типа ролей:
Роли классического администратора подписки
Роли управление доступом на основе ролей в Azure (RBAC)
Роли администратора Microsoft Entra
Чтобы лучше понять, как эти различные роли определены и реализованы в Azure, полезно обратиться к истории.
Сразу после выпуска Azure для управления доступом к ресурсам использовались всего три роли администраторов: администратор учетных записей, администратор служб и соадминистратор. Доступ контролировался путем назначения ролей администраторов подпискам.
Впоследствии была добавлена роль управления доступом на основе ролей (RBAC) для ресурсов Azure. RBAC Azure — это новая система авторизации, которая обеспечивает более точное управление доступом к ресурсам Azure. В RBAC множество встроенных ролей, которые можно назначать в разных областях. Модель Azure RBAC также позволяет создавать собственные настраиваемые роли.
Помимо ролей Azure RBAC идентификатор Microsoft Entra id предоставляет встроенные роли администратора для управления ресурсами Microsoft Entra, такими как пользователи, группы и домены.
| Роли RBAC Azure | Роли администратора идентификатора Microsoft Entra | |
|---|---|---|
| Управление доступом | Управление доступом к ресурсам Azure | Управление доступом к ресурсам Microsoft Entra |
| Область назначения | Область может быть задана на нескольких уровнях, включая группы управления, подписки, группы ресурсов и ресурсы. | Область задается на уровне клиента |
| Определения ролей | Роли можно определять с помощью портала Azure, Azure CLI, Azure PowerShell, шаблонов Azure Resource Manager и REST API. | Роли можно определить с помощью портала администрирования Azure, портала администрирования Microsoft 365 и Microsoft Graph PowerShell |