Klassiska administratörsroller för prenumerationer, Azure-roller och Azure AD-roller

Om du är nybörjare på Azure kan det vara lite svårt att förstå de olika rollerna i Azure. Den här artikeln förklarar följande roller och när du ska använda dem:

  • Administratörsroller för klassiska prenumerationer
  • Azure-roller
  • Roller i Azure Active Directory (Azure AD)

För att bättre förstå rollerna i Azure är det bra att känna till lite av historien. När Azure ursprungligen lanserades hanterades åtkomst till resurser med bara tre administratörsroller: kontoadministratör, tjänstadministratör och medadministratör. Senare lades rollbaserad åtkomstkontroll i Azure (Azure RBAC) till. Azure RBAC är ett nyare auktoriseringssystem som ger detaljerad åtkomsthantering för Azure-resurser. Azure RBAC innehåller många inbyggda roller, kan tilldelas i olika omfång och gör att du kan skapa egna anpassade roller. Det finns flera Azure AD roller för att hantera resurser i Azure AD, till exempel användare, grupper och domäner.

I det här diagrammet visas en översikt över hur administratörsroller för klassiska prenumerationer, Azure-roller och Azure AD-roller är relaterade på hög nivå.

De olika rollerna i Azure

Administratörsroller för klassiska prenumerationer

Kontoadministratör, tjänstadministratör och medadministratör är de tre administratörsrollerna för klassiska prenumerationer i Azure. Administratörer för klassiska prenumerationer har fullständig åtkomst till Azure-prenumerationen. De kan hantera resurser med hjälp av Azure-portalen, Azure Resource Manager-API:er och den klassiska distributionsmodellens API:er. Det konto som används för att registrera sig för Azure anges automatiskt som både kontoadministratör och tjänstadministratör. Sedan kan ytterligare medadministratörer läggas till. Tjänstadministratören och medadministratörerna har samma åtkomst som användare som tilldelats rollen Ägare (en Azure-roll) i prenumerationsomfånget. I följande tabell beskrivs skillnaderna mellan dessa tre administrativa roller för klassiska prenumerationer.

Klassisk prenumerationsadministratör Gräns Behörigheter Kommentarer
Kontoadministratör 1 per Azure-konto
  • Kan komma åt Azure-portalen och hantera fakturering
  • Hantera fakturering för alla prenumerationer i kontot
  • Skapa nya prenumerationer
  • Avbryt prenumerationer
  • Ändra faktureringen för en prenumeration
  • Ändra tjänstadministratör
  • Det går inte att avbryta prenumerationer om de inte har rollen tjänstadministratör eller prenumerationsägare
Begreppsmässigt är detta faktureringsägaren för prenumerationen.
Tjänstadministratör 1 per Azure-prenumeration
  • Hantera tjänster i Azure-portalen
  • Avbryta prenumerationen
  • Tilldela användare till rollen Medadministratör
Som standard för en ny prenumeration är kontoadministratören också tjänstadministratören.
Tjänstadministratören har likvärdig åtkomst som en användare som har tilldelats rollen Ägare i prenumerationsomfånget.
Tjänstadministratören har fullständig åtkomst till Azure-portalen.
Medadministratör 200 per prenumeration
  • Samma åtkomstbehörigheter som tjänstadministratören, men kan inte ändra associationen för prenumerationer till Azure AD kataloger
  • Tilldela användare till rollen Medadministratör, men kan inte ändra tjänstadministratör
Medadministratören har likvärdig åtkomst som en användare som har tilldelats rollen Ägare i prenumerationsomfånget.

I Azure-portalen kan du hantera medadministratörer eller visa tjänstadministratören med hjälp av fliken Klassiska administratörer.

Klassiska Azure-prenumerationsadministratörer i Azure-portalen

I Azure-portalen kan du visa eller ändra tjänstadministratören eller visa kontoadministratören på egenskapsbladet för din prenumeration.

Kontoadministratör och tjänstadministratör i Azure-portalen

Mer information finns i Klassiska Azure-prenumerationsadministratörer.

Azure-konto och Azure-prenumerationer

Ett Azure-konto används för att upprätta en faktureringsrelation. Ett Azure-konto är en användaridentitet, en eller flera Azure-prenumerationer och en associerad uppsättning Azure-resurser. Den person som skapar kontot är kontoadministratör för alla prenumerationer som skapas i det kontot. Den personen är även standardtjänstadministratör för prenumerationen.

Azure-prenumerationer hjälper dig att organisera åtkomst till Azure-resurser. samt styra hur resursanvändningen rapporteras, faktureras och betalas. Olika prenumerationer kan ha olika fakturerings- och betalningskonfiguration, vilket betyder att du kan ha olika faktureringsplaner beroende på kontor, avdelning, projekt och så vidare. Varje tjänst tillhör en prenumeration, och prenumerations-ID kan krävas för programmässiga åtgärder.

Varje prenumeration är associerad med en Azure AD katalog. Om du vill hitta katalogen som prenumerationen är associerad med öppnar du Prenumerationer i Azure Portal och väljer sedan en prenumeration för att se katalogen.

Konton och prenumerationer hanteras i Azure Portal.

Azure-roller

Azure RBAC är ett auktoriseringssystem som bygger på Azure Resource Manager som ger detaljerad åtkomsthantering till Azure-resurser såsom beräkning och lagring. Azure RBAC har över 70 inbyggda roller. Det finns fyra grundläggande Azure-roller. De första tre gäller för alla resurstyper:

Azure-roll Behörigheter Kommentarer
Ägare
  • Fullständig åtkomst till alla resurser
  • Delegera åtkomst till andra
Tjänstadministratören och medadministratörer tilldelas rollen Ägare i prenumerationsomfånget
Gäller för alla resurstyper.
Deltagare
  • Skapa och hantera alla typer av Azure-resurser
  • Skapa en ny klientorganisation i Azure Active Directory
  • Kan inte bevilja åtkomst till andra
Gäller för alla resurstyper.
Läsare
  • Visa Azure-resurser
Gäller för alla resurstyper.
Administratör för användaråtkomst
  • Hantera användaråtkomst till Azure-resurser

Resten av de inbyggda rollerna tillåter hantering av specifika Azure-resurser. Till exempel tillåter rollen Virtuell datordeltagare att en användare skapar och hanterar virtuella datorer. En lista över inbyggda roller finns i Inbyggda Azure-roller.

Endast Azure-portalen och Azure Resource Manager-API:er stöder Azure RBAC. Användare, grupper och program som tilldelas Azure-roller kan inte använda API:er för den klassiska Azure-distributionsmodellen.

I Azure-portalen visas rolltilldelningar som använder Azure RBAC på bladet Åtkomstkontroll (IAM) . Det här bladet finns på flera ställen i portalen, till exempel i hanteringsgrupper, prenumerationer, resursgrupper och olika resurser.

Bladet Åtkomstkontroll (IAM) i Azure-portalen

När du klickar på fliken Roller visas listan över inbyggda och anpassade roller.

Inbyggda roller i Azure-portalen

Mer information finns i Tilldela Azure-roller med hjälp av Microsoft Azure-portalen.

Azure AD-roller

Azure AD roller används för att hantera Azure AD resurser i en katalog, till exempel skapa eller redigera användare, tilldela administrativa roller till andra, återställa användarlösenord, hantera användarlicenser och hantera domäner. I följande tabell beskrivs några av de viktigare Azure AD rollerna.

Azure AD roll Behörigheter Kommentarer
Global administratör
  • Hantera åtkomst till alla administrativa funktioner i Azure Active Directory samt tjänster som federerar till Azure Active Directory
  • Tilldela administratörsroller till andra
  • Återställa lösenordet för valfri användare och alla andra administratörer
Den person som registrerar sig för Azure Active Directory-klientorganisationen blir en global administratör.
Användaradministratör
  • Skapa och hantera alla aspekter av användare och grupper
  • Hantera supportbegäranden
  • Övervaka tjänstens hälsa
  • Ändra lösenord för användare, supportadministratörer och andra användaradministratörer
Faktureringsadministratör
  • Genomför inköp
  • Hantera prenumerationer
  • Hantera supportbegäranden
  • Övervakar tjänstens hälsa

I Azure Portal visas listan över Azure AD roller på bladet Roller och administratörer. En lista över alla Azure AD roller finns i Administratörsrollbehörigheter i Azure Active Directory.

Azure AD roller i Azure Portal

Skillnader mellan Azure-roller och Azure AD-roller

På hög nivå styr Azure-roller behörigheter för att hantera Azure-resurser, medan Azure AD roller styr behörigheter för att hantera Azure Active Directory-resurser. I följande tabell jämförs några av skillnaderna.

Azure-roller Azure AD-roller
Hantera åtkomst till Azure-resurser Hantera åtkomst till Azure Active Directory-resurser
Stöder anpassade roller Stöder anpassade roller
Omfånget kan anges på flera nivåer (hanteringsgrupp, prenumeration, resursgrupp och resurs) Omfång kan anges på klientorganisationsnivå (organisationsomfattande), administrativ enhet eller på ett enskilt objekt (till exempel ett specifikt program)
Rollinformation kan nås i Azure-portalen, Azure CLI, Azure PowerShell, Azure Resource Manager-mallar samt REST API Rollinformation kan nås i Azure-administratörsportalen, Administrationscenter för Microsoft 365, Microsoft Graph, AzureAD PowerShell

Överlappar Azure-roller och Azure AD roller?

Azure-roller och Azure AD-roller gäller normalt inte för hela Azure respektive Azure AD. Men om en global administratör höjer sin åtkomst genom att välja växeln Åtkomsthantering för Azure-resurser i Azure Portal, beviljas den globala administratören rollen Administratör för användaråtkomst (en Azure-roll) för alla prenumerationer för en viss klientorganisation. Med rollen Administratör för användaråtkomst kan användaren bevilja åtkomst till Azure-resurser för andra användare. Den här växeln kan vara användbar för att få åtkomst till en prenumeration. Läs mer i Utöka åtkomst för att hantera alla Azure-prenumerationer och hanteringsgrupper.

Flera Azure AD roller omfattar Azure AD och Microsoft 365, till exempel rollerna Global administratör och Användaradministratör. Om du till exempel är medlem i rollen Global administratör har du globala administratörsfunktioner i Azure AD och Microsoft 365, till exempel att göra ändringar i Microsoft Exchange och Microsoft SharePoint. Som standard har den globala administratören dock inte åtkomst till Azure-resurser.

Azure RBAC jämfört med Azure AD roller

Nästa steg