Azure rolleri, Microsoft Entra rolleri ve klasik abonelik yöneticisi rolleri

Azure'da yeniyseniz, Azure'daki tüm farklı rolleri anlamak biraz zor olabilir. Bu makalede aşağıdaki roller ve bunları kullanacağınız zamanlar açıklanmaktadır:

• Azure rolleri
• Microsoft Entra rolleri
• Klasik abonelik yönetici rolleri

Roller arasındaki ilişki

Azure'un geçmişine göz atmanız rolleri daha iyi anlamanıza yardımcı olabilir. Azure ilk kez kullanıma sunulduğunda kaynaklara erişim yalnızca üç yönetici rolüyle yönetiliyordu: Hesap Yöneticisi, Hizmet Yöneticisi ve Ortak Yönetici. Daha sonra Azure rol tabanlı erişim denetimi (Azure RBAC) eklendi. Azure RBAC, Azure kaynakları için daha ayrıntılı bir erişim yönetimi sunan daha yeni bir yetkilendirme sistemidir. Azure RBAC birçok yerleşik rol içerir, farklı kapsamlarda atanabilir ve kendi özel rollerinizi oluşturmanıza olanak tanır. Microsoft Entra Id'de kullanıcılar, gruplar ve etki alanları gibi kaynakları yönetmek için çeşitli Microsoft Entra rolleri vardır.

Aşağıdaki diyagram, Azure rollerinin, Microsoft Entra rollerinin ve klasik abonelik yöneticisi rollerinin nasıl ilişkili olduğunu gösteren üst düzey bir görünümdür.

Azure rolleri

Azure RBAC, işlem ve depolama gibi Azure kaynaklarına ayrıntılı erişim yönetimi sağlayan, Azure Resource Manager üzerinde oluşturulmuş bir yetkilendirme sistemidir. Azure RBAC 100'den fazla yerleşik rol içerir. Beş temel Azure rolü vardır. İlk üçü tüm kaynak türleri için geçerlidir:

Azure rolü	İzinler	Notlar
Sahip	Tüm kaynakları yönetmek için tam erişim verir Azure RBAC'de rol atama	Hizmet Yöneticisine ve Ortak Yöneticilere abonelik kapsamında Sahip rolü atanır Tüm kaynak türleri için geçerlidir.
Katkıda Bulunan	Tüm kaynakları yönetmek için tam erişim verir Azure RBAC'de roller atanamıyor Azure Blueprints'te atamaları yönetemiyor veya görüntü galerilerini paylaşamıyorum	Tüm kaynak türleri için geçerlidir.
Okuyucu	Azure kaynaklarını görüntüleme	Tüm kaynak türleri için geçerlidir.
Rol Tabanlı Erişim Denetimi Yönetici istrator	Azure kaynaklarına kullanıcı erişimini yönetme Azure RBAC'de rol atama Kendilerine veya başkalarına Sahip rolü atama Azure İlkesi gibi başka yollarla erişim yönetemiyorum
Kullanıcı Erişimi Yöneticisi	Azure kaynaklarına kullanıcı erişimini yönetme Azure RBAC'de rol atama Kendilerine veya başkalarına Sahip rolü atama

Yerleşik rollerin diğerleri belirli Azure kaynakları için yönetim özellikleri sunar. Örneğin Sanal Makine Katılımcısı rolü, kullanıcının sanal makine oluşturmasını ve yönetmesini sağlar. Tüm yerleşik rollerin listesi için bkz. Azure yerleşik rolleri.

Azure RBAC yalnızca Azure portal ve Azure Resource Manager API'leri tarafından desteklenir. Azure rolleri atanmış olan kullanıcılar, gruplar ve uygulamalar Azure klasik dağıtım modeli API'lerini kullanamaz.

Azure portalında, Erişim denetimi (IAM) sayfasında Azure RBAC kullanan rol atamaları görüntülenir. Bu sayfa yönetim grupları, abonelikler, kaynak grupları ve çeşitli kaynaklar gibi portalda bulunabilir.

Roller sekmesine tıkladığınızda yerleşik ve özel rollerin listesini görürsünüz.

Daha fazla bilgi edinmek için bkz. Azure portal kullanarak Azure rolleri atama.

Microsoft Entra rolleri

Microsoft Entra rolleri , kullanıcı oluşturma veya düzenleme, başkalarına yönetici rolleri atama, kullanıcı parolalarını sıfırlama, kullanıcı lisanslarını yönetme ve etki alanlarını yönetme gibi bir dizindeki Microsoft Entra kaynaklarını yönetmek için kullanılır. Aşağıdaki tabloda, daha önemli Microsoft Entra rollerinden birkaçı açıklanmaktadır.

Microsoft Entra rolü	İzinler	Notlar
Genel Yönetici	Microsoft Entra Id'deki tüm yönetim özelliklerine ve Microsoft Entra Id'ye federasyon sağlayan hizmetlere erişimi yönetme Diğer kullanıcılara yönetici rolü atama Tüm kullanıcıların ve diğer yöneticilerin parolasını sıfırlama	Microsoft Entra kiracısı için kaydolan kişi Genel Yönetici istratörü olur.
Kullanıcı Yöneticisi	Kullanıcı ve grup oluşturma ve bunların tüm özelliklerini yönetme Destek biletlerini yönetme Hizmet durumunu izleme Kullanıcıların, Yardım Masası yöneticilerinin ve Kullanıcı Yöneticilerinin parolalarını değiştirme
Faturalama Yöneticisi	Satın alma gerçekleştirme Abonelikleri yönetme Destek biletlerini yönetme Hizmet durumunu izleme

Azure portalında, Roller ve yöneticiler sayfasında Microsoft Entra rollerinin listesini görebilirsiniz. Tüm Microsoft Entra rollerinin listesi için bkz. Microsoft Entra Id'de Yönetici istrator rolü izinleri.

Azure rolleri ile Microsoft Entra rolleri arasındaki farklar

Azure rolleri, Azure kaynaklarını yönetme izinlerini üst düzeyde denetlerken, Microsoft Entra rolleri de Microsoft Entra kaynaklarını yönetme izinlerini denetler. Farkların bazıları aşağıdaki tabloda karşılaştırılmıştır.

Azure rolleri	Microsoft Entra rolleri
Azure kaynaklarına erişimi yönetme	Microsoft Entra kaynaklarına erişimi yönetme
Özel rolleri destekler	Özel rolleri destekler
Birden fazla düzeyde (yönetim grubu, abonelik, kaynak grubu, kaynak) kapsam belirtilebilir	Kapsam kiracı düzeyinde (kuruluş genelinde), yönetim biriminde veya tek bir nesnede (örneğin, belirli bir uygulama) belirtilebilir
Rol bilgilerine Azure portal, Azure CLI, Azure PowerShell, Azure Resource Manager şablonları, REST API'si aracılığıyla erişilebilir	Rol bilgilerine Azure portalı, Microsoft Entra yönetim merkezi, Microsoft 365 yönetim merkezi, Microsoft Graph, Microsoft Graph PowerShell'de erişilebilir

Azure rolleri ve Microsoft Entra rolleri çakışıyor mu?

Varsayılan olarak, Azure rolleri ve Microsoft Entra rolleri Azure ve Microsoft Entra Kimliği'ne yayılmaz. Bununla birlikte, Bir Genel Yönetici istrator Azure portalında Azure kaynakları için Erişim yönetimi anahtarını seçerek erişimini yükseltirse, Genel Yönetici strator'a belirli bir kiracının tüm aboneliklerinde Kullanıcı Erişimi Yönetici istrator rolü (azure rolü) verilir. Kullanıcı Erişimi Yöneticisi, kullanıcının diğer kullanıcılara Azure kaynaklarına erişim izni vermesini sağlar. Bu seçenek bir aboneliğe yeniden erişim elde etmek konusunda faydalı olabilir. Daha fazla bilgi için bkz. Tüm Azure aboneliklerini ve yönetim gruplarını yönetmek amacıyla erişimi yükseltme.

Genel Yönetici strator ve Kullanıcı Yönetici istrator rolleri gibi çeşitli Microsoft Entra rolleri Microsoft Entra Id ve Microsoft 365'e yayılabilir. Örneğin, Genel Yönetici strator rolünün bir üyesiyseniz, Microsoft Entra Id ve Microsoft 365'te Microsoft Exchange ve Microsoft SharePoint'te değişiklik yapma gibi genel yönetici özelliklerine sahip olursunuz. Ancak Genel Yönetici varsayılan olarak Azure kaynaklarına erişim sahibi değildir.

Klasik abonelik yönetici rolleri

Önemli

Klasik kaynaklar ve klasik yöneticiler 31 Ağustos 2024'te kullanımdan kaldırılacaktır. 3 Nisan 2024'den itibaren yeni Ortak Yönetici istrator'lar ekleyemezsiniz. Bu tarih yakın zamanda uzatıldı. Gereksiz Co-Yönetici istrator'ları kaldırın ve ayrıntılı erişim denetimi için Azure RBAC kullanın.

Hesap Yöneticisi, Hizmet Yöneticisi ve Ortak Yönetici, Azure'daki üç klasik abonelik yönetici rolüdür. Klasik abonelik yöneticileri, Azure aboneliğinde tam erişime sahiptir. Bu yöneticiler Azure portal, Azure Resource Manager API'leri ve klasik dağıtım modeli API'leri aracılığıyla kaynakları yönetebilir. Azure'a kaydolmak için kullanılan hesap otomatik olarak hem Hesap Yöneticisi hem de Hizmet Yöneticisi olarak ayarlanır. Kayıt işleminin ardından ek Ortak Yöneticiler eklenebilir. Hizmet Yöneticisi ve Ortak Yöneticiler, abonelik kapsamında Sahip rolü (bir Azure rolüdür) atanmış olan kullanıcılarla eşit düzeyde erişime sahiptir. Aşağıdaki tabloda bu üç klasik abonelik yönetici rolü arasındaki farklar gösterilmiştir.

Klasik abonelik yöneticisi	Sınır	İzinler	Notlar
Hesap Yöneticisi	Azure hesabı başına 1	Azure portala erişme ve faturalamayı yönetme Hesaptaki tüm abonelikler için faturalamayı yönetme Yeni abonelik oluşturma Abonelikleri iptal etme Aboneliğin faturalama bilgilerini değiştirme Hizmet Yöneticisini değiştirme Hizmet Yönetici istrator veya abonelik Sahibi rolüne sahip olmadığı sürece abonelikler iptal edilemiyor	Kavramsal açıdan aboneliğin faturalama sahibidir.
Hizmet Yöneticisi	Azure aboneliği başına 1	Azure portal'da hizmetleri yönetme Aboneliği iptal etme Ortak Yönetici rolüne kullanıcı atama	Yeni bir abonelikte Hesap Yöneticisi varsayılan olarak Hizmet Yöneticisi olur. Hizmet Yöneticisi, abonelik kapsamında Sahip rolü atanmış olan kullanıcıyla eşit düzeyde erişime sahiptir. Hizmet Yöneticisi’nin Azure portala tam erişimi vardır.
Ortak Yönetici	Abonelik başına 200	Hizmet Yönetici istrator ile aynı erişim ayrıcalıkları, ancak aboneliklerin Microsoft Entra dizinleriyle ilişkisini değiştiremez Ortak Yönetici rolüne kullanıcı atayabilir ancak Hizmet Yöneticisini değiştiremez	Ortak Yönetici, abonelik kapsamında Sahip rolü atanmış olan kullanıcıyla eşit düzeyde erişime sahiptir.

Azure portalda Klasik yöneticiler sekmesini kullanarak Ortak Yöneticileri yönetebilir veya Hizmet Yöneticisini görüntüleyebilirsiniz.

Daha fazla bilgi için bkz. Azure klasik abonelik yöneticileri.

Azure hesabı ve Azure abonelikleri

Faturalama ilişkisi kurmak için Bir Azure hesabı kullanılır. Azure hesabı bir kullanıcı kimliğinden, bir veya daha fazla Azure aboneliğinden ve ilgili Azure kaynakları kümesinden oluşur. Hesabı oluşturan kişi, bu hesapta oluşturulan tüm aboneliklerin Hesap Yöneticisi olur. Bu kişi ayrıca aboneliğin varsayılan Hizmet Yöneticisi de olur.

Azure abonelikleri, Azure kaynaklarına erişimi düzenlemenize de yardımcı olur. Ayrıca kaynak kullanımının nasıl raporlandığını, faturalandırıldığını ve ödendiği denetlemenize yardımcı olur. Her aboneliğin farklı bir faturalama ve ödeme düzeni olabileceği için örneğin ofise, departmana ve projeye göre farklı abonelikleriniz ve farklı planlarınız olabilir. Her hizmet bir aboneliğe aittir ve programlama işlemleri için abonelik kimliği gerekebilir.

Her abonelik bir Microsoft Entra diziniyle ilişkilendirilir. Aboneliğin ilişkili olduğu dizini bulmak için Azure portalında Abonelikler'i açın ve dizini görmek için bir abonelik seçin.

Hesaplar ve abonelikler Azure portalında yönetilir.

Sonraki adımlar

• Azure portalı kullanarak Azure rolleri atama
• Kullanıcılara Microsoft Entra rolleri atama
• Microsoft Entra Id'de Microsoft 365 hizmetleri için roller