Azure 角色、Microsoft Entra 角色和傳統訂用帳戶管理員角色
如果您不熟悉 Azure,您可能會發現要了解 Azure 中的所有不同角色有點挑戰。 本文協助說明下列角色,以及使用每個角色的時機:
- Azure 角色
- Microsoft Entra 角色
- 傳統訂用帳戶管理員角色
角色的關聯方式
若要進一步了解 Azure 中的角色,最好先知道某些歷程記錄。 Azure 最初發行時,只有三個系統管理員角色負責管理資源存取:「帳戶管理員」、「服務管理員」和「共同管理員」。 之後,新增了 Azure 角色型存取控制 (Azure RBAC)。 Azure RBAC 是較新的授權系統,可為 Azure 資源提供更細緻的存取管理。 Azure RBAC 包含許多內建角色,這些角色可以在不同的範圍進行指派,並可讓您建立自己的自訂角色。 若要管理 Microsoft Entra ID 中的資源 (例如使用者、群組和網域),有數個 Microsoft Entra 角色可以使用。
下圖是 Azure 角色、Microsoft Entra 角色和傳統訂用帳戶管理員角色如何產生關聯的高階檢視。
Azure 角色
Azure RBAC 是在 Azure Resource Manager 上建置的授權系統,可提供更細緻的 Azure 資源存取管理,例如計算和儲存體。 Azure RBAC 包含超過 100 個內建角色。 基本 Azure 角色有五個。 前三個適用於所有資源類型:
| Azure 角色 | 權限 | 備註 |
|---|---|---|
| 負責人 |
|
服務管理員和共同管理員都會獲派訂用帳戶範圍的擁有者角色 適用於所有資源類型。 |
| 參與者 |
|
適用於所有資源類型。 |
| 讀取者 |
|
適用於所有資源類型。 |
| 角色型存取控制系統管理員 |
|
|
| 使用者存取系統管理員 |
|
其餘的 RBAC 角色可以管理特定 Azure 資源。 例如,虛擬機器參與者角色可讓使用者建立和管理虛擬機器。 如需內建角色清單,請參閱 Azure 內建角色。
只有 Azure 入口網站和 Azure Resource Manager API 支援 Azure RBAC。 獲派 Azure 角色的使用者、群組和應用程式無法使用 Azure 傳統部署模型 API。
在 Azure 入口網站中,使用 Azure RBAC 的角色指派會出現在 [存取控制 (IAM)] 頁面上。 在整個入口網站中都可以找到此頁面,例如管理群組、訂用帳戶、資源群組及各種資源。
當您按一下 [角色] 索引標籤時,您會看到內建和自訂角色的清單。
如需詳細資訊,請參閱使用 Azure 入口網站指派 Azure 角色。
Microsoft Entra 角色
Microsoft Entra 角色會用來管理目錄中的 Microsoft Entra 資源,例如建立或編輯使用者、將系統管理角色指派給其他人、重設使用者密碼、管理使用者授權,以及管理網域。 下表描述了一些較重要的 Microsoft Entra 角色。
| Microsoft Entra 角色 | 權限 | 備註 |
|---|---|---|
| 全域管理員 |
|
註冊 Microsoft Entra 租用戶的人員會變成全域管理員。 |
| 使用者管理員 |
|
|
| 計費管理員 |
|
在 Azure 入口網站中,您可以在 [角色和管理員] 頁面上看到 Microsoft Entra 角色清單。 如需所有 Microsoft Entra 角色的清單,請參閱 Microsoft Entra ID 中的管理員角色權限。
Azure 角色與 Microsoft Entra 角色之間的差異
概括而言,Azure 角色控制 Azure 資源的管理權限,而 Microsoft Entra 角色控制 Microsoft Entra 資源的管理權限。 下表比較了兩者的幾項差異。
| Azure 角色 | Microsoft Entra 角色 |
|---|---|
| 管理 Azure 資源的存取權 | 管理 Microsoft Entra 資源的存取權 |
| 支援自訂角色 | 支援自訂角色 |
| 可以在多個層級指定範圍 (管理群組、訂閱、資源群組、資源) | 範圍可以在租用戶層級 (全組織)、系統管理單位或個別物件上指定 (例如,特定應用程式) |
| 可以在 Azure 入口網站、Azure CLI、Azure PowerShell、Azure Resource Manager 範本、REST API 中存取角色資訊 | 如需角色資訊,請前往 Azure 入口網站、Microsoft Entra 系統管理中心、Microsoft 365 系統管理中心、Microsoft Graph、Microsoft Graph PowerShell |
Azure 角色和 Microsoft Entra 角色是否重疊?
根據預設,Azure 角色和 Microsoft Entra 角色不會跨越 Azure 和 Microsoft Entra ID。 不過,如果全域管理員藉由在 Azure 入口網站中選擇 [Azure 資源的存取管理] 參數來提升其存取權,則全域管理員會被授與特定租用戶中所有訂用帳戶的使用者存取管理員 角色 (Azure 角色)。 使用者存取管理員角色可讓使用者授權其他使用者存取根 Azure 資源的權限。 這個參數有助於重新取得訂用帳戶的存取權。 如需詳細資訊,請參閱提高存取權以管理所有 Azure 訂用帳戶和管理群組。
數個 Microsoft Entra 角色跨越 Microsoft Entra ID 和 Microsoft 365,例如全域管理員和使用者管理員角色。 例如,如果您是全域管理員角色的成員,您就具有 Microsoft Entra ID 和 Microsoft 365 的全域管理員功能,例如對 Microsoft Exchange 和 Microsoft SharePoint 進行變更。 不過,根據預設,全域管理員無法存取 Azure 資源。
傳統訂用帳戶管理員角色
重要
自 2024 年 8 月 31 日起,Azure 傳統管理員角色 (以及 Azure 傳統資源和 Azure Service Manager) 已淘汰且不再提供支援。 如果您仍然有作用中的共同管理員或服務管理員角色指派,請立即將這些角色指派轉換為 Azure RBAC。
如需詳細資訊,請參閱 Azure 傳統訂用帳戶管理員。
帳戶管理員、服務系統管理員和共同管理員是 Azure 中的三個傳統訂用帳戶管理員角色。 傳統訂用帳戶管理員具有 Azure 訂用帳戶的完整存取權。 他們可以使用 Azure 入口網站、Azure Resource Manager API 和傳統部署模型 API 來管理資源。 用於註冊 Azure 的帳戶會自動設定為帳戶管理員和服務管理員。 接著,註冊之後才新增額外的共同管理員。 服務系統管理員與共同管理員具有與下列使用者同等的存取權:在訂用帳戶範圍獲派擁有者角色 (Azure 角色) 的使用者。 下表說明這三個傳統訂用帳戶系統管理角色之間的差異。
| 傳統訂用帳戶管理員 | 限制 | 權限 | 備註 |
|---|---|---|---|
| 帳戶管理員 | 每個 Azure 帳戶 1 名 |
|
在概念上,就是訂用帳戶的計費擁有者。 |
| 服務管理員 | 每個 Azure 訂用帳戶 1 名 |
|
根據預設,新訂用帳戶的帳戶管理員也是服務管理員。 服務管理員與在訂用帳戶範圍獲派擁有者角色的使用者具有同等的存取權。 服務管理員可完整存取 Azure 入口網站。 |
| 共同管理員 | 每個訂用帳戶 200 名 |
|
共同管理員與在訂用帳戶範圍獲派擁有者角色的使用者具有同等的存取權。 |
在 Azure 入口網站中,您可以使用 [傳統管理員] 索引標籤管理共同管理員或檢視服務管理員。
如需詳細資訊,請參閱 Azure 傳統訂用帳戶管理員。
Azure 帳戶與 Azure 訂用帳戶
Azure 帳戶可用來建立帳務關係。 Azure 帳戶就是使用者身分識別、一或多個 Azure 訂用帳戶,以及一組相關聯的 Azure 資源。 建立帳戶的人員就是該帳戶中所有訂用帳戶的帳戶管理員。 該人員也是訂用帳戶的預設服務管理員。
Azure 訂用帳戶可協助您組織 Azure 資源的存取權。 它們也可協助您控制如何根據資源使用量產生報告、計費及付費。 每個訂用帳戶都可以有不同的計費及付款設定,因此您可以依辦公室、部門、專案等等來擁有不同的訂用帳戶與不同的方案。 大部分服務都屬於某個訂用帳戶,而且需要訂用帳戶識別碼才能進行程式設計作業。
每個訂用帳戶都會與 Microsoft Entra 目錄建立關聯。 若要尋找與訂用帳戶相關聯的目錄,請在 Azure 入口網站中開啟 [訂用帳戶],然後選取訂用帳戶以查看目錄。
帳戶和訂用帳戶都是在 Azure 入口網站中管理。