了解 Azure 角色與 Microsoft Entra 角色之間的差異

5 分鐘

Azure 資源和 Microsoft Entra ID 具有獨立的權限系統。您可以使用 Azure 角色來管理虛擬機、記憶體和其他 Azure 資源的存取權。您可以使用 Microsoft Entra 角色來管理對 Microsoft Entra 資源的存取，例如使用者帳戶和密碼。

在本單元中，您將了解 Azure 角色與 Microsoft Entra 角色的基本層面。您將探索可供您使用的各種範圍。接著，您將根據案例來識別要指派的正確角色。

Azure 角色

Azure 角色型存取控制 (Azure RBAC) 是一套系統，可讓您控制特定人員存取特定 Azure 資源，以及控制這些人員能夠對這些資源執行的動作。將角色指派給特定範圍的使用者、群組或應用程式，即可達成控制。角色可描述為權限的集合。

使用 Azure RBAC，您可以允許一位使用者或一組使用者存取訂用帳戶中的資源。您也可以根據您小組內專長來區分特定資源的責任。例如，您可能想要將 Azure 機器學習和任何相關聯的資源存取權授與組織的數據科學家，例如 Azure SQL 資料庫，或者您可能想要授與專用機器學習資源群組內 Azure Blob 記憶體的存取權。藉由授與特定存取權，您可以將這些資源與不具備必要技能或資源需求的小組成員隔離。

您可以指定應用程式的精細權限，讓行銷 Web 應用程式只能存取相關聯的行銷資料庫與儲存體帳戶。針對組織中的經理或層級較高的小組成員，您可以授與資源群組中的所有資源、管理用途的訂用帳戶，以及計費與使用量概觀的存取權。

Azure RBAC 有許多內建角色，而且您可以建立自訂角色。

以下是內建角色的四個範例：

擁有者：具有所有資源的完整存取權，包括將存取權委派給其他使用者的能力
參與者：可以建立和管理 Azure 資源
讀者：只能檢視現有的 Azure 資源
使用者存取管理員 istrator：可以管理對 Azure 資源的存取

識別正確的範圍

您可以在四個範圍層級套用 Azure 角色：管理群組、訂用帳戶、資源群組與資源。下圖說明這四個層級的階層。

Diagram of scope hierarchy.

Azure 管理群組會將您的 Azure 訂用帳戶分組，以協助您進行管理。如果您的組織有許多訂用帳戶，則可能需要有效管理這些訂用帳戶的存取權、原則與合規性方法。 Azure 管理群組提供了訂用帳戶之上的範圍層級。

Azure 訂用帳戶可協助您組織 Azure 資源的存取權，並決定如何報告、計費及支付資源使用量費用。每個訂用帳戶都可以有不同的計費及付款設定，因此您可以依辦公室、部門、專案等來擁有不同的訂用帳戶與方案。

資源群組是存放 Azure 解決方案相關資源的容器。資源群組包含您想要以群組形式管理的資源。您可以根據最適合您組織的方式，決定哪些資源屬於資源群組。

範圍很重要，且會建立哪些資源應該套用特定類型的存取權。假設您的組織中有人需要存取虛擬機器。您可以使用 虛擬機參與者 角色，此角色可讓該人員只管理特定資源群組內的虛擬機。您可以將角色的範圍限制於特定資源、資源群組、訂用帳戶或管理群組層級。

透過結合 Azure 角色與範圍，您可以針對 Azure 資源設定量身打造的權限。

Microsoft Entra 角色

Microsoft Entra ID 也有自己的一組角色，其大多適用於使用者、密碼與網域。這些角色有不同的用途。以下是一些範例：

全域管理員：可以管理 Microsoft Entra ID 中系統管理功能的存取權。此角色中的人員可以將系統管理員角色授與其他使用者，也可重設任何使用者或系統管理員的密碼。根據預設，註冊目錄的人員會自動獲指派此角色。
使用者管理員：可管理使用者與群組的所有層面，包括支援票證、監視服務健康狀態，以及重設特定類型使用者的密碼。
計費管理員：可進行採購、管理訂用帳戶與支援票證，以及監視服務健康情況。除了 Azure RBAC 權限之外，Azure 也有詳細的計費權限。可用的計費權限，取決於您與 Microsoft 的合約。

Azure 角色與 Microsoft Entra 角色之間的差異

Azure 角色與 Microsoft Entra 角色之間的主要差異在於其涵蓋範圍。 Azure 角色適用於 Azure 資源，而 Microsoft Entra 角色則適用於 Microsoft Entra 資源 (特別是使用者、群組與網域)。此外，Microsoft Entra ID 只有一個範圍：目錄。 Azure RBAC 範圍涵蓋管理群組、訂用帳戶、資源群組和資源。

這些角色共用重疊的主要區域。 Microsoft Entra 全域管理員可以提高其存取權，以管理所有 Azure 訂用帳戶與管理群組。這個更高的存取權會針對其目錄中所有訂用帳戶，授與 Azure RBAC「使用者存取系統管理員」角色。透過「使用者存取系統管理員」角色，「全域管理員」可將 Azure 資源的存取權授與其他使用者。

在我們的案例中，您必須將完整 Azure RBAC 管理和計費權限授與新的經理。為達到此目的，您將暫時提高存取權以包含「使用者存取系統管理員」角色。接著，您可以將「擁有者」角色授與新的經理，讓他們可以建立及管理資源。您也會將範圍設定為訂用帳戶層級，讓管理員可以為訂用帳戶中的所有資源執行此動作。

下圖顯示當「全域管理員」的權限提高為「使用者存取系統管理員」時可以檢視的資源。

Diagram of User Access Administrator elevated permissions.

檢定您的知識

您需要將 Azure 訂用帳戶的系統管理員存取權授與組織中的其他人。該人員需要能夠管理在該訂用帳戶下建立的 Azure 資源。該人員也需要該訂用帳戶帳單資訊的存取權。您應該授與哪種角色？

在訂用帳戶範圍中指派「使用者存取系統管理員」角色。

指派管理群組領域的「計費管理員」角色。

在訂用帳戶範圍指派「擁有者」角色。

Azure 角色與 Microsoft Entra 角色之間的主要差異為何？

Azure 角色適用於 Azure 資源。 Microsoft Entra 角色適用於 Microsoft Entra 資源，例如使用者、群組與網域。

您可以在根層級指派 Azure 角色。

Microsoft Entra 角色是用來管理對 Azure 資源的存取權。 Azure 角色用於檢視及管理 Azure 資源。

您必須先回答所有問題，才能檢查進度。

繼續