Azure-roller, Microsoft Entra-roller och klassiska administratörsroller för prenumerationer
Om du är nybörjare på Azure kan det vara lite svårt att förstå alla olika roller i Azure. Den här artikeln förklarar följande roller och när du ska använda dem:
- Azure-roller
- Microsoft Entra-roller
- Administratörsroller för klassiska prenumerationer
Så är rollerna relaterade
För att bättre förstå rollerna i Azure är det bra att känna till lite av historien. När Azure ursprungligen lanserades hanterades åtkomst till resurser med bara tre administratörsroller: kontoadministratör, tjänstadministratör och medadministratör. Senare lades rollbaserad åtkomstkontroll i Azure (Azure RBAC) till. Azure RBAC är ett nyare auktoriseringssystem som ger detaljerad åtkomsthantering för Azure-resurser. Azure RBAC innehåller många inbyggda roller, kan tilldelas i olika omfång och gör att du kan skapa egna anpassade roller. För att hantera resurser i Microsoft Entra-ID, till exempel användare, grupper och domäner, finns det flera Microsoft Entra-roller.
Följande diagram är en översikt över hur Azure-roller, Microsoft Entra-roller och klassiska prenumerationsadministratörsroller är relaterade.
Azure-roller
Azure RBAC är ett auktoriseringssystem som bygger på Azure Resource Manager och som ger detaljerad åtkomsthantering till Azure-resurser, till exempel beräkning och lagring. Azure RBAC innehåller över 100 inbyggda roller. Det finns fem grundläggande Azure-roller. De första tre gäller för alla resurstyper:
Azure-roll | Behörigheter | Kommentar |
---|---|---|
Ägare |
|
Tjänstadministratören och medadministratörer tilldelas rollen Ägare i prenumerationsomfånget Gäller för alla resurstyper. |
Deltagare |
|
Gäller för alla resurstyper. |
Läsare |
|
Gäller för alla resurstyper. |
Administratör för rollbaserad åtkomstkontroll |
|
|
Administratör för användaråtkomst |
|
Resten av de inbyggda rollerna tillåter hantering av specifika Azure-resurser. Till exempel tillåter rollen Virtuell datordeltagare att en användare skapar och hanterar virtuella datorer. En lista över inbyggda roller finns i Inbyggda Azure-roller.
Endast Azure-portalen och Azure Resource Manager-API:er stöder Azure RBAC. Användare, grupper och program som tilldelas Azure-roller kan inte använda API:er för den klassiska Azure-distributionsmodellen.
I Azure Portal visas rolltilldelningar med Azure RBAC på sidan Åtkomstkontroll (IAM). Den här sidan finns i hela portalen, till exempel hanteringsgrupper, prenumerationer, resursgrupper och olika resurser.
När du klickar på fliken Roller visas listan över inbyggda och anpassade roller.
Mer information finns i Tilldela Azure-roller med Azure-portalen.
Microsoft Entra-roller
Microsoft Entra-roller används för att hantera Microsoft Entra-resurser i en katalog, till exempel skapa eller redigera användare, tilldela administrativa roller till andra, återställa användarlösenord, hantera användarlicenser och hantera domäner. I följande tabell beskrivs några av de viktigare Microsoft Entra-rollerna.
Microsoft Entra-roll | Behörigheter | Kommentar |
---|---|---|
Global administratör för |
|
Den person som registrerar sig för Microsoft Entra-klientorganisationen blir global administratör. |
Användaradministratör |
|
|
Faktureringsadministratör |
|
I Azure Portal kan du se listan över Microsoft Entra-roller på sidan Roller och administratörer. En lista över alla Microsoft Entra-roller finns i Administratörsrollbehörigheter i Microsoft Entra-ID.
Skillnader mellan Azure-roller och Microsoft Entra-roller
På hög nivå styr Azure-roller behörigheter för att hantera Azure-resurser, medan Microsoft Entra-roller styr behörigheter för att hantera Microsoft Entra-resurser. I följande tabell jämförs några av skillnaderna.
Azure-roller | Microsoft Entra-roller |
---|---|
Hantera åtkomst till Azure-resurser | Hantera åtkomst till Microsoft Entra-resurser |
Stöder anpassade roller | Stöder anpassade roller |
Omfånget kan anges på flera nivåer (hanteringsgrupp, prenumeration, resursgrupp och resurs) | Omfång kan anges på klientorganisationsnivå (organisationsomfattande), administrativ enhet eller på ett enskilt objekt (till exempel ett specifikt program) |
Rollinformation kan nås i Azure-portalen, Azure CLI, Azure PowerShell, Azure Resource Manager-mallar samt REST API | Rollinformation kan nås i Azure Portal, Administrationscenter för Microsoft Entra, Administrationscenter för Microsoft 365, Microsoft Graph, Microsoft Graph PowerShell |
Överlappar Azure-roller och Microsoft Entra-roller?
Som standard omfattar inte Azure-roller och Microsoft Entra-roller Azure- och Microsoft Entra-ID. Men om en global administratör höjer sin åtkomst genom att välja växlingen Åtkomsthantering för Azure-resurser i Azure Portal beviljas den globala administratören rollen Administratör för användaråtkomst (en Azure-roll) för alla prenumerationer för en viss klientorganisation. Med rollen Administratör för användaråtkomst kan användaren bevilja åtkomst till Azure-resurser för andra användare. Den här växeln kan vara användbar för att få åtkomst till en prenumeration. Läs mer i Utöka åtkomst för att hantera alla Azure-prenumerationer och hanteringsgrupper.
Flera Microsoft Entra-roller omfattar Microsoft Entra-ID och Microsoft 365, till exempel rollerna Global administratör och Användaradministratör. Om du till exempel är medlem i rollen Global administratör har du globala administratörsfunktioner i Microsoft Entra-ID och Microsoft 365, till exempel att göra ändringar i Microsoft Exchange och Microsoft SharePoint. Som standard har den globala administratören dock inte åtkomst till Azure-resurser.
Administratörsroller för klassiska prenumerationer
Viktigt!
Från och med den 31 augusti 2024 dras klassiska Azure-administratörsroller (tillsammans med klassiska Azure-resurser och Azure Service Manager) tillbaka och stöds inte längre. Om du fortfarande har aktiva rolltilldelningar som Medadministratör eller Tjänstadministratör konverterar du dessa roller till Azure RBAC omedelbart.
Mer information finns i Klassiska Azure-prenumerationsadministratörer.
Kontoadministratör, tjänstadministratör och medadministratör är de tre administratörsrollerna för klassiska prenumerationer i Azure. Administratörer för klassiska prenumerationer har fullständig åtkomst till Azure-prenumerationen. De kan hantera resurser med hjälp av Azure-portalen, Azure Resource Manager-API:er och den klassiska distributionsmodellens API:er. Det konto som används för att registrera sig för Azure anges automatiskt som både kontoadministratör och tjänstadministratör. Sedan kan ytterligare medadministratörer läggas till. Tjänstadministratören och medadministratörerna har samma åtkomst som användare som tilldelats rollen Ägare (en Azure-roll) i prenumerationsomfånget. I följande tabell beskrivs skillnaderna mellan dessa tre administrativa roller för klassiska prenumerationer.
Klassisk prenumerationsadministratör | Gräns | Behörigheter | Kommentar |
---|---|---|---|
Kontoadministratör | 1 per Azure-konto |
|
Begreppsmässigt är detta faktureringsägaren för prenumerationen. |
Tjänstadministratör | 1 per Azure-prenumeration |
|
Som standard för en ny prenumeration är kontoadministratören också tjänstadministratören. Tjänstadministratören har likvärdig åtkomst som en användare som har tilldelats rollen Ägare i prenumerationsomfånget. Tjänstadministratören har fullständig åtkomst till Azure-portalen. |
Medadministratör | 200 per prenumeration |
|
Medadministratören har likvärdig åtkomst som en användare som har tilldelats rollen Ägare i prenumerationsomfånget. |
I Azure-portalen kan du hantera medadministratörer eller visa tjänstadministratören med hjälp av fliken Klassiska administratörer.
Mer information finns i Klassiska Azure-prenumerationsadministratörer.
Azure-konto och Azure-prenumerationer
Ett Azure-konto används för att upprätta en faktureringsrelation. Ett Azure-konto är en användaridentitet, en eller flera Azure-prenumerationer och en associerad uppsättning Azure-resurser. Den person som skapar kontot är kontoadministratör för alla prenumerationer som skapas i det kontot. Den personen är även standardtjänstadministratör för prenumerationen.
Azure-prenumerationer hjälper dig att organisera åtkomst till Azure-resurser. samt styra hur resursanvändningen rapporteras, faktureras och betalas. Varje prenumeration kan ha olika fakturerings- och betalningsinställningar, så du kan ha olika prenumerationer och olika abonnemang efter kontor, avdelning, projekt och så vidare. De flesta tjänster tillhör en prenumeration och prenumerations-ID kan krävas för programmatiska åtgärder.
Varje prenumeration är associerad med en Microsoft Entra-katalog. Om du vill hitta katalogen som prenumerationen är associerad med öppnar du Prenumerationer i Azure Portal och väljer sedan en prenumeration för att se katalogen.
Konton och prenumerationer hanteras i Azure Portal.