Примечание
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Если вы еще не знакомы с Azure, вам будет нелегко разобраться в многообразии ролей Azure. В этой статье описываются следующие роли и приводятся рекомендации по их использованию:
- Роли в Azure
- Роли Microsoft Entra
- Роли классического администратора подписки
Взаимосвязи между ролями
Для лучшего понимания ролей в Azure требуется определенная историческая справка. Сразу после выпуска Azure для управления доступом к ресурсам использовались всего три роли администраторов: администратор учетных записей, администратор служб и соадминистратор. Позже было добавлено управление доступом Azure на основе ролей (Azure RBAC). RBAC Azure — это новая система авторизации, которая обеспечивает более точное управление доступом к ресурсам Azure. В системе RBAC Azure есть множество встроенных ролей, которые можно назначать в различных областях. Кроме того, она позволяет создавать настраиваемые роли. Для управления ресурсами в идентификаторе Microsoft Entra, таких как пользователи, группы и домены, существует несколько ролей Microsoft Entra.
На следующей схеме представлено высокоуровневое представление о том, как связаны роли Azure, роли Microsoft Entra и классические роли администратора подписки.
Роли в Azure
Azure RBAC — это система авторизации, основанная на Azure Resource Manager , которая обеспечивает точное управление доступом к ресурсам Azure, таким как вычисления и хранилище. Azure RBAC включает более 100 встроенных ролей. Существует пять основных ролей Azure. Первые три роли охватывают все типы ресурсов:
| Роль Azure | Разрешения | Примечания. |
|---|---|---|
| Ответственное лицо |
|
Администратору служб и соадминистраторам назначается роль владельца в области действия подписки Применяется ко всем типам ресурсов. |
| Участник |
|
Применяется ко всем типам ресурсов. |
| Читатель |
|
Применяется ко всем типам ресурсов. |
| Администратор управления доступом на основе ролей |
|
|
| Администратор доступа пользователей |
|
Остальные встроенные роли разрешают управление определенными ресурсами Azure. Например, роль Участник виртуальных машин позволяет пользователю создавать виртуальные машины и управлять ими. Полный список встроенных ролей см. в статье Встроенные роли Azure.
Только портал Azure и API-интерфейсы Azure Resource Manager поддерживают модель RBAC Azure. Пользователи, группы и приложения, которым назначены роли Azure, не могут использовать API классической модели развертывания Azure.
В портале Azure назначения ролей с помощью Azure RBAC отображаются на странице Управление доступом (IAM). Эту страницу можно найти на всём портале, например в группах управления, подписках, группах ресурсов и различных ресурсах.
Щелкнув вкладку "Роли ", вы увидите список встроенных и настраиваемых ролей.
Дополнительные сведения см. в разделе Назначение ролей Azure с помощью портала Azure.
Роли Microsoft Entra
Роли Microsoft Entra используются для управления ресурсами Microsoft Entra в каталоге, таком как создание или изменение пользователей, назначение административных ролей другим пользователям, сброс паролей пользователей, управление лицензиями пользователей и управление доменами. В следующей таблице описаны несколько более важных ролей Microsoft Entra.
| Роль Microsoft Entra | Разрешения | Примечания. |
|---|---|---|
| Глобальный администратор |
|
Пользователь, который регистрируется в клиенте Microsoft Entra, становится глобальным администратором. |
| Администратор пользователей |
|
|
| Администратор выставления счетов |
|
В портале Azure вы можете увидеть список ролей Microsoft Entra на странице "Роли и администраторы". Список всех ролей Microsoft Entra см. в разделе "Разрешения роли администратора" в идентификаторе Microsoft Entra.
Различия между ролями Azure и ролями Microsoft Entra
На высоком уровне роли Azure контролируют разрешения для управления ресурсами Azure, тогда как роли Microsoft Entra контролируют разрешения для управления ресурсами Microsoft Entra. Сравнение различий приводится в следующей таблице.
| Роли в Azure | Роли Microsoft Entra |
|---|---|
| Управление доступом к ресурсам Azure | Управление доступом к ресурсам Microsoft Entra |
| Поддержка пользовательских ролей | Поддержка пользовательских ролей |
| Возможность указывать область действия на нескольких уровнях (группа управления, подписка, группа ресурсов, ресурс) | Область может быть указана на уровне клиента (в масштабах всей организации), для административной единицы или отдельного объекта (например, для конкретного приложения) |
| Сведения о роли можно получить на портале Azure, в Azure CLI, Azure PowerShell, в шаблонах Azure Resource Manager и API REST | Сведения о роли можно получить в портале Azure, Центре администрирования Microsoft Entra, Центре администрирования Microsoft 365, Microsoft Graph и Microsoft Graph PowerShell. |
Перекрываются ли роли Azure и роли Microsoft Entra?
По умолчанию роли Azure и роли Microsoft Entra не распространяются на Azure и Microsoft Entra ID. Тем не менее, если глобальный администратор повысит свой уровень доступа с помощью параметра Управление доступом для ресурсов Azure на портале Azure, глобальному администратору будет назначена роль Администратор доступа пользователей (роль Azure) для всех подписок соответствующего клиента. Роль администратора доступа пользователей позволяет предоставлять другим пользователям доступ к ресурсам Azure. Этот переключатель может помочь восстановить доступ к подписке. Дополнительные сведения см. в статье Повышение прав доступа для управления всеми подписками Azure и группами управления.
Несколько ролей Microsoft Entra охватывают идентификатор Microsoft Entra и Microsoft 365, такие как роли глобального администратора и администратора пользователей. Например, если вы являетесь членом роли глобального администратора, у вас есть возможности глобального администратора в идентификаторе Microsoft Entra и Microsoft 365, такие как внесение изменений в Microsoft Exchange и Microsoft SharePoint. Тем не менее по умолчанию у глобального администратора отсутствуют права доступа к ресурсам Azure.
Роли классического администратора подписки
Внимание
По состоянию на 31 августа 2024 г. классические роли администратора Azure (а также классические ресурсы Azure и Azure Service Manager) не поддерживаются. Начиная с 30 апреля 2025 года, все роли Co-Administrator или администратор службы потеряют доступ. Если у вас все еще есть активные назначения ролей соадминистратора или администратора служб, немедленно переведите эти роли на Azure RBAC.
Дополнительные сведения см. в статье Классические администраторы подписок Azure.
В Azure предусмотрено три роли классического администратора подписки: администратор учетной записи, администратор службы и соадминистратор. Классические администраторы подписки имеют полный доступ к подписке Azure. Они могут управлять ресурсами с помощью портала Azure, интерфейсов API Azure Resource Manager и классической модели развертывания Azure. Учетной записи, используемой для регистрации в Azure, автоматически назначается роль администратора учетной записи и администратора службы. Дополнительных соадминистраторов можно добавить позже. Администратор служб и соадминистратор имеют эквивалентные права доступа для пользователей, которым была назначена роль владельца (роль Azure) в области действия подписки. В следующей таблице представлены различия между этими тремя ролями классического администратора подписки.
| Классический администратор подписки | Ограничение | Разрешения | Примечания. |
|---|---|---|---|
| Администратор учетной записи | Один на учетную запись Azure |
|
По существу, это владелец подписки, которому выставляются счета. |
| Администратор служб | Один на подписку Azure |
|
По умолчанию для новой подписки администратор учетных записей является также администратором службы. Администратор служб имеет эквивалентные права доступа для пользователя, которому назначена роль владельца в области действия подписки. Администратор служб имеет полный доступ к порталу Azure. |
| Соадминистратор | 200 на подписку |
|
Соадминистратор имеет эквивалентные права доступа для пользователя, которому назначена роль владельца в области действия подписки. |
На вкладке Классические администраторы портала Azure вы можете управлять соадминистраторами или просмотреть данные об администраторах служб.
Дополнительные сведения см. в статье Классические администраторы подписок Azure.
Учетная запись Azure и подписки Azure
Учетная запись Azure используется для установления платёжных отношений. Учетная запись Azure представляет собой удостоверение пользователя, одну или несколько подписок Azure и связанный набор ресурсов Azure. Пользователь, создавший учетную запись, является администратором учетной записи для всех создаваемых в ее рамках подписок. Этот пользователь также по умолчанию назначается администратором служб для этой подписки.
Подписки Azure служат для организованного доступа к ресурсам Azure. Они также позволяют управлять составлением отчетов об использовании ресурса, выставлением счетов за использование и их оплатой. Каждая подписка может иметь особую конфигурацию выставления счетов и оплаты, поэтому для подразделений, отделов, проектов и т. д. можно использовать разные подписки и планы. Большинство служб относятся к подписке, а идентификатор подписки может потребоваться для программных операций.
Каждая подписка связана с каталогом Microsoft Entra. Чтобы найти каталог, с которым связана подписка, перейдите в раздел Подписки на портале Azure и выберите подписку.
Управление учетными записями и подписками осуществляется на портале Azure.