Azure 角色、Microsoft Entra 角色和傳統訂用帳戶管理員角色
如果您不熟悉 Azure,您可能會發現要了解 Azure 中的所有不同角色有點挑戰。 本文可協助您說明下列角色,以及何時使用每個角色:
- Azure 角色
- Microsoft Entra 角色
- 傳統訂用帳戶管理員角色
角色如何相關
若要進一步瞭解 Azure 中的角色,有助於瞭解一些歷程記錄。 Azure 最初發行時,只有三個系統管理員角色負責管理資源存取:「帳戶管理員」、「服務管理員」和「共同管理員」。 之後,已新增 Azure 角色型存取控制 (Azure RBAC)。 Azure RBAC 是較新的授權系統,可為 Azure 資源提供更細緻的存取管理。 Azure RBAC 包含許多內建角色,可在不同的範圍指派,並可讓您建立自己的自定義角色。 若要管理 Microsoft Entra 識別符中的資源,例如使用者、群組和網域,有幾個 Microsoft Entra 角色。
下圖是 Azure 角色、Microsoft Entra 角色和傳統訂用帳戶管理員角色相關方式的高階檢視。
Azure 角色
Azure RBAC 是以 Azure Resource Manager 為基礎的授權系統,可為 Azure 資源提供更細緻的存取管理,例如計算和記憶體。 Azure RBAC 包含超過 100 個內建角色。 有五個基本 Azure 角色。 前三個適用於所有資源類型:
Azure 角色 | 權限 | 備註 |
---|---|---|
負責人 |
|
服務 管理員 istrator 和共同 管理員 istrators 會獲指派訂用帳戶範圍的擁有者角色 適用於所有資源類型。 |
參與者 |
|
適用於所有資源類型。 |
讀取者 |
|
適用於所有資源類型。 |
角色型存取控制系統管理員 |
|
|
使用者存取系統管理員 |
|
其餘的 RBAC 角色可以管理特定 Azure 資源。 例如,虛擬機器參與者角色可讓使用者建立和管理虛擬機器。 如需內建角色清單,請參閱 Azure 內建角色。
只有 Azure 入口網站和 Azure Resource Manager API 支援 Azure RBAC。 獲派 Azure 角色的使用者、群組和應用程式無法使用 Azure 傳統部署模型 API。
在 Azure 入口網站 中,使用 Azure RBAC 的角色指派會出現在訪問控制 (IAM) 頁面上。 您可以在整個入口網站中找到此頁面,例如管理群組、訂用帳戶、資源群組和各種資源。
當您按下 [ 角色] 索引標籤時,您會看到內建和自定義角色的清單。
如需詳細資訊,請參閱使用 Azure 入口網站指派 Azure 角色。
Microsoft Entra 角色
Microsoft Entra 角色 可用來管理目錄中的 Microsoft Entra 資源,例如建立或編輯使用者、將系統管理角色指派給其他人、重設使用者密碼、管理用戶授權,以及管理網域。 下表描述了一些較重要的 Microsoft Entra 角色。
Microsoft Entra 角色 | 權限 | 備註 |
---|---|---|
全域管理員 |
|
註冊 Microsoft Entra 租用戶的人員會成為 Global 管理員 istrator。 |
使用者管理員 |
|
|
Billing 管理員 istrator |
|
在 Azure 入口網站 中,您可以在 [角色和系統管理員] 頁面上看到 Microsoft Entra 角色的清單。 如需所有 Microsoft Entra 角色的清單,請參閱 Microsoft Entra ID 中的 管理員 istrator 角色許可權。
Azure 角色與 Microsoft Entra 角色之間的差異
概括而言,Azure 角色控制 Azure 資源的管理權限,而 Microsoft Entra 角色控制 Microsoft Entra 資源的管理權限。 下表比較了兩者的幾項差異。
Azure 角色 | Microsoft Entra 角色 |
---|---|
管理 Azure 資源的存取權 | 管理 Microsoft Entra 資源的存取權 |
支援自訂角色 | 支援自訂角色 |
可以在多個層級指定範圍 (管理群組、訂閱、資源群組、資源) | 範圍 可以在租使用者層級(全組織)、系統管理單位或個別物件上指定(例如,特定應用程式) |
可以在 Azure 入口網站、Azure CLI、Azure PowerShell、Azure Resource Manager 範本、REST API 中存取角色資訊 | 您可以在 Azure 入口網站、Microsoft Entra 系統管理中心、Microsoft 365 系統管理中心、Microsoft Graph、Microsoft Graph PowerShell 中存取角色資訊 |
Azure 角色和 Microsoft Entra 角色是否重疊?
根據預設,Azure 角色和 Microsoft Entra 角色不會跨越 Azure 和 Microsoft Entra ID。 不過,如果 Global 管理員 istrator 藉由選擇 Azure 入口網站 中的 Azure 資源存取管理參數來提升其存取權,全域 管理員 istrator 將會獲得特定租使用者所有訂用帳戶的使用者存取 管理員 istrator 角色(Azure 角色)。 使用者存取管理員角色可讓使用者授權其他使用者存取根 Azure 資源的權限。 這個參數有助於重新取得訂用帳戶的存取權。 如需詳細資訊,請參閱提高存取權以管理所有 Azure 訂用帳戶和管理群組。
數個 Microsoft Entra 角色跨越 Microsoft Entra ID 和 Microsoft 365,例如全域管理員和使用者管理員角色。 例如,如果您是全域管理員角色的成員,您就具有 Microsoft Entra ID 和 Microsoft 365 的全域管理員功能,例如對 Microsoft Exchange 和 Microsoft SharePoint 進行變更。 不過,根據預設,全域管理員無法存取 Azure 資源。
傳統訂用帳戶管理員角色
重要
傳統資源和傳統系統管理員將於 2024 年 8 月 31 日淘汰。 從 2024 年 4 月 3 日起,您將無法新增新的共同管理員。 此日期最近已延長。 移除不必要的共同管理員,並使用 Azure RBAC 進行更精細的存取控制。
帳戶管理員、服務系統管理員和共同管理員是 Azure 中的三個傳統訂用帳戶管理員角色。 傳統訂用帳戶管理員具有 Azure 訂用帳戶的完整存取權。 他們可以使用 Azure 入口網站、Azure Resource Manager API 和傳統部署模型 API 來管理資源。 用於註冊 Azure 的帳戶會自動設定為帳戶管理員和服務管理員。 接著,註冊之後才新增額外的共同管理員。 服務系統管理員與共同管理員具有與下列使用者同等的存取權:在訂用帳戶範圍獲派擁有者角色 (Azure 角色) 的使用者。 下表說明這三個傳統訂用帳戶系統管理角色之間的差異。
傳統訂用帳戶管理員 | 限制 | 權限 | 備註 |
---|---|---|---|
帳戶管理員 | 每個 Azure 帳戶 1 名 |
|
就概念上講,訂用帳戶的計費擁有者。 |
服務管理員 | 每個 Azure 訂用帳戶 1 名 |
|
根據預設,針對新的訂用帳戶,帳戶 管理員 istrator 也是 Service 管理員 istrator。 Service 管理員 istrator 具有在訂用帳戶範圍指派擁有者角色的使用者對等存取權。 Service 管理員 istrator 具有 Azure 入口網站 的完整存取權。 |
共同管理員 | 每個訂用帳戶 200 名 |
|
共同 管理員 istrator 具有在訂用帳戶範圍指派擁有者角色的使用者對等存取權。 |
在 Azure 入口網站 中,您可以使用 [傳統系統管理員] 索引卷標來管理共同 管理員 istrators 或檢視服務 管理員 istrator。
如需詳細資訊,請參閱 Azure 傳統訂用帳戶管理員。
Azure 帳戶和 Azure 訂用帳戶
Azure 帳戶可用來建立計費關聯性。 Azure 帳戶是使用者身分識別、一或多個 Azure 訂用帳戶,以及一組相關聯的 Azure 資源。 建立帳戶的人員是該帳戶中建立之所有訂用帳戶的帳戶 管理員 istrator。 該人員也是訂用帳戶的預設服務 管理員 istrator。
Azure 訂用帳戶可協助您組織 Azure 資源的存取權。 它們也可協助您控制資源使用量的回報、計費和付費方式。 每個訂用帳戶都可以有不同的計費及付款設定,因此您可以依辦公室、部門、專案等等來擁有不同的訂用帳戶與不同的方案。 大部分的服務都屬於訂用帳戶,而且程式設計作業可能需要訂用帳戶標識碼。
每個訂用帳戶都會與 Microsoft Entra 目錄相關聯。 若要尋找訂用帳戶相關聯的目錄,請在 Azure 入口網站 中開啟 [訂用帳戶],然後選取訂用帳戶以查看目錄。
帳戶和訂用帳戶會在 Azure 入口網站 中管理。