Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Se non si ha familiarità con Azure, può risultare un difficile comprendere i diversi ruoli disponibili in Azure. Questo articolo descrive i ruoli seguenti e il loro utilizzo:
- Ruoli di Azure
- Ruoli di Microsoft Entra
- Ruoli di amministratore della sottoscrizione classica
Correlazione tra i ruoli
Per comprendere meglio i ruoli in Azure, può essere utile conoscere parte della loro evoluzione. Nelle prime versioni di Azure l'accesso alle risorse veniva gestito con solo tre ruoli di amministratore: amministratore account, amministratore del servizio e coamministratore. Successivamente è stato aggiunto Azure RBAC (controllo degli accessi in base al ruolo di Azure). Il controllo degli accessi in base al ruolo (RBAC) di Azure è un sistema di autorizzazione più recente che offre una gestione degli accessi alle risorse di Azure più specifica. Il controllo degli accessi in base al ruolo di Azure (Azure RBAC) include molti ruoli predefiniti, può essere assegnato a diversi livelli di ambito e consente di creare ruoli personalizzati. Per gestire le risorse in Microsoft Entra ID, ad esempio utenti, gruppi e domini, esistono diversi ruoli di Microsoft Entra.
Il diagramma seguente offre una panoramica generale della correlazione tra ruoli di Azure, ruoli di Microsoft Entra e ruoli di tipo Amministratore sottoscrizione classico.
Ruoli di Azure
Il Controllo degli accessi in base al ruolo di Azure è un sistema di autorizzazione basato su Azure Resource Manager che offre una gestione degli accessi dettagliata alle risorse in Azure, ad esempio alle risorse di calcolo e di archiviazione. Azure RBAC include oltre 100 ruoli predefiniti. Esistono cinque ruoli fondamentali di Azure. I primi tre si applicano a tutti i tipi di risorse:
| Ruolo di Azure | Autorizzazioni | Note |
|---|---|---|
| Proprietario |
|
All'Amministratore del Servizio e ai Co-Amministratori viene assegnato il ruolo di Proprietario nel contesto della sottoscrizione. Si applica a tutti i tipi di risorsa. |
| Collaboratore |
|
Si applica a tutti i tipi di risorsa. |
| Lettore |
|
Si applica a tutti i tipi di risorsa. |
| Amministratore controllo degli accessi in base al ruolo |
|
|
| Amministratore accessi utente |
|
Gli altri ruoli predefiniti consentono la gestione di risorse di Azure specifiche. Ad esempio, il ruolo Collaboratore Macchina virtuale consente all'utente di creare e gestire macchine virtuali. Per un elenco di tutti i ruoli predefiniti, vedere Ruoli predefiniti di Azure.
Solo il portale di Azure e le API di Azure Resource Manager supportano Azure RBAC (Controllo degli accessi in base al ruolo di Azure). Gli utenti, i gruppi e le applicazioni a cui vengono assegnati i ruoli di Azure non possono usare le API del modello di distribuzione classica di Azure.
Nel portale di Azure, le assegnazioni dei ruoli tramite Azure RBAC sono visualizzate nella pagina Controllo di accesso (IAM). Questa pagina è disponibile in tutto il portale, ad esempio nei gruppi di gestione, nelle sottoscrizioni, nei gruppi di risorse e in varie risorse.
Quando si fa clic sulla scheda Ruoli, viene visualizzato l'elenco dei ruoli predefiniti e personalizzati.
Per ulteriori informazioni, vedi Assegnare ruoli di Azure usando il portale di Azure.
Ruoli di Microsoft Entra
I ruoli di Microsoft Entra consentono di gestire le risorse di Microsoft Entra in una directory, ad esempio di creare o modificare gli utenti, assegnare ruoli di amministratore ad altri utenti, reimpostare le password utente, gestire le licenze degli utenti e gestire i domini. La tabella seguente descrive alcuni dei ruoli più importanti di Microsoft Entra.
| Ruolo Microsoft Entra | Autorizzazioni | Note |
|---|---|---|
| Amministratore globale |
|
La persona che effettua l'iscrizione al tenant di Microsoft Entra diventa un Amministratore globale. |
| Amministratore utenti |
|
|
| Amministratore di fatturazione |
|
Nel portale di Azure è possibile visualizzare l'elenco dei ruoli di Microsoft Entra nella pagina Ruoli e amministratori. Per un elenco di tutti i ruoli di Microsoft Entra, vedere Autorizzazioni del ruolo Amministratore in Microsoft Entra ID.
Differenze tra i ruoli di Azure e i ruoli di Microsoft Entra
A livello generale, i ruoli di Azure controllano le autorizzazioni per gestire le risorse di Azure, mentre i ruoli di Microsoft Entra controllano le autorizzazioni per gestire le risorse di Microsoft Entra. La tabella seguente confronta alcune differenze.
| Ruoli di Azure | Ruoli di Microsoft Entra |
|---|---|
| Gestire l'accesso alle risorse di Azure | Gestire l'accesso alle risorse di Microsoft Entra |
| Supportano i ruoli personalizzati | Supportano i ruoli personalizzati |
| È possibile specificare l'ambito a più livelli (gruppo di gestione, sottoscrizione, gruppo di risorse, risorsa) | L'Ambito può essere specificato a livello di tenant (a livello di organizzazione), unità amministrativa o su un singolo oggetto, ad esempio un'applicazione specifica |
| Le informazioni sui ruoli sono accessibili nel portale di Azure, nell'interfaccia della riga di comando di Azure, in Azure PowerShell, nei modelli di Azure Resource Manager, nell'API REST | È possibile accedere alle informazioni sui ruoli nel portale di Azure, nell'interfaccia di amministrazione di Microsoft Entra, nell'interfaccia di amministrazione di Microsoft 365, Microsoft Graph, Microsoft Graph PowerShell |
I ruoli di Azure e i ruoli di Microsoft Entra si sovrappongono?
Per impostazione predefinita, i ruoli di Azure e i ruoli di Microsoft Entra non si estendono su Azure e Microsoft Entra ID. Tuttavia, se un amministratore globale ne eleva l'accesso scegliendo l'opzione Gestione degli accessi per le risorse di Azure nel portale di Azure, gli verrà assegnato il ruolo Amministratore Accesso utenti (un ruolo di Azure) in tutte le sottoscrizioni di un tenant specifico. Il ruolo Amministratore Accesso utenti consente all'utente di assegnare ad altri utenti l'accesso alle risorse di Azure. Questa opzione può essere utile per ottenere nuovamente l'accesso a una sottoscrizione. Per altre informazioni, vedere Elevare i privilegi di accesso per gestire tutte le sottoscrizioni e i gruppi di gestione di Azure.
Diversi ruoli di Microsoft Entra si estendono su Microsoft Entra ID e Microsoft 365, ad esempio i ruoli Amministratore globale e Amministratore utenti. Se ad esempio si è un membro del ruolo Amministratore globale, si dispone delle autorizzazioni di amministratore globale in Microsoft Entra ID e Microsoft 365, ad esempio per effettuare modifiche in Microsoft Exchange e Microsoft SharePoint. Tuttavia, per impostazione predefinita, l'amministratore globale non ha accesso alle risorse di Azure.
Ruoli di amministratore della sottoscrizione classica
Importante
A partire dal 31 agosto 2024, i ruoli di amministratore di Azure della versione classica (insieme alle risorse classiche di Azure e Azure Service Manager) sono stati ritirati e non sono più supportati. A partire da dicembre 2025, Azure ha assegnato automaticamente il ruolo Proprietario a livello di sottoscrizione agli utenti nel cloud pubblico che erano ancora assegnati come Co-Administrator o Amministratore del servizio. A partire da maggio 2026, i ruoli di amministratore classici vengono completamente ritirati ed è necessario assegnare ruoli nel controllo degli accessi basato sui ruoli (RBAC) di Azure per gestire l'accesso.
Per altre informazioni, vedere Amministratori della sottoscrizione classica di Azure.
Amministratore account, Amministratore del servizio e Coamministratore sono i tre ruoli di amministratore della sottoscrizione classica in Azure. Gli amministratori delle sottoscrizioni classiche hanno accesso completo alla sottoscrizione Azure. Possono gestire le risorse usando il portale di Azure, le API Azure Resource Manager e le API del modello di distribuzione classica. L'account usato per iscriversi ad Azure viene impostato automaticamente come Amministratore account e Amministratore del servizio. È quindi possibile aggiungere altri Co-Administrators. L'amministratore del servizio e il Co-Administrators avevano l'accesso equivalente agli utenti a cui è stato assegnato il ruolo Proprietario (un ruolo Azure) nell'ambito della sottoscrizione. La tabella seguente descrive le differenze tra questi tre ruoli amministrativi delle sottoscrizioni classiche.
| Amministratore della classica sottoscrizione | Limite | Autorizzazioni | Note |
|---|---|---|---|
| Amministratore dell'account | 1 per ogni account di Azure |
|
Concettualmente, il titolare della fatturazione dell'abbonamento. |
| Amministratore del servizio | 1 per ogni sottoscrizione di Azure |
|
Per impostazione predefinita, per una nuova sottoscrizione l'amministratore account è anche amministratore del servizio. L'amministratore del servizio ha un accesso equivalente a quello di un utente cui viene assegnato il ruolo di proprietario nell'ambito della sottoscrizione. L'amministratore del servizio ha accesso completo al portale di Azure. |
| Coamministratore | 200 per ogni sottoscrizione |
|
Il coamministratore ha un accesso equivalente a quello di un utente cui viene assegnato il ruolo di proprietario nell'ambito della sottoscrizione. |
Per altre informazioni, vedere Amministratori della sottoscrizione classica di Azure.
Account e sottoscrizioni di Azure
Un account Azure viene usato per stabilire una relazione di fatturazione. Un account di Azure include un'identità utente, una o più sottoscrizioni di Azure e un set associato di risorse di Azure. La persona che crea l'account è l'amministratore dell'account per tutte le sottoscrizioni create nell'account. È anche l'amministratore del servizio predefinito per la sottoscrizione.
Le sottoscrizioni di Azure consentono di organizzare l'accesso alle risorse di Azure. Consentono inoltre di controllare come l'utilizzo delle risorse viene segnalato, fatturato e pagato. Ogni sottoscrizione può avere una configurazione di fatturazione e pagamento diversa, quindi è possibile avere sottoscrizioni e piani diversi per ufficio, reparto, progetto e così via. La maggior parte dei servizi appartiene a un abbonamento e l'ID di abbonamento può essere necessario per le operazioni programmatiche.
Ogni sottoscrizione è associata a una directory di Microsoft Entra. Per trovare la directory a cui è associata la sottoscrizione, aprire Sottoscrizioni nel portale di Azure, quindi selezionare una sottoscrizione per visualizzare la directory.
Gli account e le sottoscrizioni vengono gestiti nel portale di Azure.