2015年10月份，微軟宣布Azure基于角色的訪問控制(RBAC)功能已完成了通用版本。開發此功能的目的是為組織提供更精準的粒度，尤其是當個人或團體訪問Azure資源和服務器的時候。

RBAC可以提供中心治理模式，這個中心治理模式意即IT維護部門可以對云環境進行總體控制，可以利用團隊所具有的訪問服務器的級別來分配DevOps或項目。微軟項目經理Dushyant Gill進一步解釋說，“使用Azure RBAC，就能實現項目團隊的云資源自助管理，同時還能保留對安全基礎設施的集中控制權。舉例來說，項目團隊創建和管理自己的虛擬機和存儲帳戶需要一個共同的設置是，而這個設置必須要連接到中央管理網絡。”

正如微軟高級技術開發者Ingrid Henkel所說的那樣，微軟在分配權限給不同身份和團隊的時候，使用分層的方法，“Azure里的每一個訂閱都僅屬于一個目錄，每個資源組都只屬于一個訂閱，并且每一個資源也只屬于一個資源組。”

一旦使用RBAC，用戶就只有通過分配到的合適的RBAC角色才能在正確的范圍內訪問。一個用戶只需要訪問特定資源，而不能訪問訂閱中的其他資源。

從歷史上看，在經典的訂閱模式里，管理員和聯合管理員具有訪問Azure訂閱的全部權限。這往往會導致企業用戶有更多的可訪問的內容。在新的RBAC模型中，有3種基本的內置角色：

RBAC角色擁有者有充分的資源和授權訪問能力

訪問貢獻者可以創建和管理Azure資源，但不能授權訪問

授權訪問的讀者只能查看現有的Azure資源

經典模型中的管理員在RBAC模型中其實已經擁有所有者權限了。除了這些基本的內置功能，微軟為具體的產品和服務發布了一個完整的內置角色清單，例如包括SQL數據庫和網絡貢獻者。

RBAC模型不僅支持權限繼承，還能將權限繼續從訂閱級聯到資源組。如果將繼承權限應用于某個資源組，則該權限級別將屬于該資源組。如果權限被繼承，只有最高級別的管理者才能對其權限棧進行修改。RBAC權限在很多經典入口是找不到的，但是卻可以在新的Azure入口分配。RBAC權限還可以被應用于使用PowerShell或Azure的命令行界面。

對于具備自定義功能的組織方來說，他們有能力使用RBAC命令行工具。這有點像內置功能，可以分配給用戶、團隊和應用程序。在下圖中，有一個被稱為Virtual Machine Operator的自定義規則，提供所有必要的權限或操作來監視和重啟虛擬機。

微軟還提供了一份報告，這份報告指出組織應該從整體角度看待在過去90天里所有已經授權或已撤銷的權限。查看英文原文：Azure Role-based Access Control Reaches General Availability