Skapa en anpassad roll för Azure Stack Hub-registrering

Varning

Det här är inte en funktion för säkerhetsstatus. Använd den i scenarier där du vill ha begränsningar för att förhindra oavsiktliga ändringar i Azure-prenumerationen. När en användare har delegerats rättigheter till den här anpassade rollen har användaren behörighet att redigera behörigheter och upphöja rättigheter. Tilldela endast användare som du litar på till den anpassade rollen.

Under registreringen av Azure Stack Hub måste du logga in med ett Microsoft Entra konto. Kontot kräver följande Microsoft Entra behörigheter och Azure-prenumerationsbehörigheter:

  • Appregistreringsbehörigheter i din Microsoft Entra klientorganisation: Administratörer har appregistreringsbehörigheter. Behörigheten för användare är en global inställning för alla användare i klientorganisationen. Information om hur du visar eller ändrar inställningen finns i Skapa en Microsoft Entra app och tjänstens huvudnamn som har åtkomst till resurser.

    Användaren kan registrera programinställningen måste vara inställd på Ja för att du ska kunna aktivera ett användarkonto för att registrera Azure Stack Hub. Om inställningen för appregistreringar är inställd på Nej kan du inte använda ett användarkonto för att registrera Azure Stack Hub – du måste använda ett globalt administratörskonto.

  • En uppsättning tillräcklig behörighet för Azure-prenumeration: Användare som tillhör rollen Ägare har tillräcklig behörighet. För andra konton kan du tilldela behörighetsuppsättningen genom att tilldela en anpassad roll enligt beskrivningen i följande avsnitt.

I stället för att använda ett konto som har ägarbehörighet i Azure-prenumerationen kan du skapa en anpassad roll för att tilldela behörigheter till ett mindre privilegierat användarkonto. Det här kontot kan sedan användas för att registrera din Azure Stack Hub.

Skapa en anpassad roll med PowerShell

Om du vill skapa en anpassad roll måste du ha behörighet för Microsoft.Authorization/roleDefinitions/write alla AssignableScopes, till exempel Ägare eller Administratör för användaråtkomst. Använd följande JSON-mall för att förenkla skapandet av den anpassade rollen. Mallen skapar en anpassad roll som tillåter nödvändig läs- och skrivåtkomst för Azure Stack Hub-registrering.

  1. Skapa en JSON-fil. Till exempel C:\CustomRoles\registrationrole.json.

  2. Lägg till följande JSON i filen. Ersätt <SubscriptionID> med ditt Azure-prenumerations-ID.

    {
      "Name": "Azure Stack Hub registration role",
      "Id": null,
      "IsCustom": true,
      "Description": "Allows access to register Azure Stack Hub",
      "Actions": [
        "Microsoft.Resources/subscriptions/resourceGroups/write",
        "Microsoft.Resources/subscriptions/resourceGroups/read",
        "Microsoft.AzureStack/registrations/*",
        "Microsoft.AzureStack/register/action",
        "Microsoft.Authorization/roleAssignments/read",
        "Microsoft.Authorization/roleAssignments/write",
        "Microsoft.Authorization/roleAssignments/delete",
        "Microsoft.Authorization/permissions/read",
        "Microsoft.Authorization/locks/read",
        "Microsoft.Authorization/locks/write"
      ],
      "NotActions": [
      ],
      "AssignableScopes": [
        "/subscriptions/<SubscriptionID>"
      ]
    }
    
  3. I PowerShell ansluter du till Azure för att använda Azure Resource Manager. När du uppmanas till det autentiserar du med ett konto med tillräcklig behörighet, till exempel ägare eller administratör för användaråtkomst.

    Connect-AzAccount
    
  4. Om du vill skapa den anpassade rollen använder du New-AzRoleDefinition och anger JSON-mallfilen.

    New-AzRoleDefinition -InputFile "C:\CustomRoles\registrationrole.json"
    

Tilldela en användare till registreringsrollen

När den anpassade registreringsrollen har skapats tilldelar du rollen till det användarkonto som ska användas för att registrera Azure Stack Hub.

  1. Logga in med kontot med tillräcklig behörighet för Azure-prenumerationen för att delegera rättigheter – till exempel Ägare eller Administratör för användaråtkomst.

  2. I Prenumerationer väljer du Åtkomstkontroll (IAM) > Lägg till rolltilldelning.

  3. I Roll väljer du den anpassade roll som du skapade: Azure Stack Hub-registreringsroll.

  4. Välj de användare som du vill tilldela till rollen.

  5. Välj Spara för att tilldela de valda användarna till rollen.

    Välj användare som ska tilldelas till en anpassad roll i Azure Portal

Mer information om hur du använder anpassade roller finns i Hantera åtkomst med hjälp av RBAC och Azure Portal.

Nästa steg

Registrera Azure Stack Hub med Azure