Delegera hantering av Azure-rolltilldelning till andra med villkor

Som administratör kan du få flera förfrågningar om att bevilja åtkomst till Azure-resurser som du vill delegera till någon annan. Du kan tilldela rollen Ägare eller Administratör för användaråtkomst , men det här är mycket privilegierade roller. I den här artikeln beskrivs ett säkrare sätt att delegera rolltilldelningshantering till andra användare i din organisation, men lägga till begränsningar för dessa rolltilldelningar. Du kan till exempel begränsa de roller som kan tilldelas eller begränsa de huvudnamn som rollerna kan tilldelas till.

Följande diagram visar hur ett ombud med villkor endast kan tilldela rollerna Säkerhetskopieringsdeltagare eller Säkerhetskopieringsläsare till endast marknadsförings- eller försäljningsgrupperna.

Diagram som visar en administratör som delegerar rolltilldelningshantering med villkor.

Förutsättningar

För att tilldela Azure-roller måste du ha:

Steg 1: Fastställa de behörigheter som ombudet behöver

Besvara följande frågor för att avgöra vilka behörigheter ombudet behöver:

  • Vilka roller kan ombudet tilldela?
  • Vilka typer av huvudkonton kan ombudet tilldela roller till?
  • Vilka huvudnamn kan ombudet tilldela roller till?
  • Kan ombud ta bort rolltilldelningar?

När du känner till de behörigheter som ombudet behöver använder du följande steg för att lägga till ett villkor i ombudets rolltilldelning. Exempel på villkor finns i Exempel för att delegera hantering av Azure-rolltilldelning med villkor.

Steg 2: Starta en ny rolltilldelning

  1. Logga in på Azure-portalen.

  2. Följ stegen för att öppna sidan Lägg till rolltilldelning.

  3. På fliken Roller väljer du fliken Privilegierade administratörsroller .

  4. Välj rollen Administratör för rollbaserad åtkomstkontroll .

    Fliken Villkor visas.

    Du kan välja vilken roll som helst som innehåller Microsoft.Authorization/roleAssignments/write åtgärderna eller Microsoft.Authorization/roleAssignments/delete , till exempel Administratör för användaråtkomst, men Administratör för rollbaserad åtkomstkontroll har färre behörigheter.

  5. På fliken Medlemmar letar du upp och väljer ombudet.

Steg 3: Lägg till ett villkor

Du kan lägga till ett villkor på två sätt. Du kan använda en villkorsmall eller använda en avancerad villkorsredigerare.

  1. På fliken Villkor under Vad användaren kan göra väljer du alternativet Tillåt att användaren endast tilldelar valda roller till valda huvudnamn (färre behörigheter).

    Skärmbild av Lägg till rolltilldelning med det begränsade alternativet valt.

  2. Välj Välj roller och huvudnamn.

    Sidan Lägg till rolltilldelningsvillkor visas med en lista över villkorsmallar.

    Skärmbild av Lägg till rolltilldelningsvillkor med en lista över villkorsmallar.

  3. Välj en villkorsmall och välj sedan Konfigurera.

    Villkorsmall Välj den här mallen för
    Begränsa roller Tillåt att användaren endast tilldelar roller som du väljer
    Begränsa roller och huvudtyper Tillåt att användaren endast tilldelar roller som du väljer
    Tillåt att användaren endast tilldelar dessa roller till huvudtyper som du väljer (användare, grupper eller tjänstens huvudnamn)
    Begränsa roller och huvudnamn Tillåt att användaren endast tilldelar roller som du väljer
    Tillåt att användaren endast tilldelar dessa roller till de huvudnamn som du väljer
    Tillåt alla utom specifika roller Tillåt att användaren tilldelar alla roller förutom de roller du väljer
  4. I fönstret Konfigurera lägger du till nödvändiga konfigurationer.

    Skärmbild av fönstret Konfigurera för ett villkor där markeringen har lagts till.

  5. Välj Spara för att lägga till villkoret i rolltilldelningen.

Steg 4: Tilldela roll med villkor för att delegera

  1. På fliken Granska + tilldela granskar du inställningarna för rolltilldelningen.

  2. Välj Granska + tilldela när du vill tilldela rollen.

    Efter en liten stund tilldelas ombudet rollen Rollbaserad åtkomstkontrolladministratör med dina rolltilldelningsvillkor.

Steg 5: Delegera tilldelar roller med villkor

  • Ombudet kan nu följa stegen för att tilldela roller.

    Diagram över rolltilldelningar som är begränsade till specifika roller och specifika grupper.

    När ombudet försöker tilldela roller i Azure-portalen filtreras listan över roller för att bara visa de roller som de kan tilldela.

    Skärmbild av rolltilldelningar som är begränsade till specifika roller.

    Om det finns ett villkor för huvudkonton filtreras även listan över tillgängliga huvudnamn för tilldelning.

    Skärmbild av rolltilldelningar som är begränsade till specifika grupper.

    Om ombudet försöker tilldela en roll som ligger utanför villkoren med hjälp av ett API misslyckas rolltilldelningen med ett fel. Mer information finns i Symptom – Det går inte att tilldela en roll.

Redigera ett villkor

Du kan redigera ett villkor på två sätt. Du kan använda villkorsmallen eller använda villkorsredigeraren.

  1. Öppna sidan Åtkomstkontroll (IAM) i Azure-portalen för rolltilldelningen som har ett villkor som du vill visa, redigera eller ta bort.

  2. Välj fliken Rolltilldelningar och leta upp rolltilldelningen.

  3. I kolumnen Villkor väljer du Visa/redigera.

    Om du inte ser länken Visa/Redigera kontrollerar du att du tittar på samma omfång som rolltilldelningen.

    Skärmbild av rolltilldelningslistan med länken Visa/Redigera för villkor.

    Sidan Lägg till rolltilldelningsvillkor visas. Den här sidan ser annorlunda ut beroende på om villkoret matchar en befintlig mall.

  4. Om villkoret matchar en befintlig mall väljer du Konfigurera för att redigera villkoret.

    Skärmbild av villkorsmallar med matchande mall aktiverad.

  5. Om villkoret inte matchar en befintlig mall använder du den avancerade villkorsredigeraren för att redigera villkoret.

    Om du till exempel vill redigera ett villkor rullar du ned till avsnittet build-uttryck och uppdaterar attributen, operatorn eller värdena.

    Skärmbild av villkorsredigeraren som visar alternativ för att redigera bygguttryck.

    Om du vill redigera villkoret direkt väljer du kodredigerarens typ och redigerar sedan koden för villkoret.

    Skärmbild av villkorsredigeraren som visar kodredigerarens typ.

  6. När du är klar klickar du på Spara för att uppdatera villkoret.

Nästa steg