فيما يلي الإعدادات لإضافة هذا الشرط باستخدام مدخل Microsoft Azure ومحرر الشرط.
لاستهداف إجراءات تعيين الدور وإزالة كليهما، لاحظ أنه يجب إضافة شرطين. يجب إضافة شرطين لأن مصدر السمة مختلف لكل إجراء. إذا حاولت استهداف كلا الإجراءين في نفس الحالة، فلن تتمكن من إضافة تعبير. لمزيد من المعلومات، راجع العرض - لا توجد خيارات خطأ متوفرة.
يسمح هذا الشرط للمفوض بإضافة أو إزالة تعيينات الدور فقط لأدوار مساهم النسخ الاحتياطي أو قارئ النسخ الاحتياطي. أيضا، يمكن للمفوض تعيين هذه الأدوار فقط إلى أساسيات نوع المستخدم أو المجموعة.
يجب إضافة هذا الشرط إلى أي تعيينات أدوار للمفوض تتضمن الإجراءات التالية.
فيما يلي الإعدادات لإضافة هذا الشرط باستخدام مدخل Microsoft Azure ومحرر الشرط.
لاستهداف إجراءات تعيين الدور وإزالة كليهما، لاحظ أنه يجب إضافة شرطين. يجب إضافة شرطين لأن مصدر السمة مختلف لكل إجراء. إذا حاولت استهداف كلا الإجراءين في نفس الحالة، فلن تتمكن من إضافة تعبير. لمزيد من المعلومات، راجع العرض - لا توجد خيارات خطأ متوفرة.
(
(
!(ActionMatches{'Microsoft.Authorization/roleAssignments/write'})
)
OR
(
@Request[Microsoft.Authorization/roleAssignments:RoleDefinitionId] ForAnyOfAnyValues:GuidEquals {5e467623-bb1f-42f4-a55d-6e525e11384b, a795c7a0-d4a2-40c1-ae25-d81f01202912}
AND
@Request[Microsoft.Authorization/roleAssignments:PrincipalType] ForAnyOfAnyValues:StringEqualsIgnoreCase {'User', 'Group'}
)
)
AND
(
(
!(ActionMatches{'Microsoft.Authorization/roleAssignments/delete'})
)
OR
(
@Resource[Microsoft.Authorization/roleAssignments:RoleDefinitionId] ForAnyOfAnyValues:GuidEquals {5e467623-bb1f-42f4-a55d-6e525e11384b, a795c7a0-d4a2-40c1-ae25-d81f01202912}
AND
@Resource[Microsoft.Authorization/roleAssignments:PrincipalType] ForAnyOfAnyValues:StringEqualsIgnoreCase {'User', 'Group'}
)
)
إليك كيفية إضافة هذا الشرط باستخدام Azure PowerShell.
$roleDefinitionId = "f58310d9-a9f6-439a-9e8d-f62e7b41a168"
$principalId = "<principalId>"
$scope = "/subscriptions/<subscriptionId>"
$condition = "((!(ActionMatches{'Microsoft.Authorization/roleAssignments/write'})) OR (@Request[Microsoft.Authorization/roleAssignments:RoleDefinitionId] ForAnyOfAnyValues:GuidEquals {5e467623-bb1f-42f4-a55d-6e525e11384b, a795c7a0-d4a2-40c1-ae25-d81f01202912} AND @Request[Microsoft.Authorization/roleAssignments:PrincipalType] ForAnyOfAnyValues:StringEqualsIgnoreCase {'User', 'Group'})) AND ((!(ActionMatches{'Microsoft.Authorization/roleAssignments/delete'})) OR (@Resource[Microsoft.Authorization/roleAssignments:RoleDefinitionId] ForAnyOfAnyValues:GuidEquals {5e467623-bb1f-42f4-a55d-6e525e11384b, a795c7a0-d4a2-40c1-ae25-d81f01202912} AND @Resource[Microsoft.Authorization/roleAssignments:PrincipalType] ForAnyOfAnyValues:StringEqualsIgnoreCase {'User', 'Group'}))"
$conditionVersion = "2.0"
New-AzRoleAssignment -ObjectId $principalId -Scope $scope -RoleDefinitionId $roleDefinitionId -Condition $condition -ConditionVersion $conditionVersion
مثال: تقييد الأدوار والمجموعات المحددة
يسمح هذا الشرط للمفوض بإضافة أو إزالة تعيينات الدور فقط لأدوار مساهم النسخ الاحتياطي أو قارئ النسخ الاحتياطي. أيضا، يمكن للمفوض تعيين هذه الأدوار فقط لمجموعات معينة تسمى Marketing (28c35fea-2099-4cf5-8ad9-473547bc9423) أو Sales (86951b8b-723a-407b-a74a-1bca3f0c95d0).
يجب إضافة هذا الشرط إلى أي تعيينات أدوار للمفوض تتضمن الإجراءات التالية.
فيما يلي الإعدادات لإضافة هذا الشرط باستخدام مدخل Microsoft Azure ومحرر الشرط.
لاستهداف إجراءات تعيين الدور وإزالة كليهما، لاحظ أنه يجب إضافة شرطين. يجب إضافة شرطين لأن مصدر السمة مختلف لكل إجراء. إذا حاولت استهداف كلا الإجراءين في نفس الحالة، فلن تتمكن من إضافة تعبير. لمزيد من المعلومات، راجع العرض - لا توجد خيارات خطأ متوفرة.
(
(
!(ActionMatches{'Microsoft.Authorization/roleAssignments/write'})
)
OR
(
@Request[Microsoft.Authorization/roleAssignments:RoleDefinitionId] ForAnyOfAnyValues:GuidEquals {5e467623-bb1f-42f4-a55d-6e525e11384b, a795c7a0-d4a2-40c1-ae25-d81f01202912}
AND
@Request[Microsoft.Authorization/roleAssignments:PrincipalId] ForAnyOfAnyValues:GuidEquals {28c35fea-2099-4cf5-8ad9-473547bc9423, 86951b8b-723a-407b-a74a-1bca3f0c95d0}
)
)
AND
(
(
!(ActionMatches{'Microsoft.Authorization/roleAssignments/delete'})
)
OR
(
@Resource[Microsoft.Authorization/roleAssignments:RoleDefinitionId] ForAnyOfAnyValues:GuidEquals {5e467623-bb1f-42f4-a55d-6e525e11384b, a795c7a0-d4a2-40c1-ae25-d81f01202912}
AND
@Resource[Microsoft.Authorization/roleAssignments:PrincipalId] ForAnyOfAnyValues:GuidEquals {28c35fea-2099-4cf5-8ad9-473547bc9423, 86951b8b-723a-407b-a74a-1bca3f0c95d0}
)
)
إليك كيفية إضافة هذا الشرط باستخدام Azure PowerShell.
$roleDefinitionId = "f58310d9-a9f6-439a-9e8d-f62e7b41a168"
$principalId = "<principalId>"
$scope = "/subscriptions/<subscriptionId>"
$condition = "((!(ActionMatches{'Microsoft.Authorization/roleAssignments/write'})) OR (@Request[Microsoft.Authorization/roleAssignments:RoleDefinitionId] ForAnyOfAnyValues:GuidEquals {5e467623-bb1f-42f4-a55d-6e525e11384b, a795c7a0-d4a2-40c1-ae25-d81f01202912} AND @Request[Microsoft.Authorization/roleAssignments:PrincipalId] ForAnyOfAnyValues:GuidEquals {28c35fea-2099-4cf5-8ad9-473547bc9423, 86951b8b-723a-407b-a74a-1bca3f0c95d0})) AND ((!(ActionMatches{'Microsoft.Authorization/roleAssignments/delete'})) OR (@Resource[Microsoft.Authorization/roleAssignments:RoleDefinitionId] ForAnyOfAnyValues:GuidEquals {5e467623-bb1f-42f4-a55d-6e525e11384b, a795c7a0-d4a2-40c1-ae25-d81f01202912} AND @Resource[Microsoft.Authorization/roleAssignments:PrincipalId] ForAnyOfAnyValues:GuidEquals {28c35fea-2099-4cf5-8ad9-473547bc9423, 86951b8b-723a-407b-a74a-1bca3f0c95d0}))"
$conditionVersion = "2.0"
New-AzRoleAssignment -ObjectId $principalId -Scope $scope -RoleDefinitionId $roleDefinitionId -Condition $condition -ConditionVersion $conditionVersion
مثال: تقييد إدارة الجهاز الظاهري
يسمح هذا الشرط للمفوض بإضافة أو إزالة تعيينات الدور فقط لأدوار تسجيل الدخول إلى الجهاز الظاهري مسؤول istrator أو تسجيل دخول مستخدم الجهاز الظاهري. أيضا، يمكن للمفوض تعيين هذه الأدوار فقط لمستخدم معين يسمى Dara (ea585310-c95c-4a68-af22-49af4363bbb1).
هذا الشرط مفيد عندما تريد السماح للمفوض بتعيين دور تسجيل دخول جهاز ظاهري لأنفسهم لجهاز ظاهري أنشأوه للتو.
يجب إضافة هذا الشرط إلى أي تعيينات أدوار للمفوض تتضمن الإجراءات التالية.
فيما يلي الإعدادات لإضافة هذا الشرط باستخدام مدخل Microsoft Azure ومحرر الشرط.
لاستهداف إجراءات تعيين الدور وإزالة كليهما، لاحظ أنه يجب إضافة شرطين. يجب إضافة شرطين لأن مصدر السمة مختلف لكل إجراء. إذا حاولت استهداف كلا الإجراءين في نفس الحالة، فلن تتمكن من إضافة تعبير. لمزيد من المعلومات، راجع العرض - لا توجد خيارات خطأ متوفرة.
فيما يلي الإعدادات لإضافة هذا الشرط باستخدام مدخل Microsoft Azure ومحرر الشرط.
لاستهداف إجراءات تعيين الدور وإزالة كليهما، لاحظ أنه يجب إضافة شرطين. يجب إضافة شرطين لأن مصدر السمة مختلف لكل إجراء. إذا حاولت استهداف كلا الإجراءين في نفس الحالة، فلن تتمكن من إضافة تعبير. لمزيد من المعلومات، راجع العرض - لا توجد خيارات خطأ متوفرة.
فيما يلي الإعدادات لإضافة هذا الشرط باستخدام مدخل Microsoft Azure ومحرر الشرط.
لاستهداف إجراءات تعيين الدور وإزالة كليهما، لاحظ أنه يجب إضافة شرطين. يجب إضافة شرطين لأن مصدر السمة مختلف لكل إجراء. إذا حاولت استهداف كلا الإجراءين في نفس الحالة، فلن تتمكن من إضافة تعبير. لمزيد من المعلومات، راجع العرض - لا توجد خيارات خطأ متوفرة.
هذا الشرط مفيد عندما تريد السماح للمفوض بتعيين معظم الأدوار، ولكن لا يسمح للمفوض بالسماح للآخرين بتعيين الأدوار.
إشعار
يجب استخدام هذا الشرط بحذر. إذا تمت إضافة دور مضمن أو مخصص جديد لاحقا يتضمن الإذن لإنشاء تعيينات الأدوار، فلن يمنع هذا الشرط المفوض من تعيين الأدوار. يجب تحديث الشرط لتضمين الدور المضمن أو المخصص الجديد.
يجب إضافة هذا الشرط إلى أي تعيينات أدوار للمفوض تتضمن الإجراءات التالية.
فيما يلي الإعدادات لإضافة هذا الشرط باستخدام مدخل Microsoft Azure ومحرر الشرط.
لاستهداف إجراءات تعيين الدور وإزالة كليهما، لاحظ أنه يجب إضافة شرطين. يجب إضافة شرطين لأن مصدر السمة مختلف لكل إجراء. إذا حاولت استهداف كلا الإجراءين في نفس الحالة، فلن تتمكن من إضافة تعبير. لمزيد من المعلومات، راجع العرض - لا توجد خيارات خطأ متوفرة.
قريبًا: خلال عام 2024، سنتخلص تدريجيًا من GitHub Issues بوصفها آلية إرسال ملاحظات للمحتوى ونستبدلها بنظام ملاحظات جديد. لمزيد من المعلومات، راجع https://aka.ms/ContentUserFeedback.