تفويض إدارة تعيين دور Azure للآخرين بشروط

كمسؤول، قد تحصل على العديد من الطلبات لمنح حق الوصول إلى موارد Azure التي تريد تفويضها إلى شخص آخر. يمكنك تعيين أدوار المالك أو وصول المستخدم مسؤول istrator للمستخدم، ولكن هذه أدوار مميزة للغاية. توضح هذه المقالة طريقة أكثر أمانا لتفويض إدارة تعيين الدور إلى مستخدمين آخرين في مؤسستك، ولكنها تضيف قيود لتعيينات الأدوار هذه. على سبيل المثال، يمكنك تقييد الأدوار التي يمكن تعيينها أو تقييد الأساسيات التي يمكن تعيين الأدوار إليها.

يوضح الرسم التخطيطي التالي كيف يمكن للمفوض الذي لديه شروط فقط تعيين أدوار مساهم النسخ الاحتياطي أو قارئ النسخ الاحتياطي لمجموعات التسويق أو المبيعات فقط.

المتطلبات الأساسية

لتعيين أدوار Azure، يجب أن يكون لديك:

• Microsoft.Authorization/roleAssignments/writeأذونات، مثل التحكم في الوصول استنادا إلى الدور مسؤول istrator أو مسؤول istrator وصول المستخدم

الخطوة 1: تحديد الأذونات التي يحتاجها المفوض

للمساعدة في تحديد الأذونات التي يحتاجها المفوض، أجب عن الأسئلة التالية:

• ما الأدوار التي يمكن للمفوض تعيينها؟
• ما هي أنواع الأساسيات التي يمكن للمفوض تعيين الأدوار إليها؟
• ما هي الأساسيات التي يمكن للمفوض تعيين الأدوار إليها؟
• هل يمكن تفويض إزالة أي تعيينات دور؟

بمجرد معرفة الأذونات التي يحتاجها المفوض، يمكنك استخدام الخطوات التالية لإضافة شرط إلى تعيين دور المفوض. على سبيل المثال الشروط، راجع أمثلة لتفويض إدارة تعيين دور Azure مع الشروط.

الخطوة 2: بدء تعيين دور جديد

1. قم بتسجيل الدخول إلى بوابة Azure.

2. اتبع الخطوات لفتح صفحة إضافة تعيين دور.

3. في علامة التبويب Roles ، حدد علامة التبويب Privileged administrator roles .

4. حدد دور التحكم في الوصول المستند إلى الدور مسؤول istrator.

   تظهر علامة التبويب الشروط.

   يمكنك تحديد أي دور يتضمن Microsoft.Authorization/roleAssignments/write أو Microsoft.Authorization/roleAssignments/delete الإجراءات، مثل المستخدم Access مسؤول istrator، ولكن التحكم في الوصول المستند إلى الدور مسؤول istrator لديه أذونات أقل.

5. في علامة التبويب الأعضاء ، ابحث عن المفوض وحدده.

الخطوة 3: إضافة شرط

هناك طريقتان يمكنك من خلالهما إضافة شرط. يمكنك استخدام قالب شرط أو يمكنك استخدام محرر شرط متقدم.

القالب

1. في علامة التبويب الشروط ضمن ما يمكن للمستخدم القيام به، حدد الخيار السماح للمستخدم بتعيين أدوار محددة فقط إلى الأساسيات المحددة (امتيازات أقل).

   

2. حدد Select roles and principals.

   تظهر صفحة إضافة شرط تعيين دور مع قائمة بقوالب الشروط.

   

3. حدد قالب شرط ثم حدد تكوين.

   قالب الشرط	حدد هذا القالب ل
   تقييد الأدوار	السماح للمستخدم بتعيين الأدوار التي تحددها فقط
   تقييد الأدوار والأنواع الأساسية	السماح للمستخدم بتعيين الأدوار التي تحددها فقط السماح للمستخدم بتعيين هذه الأدوار فقط إلى الأنواع الأساسية التي تحددها (المستخدمين أو المجموعات أو أساسيات الخدمة)
   تقييد الأدوار والكيانات	السماح للمستخدم بتعيين الأدوار التي تحددها فقط السماح للمستخدم بتعيين هذه الأدوار فقط إلى الأساسيات التي تحددها

4. في جزء التكوين، أضف التكوينات المطلوبة.

   

5. حدد حفظ لإضافة الشرط إلى تعيين الدور.

محرر الشرط

إذا لم تعمل قوالب الشرط مع السيناريو الخاص بك أو إذا كنت تريد المزيد من التحكم، يمكنك استخدام محرر الشرط.

فتح محرر الشروط

1. في علامة التبويب الشروط ضمن ما يمكن للمستخدم القيام به، حدد الخيار السماح للمستخدم بتعيين أدوار محددة فقط إلى الأساسيات المحددة (امتيازات أقل).

   

2. حدد Select roles and principals.

   تظهر صفحة إضافة شرط تعيين دور مع قائمة بقوالب الشروط.

   

3. حدد Open advanced condition editor.

   ظهور صفحة إضافة تعيين دور.

4. بالنسبة إلى خيار "Editor type"، اترك "Visual" الافتراضي محددا.

إضافة إجراء

1. في قسم إضافة إجراء ، حدد إضافة إجراء.

   ظهور جزء اختيار إجراء. هذا الجزء عبارة عن قائمة إجراءات تمت تصفيتها استنادا إلى تعيين الدور الذي سيكون الهدف من حالتك.

   

2. حدد الإجراء Create or update role assignments الذي تريد السماح به إذا كان الشرط صحيحا.

   تلميح

   إذا قمت بتحديد كل من إنشاء تعيينات الأدوار أو تحديثها وحذف إجراءات تعيين دور، فلن تتمكن من إضافة تعبير شرط. إذا كنت تريد استهداف كلا الإجراءين، يجب إضافة شرطين. لمزيد من المعلومات، راجع مثال: تقييد الأدوار.

إنشاء تعبيرات

1. في قسم Build expression ، حدد Add expression.

   هنا حيث يمكنك إنشاء التعبير لتقييد تعيينات الأدوار التي يمكن للمفوض إضافتها.

2. في قائمة مصدر السمة، حدد طلب.

3. في قائمة السمات ، حدد إحدى السمات التالية للجانب الأيسر من التعبير.

   • يتم استخدام معرف تعريف الدور لتقييد الأدوار التي يمكن للمفوض تعيينها.
   • يتم استخدام المعرف الأساسي لتقييد الأساسيات المحددة التي يمكن للمفوض تعيين أدوار لها.
   • يتم استخدام النوع الأساسي لتقييد أنواع الأساسيات (المستخدمين أو المجموعات أو كيانات الخدمة) التي يمكن للمفوض تعيين أدوار لها.

4. في قائمة عامل التشغيل ، حدد عامل تشغيل.

   اعتمادا على السمة والتعبير الذي تريد إنشاءه، يمكنك عادة تحديد عوامل التشغيل هذه، والتي تسمح لك بتحديد قيمة واحدة أو أكثر للجانب الأيمن من التعبير.

   السمة	عامل التشغيل الشائع
   معرف تعريف الدور	ForAnyOfAnyValues:GuidEquals
   المعرف الأساسي	ForAnyOfAnyValues:GuidEquals
   النوع الأساسي	ForAnyOfAnyValues:StringEqualsIgnoreCase

5. في مربع القيمة ، أدخل قيمة واحدة أو أكثر للجانب الأيسر من التعبير.

   

6. إضافة تعبيرات إضافية حسب الحاجة.

   تلميح

   عند إضافة تعبيرات متعددة لتفويض إدارة تعيين الدور بشروط، يمكنك عادة استخدام عامل التشغيل And بين التعبيرات بدلا من عامل التشغيل Or الافتراضي.

7. حدد حفظ لإضافة الشرط إلى تعيين الدور.

الخطوة 4: تعيين دور بشرط للتفويض

1. في علامة التبويب Review + assign ، راجع إعدادات تعيين الدور.

2. حدد Review + assign لتعيين الدور.

   بعد لحظات قليلة، يتم تعيين دور التحكم في الوصول استنادا إلى الدور مسؤول istrator مع شروط تعيين الدور.

الخطوة 5: يعين المفوض الأدوار بشروط

• يمكن للمفوض الآن اتباع الخطوات لتعيين الأدوار.

  

  عندما يحاول المفوض تعيين أدوار في مدخل Microsoft Azure، ستتم تصفية قائمة الأدوار لإظهار الأدوار التي يمكن تعيينها فقط.

  

  إذا كان هناك شرط للمديرين، تتم أيضا تصفية قائمة الأساسيات المتاحة للتعيين.

  

  إذا حاول المفوض تعيين دور خارج الشروط باستخدام واجهة برمجة تطبيقات، يفشل تعيين الدور مع حدوث خطأ. لمزيد من المعلومات، راجع الأعراض - تعذر تعيين دور.

الخطوات التالية

• تفويض إدارة الوصول إلى Azure للآخرين
• إجراءات التخويل وسماته