Upravit

Sdílet prostřednictvím


Přiřazení rolí Azure pomocí webu Azure Portal

Řízení přístupu na základě role v Azure (Azure RBAC) je autorizační systém, který používáte ke správě přístupu k prostředkům Azure. Chcete-li udělit přístup, přiřaďte role uživatelům, skupinám, instančním objektům nebo spravovaným identitám v konkrétním rozsahu. Tento článek popisuje, jak přiřadit role pomocí webu Azure Portal.

Pokud potřebujete přiřadit role správce v MICROSOFT Entra ID, přečtěte si téma Přiřazení rolí Microsoft Entra uživatelům.

Požadavky

Pokud chcete přiřazovat role Azure, musíte mít:

Krok 1: Určení potřebného oboru

Při přiřazování rolí je potřeba zadat obor. Obor (rozsah) je sada prostředků, na které se vztahuje přístup. V Azure můžete zadat rozsah na čtyřech úrovních od širokého po úzký rozsah: skupina pro správu, předplatné, skupina prostředků a prostředek. Další informace najdete v tématu Vysvětlení oboru.

Diagram znázorňující úrovně rozsahu pro Azure RBAC

  1. Přihlaste se k webu Azure Portal.

  2. Ve vyhledávacím poli v horní části vyhledejte obor, ke kterému chcete udělit přístup. Můžete například vyhledat skupiny pro správu, předplatná, skupiny prostředků nebo konkrétní prostředek.

  3. Klikněte na konkrétní prostředek pro daný obor.

    Následující příklad ukazuje obor skupiny prostředků.

    Snímek obrazovky se stránkou přehledu skupiny prostředků

Krok 2: Otevření stránky Přidat přiřazení role

K přiřazování rolí a udělování přístupu k prostředkům Azure se obvykle používá stránka Řízení přístupu (IAM) . Označuje se také jako Správa identit a přístupu (IAM) a na webu Azure Portal se nachází na různých místech.

  1. Klikněte na Řízení přístupu (IAM).

    Následující příklad ukazuje stránku Řízení přístupu (IAM) pro skupinu prostředků.

    Snímek obrazovky se stránkou Řízení přístupu (IAM) pro skupinu prostředků

  2. Kliknutím na kartu Přiřazení rolí zobrazíte přiřazení rolí v tomto oboru.

  3. Klikněte na Přidat>přiřazení role.

    Pokud nemáte oprávnění přiřazovat role, možnost Přidat přiřazení role bude neaktivní.

    Snímek obrazovky s nabídkou Přidat > přiřazení role

    Otevře se stránka Přidat přiřazení role.

Krok 3: Výběr příslušné role

Pokud chcete vybrat roli, postupujte takto:

  1. Na kartě Role vyberte roli, kterou chcete použít.

    Roli můžete vyhledat podle názvu nebo popisu. Role můžete také filtrovat podle typu a kategorie.

    Snímek obrazovky se stránkou Přidat přiřazení role s kartou Role

  2. Pokud chcete přiřadit roli privilegovaného správce, vyberte kartu Role privilegovaného správce a vyberte roli.

    Osvědčené postupy při používání přiřazení rolí privilegovaného správce najdete v tématu Osvědčené postupy pro Azure RBAC.

    Snímek obrazovky se stránkou Přidat přiřazení role s vybranou kartou Role privilegovaného správce

  3. Ve sloupci Podrobnosti kliknutím na Zobrazit zobrazíte další podrobnosti o roli.

    Snímek obrazovky s podoknem Zobrazit podrobnosti role s kartou Oprávnění

  4. Klikněte na tlačítko Další.

Krok 4: Vyberte, kdo potřebuje přístup

Pokud chcete vybrat, kdo potřebuje přístup, postupujte takto:

  1. Na kartě Členové vyberte Uživatel, skupina nebo instanční objekt a přiřaďte vybranou roli jednomu nebo několika uživatelům, skupinám nebo instančním objektům (aplikacím) Microsoft Entra.

    Snímek obrazovky se stránkou Přidat přiřazení role s kartou Členové

  2. Klikněte na Vybrat členy.

  3. Vyhledejte a vyberte uživatele, skupiny nebo instanční objekty.

    Pomocí pole Vybrat můžete v adresáři vyhledat zobrazované jméno nebo e-mailovou adresu.

    Snímek obrazovky s podoknem Vybrat členy

  4. Kliknutím na vybrat přidáte uživatele, skupiny nebo instanční objekty do seznamu Členové.

  5. Pokud chcete přiřadit vybranou roli jedné nebo několika spravovaným identitám, vyberte Spravované identity.

  6. Klikněte na Vybrat členy.

  7. V podokně Vybrat spravované identity vyberte, jestli se jedná o spravované identity přiřazené uživatelem, nebo spravované identity přiřazené systémem.

  8. Vyhledejte a vyberte spravované identity.

    V případě spravovaných identit přiřazených systémem můžete vybrat spravované identity podle instance služby Azure.

    Snímek obrazovky s podoknem Vybrat spravované identity

  9. Kliknutím na vybrat přidáte spravované identity do seznamu Členové.

  10. Do pole Popis můžete volitelně zadat popis tohoto přiřazení role.

    Tento popis se pak zobrazí v seznamu přiřazení rolí.

  11. Klikněte na tlačítko Další.

Krok 5: (Volitelné) Přidání podmínky

Pokud jste vybrali roli, která podporuje podmínky, zobrazí se karta Podmínky a máte možnost přidat podmínku k přiřazení role. Podmínka je další kontrola, kterou můžete volitelně přidat k přiřazení role, abyste získali podrobnější řízení přístupu.

Karta Podmínky bude vypadat jinak v závislosti na vybrané roli.

Delegovat podmínku

Pokud jste vybrali jednu z následujících privilegovaných rolí, postupujte podle kroků v této části.

  1. Na kartě Podmínky v části Co může uživatel dělat, vyberte možnost Povolit uživateli přiřadit pouze vybrané role vybraným objektům zabezpečení (méně oprávnění).

    Snímek obrazovky s možností Přidat přiřazení role s vybranou možností Omezené

  2. Kliknutím na vybrat role a objekty zabezpečení přidáte podmínku, která omezuje role a objekty zabezpečení, ke kterým může tento uživatel přiřadit role.

  3. Postupujte podle kroků v části Delegování správy přiřazení rolí Azure ostatním s podmínkami.

Podmínka úložiště

Pokud jste vybrali jednu z následujících rolí úložiště, postupujte podle kroků v této části.

  1. Chcete-li dále upřesnit přiřazení rolí na základě atributů úložiště, klikněte na tlačítko Přidat podmínku .

    Snímek obrazovky se stránkou Přidat přiřazení role s kartou Přidat podmínku

  2. Postupujte podle pokynů v tématu Přidání nebo úprava podmínek přiřazení role Azure.

Krok 6: Výběr typu přiřazení (Preview)

Důležité

Integrace přiřazení role Azure se službou Privileged Identity Management je aktuálně ve verzi PREVIEW. Právní podmínky, které platí pro funkce Azure, které jsou ve verzi beta, verzi Preview nebo které zatím nejsou veřejně dostupné, najdete v Dodatečných podmínkách použití pro Microsoft Azure verze Preview.

Pokud máte licenci microsoft Entra ID P2 nebo Microsoft Entra ID Governance, zobrazí se karta Typ přiřazení pro obory skupin pro správu, předplatného a skupiny prostředků. Pomocí oprávněných přiřazení můžete poskytnout přístup k roli za běhu. Tato funkce se nasazuje ve fázích, takže nemusí být ještě dostupná ve vašem tenantovi nebo vaše rozhraní může vypadat jinak. Další informace najdete v tématu Integrace s Privileged Identity Management (Preview).

Pokud nechcete používat funkce PIM, vyberte typ aktivního přiřazení a možnosti Trvalá doba trvání přiřazení. Tato nastavení vytvoří přiřazení role, kde objekt zabezpečení má v roli vždy oprávnění.

  1. Na kartě Typ zadání vyberte typ zadání.

    • Oprávněná – Uživatel musí provést jednu nebo více akcí pro použití role, jako je kontrola vícefaktorového ověřování, poskytnutí obchodního odůvodnění nebo žádost o schválení od určených schvalovatelů. Pro aplikace, instanční objekty ani spravované identity nemůžete vytvářet oprávněná přiřazení rolí, protože nemůžou provádět aktivační kroky.
    • Aktivní – Uživatel nemusí pro použití role provádět žádnou akci.

    Snímek obrazovky s možností Přidat přiřazení role se zobrazenými možnostmi typu přiřazení

  2. V závislosti na nastavení vyberte pro dobu trvání přiřazení trvalou dobu trvání nebo určitou dobu.

    Vyberte trvalé, pokud chcete, aby člen vždy mohl aktivovat nebo používat roli. Vyberte čas vázaný k zadání počátečního a koncového data. Tato možnost může být zakázaná, pokud zásady PIM nepovolují vytváření trvalých přiřazení.

  3. Pokud je vybrána časová osa, nastavte počáteční datum a čas a datum a čas, abyste určili, kdy má uživatel povoleno aktivovat nebo používat roli.

    Počáteční datum je možné nastavit v budoucnu. Maximální povolená oprávněná doba trvání závisí na vaší zásadě PIM (Privileged Identity Management).

  4. (Volitelné) Pomocí konfigurace zásad PIM můžete nakonfigurovat možnosti vypršení platnosti, požadavky na aktivaci role (schválení, vícefaktorové ověřování nebo kontext ověřování podmíněného přístupu) a další nastavení.

    Když vyberete odkaz na aktualizaci zásad PIM, zobrazí se stránka PIM. Vyberte Nastavení a nakonfigurujte zásady PIM pro role. Další informace najdete v tématu Konfigurace nastavení role prostředku Azure ve službě Privileged Identity Management.

  5. Klikněte na tlačítko Další.

Krok 7: Přiřazení role

Postupujte následovně:

  1. Na kartě Zkontrolovat a přiřadit zkontrolujte nastavení přiřazení role.

    Snímek obrazovky se stránkou Přiřadit roli s kartou Revize a přiřazení

  2. Kliknutím na Zkontrolovat a přiřadit roli.

    Za chvíli se objektu zabezpečení přiřadí role ve vybraném oboru.

    Snímek obrazovky se seznamem přiřazení rolí po přiřazení role

  3. Pokud nevidíte popis přiřazení role, klikněte na Upravit sloupce a přidejte sloupec Popis .

Upravit zadání (Preview)

Důležité

Integrace přiřazení role Azure se službou Privileged Identity Management je aktuálně ve verzi PREVIEW. Právní podmínky, které platí pro funkce Azure, které jsou ve verzi beta, verzi Preview nebo které zatím nejsou veřejně dostupné, najdete v Dodatečných podmínkách použití pro Microsoft Azure verze Preview.

Pokud máte licenci Microsoft Entra ID P2 nebo Microsoft Entra ID Governance, můžete upravit nastavení typu přiřazení role. Další informace najdete v tématu Integrace s Privileged Identity Management (Preview).

  1. Na stránce Řízení přístupu (IAM) klikněte na kartu Přiřazení rolí a zobrazte přiřazení rolí v tomto oboru.

  2. Vyhledejte přiřazení role, které chcete upravit.

  3. Ve sloupci Stát klikněte na odkaz, například Opravňující časové vazby nebo Aktivní trvalé.

    Zobrazí se podokno Upravit přiřazení , kde můžete aktualizovat nastavení typu přiřazení role. Otevření podokna může chvíli trvat.

    Snímek obrazovky s podoknem Upravit přiřazení se zobrazenými možnostmi typu přiřazení

  4. Jakmile budete hotoví, klikněte na Uložit.

    Zpracování aktualizací a promítnout je na portálu může chvíli trvat.