Verwenden von Rollenverwaltungsrichtlinien zum Verwalten von Regeln für jede Rolle innerhalb jeder Ressource

  • Artikel

Mithilfe von Rollenverwaltungsrichtlinien können Sie die Regeln für alle Rollenberechtigungsanforderungen oder Rollenzuweisungsanforderungen steuern. Sie können beispielsweise die maximale Dauer festlegen, für die eine Zuweisung aktiv sein kann, oder Sie können sogar eine dauerhafte Zuweisung zulassen. Sie können die Benachrichtigungseinstellungen für jede Zuweisung aktualisieren. Sie können auch genehmigende Personen für jede Rollenaktivierung festlegen.

Auflisten von Rollenverwaltungsrichtlinien für eine Ressource

Zum Auflisten von Rollenverwaltungsrichtlinien können Sie rollenverwaltungsrichtlinien – List For Scope REST-API verwenden. Um die Ergebnisse einzugrenzen, geben Sie einen Bereich und einen optionalen Filter an. Zum Aufrufen der API benötigen Sie Zugriff auf den Vorgang Microsoft.Authorization/roleAssignments/read für den angegebenen Bereich. Allen integrierten Rollen wird Zugriff auf diesen Vorgang gewährt.

Wichtig

Sie müssen keine Rollenverwaltungsrichtlinien erstellen, da jede Rolle in jeder Ressource über eine Standardrichtlinie verfügt.

  1. Beginnen Sie mit der folgenden Anforderung:

    GET https://management.azure.com/{scope}/providers/Microsoft.Authorization/roleManagementPolicies?api-version=2020-10-01&$filter={filter}

  2. Ersetzen Sie im URI {scope} durch den Bereich, für den Sie die Rollenverwaltungsrichtlinien auflisten möchten.

    `Scope` type
    providers/Microsoft.Management/managementGroups/{mg-name} Verwaltungsgruppe
    subscriptions/{subscriptionId} Subscription
    subscriptions/{subscriptionId}/resourceGroups/myresourcegroup1 Resource group
    subscriptions/{subscriptionId}/resourceGroups/myresourcegroup1/providers/Microsoft.Web/sites/mysite1 Resource

  3. Ersetzen Sie {filter} durch die Bedingung, die zum Filtern der Liste mit den Rollenzuweisungen angewendet werden soll.

    Filtern BESCHREIBUNG
    $filter=roleDefinitionId%20eq%20'{scope}/providers/Microsoft.Authorization/roleDefinitions/{roleDefinitionId}' Listen Sie die Rollenverwaltungsrichtlinie für eine angegebene Rollendefinition innerhalb des Ressourcenbereichs auf.

Aktualisiert eine Rollenverwaltungsrichtlinie.

  1. Wählen Sie die Regeln aus, die Sie aktualisieren möchten. Dies sind die Regeltypen:

    Regeltyp BESCHREIBUNG
    RoleManagementPolicyEnablementRule Aktivieren von MFA, Begründung für Zuweisungen oder Ticketinginformationen
    RoleManagementPolicyExpirationRule Angeben der maximalen Dauer einer Rollenzuweisung oder Aktivierung
    RoleManagementPolicyNotificationRule Konfigurieren von E-Mail-Benachrichtigungseinstellungen für Zuweisungen, Aktivierungen und Genehmigungen
    RoleManagementPolicyApprovalRule Konfigurieren von Genehmigungseinstellungen für eine Rollenaktivierung
    RoleManagementPolicyAuthenticationContextRule Konfigurieren der ACRS-Regel für die Richtlinie für bedingten Zugriff

  2. Verwenden Sie die folgende Anforderung:

    PATCH https://management.azure.com/{scope}/providers/Microsoft.Authorization/roleManagementPolicies/{roleManagementPolicyId}?api-version=2020-10-01

    {
  "properties": {
    "rules": [
      {
        "isExpirationRequired": false,
        "maximumDuration": "P180D",
        "id": "Expiration_Admin_Eligibility",
        "ruleType": "RoleManagementPolicyExpirationRule",
        "target": {
          "caller": "Admin",
          "operations": [
            "All"
          ],
          "level": "Eligibility",
          "targetObjects": null,
          "inheritableSettings": null,
          "enforcedSettings": null
        }
      },
      {
        "notificationType": "Email",
        "recipientType": "Admin",
        "isDefaultRecipientsEnabled": false,
        "notificationLevel": "Critical",
        "notificationRecipients": [
          "admin_admin_eligible@test.com"
        ],
        "id": "Notification_Admin_Admin_Eligibility",
        "ruleType": "RoleManagementPolicyNotificationRule",
        "target": {
          "caller": "Admin",
          "operations": [
            "All"
          ],
          "level": "Eligibility",
          "targetObjects": null,
          "inheritableSettings": null,
          "enforcedSettings": null
        }
      },
      {
        "enabledRules": [
          "Justification",
          "MultiFactorAuthentication",
          "Ticketing"
        ],
        "id": "Enablement_EndUser_Assignment",
        "ruleType": "RoleManagementPolicyEnablementRule",
        "target": {
          "caller": "EndUser",
          "operations": [
            "All"
          ],
          "level": "Assignment",
          "targetObjects": null,
          "inheritableSettings": null,
          "enforcedSettings": null
        }
      },
      {
        "setting": {
          "isApprovalRequired": true,
          "isApprovalRequiredForExtension": false,
          "isRequestorJustificationRequired": true,
          "approvalMode": "SingleStage",
          "approvalStages": [
            {
              "approvalStageTimeOutInDays": 1,
              "isApproverJustificationRequired": true,
              "escalationTimeInMinutes": 0,
              "primaryApprovers": [
                {
                  "id": "2385b0f3-5fa9-43cf-8ca4-b01dc97298cd",
                  "description": "amansw_new_group",
                  "isBackup": false,
                  "userType": "Group"
                }
              ],
              "isEscalationEnabled": false,
              "escalationApprovers": null
            }
          ]
        },
        "id": "Approval_EndUser_Assignment",
        "ruleType": "RoleManagementPolicyApprovalRule",
        "target": {
          "caller": "EndUser",
          "operations": [
            "All"
          ],
          "level": "Assignment",
          "targetObjects": null,
          "inheritableSettings": null,
          "enforcedSettings": null
        }
      }
    ]
  }
}