Megosztás a következőn keresztül:

Szerepkörkezelési szabályzatok használata az egyes erőforrásokon belüli szerepkörök szabályainak kezeléséhez

  • Cikk

A szerepkörkezelési szabályzatok segítségével szabályozhatja a szerepkör-jogosultsági kérelmekre vagy szerepkör-hozzárendelési kérelmekre vonatkozó szabályokat. Beállíthatja például azt a maximális időtartamot, amelyre egy hozzárendelés aktív lehet, vagy akár állandó hozzárendelést is engedélyezhet. Az egyes hozzárendelések értesítési beállításait frissítheti. Az egyes szerepköraktiválásokhoz is beállíthat jóváhagyókat.

Erőforrás szerepkörkezelési szabályzatainak listázása

A szerepkörkezelési szabályzatok listázásához használhatja a Szerepkörkezelési szabályzatok – Listázás hatókörhöz REST API-t. Az eredmények pontosításához meg kell adnia egy hatókört és egy választható szűrőt. Az API meghívásához hozzáféréssel kell rendelkeznie a Microsoft.Authorization/roleAssignments/read művelethez a megadott hatókörben. Minden beépített szerepkör hozzáférést kap ehhez a művelethez.

Fontos

Nem kell szerepkörkezelési szabályzatokat létrehoznia, mivel az egyes erőforrásokon belüli szerepkörökhöz tartozik egy alapértelmezett szabályzat

  1. Kezdje a következő kéréssel:

    GET https://management.azure.com/{scope}/providers/Microsoft.Authorization/roleManagementPolicies?api-version=2020-10-01&$filter={filter}

  2. Az URI-on belül cserélje le a (z) {scope} kifejezést arra a hatókörre, amelynek a szerepkörkezelési szabályzatait fel szeretné sorolni.

    Hatókör Típus
    providers/Microsoft.Management/managementGroups/{mg-name} Felügyeleti csoport
    subscriptions/{subscriptionId} Előfizetés
    subscriptions/{subscriptionId}/resourceGroups/myresourcegroup1 Erőforráscsoport
    subscriptions/{subscriptionId}/resourceGroups/myresourcegroup1/providers/Microsoft.Web/sites/mysite1 Erőforrás

  3. Cserélje le a (z) {filter} elemet a szerepkör-hozzárendelési lista szűréséhez alkalmazni kívánt feltételre.

    Szűrő Description
    $filter=roleDefinitionId%20eq%20'{scope}/providers/Microsoft.Authorization/roleDefinitions/{roleDefinitionId}' Listázz szerepkörkezelési szabályzatot egy adott szerepkör-definícióhoz az erőforrás hatókörében.

Szerepkörkezelési szabályzat frissítése

  1. Válassza ki a frissíteni kívánt szabály(oka)t. Ezek a szabálytípusok -

    Szabály típusa Description
    RoleManagementPolicyEnablementRule MFA engedélyezése, hozzárendelések indoklása vagy jegykiosztási információk
    RoleManagementPolicyExpirationRule Szerepkör-hozzárendelés vagy aktiválás maximális időtartamának megadása
    RoleManagementPolicyNotificationRule E-mail-értesítési beállítások konfigurálása hozzárendelésekhez, aktiválásokhoz és jóváhagyásokhoz
    RoleManagementPolicyApprovalRule Jóváhagyási beállítások konfigurálása szerepkör-aktiváláshoz
    RoleManagementPolicyAuthenticationContextRule Az ACRS-szabály konfigurálása feltételes hozzáférési szabályzathoz

  2. Használja az alábbi kérelmet:

    PATCH https://management.azure.com/{scope}/providers/Microsoft.Authorization/roleManagementPolicies/{roleManagementPolicyId}?api-version=2020-10-01

    {
  "properties": {
    "rules": [
      {
        "isExpirationRequired": false,
        "maximumDuration": "P180D",
        "id": "Expiration_Admin_Eligibility",
        "ruleType": "RoleManagementPolicyExpirationRule",
        "target": {
          "caller": "Admin",
          "operations": [
            "All"
          ],
          "level": "Eligibility",
          "targetObjects": null,
          "inheritableSettings": null,
          "enforcedSettings": null
        }
      },
      {
        "notificationType": "Email",
        "recipientType": "Admin",
        "isDefaultRecipientsEnabled": false,
        "notificationLevel": "Critical",
        "notificationRecipients": [
          "admin_admin_eligible@test.com"
        ],
        "id": "Notification_Admin_Admin_Eligibility",
        "ruleType": "RoleManagementPolicyNotificationRule",
        "target": {
          "caller": "Admin",
          "operations": [
            "All"
          ],
          "level": "Eligibility",
          "targetObjects": null,
          "inheritableSettings": null,
          "enforcedSettings": null
        }
      },
      {
        "enabledRules": [
          "Justification",
          "MultiFactorAuthentication",
          "Ticketing"
        ],
        "id": "Enablement_EndUser_Assignment",
        "ruleType": "RoleManagementPolicyEnablementRule",
        "target": {
          "caller": "EndUser",
          "operations": [
            "All"
          ],
          "level": "Assignment",
          "targetObjects": null,
          "inheritableSettings": null,
          "enforcedSettings": null
        }
      },
      {
        "setting": {
          "isApprovalRequired": true,
          "isApprovalRequiredForExtension": false,
          "isRequestorJustificationRequired": true,
          "approvalMode": "SingleStage",
          "approvalStages": [
            {
              "approvalStageTimeOutInDays": 1,
              "isApproverJustificationRequired": true,
              "escalationTimeInMinutes": 0,
              "primaryApprovers": [
                {
                  "id": "2385b0f3-5fa9-43cf-8ca4-b01dc97298cd",
                  "description": "amansw_new_group",
                  "isBackup": false,
                  "userType": "Group"
                }
              ],
              "isEscalationEnabled": false,
              "escalationApprovers": null
            }
          ]
        },
        "id": "Approval_EndUser_Assignment",
        "ruleType": "RoleManagementPolicyApprovalRule",
        "target": {
          "caller": "EndUser",
          "operations": [
            "All"
          ],
          "level": "Assignment",
          "targetObjects": null,
          "inheritableSettings": null,
          "enforcedSettings": null
        }
      }
    ]
  }
}