Condividi tramite

Usare i criteri di gestione dei ruoli per gestire le regole per ogni ruolo all'interno di ogni risorsa

  • Articolo

I criteri di gestione dei ruoli consentono di gestire le regole per qualsiasi richiesta di idoneità del ruolo o richiesta di assegnazione di ruolo. Ad esempio, è possibile impostare la durata massima per la quale un'assegnazione può essere attiva oppure è anche possibile consentire l'assegnazione permanente. È possibile aggiornare le impostazioni di notifica per ogni assegnazione. È anche possibile impostare responsabili approvazione per ogni attivazione del ruolo.

Elencare i criteri di gestione dei ruoli per una risorsa

Per elencare i criteri di gestione dei ruoli, è possibile usare i criteri di gestione dei ruoli - Elenco per l'API REST dell'ambito. Per affinare i risultati, specificare un ambito e un filtro facoltativo. Per chiamare l'API, è necessario avere accesso all'operazione Microsoft.Authorization/roleAssignments/read nell'ambito specificato. A tutti i ruoli predefiniti viene concesso l'accesso a questa operazione.

Importante

Non è necessario creare criteri di gestione dei ruoli perché ogni ruolo all'interno di ogni risorsa ha un criterio predefinito

  1. Iniziare con la richiesta seguente:

    GET https://management.azure.com/{scope}/providers/Microsoft.Authorization/roleManagementPolicies?api-version=2020-10-01&$filter={filter}

  2. All'interno dell'URI sostituire {scope} con l'ambito per il quale si desidera elencare i criteri di gestione dei ruoli.

    Scope Tipo
    providers/Microsoft.Management/managementGroups/{mg-name} Gruppo di gestione
    subscriptions/{subscriptionId} Subscription
    subscriptions/{subscriptionId}/resourceGroups/myresourcegroup1 Resource group
    subscriptions/{subscriptionId}/resourceGroups/myresourcegroup1/providers/Microsoft.Web/sites/mysite1 Risorsa

  3. Sostituire {filter} con la condizione da applicare per filtrare l'elenco delle assegnazioni di ruolo.

    Filtra Descrizione
    $filter=roleDefinitionId%20eq%20'{scope}/providers/Microsoft.Authorization/roleDefinitions/{roleDefinitionId}' Elencare i criteri di gestione dei ruoli per una definizione di ruolo specificata nell'ambito della risorsa.

Aggiornare i criteri di gestione dei ruoli

  1. Scegliere le regole da aggiornare. Questi sono i tipi di regola:

    Tipo di regola Descrizione
    RoleManagementPolicyEnablementRule Abilitare l'autenticazione a più fattori, la giustificazione per le assegnazioni o le informazioni sui ticket
    RoleManagementPolicyExpirationRule Specificare la durata massima di un'assegnazione di ruolo o di un'attivazione
    RoleManagementPolicyNotificationRule Configurare le impostazioni di notifica tramite posta elettronica per assegnazioni, attivazioni e approvazioni
    RoleManagementPolicyApprovalRule Configurare le impostazioni di approvazione per l'attivazione di un ruolo
    RoleManagementPolicyAuthenticationContextRule Configurare la regola del Registro Azure Container per i criteri di accesso condizionale

  2. Usare la richiesta seguente:

    PATCH https://management.azure.com/{scope}/providers/Microsoft.Authorization/roleManagementPolicies/{roleManagementPolicyId}?api-version=2020-10-01

    {
  "properties": {
    "rules": [
      {
        "isExpirationRequired": false,
        "maximumDuration": "P180D",
        "id": "Expiration_Admin_Eligibility",
        "ruleType": "RoleManagementPolicyExpirationRule",
        "target": {
          "caller": "Admin",
          "operations": [
            "All"
          ],
          "level": "Eligibility",
          "targetObjects": null,
          "inheritableSettings": null,
          "enforcedSettings": null
        }
      },
      {
        "notificationType": "Email",
        "recipientType": "Admin",
        "isDefaultRecipientsEnabled": false,
        "notificationLevel": "Critical",
        "notificationRecipients": [
          "admin_admin_eligible@test.com"
        ],
        "id": "Notification_Admin_Admin_Eligibility",
        "ruleType": "RoleManagementPolicyNotificationRule",
        "target": {
          "caller": "Admin",
          "operations": [
            "All"
          ],
          "level": "Eligibility",
          "targetObjects": null,
          "inheritableSettings": null,
          "enforcedSettings": null
        }
      },
      {
        "enabledRules": [
          "Justification",
          "MultiFactorAuthentication",
          "Ticketing"
        ],
        "id": "Enablement_EndUser_Assignment",
        "ruleType": "RoleManagementPolicyEnablementRule",
        "target": {
          "caller": "EndUser",
          "operations": [
            "All"
          ],
          "level": "Assignment",
          "targetObjects": null,
          "inheritableSettings": null,
          "enforcedSettings": null
        }
      },
      {
        "setting": {
          "isApprovalRequired": true,
          "isApprovalRequiredForExtension": false,
          "isRequestorJustificationRequired": true,
          "approvalMode": "SingleStage",
          "approvalStages": [
            {
              "approvalStageTimeOutInDays": 1,
              "isApproverJustificationRequired": true,
              "escalationTimeInMinutes": 0,
              "primaryApprovers": [
                {
                  "id": "2385b0f3-5fa9-43cf-8ca4-b01dc97298cd",
                  "description": "amansw_new_group",
                  "isBackup": false,
                  "userType": "Group"
                }
              ],
              "isEscalationEnabled": false,
              "escalationApprovers": null
            }
          ]
        },
        "id": "Approval_EndUser_Assignment",
        "ruleType": "RoleManagementPolicyApprovalRule",
        "target": {
          "caller": "EndUser",
          "operations": [
            "All"
          ],
          "level": "Assignment",
          "targetObjects": null,
          "inheritableSettings": null,
          "enforcedSettings": null
        }
      }
    ]
  }
}