Usare i criteri di gestione dei ruoli per gestire le regole per ogni ruolo all'interno di ogni risorsa
I criteri di gestione dei ruoli consentono di gestire le regole per qualsiasi richiesta di idoneità del ruolo o richiesta di assegnazione di ruolo. Ad esempio, è possibile impostare la durata massima per la quale un'assegnazione può essere attiva oppure è anche possibile consentire l'assegnazione permanente. È possibile aggiornare le impostazioni di notifica per ogni assegnazione. È anche possibile impostare responsabili approvazione per ogni attivazione del ruolo.
Elencare i criteri di gestione dei ruoli per una risorsa
Per elencare i criteri di gestione dei ruoli, è possibile usare i criteri di gestione dei ruoli - Elenco per l'API REST dell'ambito. Per affinare i risultati, specificare un ambito e un filtro facoltativo. Per chiamare l'API, è necessario avere accesso all'operazione Microsoft.Authorization/roleAssignments/read
nell'ambito specificato. A tutti i ruoli predefiniti viene concesso l'accesso a questa operazione.
Importante
Non è necessario creare criteri di gestione dei ruoli perché ogni ruolo all'interno di ogni risorsa ha un criterio predefinito
Iniziare con la richiesta seguente:
GET https://management.azure.com/{scope}/providers/Microsoft.Authorization/roleManagementPolicies?api-version=2020-10-01&$filter={filter}
All'interno dell'URI sostituire {scope} con l'ambito per il quale si desidera elencare i criteri di gestione dei ruoli.
Scope Tipo providers/Microsoft.Management/managementGroups/{mg-name}
Gruppo di gestione subscriptions/{subscriptionId}
Subscription subscriptions/{subscriptionId}/resourceGroups/myresourcegroup1
Resource group subscriptions/{subscriptionId}/resourceGroups/myresourcegroup1/providers/Microsoft.Web/sites/mysite1
Risorsa Sostituire {filter} con la condizione da applicare per filtrare l'elenco delle assegnazioni di ruolo.
Filtra Descrizione $filter=roleDefinitionId%20eq%20'{scope}/providers/Microsoft.Authorization/roleDefinitions/{roleDefinitionId}'
Elencare i criteri di gestione dei ruoli per una definizione di ruolo specificata nell'ambito della risorsa.
Aggiornare i criteri di gestione dei ruoli
Scegliere le regole da aggiornare. Questi sono i tipi di regola:
Tipo di regola Descrizione RoleManagementPolicyEnablementRule Abilitare l'autenticazione a più fattori, la giustificazione per le assegnazioni o le informazioni sui ticket RoleManagementPolicyExpirationRule Specificare la durata massima di un'assegnazione di ruolo o di un'attivazione RoleManagementPolicyNotificationRule Configurare le impostazioni di notifica tramite posta elettronica per assegnazioni, attivazioni e approvazioni RoleManagementPolicyApprovalRule Configurare le impostazioni di approvazione per l'attivazione di un ruolo RoleManagementPolicyAuthenticationContextRule Configurare la regola del Registro Azure Container per i criteri di accesso condizionale Usare la richiesta seguente:
PATCH https://management.azure.com/{scope}/providers/Microsoft.Authorization/roleManagementPolicies/{roleManagementPolicyId}?api-version=2020-10-01
{ "properties": { "rules": [ { "isExpirationRequired": false, "maximumDuration": "P180D", "id": "Expiration_Admin_Eligibility", "ruleType": "RoleManagementPolicyExpirationRule", "target": { "caller": "Admin", "operations": [ "All" ], "level": "Eligibility", "targetObjects": null, "inheritableSettings": null, "enforcedSettings": null } }, { "notificationType": "Email", "recipientType": "Admin", "isDefaultRecipientsEnabled": false, "notificationLevel": "Critical", "notificationRecipients": [ "admin_admin_eligible@test.com" ], "id": "Notification_Admin_Admin_Eligibility", "ruleType": "RoleManagementPolicyNotificationRule", "target": { "caller": "Admin", "operations": [ "All" ], "level": "Eligibility", "targetObjects": null, "inheritableSettings": null, "enforcedSettings": null } }, { "enabledRules": [ "Justification", "MultiFactorAuthentication", "Ticketing" ], "id": "Enablement_EndUser_Assignment", "ruleType": "RoleManagementPolicyEnablementRule", "target": { "caller": "EndUser", "operations": [ "All" ], "level": "Assignment", "targetObjects": null, "inheritableSettings": null, "enforcedSettings": null } }, { "setting": { "isApprovalRequired": true, "isApprovalRequiredForExtension": false, "isRequestorJustificationRequired": true, "approvalMode": "SingleStage", "approvalStages": [ { "approvalStageTimeOutInDays": 1, "isApproverJustificationRequired": true, "escalationTimeInMinutes": 0, "primaryApprovers": [ { "id": "2385b0f3-5fa9-43cf-8ca4-b01dc97298cd", "description": "amansw_new_group", "isBackup": false, "userType": "Group" } ], "isEscalationEnabled": false, "escalationApprovers": null } ] }, "id": "Approval_EndUser_Assignment", "ruleType": "RoleManagementPolicyApprovalRule", "target": { "caller": "EndUser", "operations": [ "All" ], "level": "Assignment", "targetObjects": null, "inheritableSettings": null, "enforcedSettings": null } } ] } }