Azure-roltoewijzingsbeheer delegeren aan anderen met voorwaarden

Als beheerder krijgt u mogelijk verschillende aanvragen om toegang te verlenen tot Azure-resources die u aan iemand anders wilt delegeren. U kunt een gebruiker de rollen Eigenaar of Gebruikerstoegang toewijzen Beheer istrator, maar dit zijn rollen met hoge bevoegdheden. In dit artikel wordt een veiligere manier beschreven om roltoewijzingsbeheer te delegeren aan andere gebruikers in uw organisatie, maar beperkingen voor deze roltoewijzingen toe te voegen. U kunt bijvoorbeeld de rollen beperken waaraan de principals kunnen worden toegewezen of waaraan de rollen kunnen worden toegewezen.

In het volgende diagram ziet u hoe een gemachtigde met voorwaarden alleen de rollen Back-upbijdrager of Back-uplezer kan toewijzen aan alleen de groepen Marketing of Verkoop.

Vereisten

Als u Azure-rollen wilt toewijzen, hebt u het volgende nodig:

• Microsoft.Authorization/roleAssignments/writemachtigingen, zoals op rollen gebaseerd toegangsbeheer Beheer istrator of gebruikerstoegang Beheer istrator

Stap 1: Bepaal de machtigingen die de gedelegeerde nodig heeft

Beantwoord de volgende vragen om de machtigingen te bepalen die de gedelegeerde nodig heeft:

• Welke rollen kan de gedelegeerde toewijzen?
• Aan welke typen principals kan de gedelegeerde rollen toewijzen?
• Aan welke principals kan de gedelegeerde rollen toewijzen?
• Kan de gedelegeerde roltoewijzingen verwijderen?

Zodra u weet welke machtigingen gedelegeerde nodig heeft, gebruikt u de volgende stappen om een voorwaarde toe te voegen aan de roltoewijzing van de gedelegeerde. Zie voorbeelden voor het delegeren van Azure-roltoewijzingsbeheer met voorwaarden.

Stap 2: Een nieuwe roltoewijzing starten

1. Meld u aan bij het Azure-portaal.

2. Volg de stappen om de pagina Roltoewijzing toevoegen te openen.

3. Selecteer op het tabblad Rollen het tabblad Bevoorrechte beheerdersrollen .

4. Selecteer de rol Op rollen gebaseerd toegangsbeheer Beheer istrator.

   Het tabblad Voorwaarden wordt weergegeven.

   U kunt elke rol selecteren die de Microsoft.Authorization/roleAssignments/write of Microsoft.Authorization/roleAssignments/delete acties bevat, zoals gebruikerstoegang Beheer istrator, maar op rollen gebaseerd toegangsbeheer Beheer istrator heeft minder machtigingen.

5. Zoek en selecteer de gedelegeerde op het tabblad Leden .

Stap 3: Een voorwaarde toevoegen

Er zijn twee manieren waarop u een voorwaarde kunt toevoegen. U kunt een voorwaardesjabloon gebruiken of u kunt een geavanceerde voorwaarde-editor gebruiken.

Sjabloon

1. Selecteer op het tabblad Voorwaarden onder Wat de gebruiker kan doen, de optie Alleen geselecteerde rollen toewijzen aan geselecteerde principals (minder bevoegdheden).

   

2. Selecteer Rollen en principals selecteren.

   De pagina Roltoewijzingsvoorwaarde toevoegen wordt weergegeven met een lijst met voorwaardesjablonen.

   

3. Selecteer een voorwaardesjabloon en selecteer vervolgens Configureren.

   Voorwaardesjabloon	Selecteer deze sjabloon om
   Rollen beperken	Toestaan dat de gebruiker alleen rollen toewijst die u selecteert
   Rollen en principal-typen beperken	Toestaan dat de gebruiker alleen rollen toewijst die u selecteert Toestaan dat de gebruiker deze rollen alleen toewijst aan principaltypen die u selecteert (gebruikers, groepen of service-principals)
   Rollen en principals beperken	Toestaan dat de gebruiker alleen rollen toewijst die u selecteert Toestaan dat de gebruiker deze rollen alleen toewijst aan principals die u selecteert
   Alle behalve specifieke rollen toestaan	Toestaan dat de gebruiker alle rollen toewijst, behalve de rollen die u selecteert

4. Voeg in het deelvenster Configureren de vereiste configuraties toe.

   

5. Selecteer Opslaan om de voorwaarde toe te voegen aan de roltoewijzing.

Voorwaarde-editor

Als de voorwaardesjablonen niet werken voor uw scenario of als u meer controle wilt, kunt u de voorwaardeeditor gebruiken.

Editor voor geopende voorwaarden

1. Selecteer op het tabblad Voorwaarden onder Wat de gebruiker kan doen, de optie Alleen geselecteerde rollen toewijzen aan geselecteerde principals (minder bevoegdheden).

   

2. Selecteer Rollen en principals selecteren.

   De pagina Roltoewijzingsvoorwaarde toevoegen wordt weergegeven met een lijst met voorwaardesjablonen.

   

3. Selecteer Geavanceerde voorwaarde-editor openen.

   De pagina Roltoewijzingsvoorwaarde toevoegen wordt weergegeven.

4. Laat voor de optie Editortype de standaardvisualgeselecteerd.

Actie toevoegen

1. Selecteer actie toevoegen in de sectie Actie toevoegen.

   Het deelvenster Een actie selecteren wordt weergegeven. Dit deelvenster is een gefilterde lijst met acties op basis van de roltoewijzing die het doel van uw voorwaarde is.

   

2. Selecteer de actie Roltoewijzingen maken of bijwerken die u wilt toestaan als de voorwaarde waar is.

   Tip

   Als u zowel roltoewijzingen maken of bijwerken als Een roltoewijzingsacties verwijderen selecteert, kunt u geen voorwaardeexpressie toevoegen. Als u beide acties wilt toepassen, moet u twee voorwaarden toevoegen. Zie Voorbeeld: Rollen beperken voor meer informatie.

Expressies bouwen

1. Selecteer in de sectie Build-expressie de optie Expressie toevoegen.

   Hier bouwt u de expressie om roltoewijzingen te beperken die de gedelegeerde kan toevoegen.

2. Selecteer Aanvraag in de lijst met kenmerkbronnen.

3. Selecteer in de lijst Kenmerken een van de volgende kenmerken aan de linkerkant van de expressie.

   • De roldefinitie-id wordt gebruikt om de rollen te beperken die de gedelegeerde kan toewijzen.
   • Principal-id wordt gebruikt om de specifieke principals te beperken waaraan de gedelegeerde rollen kan toewijzen.
   • Het principal-type wordt gebruikt om de typen principals (gebruikers, groepen of service-principals) te beperken waaraan de gedelegeerde rollen kan toewijzen.

4. Selecteer een operator in de lijst Operator .

   Afhankelijk van het kenmerk en de expressie die u wilt bouwen, selecteert u meestal deze operators, waarmee u een of meer waarden voor de rechterkant van de expressie kunt selecteren.

   Kenmerk	Algemene operator
   Id van roldefinitie	ForAnyOfAnyValues:GuidEquals ForAnyOfAllValues:GuidNotEquals
   Principal-id	ForAnyOfAnyValues:GuidEquals
   Principal-type	ForAnyOfAnyValues:StringEqualsIgnoreCase

5. Voer in het vak Waarde een of meer waarden in voor de rechterkant van de expressie.

   

6. Voeg indien nodig extra expressies toe.

   Tip

   Wanneer u meerdere expressies toevoegt om roltoewijzingsbeheer met voorwaarden te delegeren, gebruikt u meestal de operator And tussen expressies in plaats van de standaardoperator Of .

7. Selecteer Opslaan om de voorwaarde toe te voegen aan de roltoewijzing.

Stap 4: Rol met voorwaarde toewijzen aan gedelegeerde

1. Controleer op het tabblad Beoordelen en toewijzen de instellingen voor roltoewijzing.

2. Selecteer Beoordelen en toewijzen om de rol toe te wijzen.

   Na enkele ogenblikken krijgt de gedelegeerde de rol Op rollen gebaseerd toegangsbeheer toegewezen Beheer istrator met de voorwaarden voor roltoewijzing.

Stap 5: Gedelegeerde wijst rollen toe met voorwaarden

• Gedelegeerde kan nu de stappen volgen om rollen toe te wijzen.

  

  Wanneer de gedelegeerde probeert rollen toe te wijzen in Azure Portal, wordt de lijst met rollen gefilterd om alleen de rollen weer te geven die ze kunnen toewijzen.

  

  Als er een voorwaarde is voor principals, wordt de lijst met principals die beschikbaar zijn voor toewijzing ook gefilterd.

  

  Als de gedelegeerde een rol probeert toe te wijzen die buiten de voorwaarden valt met behulp van een API, mislukt de roltoewijzing met een fout. Zie Symptoom - Kan geen rol toewijzen voor meer informatie.

Een voorwaarde bewerken

Er zijn twee manieren waarop u een voorwaarde kunt bewerken. U kunt de voorwaardesjabloon gebruiken of u kunt de voorwaardeeditor gebruiken.

1. Open in Azure Portal de pagina Toegangsbeheer (IAM) voor de roltoewijzing met een voorwaarde die u wilt weergeven, bewerken of verwijderen.

2. Selecteer het tabblad Roltoewijzingen en zoek de roltoewijzing.

3. Selecteer Weergave/bewerken in de kolom Voorwaarde.

   Als u de koppeling Weergeven/bewerken niet ziet, controleert u of u hetzelfde bereik bekijkt als de roltoewijzing.

   

   De pagina Roltoewijzingsvoorwaarde toevoegen wordt weergegeven. Deze pagina ziet er anders uit, afhankelijk van of de voorwaarde overeenkomt met een bestaande sjabloon.

4. Als de voorwaarde overeenkomt met een bestaande sjabloon, selecteert u Configureren om de voorwaarde te bewerken.

   

5. Als de voorwaarde niet overeenkomt met een bestaande sjabloon, gebruikt u de editor voor geavanceerde voorwaarden om de voorwaarde te bewerken.

   Als u bijvoorbeeld een voorwaarde wilt bewerken, schuift u omlaag naar de sectie buildexpressie en werkt u de kenmerken, operator of waarden bij.

   

   Als u de voorwaarde rechtstreeks wilt bewerken, selecteert u het type code-editor en bewerkt u de code voor de voorwaarde.

   

6. Wanneer u klaar bent, klikt u op Opslaan om de voorwaarde bij te werken.

Volgende stappen

• Azure-toegangsbeheer delegeren aan anderen
• Autorisatieacties en -kenmerken