Beleid voor rolbeheer gebruiken om regels voor elke rol binnen elke resource te beheren

Met beleidsregels voor rolbeheer kunt u de regels beheren voor elke aanvraag om in aanmerking te komen voor rollen of roltoewijzingsaanvragen. U kunt bijvoorbeeld de maximale duur instellen waarvoor een opdracht actief mag zijn, of u kunt zelfs permanente toewijzing toestaan. U kunt de meldingsinstellingen voor elke toewijzing bijwerken. U kunt ook fiatteurs instellen voor elke rolactivering.

Beleid voor rolbeheer voor een resource weergeven

Als u beleid voor rolbeheer wilt weergeven, kunt u Beleid voor rolbeheer - Lijst voor bereik-REST API gebruiken. Als u de resultaten wilt verfijnen, geeft u een bereik en een optioneel filter op. Als u de API wilt aanroepen, moet u toegang hebben tot de Microsoft.Authorization/roleAssignments/read bewerking binnen het opgegeven bereik. Alle ingebouwde rollen krijgen toegang tot deze bewerking.

Belangrijk

U hoeft geen beleid voor rolbeheer te maken omdat elke rol in elke resource een standaardbeleid heeft

1. Begin met de volgende aanvraag:

   GET https://management.azure.com/{scope}/providers/Microsoft.Authorization/roleManagementPolicies?api-version=2020-10-01&$filter={filter}
   

2. Vervang binnen de URI {scope} door het bereik waarvoor u het beleid voor rolbeheer wilt weergeven.

   Bereik	Type
   providers/Microsoft.Management/managementGroups/{mg-name}	Beheergroep
   subscriptions/{subscriptionId}	Abonnement
   subscriptions/{subscriptionId}/resourceGroups/myresourcegroup1	Resourcegroep
   subscriptions/{subscriptionId}/resourceGroups/myresourcegroup1/providers/Microsoft.Web/sites/mysite1	Resource

3. Vervang {filter} door de voorwaarde die u wilt toepassen om de lijst met roltoewijzingen te filteren.

   Filter	Beschrijving
   $filter=roleDefinitionId%20eq%20'{scope}/providers/Microsoft.Authorization/roleDefinitions/{roleDefinitionId}'	Beleid voor rolbeheer weergeven voor een opgegeven roldefinitie binnen het resourcebereik.

Een rolbeheerbeleid bijwerken

1. Kies de regel(en) die u wilt bijwerken. Dit zijn de typen regels -

   Regeltype	Beschrijving
   RoleManagementPolicyEnablementRule	MFA, reden voor toewijzingen of ticketinformatie inschakelen
   RoleManagementPolicyExpirationRule	De maximale duur van een roltoewijzing of activering opgeven
   RoleManagementPolicyNotificationRule	Instellingen voor e-mailmeldingen configureren voor toewijzingen, activeringen en goedkeuringen
   RoleManagementPolicyApprovalRule	Goedkeuringsinstellingen configureren voor een rolactivering
   RoleManagementPolicyAuthenticationContextRule	De ACRS-regel configureren voor beleid voor voorwaardelijke toegang

2. Gebruik de volgende aanvraag:

   PATCH https://management.azure.com/{scope}/providers/Microsoft.Authorization/roleManagementPolicies/{roleManagementPolicyId}?api-version=2020-10-01
   

   {
     "properties": {
       "rules": [
         {
           "isExpirationRequired": false,
           "maximumDuration": "P180D",
           "id": "Expiration_Admin_Eligibility",
           "ruleType": "RoleManagementPolicyExpirationRule",
           "target": {
             "caller": "Admin",
             "operations": [
               "All"
             ],
             "level": "Eligibility",
             "targetObjects": null,
             "inheritableSettings": null,
             "enforcedSettings": null
           }
         },
         {
           "notificationType": "Email",
           "recipientType": "Admin",
           "isDefaultRecipientsEnabled": false,
           "notificationLevel": "Critical",
           "notificationRecipients": [
             "admin_admin_eligible@test.com"
           ],
           "id": "Notification_Admin_Admin_Eligibility",
           "ruleType": "RoleManagementPolicyNotificationRule",
           "target": {
             "caller": "Admin",
             "operations": [
               "All"
             ],
             "level": "Eligibility",
             "targetObjects": null,
             "inheritableSettings": null,
             "enforcedSettings": null
           }
         },
         {
           "enabledRules": [
             "Justification",
             "MultiFactorAuthentication",
             "Ticketing"
           ],
           "id": "Enablement_EndUser_Assignment",
           "ruleType": "RoleManagementPolicyEnablementRule",
           "target": {
             "caller": "EndUser",
             "operations": [
               "All"
             ],
             "level": "Assignment",
             "targetObjects": null,
             "inheritableSettings": null,
             "enforcedSettings": null
           }
         },
         {
           "setting": {
             "isApprovalRequired": true,
             "isApprovalRequiredForExtension": false,
             "isRequestorJustificationRequired": true,
             "approvalMode": "SingleStage",
             "approvalStages": [
               {
                 "approvalStageTimeOutInDays": 1,
                 "isApproverJustificationRequired": true,
                 "escalationTimeInMinutes": 0,
                 "primaryApprovers": [
                   {
                     "id": "2385b0f3-5fa9-43cf-8ca4-b01dc97298cd",
                     "description": "amansw_new_group",
                     "isBackup": false,
                     "userType": "Group"
                   }
                 ],
                 "isEscalationEnabled": false,
                 "escalationApprovers": null
               }
             ]
           },
           "id": "Approval_EndUser_Assignment",
           "ruleType": "RoleManagementPolicyApprovalRule",
           "target": {
             "caller": "EndUser",
             "operations": [
               "All"
             ],
             "level": "Assignment",
             "targetObjects": null,
             "inheritableSettings": null,
             "enforcedSettings": null
           }
         }
       ]
     }
   }