Przypisywanie ról platformy Azure przy użyciu witryny Azure Portal

Kontrola dostępu oparta na rolach (RBAC) platformy Azure to system autoryzacji używany do zarządzania dostępem do zasobów platformy Azure. Aby udzielić dostępu, należy przypisać role do użytkowników, grup, jednostek usług lub tożsamości zarządzanych w określonym zakresie. W tym artykule opisano sposób przypisywania ról przy użyciu witryny Azure Portal.

Jeśli chcesz przypisać role administratora w usłudze Microsoft Entra ID, zobacz Przypisywanie ról Microsoft Entra do użytkowników.

Wymagania wstępne

Aby przypisać role platformy Azure, musisz mieć:

• Microsoft.Authorization/roleAssignments/writeuprawnienia, takie jak administrator kontroli dostępu opartej na rolach lub administrator dostępu użytkowników

Krok 1. Identyfikowanie wymaganego zakresu

Podczas przypisywania ról należy określić zakres. Zakres to zestaw zasobów, którego dotyczy dostęp. Na platformie Azure można określić zakres na czterech poziomach od szerokiego do wąskiego: grupy zarządzania, subskrypcji, grupy zasobów i zasobu. Więcej informacji, zobacz Interpretacja zakresu.

1. Zaloguj się w witrynie Azure Portal.

2. W polu Wyszukaj u góry wyszukaj zakres, do którego chcesz udzielić dostępu. Na przykład wyszukaj grupy zarządzania, subskrypcje, grupy zasobów lub konkretny zasób.

3. Kliknij konkretny zasób dla tego zakresu.

   Poniżej przedstawiono przykładową grupę zasobów.

   

Krok 2. Otwieranie strony Dodawanie przypisania roli

Kontrola dostępu (IAM) to strona, która jest zwykle używana do przypisywania ról w celu udzielenia dostępu do zasobów platformy Azure. Jest ona również znana jako zarządzanie tożsamościami i dostępem (IAM) i jest wyświetlana w kilku lokalizacjach w witrynie Azure Portal.

1. Kliknij pozycję Kontrola dostępu (IAM).

   Poniżej przedstawiono przykład strony Kontrola dostępu (IAM) dla grupy zasobów.

   

2. Kliknij kartę Przypisania ról, aby wyświetlić przypisania ról w tym zakresie.

3. Kliknij pozycję Dodaj>przypisanie roli.

   Jeśli nie masz uprawnień do przypisywania ról, opcja Dodaj przypisanie roli będzie wyłączona.

   

   Zostanie otworzona strona Dodawanie przypisania roli.

Krok 3. Wybieranie odpowiedniej roli

Aby wybrać rolę, wykonaj następujące kroki:

1. Na karcie Rola wybierz rolę, której chcesz używać.

   Rolę można wyszukać według nazwy lub opisu. Role można również filtrować według typu i kategorii.

   

2. Jeśli chcesz przypisać uprzywilejowaną rolę administratora, wybierz kartę Uprzywilejowane role administratora, aby wybrać tę rolę.

   Aby uzyskać najlepsze rozwiązania dotyczące używania przypisań ról administratora uprzywilejowanego, zobacz Najlepsze rozwiązania dotyczące kontroli dostępu opartej na rolach platformy Azure.

   

3. W kolumnie Szczegóły kliknij pozycję Widok , aby uzyskać więcej szczegółów na temat roli.

   

4. Kliknij przycisk Dalej.

Krok 4. Wybierz, kto potrzebuje dostępu

Aby wybrać, kto potrzebuje dostępu, wykonaj następujące kroki:

1. Na karcie Członkowie wybierz pozycję Użytkownik, grupa lub jednostka usługi, aby przypisać wybraną rolę do użytkownika, grupy lub jednostki usługi (aplikacji) usługi Microsoft Entra.

   

2. Kliknij pozycję Wybierz członków.

3. Znajdź i wybierz użytkowników, grupy lub jednostki usługi.

   Możesz skorzystać z pola Wybierz, aby wyszukać w katalogu nazwę wyświetlaną lub adres e-mail.

   

4. Kliknij pozycję Wybierz , aby dodać użytkowników, grupy lub jednostki usługi do listy Członkowie.

5. Aby przypisać wybraną rolę do przynajmniej jednej tożsamości zarządzanej, wybierz pozycję Tożsamość zarządzana.

6. Kliknij pozycję Wybierz członków.

7. W okienku Wybieranie tożsamości zarządzanej wybierz typ: tożsamość zarządzana przypisana przez użytkownika lub tożsamość zarządzana przypisana przez system.

8. Znajdź i wybierz tożsamości zarządzane.

   W przypadku tożsamości zarządzanych przypisanych przez system możesz wybrać tożsamości zarządzane według wystąpienia usługi platformy Azure.

   

9. Kliknij pozycję Wybierz , aby dodać tożsamości zarządzane do listy Członkowie.

10. W polu Opis wprowadź opcjonalny opis tego przypisania roli.

    Później możesz pokazać ten opis na liście przypisań ról.

11. Kliknij przycisk Dalej.

Krok 5. (Opcjonalnie) Dodawanie warunku

Jeśli wybrano rolę, która obsługuje warunki, zostanie wyświetlona karta Warunki i będzie dostępna opcja dodania warunku do przypisania roli. Warunek to dodatkowy element kontroli, który można opcjonalnie dodać do przypisania roli w celu zapewnienia bardziej precyzyjnej kontroli dostępu.

Karta Warunki będzie wyglądać inaczej w zależności od wybranej roli.

Warunek delegata

Jeśli wybrano jedną z następujących ról uprzywilejowanych, wykonaj kroki opisane w tej sekcji.

• Właściciel
• Administrator kontroli dostępu opartej na rolach
• Administrator dostępu użytkowników

1. Na karcie Warunki w obszarze Co użytkownik może zrobić, wybierz opcję Zezwalaj użytkownikowi na przypisywanie wybranych ról tylko do wybranych podmiotów zabezpieczeń (mniej uprawnień).

   

2. Kliknij pozycję Wybierz role i podmioty zabezpieczeń, aby dodać warunek ograniczający role i podmioty zabezpieczeń, do których ten użytkownik może przypisać role.

3. Wykonaj kroki opisane w artykule Delegowanie zarządzania przypisaniem ról platformy Azure do innych osób z warunkami.

Warunek magazynu

Jeśli wybrano jedną z następujących ról magazynu, wykonaj kroki opisane w tej sekcji.

• Współautor danych obiektu blob usługi Storage
• Właściciel danych obiektu blob usługi Storage
• Czytelnik danych obiektu blob usługi Storage
• Współautor danych kolejki usługi Storage
• Procesor komunikatów kolejki usługi Storage
• Nadawca komunikatu o danych kolejki usługi Storage
• Czytelnik danych kolejki usługi Storage

1. Kliknij przycisk Dodaj warunek , jeśli chcesz jeszcze bardziej uściślić przypisania ról na podstawie atrybutów magazynu.

   

2. Wykonaj kroki opisane w temacie Dodawanie lub edytowanie warunków przypisywania ról platformy Azure.

Krok 6. Wybieranie typu przypisania

Jeśli masz licencję Microsoft Entra ID P2 lub Zarządzanie tożsamością Microsoft Entra, zostanie wyświetlona karta Typ przypisania dla zakresów grupy zarządzania, subskrypcji i grupy zasobów. Użyj kwalifikujących się przypisań, aby zapewnić dostęp just in time do roli. Użytkownicy z kwalifikującymi się przypisaniami i/lub powiązanymi czasami muszą mieć ważną licencję.

Jeśli nie chcesz używać funkcji PIM, wybierz opcje Aktywny typ przypisania i Czas trwania przypisania stałego. Te ustawienia tworzą przypisanie roli, w którym podmiot zabezpieczeń zawsze ma uprawnienia w roli.

Ta funkcja jest wdrażana na etapach, więc może nie być jeszcze dostępna w dzierżawie lub interfejs może wyglądać inaczej. Aby uzyskać więcej informacji, zobacz Kwalifikowane i powiązane czasowo przypisania ról w kontroli dostępu opartej na rolach platformy Azure.

1. Na karcie Typ przypisania wybierz typ przypisania.

   • Kwalifikujące się — użytkownik musi wykonać co najmniej jedną akcję, aby użyć roli, na przykład przeprowadzić sprawdzanie uwierzytelniania wieloskładnikowego, podać uzasadnienie biznesowe lub zażądać zatwierdzenia od wyznaczonych osób zatwierdzających. Nie można tworzyć kwalifikujących się przypisań ról dla aplikacji, jednostek usługi ani tożsamości zarządzanych, ponieważ nie mogą wykonać kroków aktywacji.
   • Aktywne — użytkownik nie musi wykonywać żadnej akcji, aby użyć roli.

   

2. W zależności od ustawień w obszarze Czas trwania przypisania wybierz pozycję Stałe lub Limit czasu.

   Wybierz trwałe, jeśli chcesz, aby członek zawsze mógł aktywować lub używać roli. Wybierz pozycję Godzina powiązana, aby określić daty rozpoczęcia i zakończenia. Ta opcja może być wyłączona, jeśli tworzenie przypisań stałych nie jest dozwolone przez zasady usługi PIM.

3. Jeśli jest zaznaczona granica czasu, ustaw datę i godzinę rozpoczęcia oraz datę i godzinę rozpoczęcia, aby określić, kiedy użytkownik może aktywować lub używać roli.

   Można ustawić datę rozpoczęcia w przyszłości. Maksymalny dozwolony czas trwania kwalifikujących się zależy od zasad usługi Privileged Identity Management (PIM).

4. (Opcjonalnie) Skonfiguruj zasady usługi PIM, aby skonfigurować opcje wygasania, wymagania dotyczące aktywacji roli (zatwierdzenie, uwierzytelnianie wieloskładnikowe lub kontekst uwierzytelniania dostępu warunkowego) i inne ustawienia.

   Po wybraniu linku Aktualizuj zasady PIM zostanie wyświetlona strona PIM. Wybierz pozycję Ustawienia , aby skonfigurować zasady PIM dla ról. Aby uzyskać więcej informacji, zobacz Konfigurowanie ustawień roli zasobów platformy Azure w usłudze Privileged Identity Management.

5. Kliknij przycisk Dalej.

Krok 7. Przypisywanie roli

Wykonaj te kroki:

1. Na karcie Przejrzyj i przypisz przejrzyj ustawienia przypisania roli.

   

2. Kliknij pozycję Przejrzyj i przypisz , aby przypisać rolę.

   Po kilku chwilach podmiotowi zabezpieczeń zostanie przypisana rola w wybranym zakresie.

   

3. Jeśli nie widzisz opisu przypisania roli, kliknij pozycję Edytuj kolumny , aby dodać kolumnę Opis .

Edytuj przypisanie

Jeśli masz licencję microsoft Entra ID P2 lub Zarządzanie tożsamością Microsoft Entra, możesz edytować ustawienia typu przypisania roli. Aby uzyskać więcej informacji, zobacz Kwalifikowane i powiązane czasowo przypisania ról w kontroli dostępu opartej na rolach platformy Azure.

1. Na stronie Kontrola dostępu (Zarządzanie dostępem i tożsamościami) kliknij kartę Przypisania ról, aby wyświetlić przypisania ról w tym zakresie.

2. Znajdź przypisanie roli, które chcesz edytować.

3. W kolumnie State (Stan) kliknij link, taki jak Kwalifikujące się ograniczenie czasowe lub Aktywne trwałe.

   Zostanie wyświetlone okienko Edytowanie przypisania , w którym można zaktualizować ustawienia typu przypisania roli. Otwarcie okienka może potrwać kilka minut.

   

4. Po skończeniu kliknij przycisk Zapisz.

   Przetwarzanie i odzwierciedlinie aktualizacji w portalu może zająć trochę czasu.

Powiązana zawartość

• Przypisywanie użytkownika jako administratora subskrypcji platformy Azure
• Usuwanie przypisań ról platformy Azure
• Rozwiązywanie problemów z kontrolą dostępu na podstawie ról platformy Azure

Kontrola dostępu oparta na rolach (RBAC) platformy Azure to system autoryzacji używany do zarządzania dostępem do zasobów platformy Azure. Aby udzielić dostępu, należy przypisać role do użytkowników, grup, jednostek usług lub tożsamości zarządzanych w określonym zakresie. W tym artykule opisano sposób przypisywania ról przy użyciu witryny Azure Portal.

Jeśli chcesz przypisać role administratora w usłudze Microsoft Entra ID, zobacz Przypisywanie ról Microsoft Entra do użytkowników.

Aby przypisać role platformy Azure, musisz mieć:

• Microsoft.Authorization/roleAssignments/writeuprawnienia, takie jak administrator kontroli dostępu opartej na rolach lub administrator dostępu użytkowników

Podczas przypisywania ról należy określić zakres. Zakres to zestaw zasobów, którego dotyczy dostęp. Na platformie Azure można określić zakres na czterech poziomach od szerokiego do wąskiego: grupy zarządzania, subskrypcji, grupy zasobów i zasobu. Więcej informacji, zobacz Interpretacja zakresu.

1. Zaloguj się w witrynie Azure Portal.

2. W polu Wyszukaj u góry wyszukaj zakres, do którego chcesz udzielić dostępu. Na przykład wyszukaj grupy zarządzania, subskrypcje, grupy zasobów lub konkretny zasób.

3. Kliknij konkretny zasób dla tego zakresu.

   Poniżej przedstawiono przykładową grupę zasobów.

   

Kontrola dostępu (IAM) to strona, która jest zwykle używana do przypisywania ról w celu udzielenia dostępu do zasobów platformy Azure. Jest ona również znana jako zarządzanie tożsamościami i dostępem (IAM) i jest wyświetlana w kilku lokalizacjach w witrynie Azure Portal.

1. Kliknij pozycję Kontrola dostępu (IAM).

   Poniżej przedstawiono przykład strony Kontrola dostępu (IAM) dla grupy zasobów.

   

2. Kliknij kartę Przypisania ról, aby wyświetlić przypisania ról w tym zakresie.

3. Kliknij pozycję Dodaj>przypisanie roli.

   Jeśli nie masz uprawnień do przypisywania ról, opcja Dodaj przypisanie roli będzie wyłączona.

   

   Zostanie otworzona strona Dodawanie przypisania roli.

Aby wybrać rolę, wykonaj następujące kroki:

1. Na karcie Rola wybierz rolę, której chcesz używać.

   Rolę można wyszukać według nazwy lub opisu. Role można również filtrować według typu i kategorii.

   

2. Jeśli chcesz przypisać uprzywilejowaną rolę administratora, wybierz kartę Uprzywilejowane role administratora, aby wybrać tę rolę.

   Aby uzyskać najlepsze rozwiązania dotyczące używania przypisań ról administratora uprzywilejowanego, zobacz Najlepsze rozwiązania dotyczące kontroli dostępu opartej na rolach platformy Azure.

   

3. W kolumnie Szczegóły kliknij pozycję Widok , aby uzyskać więcej szczegółów na temat roli.

   

4. Kliknij przycisk Dalej.

Aby wybrać, kto potrzebuje dostępu, wykonaj następujące kroki:

1. Na karcie Członkowie wybierz pozycję Użytkownik, grupa lub jednostka usługi, aby przypisać wybraną rolę do użytkownika, grupy lub jednostki usługi (aplikacji) usługi Microsoft Entra.

   

2. Kliknij pozycję Wybierz członków.

3. Znajdź i wybierz użytkowników, grupy lub jednostki usługi.

   Możesz skorzystać z pola Wybierz, aby wyszukać w katalogu nazwę wyświetlaną lub adres e-mail.

   

4. Kliknij pozycję Wybierz , aby dodać użytkowników, grupy lub jednostki usługi do listy Członkowie.

5. Aby przypisać wybraną rolę do przynajmniej jednej tożsamości zarządzanej, wybierz pozycję Tożsamość zarządzana.

6. Kliknij pozycję Wybierz członków.

7. W okienku Wybieranie tożsamości zarządzanej wybierz typ: tożsamość zarządzana przypisana przez użytkownika lub tożsamość zarządzana przypisana przez system.

8. Znajdź i wybierz tożsamości zarządzane.

   W przypadku tożsamości zarządzanych przypisanych przez system możesz wybrać tożsamości zarządzane według wystąpienia usługi platformy Azure.

   

9. Kliknij pozycję Wybierz , aby dodać tożsamości zarządzane do listy Członkowie.

10. W polu Opis wprowadź opcjonalny opis tego przypisania roli.

    Później możesz pokazać ten opis na liście przypisań ról.

11. Kliknij przycisk Dalej.

Jeśli wybrano rolę, która obsługuje warunki, zostanie wyświetlona karta Warunki i będzie dostępna opcja dodania warunku do przypisania roli. Warunek to dodatkowy element kontroli, który można opcjonalnie dodać do przypisania roli w celu zapewnienia bardziej precyzyjnej kontroli dostępu.

Karta Warunki będzie wyglądać inaczej w zależności od wybranej roli.

Warunek delegata

Jeśli wybrano jedną z następujących ról uprzywilejowanych, wykonaj kroki opisane w tej sekcji.

• Właściciel
• Administrator kontroli dostępu opartej na rolach
• Administrator dostępu użytkowników

1. Na karcie Warunki w obszarze Co użytkownik może zrobić, wybierz opcję Zezwalaj użytkownikowi na przypisywanie wybranych ról tylko do wybranych podmiotów zabezpieczeń (mniej uprawnień).

   

2. Kliknij pozycję Wybierz role i podmioty zabezpieczeń, aby dodać warunek ograniczający role i podmioty zabezpieczeń, do których ten użytkownik może przypisać role.

3. Wykonaj kroki opisane w artykule Delegowanie zarządzania przypisaniem ról platformy Azure do innych osób z warunkami.

Warunek magazynu

Jeśli wybrano jedną z następujących ról magazynu, wykonaj kroki opisane w tej sekcji.

• Współautor danych obiektu blob usługi Storage
• Właściciel danych obiektu blob usługi Storage
• Czytelnik danych obiektu blob usługi Storage
• Współautor danych kolejki usługi Storage
• Procesor komunikatów kolejki usługi Storage
• Nadawca komunikatu o danych kolejki usługi Storage
• Czytelnik danych kolejki usługi Storage

1. Kliknij przycisk Dodaj warunek , jeśli chcesz jeszcze bardziej uściślić przypisania ról na podstawie atrybutów magazynu.

   

2. Wykonaj kroki opisane w temacie Dodawanie lub edytowanie warunków przypisywania ról platformy Azure.

Jeśli masz licencję Microsoft Entra ID P2 lub Zarządzanie tożsamością Microsoft Entra, zostanie wyświetlona karta Typ przypisania dla zakresów grupy zarządzania, subskrypcji i grupy zasobów. Użyj kwalifikujących się przypisań, aby zapewnić dostęp just in time do roli. Użytkownicy z kwalifikującymi się przypisaniami i/lub powiązanymi czasami muszą mieć ważną licencję.

Jeśli nie chcesz używać funkcji PIM, wybierz opcje Aktywny typ przypisania i Czas trwania przypisania stałego. Te ustawienia tworzą przypisanie roli, w którym podmiot zabezpieczeń zawsze ma uprawnienia w roli.

Ta funkcja jest wdrażana na etapach, więc może nie być jeszcze dostępna w dzierżawie lub interfejs może wyglądać inaczej. Aby uzyskać więcej informacji, zobacz Kwalifikowane i powiązane czasowo przypisania ról w kontroli dostępu opartej na rolach platformy Azure.

1. Na karcie Typ przypisania wybierz typ przypisania.

   • Kwalifikujące się — użytkownik musi wykonać co najmniej jedną akcję, aby użyć roli, na przykład przeprowadzić sprawdzanie uwierzytelniania wieloskładnikowego, podać uzasadnienie biznesowe lub zażądać zatwierdzenia od wyznaczonych osób zatwierdzających. Nie można tworzyć kwalifikujących się przypisań ról dla aplikacji, jednostek usługi ani tożsamości zarządzanych, ponieważ nie mogą wykonać kroków aktywacji.
   • Aktywne — użytkownik nie musi wykonywać żadnej akcji, aby użyć roli.

   

2. W zależności od ustawień w obszarze Czas trwania przypisania wybierz pozycję Stałe lub Limit czasu.

   Wybierz trwałe, jeśli chcesz, aby członek zawsze mógł aktywować lub używać roli. Wybierz pozycję Godzina powiązana, aby określić daty rozpoczęcia i zakończenia. Ta opcja może być wyłączona, jeśli tworzenie przypisań stałych nie jest dozwolone przez zasady usługi PIM.

3. Jeśli jest zaznaczona granica czasu, ustaw datę i godzinę rozpoczęcia oraz datę i godzinę rozpoczęcia, aby określić, kiedy użytkownik może aktywować lub używać roli.

   Można ustawić datę rozpoczęcia w przyszłości. Maksymalny dozwolony czas trwania kwalifikujących się zależy od zasad usługi Privileged Identity Management (PIM).

4. (Opcjonalnie) Skonfiguruj zasady usługi PIM, aby skonfigurować opcje wygasania, wymagania dotyczące aktywacji roli (zatwierdzenie, uwierzytelnianie wieloskładnikowe lub kontekst uwierzytelniania dostępu warunkowego) i inne ustawienia.

   Po wybraniu linku Aktualizuj zasady PIM zostanie wyświetlona strona PIM. Wybierz pozycję Ustawienia , aby skonfigurować zasady PIM dla ról. Aby uzyskać więcej informacji, zobacz Konfigurowanie ustawień roli zasobów platformy Azure w usłudze Privileged Identity Management.

5. Kliknij przycisk Dalej.

Wykonaj te kroki:

1. Na karcie Przejrzyj i przypisz przejrzyj ustawienia przypisania roli.

   

2. Kliknij pozycję Przejrzyj i przypisz , aby przypisać rolę.

   Po kilku chwilach podmiotowi zabezpieczeń zostanie przypisana rola w wybranym zakresie.

   

3. Jeśli nie widzisz opisu przypisania roli, kliknij pozycję Edytuj kolumny , aby dodać kolumnę Opis .

Jeśli masz licencję microsoft Entra ID P2 lub Zarządzanie tożsamością Microsoft Entra, możesz edytować ustawienia typu przypisania roli. Aby uzyskać więcej informacji, zobacz Kwalifikowane i powiązane czasowo przypisania ról w kontroli dostępu opartej na rolach platformy Azure.

1. Na stronie Kontrola dostępu (Zarządzanie dostępem i tożsamościami) kliknij kartę Przypisania ról, aby wyświetlić przypisania ról w tym zakresie.

2. Znajdź przypisanie roli, które chcesz edytować.

3. W kolumnie State (Stan) kliknij link, taki jak Kwalifikujące się ograniczenie czasowe lub Aktywne trwałe.

   Zostanie wyświetlone okienko Edytowanie przypisania , w którym można zaktualizować ustawienia typu przypisania roli. Otwarcie okienka może potrwać kilka minut.

   

4. Po skończeniu kliknij przycisk Zapisz.

   Przetwarzanie i odzwierciedlinie aktualizacji w portalu może zająć trochę czasu.