Compartilhar via

Usar políticas de gerenciamento de funções para gerenciar regras para cada função em cada recurso

  • Artigo

As Políticas de Gerenciamento de Funções ajudam você a controlar as regras para qualquer solicitação de qualificação de função ou solicitação de atribuição de função. Por exemplo, você pode definir a duração máxima para a qual uma atribuição pode estar ativa ou até mesmo permitir a atribuição permanente. Você pode atualizar as configurações de notificação para cada atribuição. Você também pode definir aprovadores para cada ativação de função.

Listar políticas de gerenciamento de função para um recurso

Para listar políticas de gerenciamento de funções, você pode usar Políticas de Gerenciamento de Funções – Listar para API REST de Escopo. Para refinar seus resultados, especifique um escopo e um filtro opcional. Para chamar essa API, é necessário ter acesso à operação Microsoft.Authorization/roleAssignments/read no escopo especificado. Todas as funções internas recebem acesso a essa operação.

Importante

Você não precisa Criar políticas de gerenciamento de função, pois cada função dentro de cada recurso tem uma política padrão

  1. Comece com a solicitação a seguir:

    GET https://management.azure.com/{scope}/providers/Microsoft.Authorization/roleManagementPolicies?api-version=2020-10-01&$filter={filter}

  2. No URI, substitua {scope} pelo escopo para o qual você deseja listar as políticas de gerenciamento de função.

    Escopo Tipo
    providers/Microsoft.Management/managementGroups/{mg-name} Grupo de gerenciamento
    subscriptions/{subscriptionId} Subscription
    subscriptions/{subscriptionId}/resourceGroups/myresourcegroup1 Resource group
    subscriptions/{subscriptionId}/resourceGroups/myresourcegroup1/providers/Microsoft.Web/sites/mysite1 Recurso

  3. Substitua {filter} pela condição que você deseja aplicar a fim de filtrar a lista de atribuições de função.

    Filtrar Descrição
    $filter=roleDefinitionId%20eq%20'{scope}/providers/Microsoft.Authorization/roleDefinitions/{roleDefinitionId}' Listar a política de gerenciamento de função para uma definição de função especificada dentro do escopo do recurso.

Atualizar uma política de gerenciamento de funções

  1. Escolha as regras que você deseja atualizar. Estes são os tipos de regra –

    Tipo de regra Descrição
    RoleManagementPolicyEnablementRule Habilitar mfa, justificativa em atribuições ou informações de tíquete
    RoleManagementPolicyExpirationRule Especificar a duração máxima de uma atribuição ou ativação de função
    RoleManagementPolicyNotificationRule Definir configurações de notificação por email para atribuições, ativações e aprovações
    RoleManagementPolicyApprovalRule Definir configurações de aprovação para uma ativação de função
    RoleManagementPolicyAuthenticationContextRule Configurar a regra do ACRS para a Política de Acesso Condicional

  2. Envie a seguinte solicitação:

    PATCH https://management.azure.com/{scope}/providers/Microsoft.Authorization/roleManagementPolicies/{roleManagementPolicyId}?api-version=2020-10-01

    {
  "properties": {
    "rules": [
      {
        "isExpirationRequired": false,
        "maximumDuration": "P180D",
        "id": "Expiration_Admin_Eligibility",
        "ruleType": "RoleManagementPolicyExpirationRule",
        "target": {
          "caller": "Admin",
          "operations": [
            "All"
          ],
          "level": "Eligibility",
          "targetObjects": null,
          "inheritableSettings": null,
          "enforcedSettings": null
        }
      },
      {
        "notificationType": "Email",
        "recipientType": "Admin",
        "isDefaultRecipientsEnabled": false,
        "notificationLevel": "Critical",
        "notificationRecipients": [
          "admin_admin_eligible@test.com"
        ],
        "id": "Notification_Admin_Admin_Eligibility",
        "ruleType": "RoleManagementPolicyNotificationRule",
        "target": {
          "caller": "Admin",
          "operations": [
            "All"
          ],
          "level": "Eligibility",
          "targetObjects": null,
          "inheritableSettings": null,
          "enforcedSettings": null
        }
      },
      {
        "enabledRules": [
          "Justification",
          "MultiFactorAuthentication",
          "Ticketing"
        ],
        "id": "Enablement_EndUser_Assignment",
        "ruleType": "RoleManagementPolicyEnablementRule",
        "target": {
          "caller": "EndUser",
          "operations": [
            "All"
          ],
          "level": "Assignment",
          "targetObjects": null,
          "inheritableSettings": null,
          "enforcedSettings": null
        }
      },
      {
        "setting": {
          "isApprovalRequired": true,
          "isApprovalRequiredForExtension": false,
          "isRequestorJustificationRequired": true,
          "approvalMode": "SingleStage",
          "approvalStages": [
            {
              "approvalStageTimeOutInDays": 1,
              "isApproverJustificationRequired": true,
              "escalationTimeInMinutes": 0,
              "primaryApprovers": [
                {
                  "id": "2385b0f3-5fa9-43cf-8ca4-b01dc97298cd",
                  "description": "amansw_new_group",
                  "isBackup": false,
                  "userType": "Group"
                }
              ],
              "isEscalationEnabled": false,
              "escalationApprovers": null
            }
          ]
        },
        "id": "Approval_EndUser_Assignment",
        "ruleType": "RoleManagementPolicyApprovalRule",
        "target": {
          "caller": "EndUser",
          "operations": [
            "All"
          ],
          "level": "Assignment",
          "targetObjects": null,
          "inheritableSettings": null,
          "enforcedSettings": null
        }
      }
    ]
  }
}