Här är inställningarna för att lägga till det här villkoret med hjälp av Azure-portalen och villkorsredigeraren.
Observera att du måste lägga till två villkor för att kunna rikta in dig på åtgärder för att lägga till och ta bort rolltilldelning. Du måste lägga till två villkor eftersom attributkällan är olika för varje åtgärd. Om du försöker rikta in dig på båda åtgärderna i samma villkor kan du inte lägga till ett uttryck. Mer information finns i Symptom – Inga tillgängliga alternativ fel.
Med det här villkoret kan ett ombud endast lägga till eller ta bort rolltilldelningar för rollerna Säkerhetskopieringsdeltagare eller Säkerhetskopieringsläsare . Ombudet kan också bara tilldela dessa roller till huvudnamn av typen användare eller grupp.
Du måste lägga till det här villkoret i alla rolltilldelningar för ombudet som innehåller följande åtgärder.
Här är inställningarna för att lägga till det här villkoret med hjälp av Azure-portalen och villkorsredigeraren.
Observera att du måste lägga till två villkor för att kunna rikta in dig på åtgärder för att lägga till och ta bort rolltilldelning. Du måste lägga till två villkor eftersom attributkällan är olika för varje åtgärd. Om du försöker rikta in dig på båda åtgärderna i samma villkor kan du inte lägga till ett uttryck. Mer information finns i Symptom – Inga tillgängliga alternativ fel.
(
(
!(ActionMatches{'Microsoft.Authorization/roleAssignments/write'})
)
OR
(
@Request[Microsoft.Authorization/roleAssignments:RoleDefinitionId] ForAnyOfAnyValues:GuidEquals {5e467623-bb1f-42f4-a55d-6e525e11384b, a795c7a0-d4a2-40c1-ae25-d81f01202912}
AND
@Request[Microsoft.Authorization/roleAssignments:PrincipalType] ForAnyOfAnyValues:StringEqualsIgnoreCase {'User', 'Group'}
)
)
AND
(
(
!(ActionMatches{'Microsoft.Authorization/roleAssignments/delete'})
)
OR
(
@Resource[Microsoft.Authorization/roleAssignments:RoleDefinitionId] ForAnyOfAnyValues:GuidEquals {5e467623-bb1f-42f4-a55d-6e525e11384b, a795c7a0-d4a2-40c1-ae25-d81f01202912}
AND
@Resource[Microsoft.Authorization/roleAssignments:PrincipalType] ForAnyOfAnyValues:StringEqualsIgnoreCase {'User', 'Group'}
)
)
Så här lägger du till det här villkoret med Hjälp av Azure PowerShell.
$roleDefinitionId = "f58310d9-a9f6-439a-9e8d-f62e7b41a168"
$principalId = "<principalId>"
$scope = "/subscriptions/<subscriptionId>"
$condition = "((!(ActionMatches{'Microsoft.Authorization/roleAssignments/write'})) OR (@Request[Microsoft.Authorization/roleAssignments:RoleDefinitionId] ForAnyOfAnyValues:GuidEquals {5e467623-bb1f-42f4-a55d-6e525e11384b, a795c7a0-d4a2-40c1-ae25-d81f01202912} AND @Request[Microsoft.Authorization/roleAssignments:PrincipalType] ForAnyOfAnyValues:StringEqualsIgnoreCase {'User', 'Group'})) AND ((!(ActionMatches{'Microsoft.Authorization/roleAssignments/delete'})) OR (@Resource[Microsoft.Authorization/roleAssignments:RoleDefinitionId] ForAnyOfAnyValues:GuidEquals {5e467623-bb1f-42f4-a55d-6e525e11384b, a795c7a0-d4a2-40c1-ae25-d81f01202912} AND @Resource[Microsoft.Authorization/roleAssignments:PrincipalType] ForAnyOfAnyValues:StringEqualsIgnoreCase {'User', 'Group'}))"
$conditionVersion = "2.0"
New-AzRoleAssignment -ObjectId $principalId -Scope $scope -RoleDefinitionId $roleDefinitionId -Condition $condition -ConditionVersion $conditionVersion
Exempel: Begränsa roller och specifika grupper
Med det här villkoret kan ett ombud endast lägga till eller ta bort rolltilldelningar för rollerna Säkerhetskopieringsdeltagare eller Säkerhetskopieringsläsare . Ombudet kan också bara tilldela dessa roller till specifika grupper med namnet Marketing (28c35fea-2099-4cf5-8ad9-473547bc9423) eller Sales (86951b8b-723a-407b-a74a-1bca3f0c95d0).
Du måste lägga till det här villkoret i alla rolltilldelningar för ombudet som innehåller följande åtgärder.
Här är inställningarna för att lägga till det här villkoret med hjälp av Azure-portalen och villkorsredigeraren.
Observera att du måste lägga till två villkor för att kunna rikta in dig på åtgärder för att lägga till och ta bort rolltilldelning. Du måste lägga till två villkor eftersom attributkällan är olika för varje åtgärd. Om du försöker rikta in dig på båda åtgärderna i samma villkor kan du inte lägga till ett uttryck. Mer information finns i Symptom – Inga tillgängliga alternativ fel.
(
(
!(ActionMatches{'Microsoft.Authorization/roleAssignments/write'})
)
OR
(
@Request[Microsoft.Authorization/roleAssignments:RoleDefinitionId] ForAnyOfAnyValues:GuidEquals {5e467623-bb1f-42f4-a55d-6e525e11384b, a795c7a0-d4a2-40c1-ae25-d81f01202912}
AND
@Request[Microsoft.Authorization/roleAssignments:PrincipalId] ForAnyOfAnyValues:GuidEquals {28c35fea-2099-4cf5-8ad9-473547bc9423, 86951b8b-723a-407b-a74a-1bca3f0c95d0}
)
)
AND
(
(
!(ActionMatches{'Microsoft.Authorization/roleAssignments/delete'})
)
OR
(
@Resource[Microsoft.Authorization/roleAssignments:RoleDefinitionId] ForAnyOfAnyValues:GuidEquals {5e467623-bb1f-42f4-a55d-6e525e11384b, a795c7a0-d4a2-40c1-ae25-d81f01202912}
AND
@Resource[Microsoft.Authorization/roleAssignments:PrincipalId] ForAnyOfAnyValues:GuidEquals {28c35fea-2099-4cf5-8ad9-473547bc9423, 86951b8b-723a-407b-a74a-1bca3f0c95d0}
)
)
Så här lägger du till det här villkoret med Hjälp av Azure PowerShell.
$roleDefinitionId = "f58310d9-a9f6-439a-9e8d-f62e7b41a168"
$principalId = "<principalId>"
$scope = "/subscriptions/<subscriptionId>"
$condition = "((!(ActionMatches{'Microsoft.Authorization/roleAssignments/write'})) OR (@Request[Microsoft.Authorization/roleAssignments:RoleDefinitionId] ForAnyOfAnyValues:GuidEquals {5e467623-bb1f-42f4-a55d-6e525e11384b, a795c7a0-d4a2-40c1-ae25-d81f01202912} AND @Request[Microsoft.Authorization/roleAssignments:PrincipalId] ForAnyOfAnyValues:GuidEquals {28c35fea-2099-4cf5-8ad9-473547bc9423, 86951b8b-723a-407b-a74a-1bca3f0c95d0})) AND ((!(ActionMatches{'Microsoft.Authorization/roleAssignments/delete'})) OR (@Resource[Microsoft.Authorization/roleAssignments:RoleDefinitionId] ForAnyOfAnyValues:GuidEquals {5e467623-bb1f-42f4-a55d-6e525e11384b, a795c7a0-d4a2-40c1-ae25-d81f01202912} AND @Resource[Microsoft.Authorization/roleAssignments:PrincipalId] ForAnyOfAnyValues:GuidEquals {28c35fea-2099-4cf5-8ad9-473547bc9423, 86951b8b-723a-407b-a74a-1bca3f0c95d0}))"
$conditionVersion = "2.0"
New-AzRoleAssignment -ObjectId $principalId -Scope $scope -RoleDefinitionId $roleDefinitionId -Condition $condition -ConditionVersion $conditionVersion
Exempel: Begränsa hantering av virtuella datorer
Med det här villkoret kan ett ombud endast lägga till eller ta bort rolltilldelningar för inloggningsrollen för virtuell datoradministratör eller användarinloggning för virtuell dator. Ombudet kan också bara tilldela dessa roller till en specifik användare med namnet Dara (ea585310-c95c-4a68-af22-49af4363bbb1).
Det här villkoret är användbart när du vill tillåta att ett ombud tilldelar en inloggningsroll för virtuella datorer till sig själva för en virtuell dator som de just har skapat.
Du måste lägga till det här villkoret i alla rolltilldelningar för ombudet som innehåller följande åtgärder.
Här är inställningarna för att lägga till det här villkoret med hjälp av Azure-portalen och villkorsredigeraren.
Observera att du måste lägga till två villkor för att kunna rikta in dig på åtgärder för att lägga till och ta bort rolltilldelning. Du måste lägga till två villkor eftersom attributkällan är olika för varje åtgärd. Om du försöker rikta in dig på båda åtgärderna i samma villkor kan du inte lägga till ett uttryck. Mer information finns i Symptom – Inga tillgängliga alternativ fel.
(
(
!(ActionMatches{'Microsoft.Authorization/roleAssignments/write'})
)
OR
(
@Request[Microsoft.Authorization/roleAssignments:RoleDefinitionId] ForAnyOfAnyValues:GuidEquals {1c0163c0-47e6-4577-8991-ea5c82e286e4, fb879df8-f326-4884-b1cf-06f3ad86be52}
AND
@Request[Microsoft.Authorization/roleAssignments:PrincipalId] ForAnyOfAnyValues:GuidEquals {ea585310-c95c-4a68-af22-49af4363bbb1}
)
)
AND
(
(
!(ActionMatches{'Microsoft.Authorization/roleAssignments/delete'})
)
OR
(
@Resource[Microsoft.Authorization/roleAssignments:RoleDefinitionId] ForAnyOfAnyValues:GuidEquals {1c0163c0-47e6-4577-8991-ea5c82e286e4, fb879df8-f326-4884-b1cf-06f3ad86be52}
AND
@Resource[Microsoft.Authorization/roleAssignments:PrincipalId] ForAnyOfAnyValues:GuidEquals {ea585310-c95c-4a68-af22-49af4363bbb1}
)
)
Så här lägger du till det här villkoret med Hjälp av Azure PowerShell.
$roleDefinitionId = "f58310d9-a9f6-439a-9e8d-f62e7b41a168"
$principalId = "<principalId>"
$scope = "/subscriptions/<subscriptionId>"
$condition = "((!(ActionMatches{'Microsoft.Authorization/roleAssignments/write'})) OR (@Request[Microsoft.Authorization/roleAssignments:RoleDefinitionId] ForAnyOfAnyValues:GuidEquals {1c0163c0-47e6-4577-8991-ea5c82e286e4, fb879df8-f326-4884-b1cf-06f3ad86be52} AND @Request[Microsoft.Authorization/roleAssignments:PrincipalId] ForAnyOfAnyValues:GuidEquals {ea585310-c95c-4a68-af22-49af4363bbb1})) AND ((!(ActionMatches{'Microsoft.Authorization/roleAssignments/delete'})) OR (@Resource[Microsoft.Authorization/roleAssignments:RoleDefinitionId] ForAnyOfAnyValues:GuidEquals {1c0163c0-47e6-4577-8991-ea5c82e286e4, fb879df8-f326-4884-b1cf-06f3ad86be52} AND @Resource[Microsoft.Authorization/roleAssignments:PrincipalId] ForAnyOfAnyValues:GuidEquals {ea585310-c95c-4a68-af22-49af4363bbb1}))"
$conditionVersion = "2.0"
New-AzRoleAssignment -ObjectId $principalId -Scope $scope -RoleDefinitionId $roleDefinitionId -Condition $condition -ConditionVersion $conditionVersion
Exempel: Begränsa AKS-klusterhantering
Med det här villkoret kan ett ombud endast lägga till eller ta bort rolltilldelningar för RBAC-administratören för Azure Kubernetes Service, RBAC-klusteradministratören för Azure Kubernetes Service, RBAC-administratören för Azure Kubernetes Service, RBAC-skrivarroller för Azure Kubernetes Service. Ombudet kan också bara tilldela dessa roller till en specifik användare med namnet Dara (ea585310-c95c-4a68-af22-49af4363bbb1).
Det här villkoret är användbart när du vill tillåta att ett ombud tilldelar Auktoriseringsroller för Azure Kubernetes Service-kluster (AKS) till sig själva för ett kluster som de just har skapat.
Du måste lägga till det här villkoret i alla rolltilldelningar för ombudet som innehåller följande åtgärder.
Här är inställningarna för att lägga till det här villkoret med hjälp av Azure-portalen och villkorsredigeraren.
Observera att du måste lägga till två villkor för att kunna rikta in dig på åtgärder för att lägga till och ta bort rolltilldelning. Du måste lägga till två villkor eftersom attributkällan är olika för varje åtgärd. Om du försöker rikta in dig på båda åtgärderna i samma villkor kan du inte lägga till ett uttryck. Mer information finns i Symptom – Inga tillgängliga alternativ fel.
(
(
!(ActionMatches{'Microsoft.Authorization/roleAssignments/write'})
)
OR
(
@Request[Microsoft.Authorization/roleAssignments:RoleDefinitionId] ForAnyOfAnyValues:GuidEquals {3498e952-d568-435e-9b2c-8d77e338d7f7, b1ff04bb-8a4e-4dc4-8eb5-8693973ce19b, 7f6c6a51-bcf8-42ba-9220-52d62157d7db, a7ffa36f-339b-4b5c-8bdf-e2c188b2c0eb}
AND
@Request[Microsoft.Authorization/roleAssignments:PrincipalId] ForAnyOfAnyValues:GuidEquals {ea585310-c95c-4a68-af22-49af4363bbb1}
)
)
AND
(
(
!(ActionMatches{'Microsoft.Authorization/roleAssignments/delete'})
)
OR
(
@Resource[Microsoft.Authorization/roleAssignments:RoleDefinitionId] ForAnyOfAnyValues:GuidEquals {3498e952-d568-435e-9b2c-8d77e338d7f7, b1ff04bb-8a4e-4dc4-8eb5-8693973ce19b, 7f6c6a51-bcf8-42ba-9220-52d62157d7db, a7ffa36f-339b-4b5c-8bdf-e2c188b2c0eb}
AND
@Resource[Microsoft.Authorization/roleAssignments:PrincipalId] ForAnyOfAnyValues:GuidEquals {ea585310-c95c-4a68-af22-49af4363bbb1}
)
)
Så här lägger du till det här villkoret med Hjälp av Azure PowerShell.
$roleDefinitionId = "f58310d9-a9f6-439a-9e8d-f62e7b41a168"
$principalId = "<principalId>"
$scope = "/subscriptions/<subscriptionId>"
$condition = "((!(ActionMatches{'Microsoft.Authorization/roleAssignments/write'})) OR (@Request[Microsoft.Authorization/roleAssignments:RoleDefinitionId] ForAnyOfAnyValues:GuidEquals {3498e952-d568-435e-9b2c-8d77e338d7f7, b1ff04bb-8a4e-4dc4-8eb5-8693973ce19b, 7f6c6a51-bcf8-42ba-9220-52d62157d7db, a7ffa36f-339b-4b5c-8bdf-e2c188b2c0eb} AND @Request[Microsoft.Authorization/roleAssignments:PrincipalId] ForAnyOfAnyValues:GuidEquals {ea585310-c95c-4a68-af22-49af4363bbb1})) AND ((!(ActionMatches{'Microsoft.Authorization/roleAssignments/delete'})) OR (@Resource[Microsoft.Authorization/roleAssignments:RoleDefinitionId] ForAnyOfAnyValues:GuidEquals {3498e952-d568-435e-9b2c-8d77e338d7f7, b1ff04bb-8a4e-4dc4-8eb5-8693973ce19b, 7f6c6a51-bcf8-42ba-9220-52d62157d7db, a7ffa36f-339b-4b5c-8bdf-e2c188b2c0eb} AND @Resource[Microsoft.Authorization/roleAssignments:PrincipalId] ForAnyOfAnyValues:GuidEquals {ea585310-c95c-4a68-af22-49af4363bbb1}))"
$conditionVersion = "2.0"
New-AzRoleAssignment -ObjectId $principalId -Scope $scope -RoleDefinitionId $roleDefinitionId -Condition $condition -ConditionVersion $conditionVersion
Exempel: Begränsa ACR-hantering
Med det här villkoret kan ett ombud endast lägga till eller ta bort rolltilldelningar för AcrPull-rollen . Ombudet kan också bara tilldela dessa roller till huvudnamn av typen tjänstens huvudnamn.
Det här villkoret är användbart när du vill tillåta att en utvecklare själva tilldelar AcrPull-rollen till en hanterad identitet så att den kan hämta avbildningar från Azure Container Registry (ACR).
Du måste lägga till det här villkoret i alla rolltilldelningar för ombudet som innehåller följande åtgärder.
Här är inställningarna för att lägga till det här villkoret med hjälp av Azure-portalen och villkorsredigeraren.
Observera att du måste lägga till två villkor för att kunna rikta in dig på åtgärder för att lägga till och ta bort rolltilldelning. Du måste lägga till två villkor eftersom attributkällan är olika för varje åtgärd. Om du försöker rikta in dig på båda åtgärderna i samma villkor kan du inte lägga till ett uttryck. Mer information finns i Symptom – Inga tillgängliga alternativ fel.
(
(
!(ActionMatches{'Microsoft.Authorization/roleAssignments/write'})
)
OR
(
@Request[Microsoft.Authorization/roleAssignments:RoleDefinitionId] ForAnyOfAnyValues:GuidEquals {7f951dda-4ed3-4680-a7ca-43fe172d538d}
AND
@Request[Microsoft.Authorization/roleAssignments:PrincipalType] ForAnyOfAnyValues:StringEqualsIgnoreCase {'ServicePrincipal'}
)
)
AND
(
(
!(ActionMatches{'Microsoft.Authorization/roleAssignments/delete'})
)
OR
(
@Resource[Microsoft.Authorization/roleAssignments:RoleDefinitionId] ForAnyOfAnyValues:GuidEquals {7f951dda-4ed3-4680-a7ca-43fe172d538d}
AND
@Resource[Microsoft.Authorization/roleAssignments:PrincipalType] ForAnyOfAnyValues:StringEqualsIgnoreCase {'ServicePrincipal'}
)
)
Så här lägger du till det här villkoret med Hjälp av Azure PowerShell.
$roleDefinitionId = "f58310d9-a9f6-439a-9e8d-f62e7b41a168"
$principalId = "<principalId>"
$scope = "/subscriptions/<subscriptionId>"
$condition = "((!(ActionMatches{'Microsoft.Authorization/roleAssignments/write'})) OR (@Request[Microsoft.Authorization/roleAssignments:RoleDefinitionId] ForAnyOfAnyValues:GuidEquals {7f951dda-4ed3-4680-a7ca-43fe172d538d} AND @Request[Microsoft.Authorization/roleAssignments:PrincipalType] ForAnyOfAnyValues:StringEqualsIgnoreCase {'ServicePrincipal'})) AND ((!(ActionMatches{'Microsoft.Authorization/roleAssignments/delete'})) OR (@Resource[Microsoft.Authorization/roleAssignments:RoleDefinitionId] ForAnyOfAnyValues:GuidEquals {7f951dda-4ed3-4680-a7ca-43fe172d538d} AND @Resource[Microsoft.Authorization/roleAssignments:PrincipalType] ForAnyOfAnyValues:StringEqualsIgnoreCase {'ServicePrincipal'}))"
$conditionVersion = "2.0"
New-AzRoleAssignment -ObjectId $principalId -Scope $scope -RoleDefinitionId $roleDefinitionId -Condition $condition -ConditionVersion $conditionVersion
Exempel: Begränsa tillägg av rolltilldelningar
Med det här villkoret kan ett ombud endast lägga till rolltilldelningar för rollerna Backup-deltagare eller Säkerhetskopieringsläsare . Ombudet kan ta bort alla rolltilldelningar.
Du måste lägga till det här villkoret i alla rolltilldelningar för ombudet som innehåller följande åtgärd.
Det här villkoret är användbart när du vill tillåta att ett ombud tilldelar de flesta roller, men inte tillåter att ombudet tillåter andra att tilldela roller.
Kommentar
Det här villkoret bör användas med försiktighet. Om en ny inbyggd eller anpassad roll läggs till senare som innehåller behörigheten att skapa rolltilldelningar skulle det här villkoret inte hindra ombudet från att tilldela roller. Villkoret måste uppdateras för att inkludera den nya inbyggda eller anpassade rollen.
Du måste lägga till det här villkoret i alla rolltilldelningar för ombudet som innehåller följande åtgärder.
Här är inställningarna för att lägga till det här villkoret med hjälp av Azure-portalen och villkorsredigeraren.
Observera att du måste lägga till två villkor för att kunna rikta in dig på åtgärder för att lägga till och ta bort rolltilldelning. Du måste lägga till två villkor eftersom attributkällan är olika för varje åtgärd. Om du försöker rikta in dig på båda åtgärderna i samma villkor kan du inte lägga till ett uttryck. Mer information finns i Symptom – Inga tillgängliga alternativ fel.
