Delegera hantering av Azure-rolltilldelning till andra med villkor

Artikel
05/08/2024

Som administratör kan du få flera förfrågningar om att bevilja åtkomst till Azure-resurser som du vill delegera till någon annan. Du kan tilldela rollen Ägare eller Administratör för användaråtkomst , men det här är mycket privilegierade roller. I den här artikeln beskrivs ett säkrare sätt att delegera rolltilldelningshantering till andra användare i din organisation, men lägga till begränsningar för dessa rolltilldelningar. Du kan till exempel begränsa de roller som kan tilldelas eller begränsa de huvudnamn som rollerna kan tilldelas till.

Följande diagram visar hur ett ombud med villkor endast kan tilldela rollerna Säkerhetskopieringsdeltagare eller Säkerhetskopieringsläsare till endast marknadsförings- eller försäljningsgrupperna.

Förutsättningar

För att tilldela Azure-roller måste du ha:

Microsoft.Authorization/roleAssignments/write behörigheter, till exempel administratör för rollbaserad åtkomstkontroll eller administratör för användaråtkomst

Steg 1: Fastställa de behörigheter som ombudet behöver

Besvara följande frågor för att avgöra vilka behörigheter ombudet behöver:

Vilka roller kan ombudet tilldela?
Vilka typer av huvudkonton kan ombudet tilldela roller till?
Vilka huvudnamn kan ombudet tilldela roller till?
Kan ombud ta bort rolltilldelningar?

När du känner till de behörigheter som ombudet behöver använder du följande steg för att lägga till ett villkor i ombudets rolltilldelning. Exempel på villkor finns i Exempel för att delegera hantering av Azure-rolltilldelning med villkor.

Steg 2: Starta en ny rolltilldelning

Logga in på Azure-portalen.
Följ stegen för att öppna sidan Lägg till rolltilldelning.
På fliken Roller väljer du fliken Privilegierade administratörsroller .
Välj rollen Administratör för rollbaserad åtkomstkontroll .

Fliken Villkor visas.

Du kan välja vilken roll som helst som innehåller Microsoft.Authorization/roleAssignments/write åtgärderna eller Microsoft.Authorization/roleAssignments/delete , till exempel Administratör för användaråtkomst, men Administratör för rollbaserad åtkomstkontroll har färre behörigheter.
På fliken Medlemmar letar du upp och väljer ombudet.

Steg 3: Lägg till ett villkor

Du kan lägga till ett villkor på två sätt. Du kan använda en villkorsmall eller använda en avancerad villkorsredigerare.

Mall
Villkorsredigeraren

På fliken Villkor under Vad användaren kan göra väljer du alternativet Tillåt att användaren endast tilldelar valda roller till valda huvudnamn (färre behörigheter).
Välj Välj roller och huvudnamn.

Sidan Lägg till rolltilldelningsvillkor visas med en lista över villkorsmallar.

Välj en villkorsmall och välj sedan Konfigurera.

Villkorsmall	Välj den här mallen för
Begränsa roller	Tillåt att användaren endast tilldelar roller som du väljer
Begränsa roller och huvudtyper	Tillåt att användaren endast tilldelar roller som du väljer Tillåt att användaren endast tilldelar dessa roller till huvudtyper som du väljer (användare, grupper eller tjänstens huvudnamn)
Begränsa roller och huvudnamn	Tillåt att användaren endast tilldelar roller som du väljer Tillåt att användaren endast tilldelar dessa roller till de huvudnamn som du väljer
Tillåt alla utom specifika roller	Tillåt att användaren tilldelar alla roller förutom de roller du väljer

I fönstret Konfigurera lägger du till nödvändiga konfigurationer.
Välj Spara för att lägga till villkoret i rolltilldelningen.

Om villkorsmallarna inte fungerar för ditt scenario eller om du vill ha mer kontroll kan du använda villkorsredigeraren.

Redigerare för öppna villkor

På fliken Villkor under Vad användaren kan göra väljer du alternativet Tillåt att användaren endast tilldelar valda roller till valda huvudnamn (färre behörigheter).
Välj Välj roller och huvudnamn.

Sidan Lägg till rolltilldelningsvillkor visas med en lista över villkorsmallar.
Välj Öppna avancerad villkorsredigerare.

Sidan Lägg till rolltilldelningsvillkor visas.
Lämna standardalternativet Visuellt objekt markerat för alternativet Redigerartyp.

Lägg till åtgärd

I avsnittet Lägg till åtgärd väljer du Lägg till åtgärd.

Fönstret Välj en åtgärd visas. Det här fönstret är en filtrerad lista över åtgärder baserat på rolltilldelningen som ska vara målet för ditt villkor.
Välj den åtgärd för att skapa eller uppdatera rolltilldelningar som du vill tillåta om villkoret är sant.

Dricks

Om du väljer både Skapa eller uppdatera rolltilldelningar och Ta bort en rolltilldelning kan du inte lägga till ett villkorsuttryck. Om du vill rikta in dig på båda dessa åtgärder måste du lägga till två villkor. Mer information finns i Exempel: Begränsa roller.

Skapa uttryck

I avsnittet Skapa uttryck väljer du Lägg till uttryck.

Här skapar du uttrycket för att begränsa rolltilldelningar som ombudet kan lägga till.
I listan Attributkälla väljer du Begär.
I listan Attribut väljer du något av följande attribut för uttryckets vänstra sida.
- Rolldefinitions-ID används för att begränsa de roller som ombudet kan tilldela.
- Huvudnamns-ID används för att begränsa de specifika huvudnamn som ombudet kan tilldela roller till.
- Huvudnamnstypen används för att begränsa de typer av huvudkonton (användare, grupper eller tjänstens huvudnamn) som ombudet kan tilldela roller till.

I listan Operator väljer du en operator.

Beroende på attributet och uttrycket du vill skapa väljer du vanligtvis dessa operatorer, vilket gör att du kan välja ett eller flera värden för höger sida av uttrycket.

Attribut	Vanlig operator
Rolldefinitions-ID	ForAnyOfAnyValues:GuidEquals ForAnyOfAllValues:GuidNotEquals
Huvudnamns-ID	ForAnyOfAnyValues:GuidEquals
Huvudnamnstyp	ForAnyOfAnyValues:StringEqualsIgnoreCase

I rutan Värde anger du ett eller flera värden för den högra sidan av uttrycket.
Lägg till ytterligare uttryck efter behov.

Dricks

När du lägger till flera uttryck för att delegera rolltilldelningshantering med villkor använder du vanligtvis operatorn Och mellan uttryck i stället för standardoperatorn Eller .
Välj Spara för att lägga till villkoret i rolltilldelningen.

Steg 4: Tilldela roll med villkor för att delegera

På fliken Granska + tilldela granskar du inställningarna för rolltilldelningen.
Välj Granska + tilldela när du vill tilldela rollen.

Efter en liten stund tilldelas ombudet rollen Rollbaserad åtkomstkontrolladministratör med dina rolltilldelningsvillkor.

Steg 5: Delegera tilldelar roller med villkor

Ombudet kan nu följa stegen för att tilldela roller.

När ombudet försöker tilldela roller i Azure-portalen filtreras listan över roller för att bara visa de roller som de kan tilldela.

Om det finns ett villkor för huvudkonton filtreras även listan över tillgängliga huvudnamn för tilldelning.

Om ombudet försöker tilldela en roll som ligger utanför villkoren med hjälp av ett API misslyckas rolltilldelningen med ett fel. Mer information finns i Symptom – Det går inte att tilldela en roll.

Redigera ett villkor

Du kan redigera ett villkor på två sätt. Du kan använda villkorsmallen eller använda villkorsredigeraren.

Öppna sidan Åtkomstkontroll (IAM) i Azure-portalen för rolltilldelningen som har ett villkor som du vill visa, redigera eller ta bort.
Välj fliken Rolltilldelningar och leta upp rolltilldelningen.
I kolumnen Villkor väljer du Visa/redigera.

Om du inte ser länken Visa/Redigera kontrollerar du att du tittar på samma omfång som rolltilldelningen.

Sidan Lägg till rolltilldelningsvillkor visas. Den här sidan ser annorlunda ut beroende på om villkoret matchar en befintlig mall.
Om villkoret matchar en befintlig mall väljer du Konfigurera för att redigera villkoret.
Om villkoret inte matchar en befintlig mall använder du den avancerade villkorsredigeraren för att redigera villkoret.

Om du till exempel vill redigera ett villkor rullar du ned till avsnittet build-uttryck och uppdaterar attributen, operatorn eller värdena.

Om du vill redigera villkoret direkt väljer du kodredigerarens typ och redigerar sedan koden för villkoret.
När du är klar klickar du på Spara för att uppdatera villkoret.