Dela via

Använda principer för rollhantering för att hantera regler för varje roll inom varje resurs

  • Artikel

Principer för rollhantering hjälper dig att styra reglerna för alla begäranden om rollberättigande eller rolltilldelning. Du kan till exempel ange den maximala varaktighet för vilken en tilldelning kan vara aktiv, eller så kan du till och med tillåta permanent tilldelning. Du kan uppdatera meddelandeinställningarna för varje tilldelning. Du kan också ange godkännare för varje rollaktivering.

Lista rollhanteringsprinciper för en resurs

Om du vill visa en lista över principer för rollhantering kan du använda rollhanteringsprinciper – lista för REST API för omfång . Om du vill förfina dina resultat anger du ett omfång och ett valfritt filter. Om du vill anropa API:et måste du ha åtkomst till åtgärden Microsoft.Authorization/roleAssignments/read i det angivna omfånget. Alla inbyggda roller beviljas åtkomst till den här åtgärden.

Viktigt

Du behöver inte skapa rollhanteringsprinciper eftersom varje roll i varje resurs har en standardprincip

  1. Börja med följande begäran:

    GET https://management.azure.com/{scope}/providers/Microsoft.Authorization/roleManagementPolicies?api-version=2020-10-01&$filter={filter}

  2. I URI:n ersätter du {scope} med det omfång som du vill lista rollhanteringsprinciperna för.

    Omfång Typ
    providers/Microsoft.Management/managementGroups/{mg-name} Hanteringsgrupp
    subscriptions/{subscriptionId} Prenumeration
    subscriptions/{subscriptionId}/resourceGroups/myresourcegroup1 Resursgrupp
    subscriptions/{subscriptionId}/resourceGroups/myresourcegroup1/providers/Microsoft.Web/sites/mysite1 Resurs

  3. Ersätt {filter} med det villkor som du vill tillämpa för att filtrera rolltilldelningslistan.

    Filtrera Description
    $filter=roleDefinitionId%20eq%20'{scope}/providers/Microsoft.Authorization/roleDefinitions/{roleDefinitionId}' Lista rollhanteringsprincip för en angiven rolldefinition inom resursomfånget.

Uppdatera en princip för rollhantering

  1. Välj de regler som du vill uppdatera. Det här är typerna av regel -

    Regeltyp Description
    RoleManagementPolicyEnablementRule Aktivera MFA, motivering för tilldelningar eller biljettinformation
    RoleManagementPolicyExpirationRule Ange maximal varaktighet för en rolltilldelning eller aktivering
    RoleManagementPolicyNotificationRule Konfigurera inställningar för e-postaviseringar för tilldelningar, aktiveringar och godkännanden
    RoleManagementPolicyApprovalRule Konfigurera godkännandeinställningar för en rollaktivering
    RoleManagementPolicyAuthenticationContextRule Konfigurera ACRS-regeln för princip för villkorsstyrd åtkomst

  2. Använd följande begäran:

    PATCH https://management.azure.com/{scope}/providers/Microsoft.Authorization/roleManagementPolicies/{roleManagementPolicyId}?api-version=2020-10-01

    {
  "properties": {
    "rules": [
      {
        "isExpirationRequired": false,
        "maximumDuration": "P180D",
        "id": "Expiration_Admin_Eligibility",
        "ruleType": "RoleManagementPolicyExpirationRule",
        "target": {
          "caller": "Admin",
          "operations": [
            "All"
          ],
          "level": "Eligibility",
          "targetObjects": null,
          "inheritableSettings": null,
          "enforcedSettings": null
        }
      },
      {
        "notificationType": "Email",
        "recipientType": "Admin",
        "isDefaultRecipientsEnabled": false,
        "notificationLevel": "Critical",
        "notificationRecipients": [
          "admin_admin_eligible@test.com"
        ],
        "id": "Notification_Admin_Admin_Eligibility",
        "ruleType": "RoleManagementPolicyNotificationRule",
        "target": {
          "caller": "Admin",
          "operations": [
            "All"
          ],
          "level": "Eligibility",
          "targetObjects": null,
          "inheritableSettings": null,
          "enforcedSettings": null
        }
      },
      {
        "enabledRules": [
          "Justification",
          "MultiFactorAuthentication",
          "Ticketing"
        ],
        "id": "Enablement_EndUser_Assignment",
        "ruleType": "RoleManagementPolicyEnablementRule",
        "target": {
          "caller": "EndUser",
          "operations": [
            "All"
          ],
          "level": "Assignment",
          "targetObjects": null,
          "inheritableSettings": null,
          "enforcedSettings": null
        }
      },
      {
        "setting": {
          "isApprovalRequired": true,
          "isApprovalRequiredForExtension": false,
          "isRequestorJustificationRequired": true,
          "approvalMode": "SingleStage",
          "approvalStages": [
            {
              "approvalStageTimeOutInDays": 1,
              "isApproverJustificationRequired": true,
              "escalationTimeInMinutes": 0,
              "primaryApprovers": [
                {
                  "id": "2385b0f3-5fa9-43cf-8ca4-b01dc97298cd",
                  "description": "amansw_new_group",
                  "isBackup": false,
                  "userType": "Group"
                }
              ],
              "isEscalationEnabled": false,
              "escalationApprovers": null
            }
          ]
        },
        "id": "Approval_EndUser_Assignment",
        "ruleType": "RoleManagementPolicyApprovalRule",
        "target": {
          "caller": "EndUser",
          "operations": [
            "All"
          ],
          "level": "Assignment",
          "targetObjects": null,
          "inheritableSettings": null,
          "enforcedSettings": null
        }
      }
    ]
  }
}