你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站，请访问 https://docs.azure.cn。

将 Azure 角色分配管理委派给有条件的其他人

作为管理员，可能会收到多个请求，以授予对要委派给其他人的 Azure 资源的访问权限。 你可以为用户分配所有者或用户访问管理员istrator 角色，但这些角色是高特权角色。 本文介绍将角色分配管理委派给组织中的其他用户的更安全方法，但为这些角色分配添加限制。 例如，可以约束可分配的角色，或限制可向其分配角色的主体。

下图显示了具有条件的委托如何只能将备份参与者或备份读取者角色分配给市场营销或销售组。

先决条件

若要分配 Azure 角色，必须具有：

• Microsoft.Authorization/roleAssignments/write权限，例如基于角色访问控制 管理员istrator 或用户访问管理员istrator

步骤 1：确定委托所需的权限

若要帮助确定委托所需的权限，请回答以下问题：

• 委托人可以分配哪些角色？
• 委托人可以向哪些类型的主体分配角色？
• 委托人可以向哪些主体分配角色？
• 委托人是否可以删除任何角色分配？

知道委托所需的权限后，可以使用以下步骤向委托的角色分配添加条件。 有关示例条件，请参阅 使用条件委托 Azure 角色分配管理的示例。

步骤 2：启动新的角色分配

1. 登录 Azure 门户。

2. 按照步骤 打开“添加角色分配”页。

3. 在 “角色 ”选项卡上，选择 “特权管理员角色 ”选项卡。

4. 选择“基于角色”访问控制 管理员istrator 角色。

   此时会显示“ 条件 ”选项卡。

   可以选择包含Microsoft.Authorization/roleAssignments/write或Microsoft.Authorization/roleAssignments/delete操作的任何角色，例如用户访问管理员istrator，但基于角色访问控制 管理员istrator 的权限更少。

5. 在 “成员 ”选项卡上，找到并选择委托。

步骤 3：添加条件

可以通过两种方法添加条件。 可以使用条件模板，也可以使用高级条件编辑器。

模板

1. 在“条件”选项卡上的“用户可以执行的操作”下，选择“允许用户仅将所选角色分配给所选主体”选项（权限更少）。

   

2. 选择“ 选择角色和主体”。

   此时会显示“添加角色分配条件”页，其中包含条件模板列表。

   

3. 选择条件模板，然后选择“ 配置”。

   条件模板	选择此模板
   约束角色	允许用户仅分配你选择的角色
   约束角色和主体类型	允许用户仅分配你选择的角色 允许用户仅将这些角色分配给你选择的主体类型（用户、组或服务主体）
   约束角色和主体	允许用户仅分配你选择的角色 允许用户仅将这些角色分配给你选择的主体

4. 在配置窗格中，添加所需的配置。

   

5. 选择“保存”，将条件添加到角色分配。

条件编辑器

如果条件模板不适用于你的方案，或者需要更多控制，则可以使用条件编辑器。

打开条件编辑器

1. 在“条件”选项卡上的“用户可以执行的操作”下，选择“允许用户仅将所选角色分配给所选主体”选项（权限更少）。

   

2. 选择“ 选择角色和主体”。

   此时会显示“添加角色分配条件”页，其中包含条件模板列表。

   

3. 选择“ 打开高级条件编辑器”。

   随即显示“添加角色分配条件”页面。

4. 对于“编辑器类型”选项，保留选中的默认选项“可视化”。

添加操作

1. 在 “添加操作 ”部分中，选择“ 添加操作”。

   随即会显示“选择操作”窗格。 此窗格是基于角色分配（将成为条件目标）的操作筛选列表。

   

2. 如果条件为 true，请选择想要允许的“创建”或“更新角色分配”操作。

   提示

   如果选择“创建”或“更新角色分配”和“删除角色分配”操作，则无法添加条件表达式。 如果要针对这两个操作，则必须添加两个条件。 有关详细信息，请参阅 示例：约束角色。

生成表达式

1. 在 “生成表达式 ”部分中，选择“ 添加表达式”。

   下面是生成表达式以限制委托可以添加的角色分配的位置。

2. 在 “属性源 ”列表中，选择“ 请求”。

3. 在 “属性” 列表中，为表达式左侧选择以下属性之一。

   • 角色定义 ID 用于限制委托可以分配的角色。
   • 主体 ID 用于限制委托可以向其分配角色的特定主体。
   • 主体类型 用于约束委托可以向其分配角色的主体类型（用户、组或服务主体）。

4. 在“运算符”列表中，选择一个运算符。

   根据要生成的属性和表达式，通常选择这些运算符，以便为表达式右侧选择一个或多个值。

   Attribute	通用运算符
   角色定义 ID	ForAnyOfAnyValues:GuidEquals
   主体 ID	ForAnyOfAnyValues:GuidEquals
   主体类型	ForAnyOfAnyValues:StringEqualsIgnoreCase

5. 在 “值 ”框中，输入表达式右侧的一个或多个值。

   

6. 根据需要添加其他表达式。

   提示

   添加多个表达式以使用条件委托角色分配管理时，通常会在表达式之间使用 And 运算符，而不是默认 Or 运算符。

7. 选择“保存”，将条件添加到角色分配。

步骤 4：分配有条件的角色以委派

1. 在“查看 + 分配”选项卡上，查看角色分配设置。

2. 选择“查看 + 分配”以分配角色。

   片刻之后，委托将分配有角色分配条件的基于角色访问控制 管理员角色角色。

步骤 5：委托分配有条件的角色

• 委托现在可以按照步骤 分配角色。

  

  当委托尝试在Azure 门户中分配角色时，将筛选角色列表以仅显示他们可分配的角色。

  

  如果主体有条件，则还可以筛选可用于分配的主体列表。

  

  如果委托尝试使用 API 分配超出条件的角色，则角色分配失败并出现错误。 有关详细信息，请参阅 症状 - 无法分配角色。

后续步骤

• 将 Azure 访问管理委托给其他人
• 授权操作和属性