使用 Azure 入口網站指派 Azure 角色

Azure 角色型存取控制（Azure RBAC）是您用來管理 Azure 資源存取權的授權系統。若要授與存取權，您可以將角色指派給某一特定範圍內的使用者、群組、服務主體或受控識別。本文說明如何使用 Azure 入口網站指派角色。

如果您需要在 Microsoft Entra ID 中指派系統管理員角色，請參閱將 Microsoft Entra 角色指派給使用者。

先決條件

若要指派 Azure 角色，您必須具備：

Microsoft.Authorization/roleAssignments/write 權限，例如「角色型存取控制管理員」或「使用者存取管理員」

步驟 1：識別所需的範圍

指派角色時，必須指定範圍。範圍是要套用存取權的一組資源。在 Azure 中，您可以指定從廣泛到狹窄的四個層級的範圍：管理群組、訂用帳戶、資源群組和資源。如需詳細資訊，請參閱了解範圍。

顯示 Azure RBAC 範圍層級的圖表。

登入 Azure 入口網站。
在頂端的搜尋方塊中，搜尋您要授與存取權的範圍。例如，搜尋 [管理群組]、[訂用帳戶]、[資源群組] 或特定資源。
按一下該範圍的特定資源。

以下顯示資源群組範例。

步驟 2：開啟 [新增角色指派] 頁面

[存取控制 (IAM)] 是您通常用來指派角色以授與 Azure 資源存取權的頁面。這也稱為身分識別與存取管理 (IAM)，會出現在 Azure 入口網站的數個位置上。

按一下 [存取控制 (IAM)]。

下面顯示某資源群組的 [存取控制 (IAM)] 頁面範例。
按一下 [角色指派] 索引標籤，以檢視此範圍內的角色指派。
按一下新增>新增角色指派。

若您沒有指派角色的權限，[新增角色指派] 選項將會被停用。

即會開啟 [新增角色指派] 頁面。

步驟 3：選取適當的角色

若要選取角色，請遵循下列步驟：

在 [角色] 索引標籤上，選取您要使用的角色。

您可以依名稱或描述來搜尋角色。您也可以依類型和類別來篩選角色。

請注意，如果您不確定需要指派哪個角色，現在可以使用 Copilot 來協助您選取適當的角色。（有限預覽。此功能會分階段部署，因此您的租用戶可能尚未提供，或者您的介面看起來可能不同。
（選用）在角色索引標籤中，按一下 Copilot 可以幫助挑選角色 按鈕。 Copilot 對話方塊隨即開啟。

在對話方塊中，您可以新增描述性提示，告訴 Copilot 您對角色的需求，以及您需要使用者獲得授權執行的動作，例如， 「協助我選取要部署和管理 Azure Functions 的角色」，或 「如果我想要使用者管理和檢視工作區，我應該使用哪個角色？」 使用 「幫我選取...」 或 「我應該使用哪個角色...」 等短語，可協助 Copilot 更清楚地瞭解您的意圖，以便提供最佳結果。

根據提示的方向，Copilot 會根據提供的需求建議一個或多個角色。 Copilot 會要求您依 [選取權限] 進行確認。然後，Copilot 會根據提供的條件推薦角色。您可以 選取角色，也可以要求 Copilot 建議其他角色。如果您選取 [ 選取角色 ]，系統會將您帶回 [ 新增角色指派 ] 頁面，您可以在其中選取建議的角色並檢視其詳細數據。
如果您想要指派特殊權限系統管理員角色，請選取 [特殊權限系統管理員角色] 索引標籤以選取角色。

如需使用特殊權限系統管理員角色指派時的最佳做法，請參閱 Azure RBAC 的最佳做法。
在 「詳細資料」 欄中，按一下 「檢視」 以取得有關角色的更多詳細資料。
按 [下一步]。

步驟 4：選取需要存取權的人員

若要選取需要存取權的人員，請遵循下列步驟：

在 [成員] 索引標籤上，選取 [使用者、群組或服務主體]，將選取的角色指派給一或多個 Microsoft Entra 使用者、群組或服務主體 (應用程式)。
按一下 選取成員。
尋找使用者、群組或服務主體，並加以選取。

您可以在 [選取] 方塊中輸入，以在目錄中搜尋顯示名稱或電子郵件地址。
按一下選取，將使用者、群組或服務主體新增至 [成員] 清單。
要將選取的角色指派給一或多個受控識別，請選取 [受控識別]。
按一下 選取成員。
在 [選取受控識別] 窗格中，選取類型是使用者指派的受控識別還是系統指派的受控識別。
尋找並選取受控識別。

針對系統指派的受控識別，您可以依 Azure 服務執行個體選取受控識別。
按一下 [選取] ，將受控識別新增至 [成員] 清單。
在 [描述] 方塊中，輸入此角色指派的選用描述。

稍後您可以在角色指派清單中看到此描述。
按 [下一步]。

步驟 5：(選用) 新增條件

如果您已選取支援條件的角色，則會顯示 [條件] 索引標籤，而且您可以選擇將條件新增至角色指派。條件是額外的檢查，您可以選擇性地將其新增至您的角色指派，以提供更精細的存取控制。

[條件] 索引標籤的外觀會根據您選取的角色而有所不同。

委派條件

如果您選取下列其中一個特權角色，請遵循本節中的步驟。

在 [使用者可以執行的動作] 底下的 [條件] 索引標籤上，選取 [允許使用者僅將選取的角色指派給選取的主體（較少的權限）] 選項。
按一下 [選取角色和主體] 以新增條件，以限制此使用者可指派角色的角色和主體。
請遵循將 Azure 角色指派管理委派給具有條件的其他人中的步驟。

儲存條件

如果您選取下列其中一個儲存角色，請遵循本節中的步驟。

如果您想要根據儲存屬性進一步精簡角色指派，請按一下 [ 新增條件 ]。
請遵循新增或編輯 Azure 角色指派條件中的步驟。

步驟 6：選取指派類型

如果您有 Microsoft Entra ID P2 或 Microsoft Entra ID 控管授權，則管理群組、訂用帳戶和資源群組範圍會出現 [指派類型] 索引標籤。使用合格指派來提供角色的 Just-In-Time 存取權。具有合格和/或時間界限指派的使用者必須具有有效的授權。

如果您不想使用 PIM 功能，請選取 [作用中指派類型] 和 [永久] 指派持續時間選項。這些設定會建立角色指派，其中主體一律具有角色的權限。

這項功能會分階段進行部署，因此您的租用戶中可能尚未提供此功能，或是介面可能有所不同。如需詳細資訊，請參閱 Azure RBAC 中符合資格且有時間限制的角色指派。

在 [指派類型] 索引標籤上，選取 [指派類型]。
- 合格 - 使用者必須執行一或多個動作才能使用角色，例如執行多重要素驗證檢查、提供業務理由，或向指定的核准者要求核准。您無法為應用程式、服務主體或受控識別建立合格的角色指派，因為其無法執行啟用步驟。
- 作用中 - 使用者不需要執行任何動作即可使用角色。
根據您的設定，針對 [指派期間]，選取 [永久] 或 [ 限時]。

如果您想要永遠允許成員啟用或使用角色，請選取 [永久]。選取有時限則可指定開始和結束日期。如果 PIM 原則不允許建立永久指派，則此選項可能會停用。
如果選取 [有時限]，請設定 [開始日期和時間] 和 [開始日期和時間]，以指定允許使用者啟用或使用角色的時間。

您可以設定時間在未來的開始日期。允許的合格期間上限取決於您的 Privileged Identity Management (PIM) 原則。
(選用) 使用 [設定 PIM 原則] 來設定逾期選項、角色啟用需求 (核准、多重要素驗證或條件式存取驗證內容) 以及其他設定。

當您選取 [更新 PIM 原則] 連結時，會顯示 PIM 頁面。選取 [設定] 以設定角色的 PIM 原則。如需更多資訊，請參閱在 Privileged Identity Management 中設定 Azure 資源角色設定。
按 [下一步]。

步驟 7：指派角色

在 [檢閱 + 指派] 索引標籤上，檢閱角色指派設定。
按一下 檢閱 + 指派 以指派角色。

在幾分鐘之後，即會在所選範圍中指派安全性主體的角色。
如果您沒有看到角色指派的描述，請按一下 [編輯欄 ] 以新增 [描述 ] 欄。

編輯指派

如果您有 Microsoft Entra ID P2 或 Microsoft Entra ID 控管授權，則可以編輯角色指派類型設定。如需詳細資訊，請參閱 Azure RBAC 中符合資格且有時間限制的角色指派。

在 [存取控制（IAM）] 頁面上，按一下 [角色指派] 索引標籤，以檢視此範圍內的角色指派。
尋找您要編輯的角色指派。
在「狀態」欄中，按一下連結，例如「符合資格的有時限」或「有效永久」。

[編輯指派] 窗格隨即出現，以供您更新角色指派類型設定。此窗格可能需要一些時間才會開啟。
完成時，按一下 [儲存]。

您的更新可能需要一些時間才會開始處理並反映在入口網站中。

意見反應

此頁面對您有幫助嗎？

Last updated on 2025-10-31