指派一名使用者為有條件的 Azure 訂用帳戶管理員

若要指派 Azure 角色，您必須具備：

• Microsoft.Authorization/roleAssignments/write 權限，例如角色型存取控制管理員或使用者存取管理員

執行下列步驟:

1. 登入 Azure 入口網站。

2. 在頂端的 [搜尋] 方塊中搜尋訂用帳戶。

3. 按一下您要使用的訂用帳戶。

   以下顯示範例訂用帳戶。

   

[存取控制 (IAM)] 是您通常用來指派角色以授與 Azure 資源存取權的頁面。 這也稱為身分識別與存取管理 (IAM)，會出現在 Azure 入口網站的數個位置上。

1. 按一下 [存取控制 (IAM)]。

   下面顯示某訂用帳戶 [存取控制 (IAM)] 頁面的範例。

   

2. 按一下 [角色指派] 索引標籤，以檢視此範圍中的角色指派。

3. 點擊 [新增] > [新增角色指派]。

   若您沒有指派角色的權限，[新增角色指派] 選項將會停用。

   

   會開啟 [新增角色指派] 頁面。

擁有者會授與管理所有資源的完整存取權，包括在 Azure RBAC 中指派角色的權限。 您的訂用帳戶擁有者應限制在 3 位以內，以降低擁有者遭入侵而導致資料外洩的可能。

1. 在 [角色] 索引標籤上，選取 [具有特殊權限的系統管理員角色] 索引標籤。

   

2. 選取 [擁有者] 角色。

3. 按一下 [下一步] 。

執行下列步驟:

1. 在 [成員] 索引標籤上，選取 [使用者、群組或服務主體]。

   

2. 點擊 [選取成員]。

3. 尋找並選取使用者。

   您可以在 [選取] 方塊中輸入，以在目錄中搜尋顯示名稱或電子郵件地址。

   

4. 按一下 [儲存] 將使用者新增至 [成員] 清單。

5. 在 [描述] 方塊中，輸入此角色指派的選用描述。

   稍後您可以在角色指派清單中看到此描述。

6. 按一下 [下一步] 。

由於「擁有者」是具有高特殊權限的角色，因此 Microsoft 建議您新增條件來限制角色指派。

1. 在 [使用者可以執行的動作] 下的 [條件] 索引標籤上，選取 [允許使用者只將選取的角色指派給選取的主體 (權限較少)] 選項。

   

2. 選取 [選取角色和主體]。

   [新增角色指派的條件] 頁面隨即出現，其中包含條件範本清單。

   

3. 選取一個條件範本，然後選取 [設定]。

   條件範本	選取此範本以
   限制角色	允許使用者僅指派您所選的角色
   限制角色和主體類型	允許使用者僅指派您所選的角色 允許使用者僅將這些角色指派給您選取的主體類型 (使用者、群組或服務主體)
   限制角色和主體	允許使用者僅指派您所選的角色 允許使用者僅將這些角色指派給您所選的主體

   提示

   如果您想要允許大部分的角色指派，但不允許特定的角色指派，您可以使用進階條件編輯器，並手動新增條件。 如需範例，請參閱範例：允許大部分角色，但不允許其他人指派角色 (部分機器翻譯)。

4. 在 [設定] 窗格中，新增必要的設定。

   

5. 選取 [儲存]，將條件新增至角色指派。

執行下列步驟:

1. 在 [檢閱 + 指派] 索引標籤上，檢閱角色指派設定。

2. 點擊 [檢閱 + 指派] 以指派角色。

   幾分鐘之後，即會將訂用帳戶的「擁有者」角色指派給使用者。