Upravit

Sdílet prostřednictvím


Výpis přiřazení rolí Azure pomocí webu Azure Portal

Řízení přístupu na základě role v Azure (Azure RBAC) je autorizační systém, který používáte ke správě přístupu k prostředkům Azure. Pokud chcete určit, k jakým prostředkům mají uživatelé, skupiny, instanční objekty nebo spravované identity přístup, uveďte jejich přiřazení rolí. Tento článek popisuje, jak vypsat přiřazení rolí pomocí webu Azure Portal.

Poznámka:

Pokud má vaše organizace odsouděné funkce správy poskytovateli služeb, který používá Azure Lighthouse, nezobrazí se tady přiřazení rolí autorizovaných poskytovatelem služeb. Podobně uživatelé v tenantovi poskytovatele služeb neuvidí přiřazení rolí pro uživatele v tenantovi zákazníka bez ohledu na přiřazenou roli.

Požadavky

Microsoft.Authorization/roleAssignments/read oprávnění, jako je čtenář

Zobrazení seznamu přiřazení rolí pro uživatele nebo skupinu

Rychlý způsob, jak zobrazit role přiřazené uživateli nebo skupině v předplatném, je použít podokno přiřazení rolí Azure.

  1. Na webu Azure Portal vyberte v nabídce Azure Portal Všechny služby.

  2. Vyberte Microsoft Entra ID a poté vyberte Uživatelé nebo Skupiny.

  3. Klikněte na uživatele nebo skupinu, pro které chcete zobrazit seznam přiřazení rolí.

  4. Klikněte na Přiřazení rolí Azure.

    Zobrazí se seznam rolí přiřazených vybranému uživateli nebo skupině v různých oborech, jako je skupina pro správu, předplatné, skupina prostředků nebo prostředek. Tento seznam obsahuje všechna přiřazení rolí, pro která máte oprávnění ke čtení.

    Snímek obrazovky s přiřazeními rolí pro uživatele

  5. Chcete-li změnit předplatné, klikněte na seznam Předplatné.

Výpis vlastníků předplatného

Uživatelé, kteří mají přiřazenou roli Vlastník předplatného, můžou spravovat všechno v předplatném. Podle těchto kroků vypíšete vlastníky předplatného.

  1. Na webu Azure Portal klikněte na Všechny služby a potom na Předplatná.

  2. Klikněte na předplatné, u kterého chcete zobrazit seznam vlastníků.

  3. Klikněte na Řízení přístupu (IAM).

  4. Kliknutím na kartu Přiřazení rolí zobrazte všechna přiřazení rolí pro toto předplatné.

  5. Sjeďte dolů do části Vlastníci a zobrazte všechny uživatele, kteří mají pro toto předplatné přiřazenou roli „Vlastník”.

    Snímek obrazovky s kartou Řízení přístupu k předplatnému a přiřazení rolí

Výpis nebo správa přiřazení rolí privilegovaného správce

Na kartě Přiřazení rolí můžete vypsat a zobrazit počet přiřazení rolí privilegovaného správce v aktuálním oboru. Další informace najdete v tématu Role privilegovaného správce.

  1. Na webu Azure Portal klikněte na Všechny služby a pak vyberte obor. Můžete například vybrat skupiny pro správu, předplatná, skupiny prostředků nebo prostředek.

  2. Klikněte na konkrétní prostředek.

  3. Klikněte na Řízení přístupu (IAM).

  4. Klikněte na kartu Přiřazení rolí a potom kliknutím na kartu Privilegované zobrazíte seznam přiřazení rolí privilegovaného správce v tomto oboru.

    Snímek obrazovky se stránkou řízení přístupu, kartou Přiřazení rolí a privilegovanou kartou zobrazující přiřazení privilegovaných rolí

  5. Pokud chcete zobrazit počet přiřazení rolí privilegovaného správce v tomto oboru, podívejte se na kartu Privilegované .

  6. Pokud chcete spravovat přiřazení rolí privilegovaného správce, podívejte se na privilegovanou kartu a klikněte na Zobrazit přiřazení.

    Na stránce Spravovat přiřazení privilegovaných rolí můžete přidat podmínku pro omezení přiřazení privilegované role nebo odebrání přiřazení role. Další informace najdete v tématu Delegování správy přiřazení rolí Azure ostatním s podmínkami.

    Snímek obrazovky se stránkou Spravovat přiřazení privilegovaných rolí znázorňující, jak přidat podmínky nebo odebrat přiřazení rolí

Výpis přiřazení rolí v oboru

Postupujte následovně:

  1. Na webu Azure Portal klikněte na Všechny služby a pak vyberte obor. Můžete například vybrat skupiny pro správu, předplatná, skupiny prostředků nebo prostředek.

  2. Klikněte na konkrétní prostředek.

  3. Klikněte na Řízení přístupu (IAM).

  4. Kliknutím na kartu Přiřazení rolí zobrazíte přiřazení rolí v tomto oboru.

    Pokud máte licenci Microsoft Entra ID Free nebo Microsoft Entra ID P1, karta Přiřazení rolí je podobná následujícímu snímku obrazovky.

    Snímek obrazovky s kartou Řízení přístupu a Přiřazení rolí

    Pokud máte licenci zásad správného řízení Microsoft Entra ID P2 nebo Microsoft Entra ID, karta Přiřazení rolí se podobá následujícímu snímku obrazovky s rozsahy skupin pro správu, předplatného a skupin prostředků. Tato funkce se nasazuje ve fázích, takže nemusí být ještě dostupná ve vašem tenantovi nebo vaše rozhraní může vypadat jinak.

    Snímek obrazovky s kartami Řízení přístupu a Aktivní přiřazení a Opravňující přiřazení

    Zobrazí se sloupec State s jedním z následujících stavů:

    Stát Popis
    Aktivní trvalá Přiřazení role, ve kterém může uživatel vždy používat roli bez provedení jakýchkoli akcí.
    Aktivní časová hranice Přiřazení role, ve kterém může uživatel tuto roli používat, aniž by prováděl jakékoli akce pouze v rámci počátečního a koncového data.
    Nárok na trvalou dobu Přiřazení role, ve kterém má uživatel vždy nárok na aktivaci role.
    Opravňující časové vazby Přiřazení role, ve kterém má uživatel nárok na aktivaci role pouze v počátečním a koncovém datu.

    Počáteční datum je možné nastavit v budoucnu.

    Pokud chcete zobrazit seznam počátečního a koncového času pro přiřazení rolí, klikněte na Upravit sloupce a vyberte Čas zahájení a Čas ukončení.

    Snímek obrazovky s podoknem Sloupce se zaškrtávacími políčky Čas zahájení a Čas ukončení

    Všimněte si, že některé role mají obor nastavený na Tento prostředek, zatímco jiné mají obor (Zděděný) z jiného oboru. Přístup je přiřazen speciálně k tomuto prostředku nebo zděděný z přiřazení k nadřazeného oboru.

Zobrazení seznamu přiřazení rolí pro uživatele v oboru

Pokud chcete vypsat přístup pro uživatele, skupinu, instanční objekt nebo spravovanou identitu, zobrazíte jejich přiřazení rolí. Tímto postupem zobrazíte seznam přiřazení rolí pro jednoho uživatele, skupinu, instanční objekt nebo spravovanou identitu v určitém oboru.

  1. Na webu Azure Portal klikněte na Všechny služby a pak vyberte obor. Můžete například vybrat skupiny pro správu, předplatná, skupiny prostředků nebo prostředek.

  2. Klikněte na konkrétní prostředek.

  3. Klikněte na Řízení přístupu (IAM).

    Snímek obrazovky s řízením přístupu ke skupině prostředků a kartou Kontrola přístupu

  4. Na kartě Kontrola přístupu klikněte na tlačítko Zkontrolovat přístup.

  5. V podokně Kontrola přístupu klikněte na Položku Uživatel, Skupina nebo Instanční objekt nebo Spravovaná identita.

  6. Do vyhledávacího pole zadejte řetězec pro vyhledání zobrazovaných jmen, e-mailových adres nebo identifikátorů objektů v adresáři.

    Snímek obrazovky se seznamem zkontrolovat výběr přístupu

  7. Kliknutím na objekt zabezpečení otevřete podokno přiřazení .

    V tomto podokně uvidíte přístup pro vybraný objekt zabezpečení v tomto oboru a zděděný do tohoto oboru. Přiřazení v podřízených oborech nejsou uvedená. Zobrazí se následující přiřazení:

    • Přiřazení rolí přidaná pomocí Azure RBAC
    • Odepřít přiřazení přidaná pomocí Azure Blueprints nebo spravovaných aplikací Azure.

    Snímek obrazovky s podoknem přiřazení

Výpis přiřazení rolí pro spravovanou identitu

Přiřazení rolí pro spravované identity přiřazené systémem a uživatelem můžete zobrazit v určitém oboru pomocí okna Řízení přístupu (IAM), jak je popsáno výše. Tato část popisuje, jak vypsat přiřazení rolí pouze pro spravovanou identitu.

Spravovaná identita přiřazená systémem

  1. Na webu Azure Portal otevřete spravovanou identitu přiřazenou systémem.

  2. V nabídce vlevo klikněte na Položku Identita.

    Snímek obrazovky se spravovanou identitou přiřazenou systémem

  3. V části Oprávnění klikněte na Přiřazení rolí Azure.

    Zobrazí se seznam rolí přiřazených k vybrané spravované identitě přiřazené systémem v různých oborech, jako je skupina pro správu, předplatné, skupina prostředků nebo prostředek. Tento seznam obsahuje všechna přiřazení rolí, pro která máte oprávnění ke čtení.

    Snímek obrazovky přiřazení rolí pro spravovanou identitu přiřazenou systémem

  4. Pokud chcete předplatné změnit, klikněte na seznam Předplatných .

    Spravovaná identita přiřazená uživatelem

    1. Na webu Azure Portal otevřete spravovanou identitu přiřazenou uživatelem.

    2. Klikněte na Přiřazení rolí Azure.

      Zobrazí se seznam rolí přiřazených k vybrané spravované identitě přiřazené uživatelem v různých oborech, jako je skupina pro správu, předplatné, skupina prostředků nebo prostředek. Tento seznam obsahuje všechna přiřazení rolí, pro která máte oprávnění ke čtení.

      Snímek obrazovky přiřazení rolí pro spravovanou identitu přiřazenou uživatelem

    3. Pokud chcete předplatné změnit, klikněte na seznam Předplatných .

Počet přiřazení rolí v seznamu

V každém předplatném můžete mít až 4 000 přiřazení rolí. Tento limit zahrnuje přiřazení rolí v rámci předplatného, skupiny prostředků a oborů prostředků. Způsobilá přiřazení rolí a přiřazení rolí naplánovaná v budoucnu se do tohoto limitu nezapočítávají. Abyste si mohli udržet přehled o tomto limitu, karta Přiřazení rolí obsahuje graf, který uvádí počet přiřazení rolí pro aktuální předplatné.

Snímek obrazovky s grafem Řízení přístupu a počtu přiřazení rolí

Pokud se blížíte maximálnímu počtu a pokusíte se přidat další přiřazení rolí, zobrazí se v podokně Přidat přiřazení role upozornění. Způsoby, jak snížit počet přiřazení rolí, najdete v tématu Řešení potíží s limity Azure RBAC.

Snímek obrazovky s upozorněním řízení přístupu a přidáním přiřazení role

Stažení přiřazení rolí

Přiřazení rolí můžete stáhnout v oboru ve formátech CSV nebo JSON. To může být užitečné, pokud potřebujete zkontrolovat seznam v tabulce nebo provést inventarizaci při migraci předplatného.

Při stahování přiřazení rolí byste měli mít na paměti následující kritéria:

  • Pokud nemáte oprávnění ke čtení adresáře, například role Čtenář adresáře, sloupce DisplayName, SignInName a ObjectType budou prázdné.
  • Přiřazení rolí, jejichž objekt zabezpečení byl odstraněn, nejsou zahrnuta.
  • Přístup udělený klasickým správcům není zahrnutý.

Při stahování přiřazení rolí v oboru postupujte takto.

  1. Na webu Azure Portal klikněte na Všechny služby a vyberte obor, do kterého chcete stáhnout přiřazení rolí. Můžete například vybrat skupiny pro správu, předplatná, skupiny prostředků nebo prostředek.

  2. Klikněte na konkrétní prostředek.

  3. Klikněte na Řízení přístupu (IAM).

  4. Kliknutím na tlačítko Stáhnout přiřazení rolí otevřete podokno Stáhnout přiřazení rolí.

    Snímek obrazovky s řízením přístupu a stahováním přiřazení rolí

  5. Pomocí zaškrtávacích políček vyberte přiřazení rolí, která chcete zahrnout do staženého souboru.

    • Zděděno – Zahrnutí zděděných přiřazení rolí pro aktuální obor
    • V aktuálním oboru – zahrnutí přiřazení rolí pro aktuální obor
    • Podřízené položky – Zahrňte přiřazení rolí na úrovních pod aktuálním oborem. Toto políčko je zakázané pro obor skupiny pro správu.
  6. Vyberte formát souboru, který může být hodnoty oddělené čárkami (CSV) nebo JavaScript Object Notation (JSON).

  7. Zadejte název souboru.

  8. Kliknutím na Tlačítko Start spustíte stahování.

    Následující příklad ukazuje příklady výstupu pro každý formát souboru.

    Snímek obrazovky s přiřazeními rolí ke stažení ve formátu CSV

    Snímek obrazovky se staženými přiřazeními rolí jako ve formátu JSON