Použití zásad správy rolí ke správě pravidel pro jednotlivé role v rámci jednotlivých prostředků

Zásady správy rolí vám pomůžou řídit pravidla pro jakoukoli žádost o způsobilost role nebo žádost o přiřazení role. Můžete například nastavit maximální dobu trvání, po kterou může být přiřazení aktivní, nebo můžete dokonce povolit trvalé přiřazení. Nastavení oznámení můžete aktualizovat pro každé přiřazení. Můžete také nastavit schvalovatele pro každou aktivaci role.

Výpis zásad správy rolí pro prostředek

K výpisu zásad správy rolí můžete použít zásady správy rolí – seznam pro obor rozhraní REST API. Pokud chcete upřesnit výsledky, zadejte obor a volitelný filtr. Pokud chcete volat rozhraní API, musíte mít přístup k Microsoft.Authorization/roleAssignments/read operaci v zadaném oboru. Přístup k této operaci se udělí všem předdefinovaným rolím .

Důležité

Nemusíte vytvářet zásady správy rolí, protože každá role v rámci každého prostředku má výchozí zásady.

1. Začněte následujícím požadavkem:

   GET https://management.azure.com/{scope}/providers/Microsoft.Authorization/roleManagementPolicies?api-version=2020-10-01&$filter={filter}
   

2. V rámci identifikátoru URI nahraďte {scope} oborem, pro který chcete vypsat zásady správy rolí.

   Obor	Typ
   providers/Microsoft.Management/managementGroups/{mg-name}	Skupina pro správu
   subscriptions/{subscriptionId}	Předplatné
   subscriptions/{subscriptionId}/resourceGroups/myresourcegroup1	Skupina prostředků
   subscriptions/{subscriptionId}/resourceGroups/myresourcegroup1/providers/Microsoft.Web/sites/mysite1	Prostředek

3. Nahraďte {filter} podmínkou, kterou chcete použít pro filtrování seznamu přiřazení rolí.

   Filtrovat	Description
   $filter=roleDefinitionId%20eq%20'{scope}/providers/Microsoft.Authorization/roleDefinitions/{roleDefinitionId}'	Vypište zásady správy rolí pro zadanou definici role v rámci oboru prostředku.

Aktualizace zásad správy rolí

1. Zvolte pravidla, která chcete aktualizovat. Jedná se o typy pravidel :

   Typ pravidla	Description
   RoleManagementPolicyEnablementRule	Povolení vícefaktorového ověřování, odůvodnění přiřazení nebo informací o vytváření lístků
   RoleManagementPolicyExpirationRule	Určení maximální doby trvání přiřazení role nebo aktivace
   RoleManagementPolicyNotificationRule	Konfigurace nastavení e-mailových oznámení pro přiřazení, aktivace a schválení
   RoleManagementPolicyApprovalRule	Konfigurace nastavení schválení pro aktivaci role
   RoleManagementPolicyAuthenticationContextRule	Konfigurace pravidla ACRS pro zásady podmíněného přístupu

2. Použijte následující žádost:

   PATCH https://management.azure.com/{scope}/providers/Microsoft.Authorization/roleManagementPolicies/{roleManagementPolicyId}?api-version=2020-10-01
   

   {
     "properties": {
       "rules": [
         {
           "isExpirationRequired": false,
           "maximumDuration": "P180D",
           "id": "Expiration_Admin_Eligibility",
           "ruleType": "RoleManagementPolicyExpirationRule",
           "target": {
             "caller": "Admin",
             "operations": [
               "All"
             ],
             "level": "Eligibility",
             "targetObjects": null,
             "inheritableSettings": null,
             "enforcedSettings": null
           }
         },
         {
           "notificationType": "Email",
           "recipientType": "Admin",
           "isDefaultRecipientsEnabled": false,
           "notificationLevel": "Critical",
           "notificationRecipients": [
             "admin_admin_eligible@test.com"
           ],
           "id": "Notification_Admin_Admin_Eligibility",
           "ruleType": "RoleManagementPolicyNotificationRule",
           "target": {
             "caller": "Admin",
             "operations": [
               "All"
             ],
             "level": "Eligibility",
             "targetObjects": null,
             "inheritableSettings": null,
             "enforcedSettings": null
           }
         },
         {
           "enabledRules": [
             "Justification",
             "MultiFactorAuthentication",
             "Ticketing"
           ],
           "id": "Enablement_EndUser_Assignment",
           "ruleType": "RoleManagementPolicyEnablementRule",
           "target": {
             "caller": "EndUser",
             "operations": [
               "All"
             ],
             "level": "Assignment",
             "targetObjects": null,
             "inheritableSettings": null,
             "enforcedSettings": null
           }
         },
         {
           "setting": {
             "isApprovalRequired": true,
             "isApprovalRequiredForExtension": false,
             "isRequestorJustificationRequired": true,
             "approvalMode": "SingleStage",
             "approvalStages": [
               {
                 "approvalStageTimeOutInDays": 1,
                 "isApproverJustificationRequired": true,
                 "escalationTimeInMinutes": 0,
                 "primaryApprovers": [
                   {
                     "id": "2385b0f3-5fa9-43cf-8ca4-b01dc97298cd",
                     "description": "amansw_new_group",
                     "isBackup": false,
                     "userType": "Group"
                   }
                 ],
                 "isEscalationEnabled": false,
                 "escalationApprovers": null
               }
             ]
           },
           "id": "Approval_EndUser_Assignment",
           "ruleType": "RoleManagementPolicyApprovalRule",
           "target": {
             "caller": "EndUser",
             "operations": [
               "All"
             ],
             "level": "Assignment",
             "targetObjects": null,
             "inheritableSettings": null,
             "enforcedSettings": null
           }
         }
       ]
     }
   }