Partager via

Utiliser des stratégies de gestion des rôles pour gérer les règles de chaque rôle au sein de chaque ressource

  • Article

Les stratégies de gestion des rôles vous aident à régir les règles pour toute demande d’éligibilité de rôle ou demande d’attribution de rôle. Par exemple, vous pouvez définir la durée maximale pendant laquelle une affectation peut être active, ou vous pouvez même autoriser l’affectation permanente. Vous pouvez mettre à jour les paramètres de notification pour chaque affectation. Vous pouvez également définir des approbateurs pour chaque activation de rôle.

Répertorier les stratégies de gestion des rôles pour une ressource

Pour répertorier les stratégies de gestion des rôles, vous pouvez utiliser l’API REST De gestion des rôles - Liste pour l’étendue . Pour affiner vos résultats, vous spécifiez une étendue et un filtre facultatif. Pour appeler cette API, vous devez avoir accès à l’opération Microsoft.Authorization/roleAssignments/read dans l’étendue spécifiée. Tous les rôles intégrés ont accès à cette opération.

Important

Vous n’avez pas besoin de créer des stratégies de gestion des rôles, car chaque rôle au sein de chaque ressource a une stratégie par défaut

  1. Commencez par la requête suivante :

    GET https://management.azure.com/{scope}/providers/Microsoft.Authorization/roleManagementPolicies?api-version=2020-10-01&$filter={filter}

  2. Dans l’URI, remplacez {scope} par l’étendue pour laquelle vous souhaitez répertorier les stratégies de gestion des rôles.

    Étendue Type
    providers/Microsoft.Management/managementGroups/{mg-name} Groupe d’administration
    subscriptions/{subscriptionId} Abonnement
    subscriptions/{subscriptionId}/resourceGroups/myresourcegroup1 Resource group
    subscriptions/{subscriptionId}/resourceGroups/myresourcegroup1/providers/Microsoft.Web/sites/mysite1 Ressource

  3. Remplacez {filter} par la condition que vous voulez appliquer pour filtrer la liste des attributions de rôle.

    Filtrer Description
    $filter=roleDefinitionId%20eq%20'{scope}/providers/Microsoft.Authorization/roleDefinitions/{roleDefinitionId}' Répertoriez la stratégie de gestion des rôles pour une définition de rôle spécifiée dans l’étendue des ressources.

Mettre à jour une stratégie de gestion des rôles

  1. Choisissez la ou les règles que vous souhaitez mettre à jour. Il s’agit des types de règle :

    Type de règle Description
    RoleManagementPolicyEnablementRule Activer l’authentification multifacteur, la justification sur les affectations ou les informations de ticketing
    RoleManagementPolicyExpirationRule Spécifier la durée maximale d’une attribution ou d’une activation de rôle
    RoleManagementPolicyNotificationRule Configurer les paramètres de notification par e-mail pour les affectations, les activations et les approbations
    RoleManagementPolicyApprovalRule Configurer les paramètres d’approbation pour une activation de rôle
    RoleManagementPolicyAuthenticationContextRule Configurer la règle ACRS pour la stratégie d’accès conditionnel

  2. Utilisez la requête suivante :

    PATCH https://management.azure.com/{scope}/providers/Microsoft.Authorization/roleManagementPolicies/{roleManagementPolicyId}?api-version=2020-10-01

    {
  "properties": {
    "rules": [
      {
        "isExpirationRequired": false,
        "maximumDuration": "P180D",
        "id": "Expiration_Admin_Eligibility",
        "ruleType": "RoleManagementPolicyExpirationRule",
        "target": {
          "caller": "Admin",
          "operations": [
            "All"
          ],
          "level": "Eligibility",
          "targetObjects": null,
          "inheritableSettings": null,
          "enforcedSettings": null
        }
      },
      {
        "notificationType": "Email",
        "recipientType": "Admin",
        "isDefaultRecipientsEnabled": false,
        "notificationLevel": "Critical",
        "notificationRecipients": [
          "admin_admin_eligible@test.com"
        ],
        "id": "Notification_Admin_Admin_Eligibility",
        "ruleType": "RoleManagementPolicyNotificationRule",
        "target": {
          "caller": "Admin",
          "operations": [
            "All"
          ],
          "level": "Eligibility",
          "targetObjects": null,
          "inheritableSettings": null,
          "enforcedSettings": null
        }
      },
      {
        "enabledRules": [
          "Justification",
          "MultiFactorAuthentication",
          "Ticketing"
        ],
        "id": "Enablement_EndUser_Assignment",
        "ruleType": "RoleManagementPolicyEnablementRule",
        "target": {
          "caller": "EndUser",
          "operations": [
            "All"
          ],
          "level": "Assignment",
          "targetObjects": null,
          "inheritableSettings": null,
          "enforcedSettings": null
        }
      },
      {
        "setting": {
          "isApprovalRequired": true,
          "isApprovalRequiredForExtension": false,
          "isRequestorJustificationRequired": true,
          "approvalMode": "SingleStage",
          "approvalStages": [
            {
              "approvalStageTimeOutInDays": 1,
              "isApproverJustificationRequired": true,
              "escalationTimeInMinutes": 0,
              "primaryApprovers": [
                {
                  "id": "2385b0f3-5fa9-43cf-8ca4-b01dc97298cd",
                  "description": "amansw_new_group",
                  "isBackup": false,
                  "userType": "Group"
                }
              ],
              "isEscalationEnabled": false,
              "escalationApprovers": null
            }
          ]
        },
        "id": "Approval_EndUser_Assignment",
        "ruleType": "RoleManagementPolicyApprovalRule",
        "target": {
          "caller": "EndUser",
          "operations": [
            "All"
          ],
          "level": "Assignment",
          "targetObjects": null,
          "inheritableSettings": null,
          "enforcedSettings": null
        }
      }
    ]
  }
}