Een aangepaste rol maken voor Azure Stack Hub-registratie
Waarschuwing
Dit is geen functie voor beveiligingspostuur. Gebruik deze in scenario's waarin u beperkingen wilt gebruiken om onbedoelde wijzigingen in het Azure-abonnement te voorkomen. Wanneer een gebruiker rechten heeft voor deze aangepaste rol, heeft de gebruiker rechten om machtigingen te bewerken en rechten te verhogen. Wijs alleen gebruikers toe die u vertrouwt aan de aangepaste rol.
Tijdens de registratie van Azure Stack Hub moet u zich aanmelden met een Microsoft Entra-account. Voor het account zijn de volgende Microsoft Entra-machtigingen en Azure-abonnementsmachtigingen vereist:
App-registratiemachtigingen in uw Microsoft Entra-tenant: beheerders hebben app-registratiemachtigingen. De machtiging voor gebruikers is een globale instelling voor alle gebruikers in de tenant. Als u de instelling wilt bekijken of wijzigen, raadpleegt u een Microsoft Entra-app en service-principal maken die toegang heeft tot resources.
De gebruiker kan de instelling voor toepassingen registreren, moet zijn ingesteld op Ja , zodat u een gebruikersaccount kunt inschakelen om Azure Stack Hub te registreren.
Een set van voldoende Machtigingen voor Azure-abonnementen: gebruikers die deel uitmaken van de rol Eigenaar hebben voldoende machtigingen. Voor andere accounts kunt u de machtigingenset toewijzen door een aangepaste rol toe te wijzen, zoals wordt beschreven in de volgende secties.
In plaats van een account met eigenaarsmachtigingen in het Azure-abonnement te gebruiken, kunt u een aangepaste rol maken om machtigingen toe te wijzen aan een gebruikersaccount met minder bevoegdheden. Dit account kan vervolgens worden gebruikt om uw Azure Stack Hub te registreren.
Een aangepaste rol maken met PowerShell
Als u een aangepaste rol wilt maken, moet u over de Microsoft.Authorization/roleDefinitions/write machtiging beschikken, AssignableScopeszoals Eigenaar of Beheerder voor gebruikerstoegang. Gebruik de volgende JSON-sjabloon om het maken van de aangepaste rol te vereenvoudigen. De sjabloon maakt een aangepaste rol die de vereiste lees- en schrijftoegang toestaat voor Azure Stack Hub-registratie.
Maak een JSON-bestand. Bijvoorbeeld:
C:\CustomRoles\registrationrole.json.Voeg de volgende JSON-code toe aan het bestand. Vervang
<SubscriptionID>door de id van uw Azure-abonnement.{ "Name": "Azure Stack Hub registration role", "Id": null, "IsCustom": true, "Description": "Allows access to register Azure Stack Hub", "Actions": [ "Microsoft.Resources/subscriptions/resourceGroups/write", "Microsoft.Resources/subscriptions/resourceGroups/read", "Microsoft.AzureStack/registrations/*", "Microsoft.AzureStack/register/action", "Microsoft.Authorization/roleAssignments/read", "Microsoft.Authorization/roleAssignments/write", "Microsoft.Authorization/roleAssignments/delete", "Microsoft.Authorization/permissions/read", "Microsoft.Authorization/locks/read", "Microsoft.Authorization/locks/write" ], "NotActions": [ ], "AssignableScopes": [ "/subscriptions/<SubscriptionID>" ] }Maak in PowerShell verbinding met Azure om Azure Resource Manager te gebruiken. Wanneer u hierom wordt gevraagd, moet u zich verifiëren met behulp van een account met voldoende machtigingen, zoals Eigenaar of Beheerder voor gebruikerstoegang.
Connect-AzAccountAls u de aangepaste rol wilt maken, gebruikt u New-AzRoleDefinition waarmee u het JSON-sjabloonbestand opgeeft.
New-AzRoleDefinition -InputFile "C:\CustomRoles\registrationrole.json"
Een gebruiker toewijzen aan de registratierol
Nadat de aangepaste registratierol is gemaakt, wijst u de rol toe aan het gebruikersaccount dat wordt gebruikt voor het registreren van Azure Stack Hub.
Meld u aan met het account met voldoende machtigingen voor het Azure-abonnement om rechten te delegeren, zoals Eigenaar of Beheerder van gebruikerstoegang.
Selecteer in Abonnementen toegangsbeheer (IAM) > Roltoewijzing toevoegen.
Kies in Rol de aangepaste rol die u hebt gemaakt: Azure Stack Hub-registratierol.
Selecteer de gebruikers die u aan de rol wilt toewijzen.
Selecteer Opslaan om de geselecteerde gebruikers toe te wijzen aan de rol.
Zie Toegang beheren met RBAC en Azure Portal voor meer informatie over het gebruik van aangepaste rollen.