Hier volgen de instellingen voor het toevoegen van deze voorwaarde met behulp van Azure Portal en de voorwaarde-editor.
Als u zowel de acties voor het toevoegen als verwijderen van roltoewijzing wilt toepassen, moet u twee voorwaarden toevoegen. U moet twee voorwaarden toevoegen omdat de kenmerkbron voor elke actie anders is. Als u beide acties in dezelfde voorwaarde probeert te richten, kunt u geen expressie toevoegen. Zie Symptom - No options available error voor meer informatie.
Met deze voorwaarde kan een gedelegeerde alleen roltoewijzingen toevoegen of verwijderen voor de rollen Back-upbijdrager of Back-uplezer . De gedelegeerde kan deze rollen ook alleen toewijzen aan principals van het type gebruiker of groep.
U moet deze voorwaarde toevoegen aan roltoewijzingen voor de gemachtigde die de volgende acties bevat.
Hier volgen de instellingen voor het toevoegen van deze voorwaarde met behulp van Azure Portal en de voorwaarde-editor.
Als u zowel de acties voor het toevoegen als verwijderen van roltoewijzing wilt toepassen, moet u twee voorwaarden toevoegen. U moet twee voorwaarden toevoegen omdat de kenmerkbron voor elke actie anders is. Als u beide acties in dezelfde voorwaarde probeert te richten, kunt u geen expressie toevoegen. Zie Symptom - No options available error voor meer informatie.
(
(
!(ActionMatches{'Microsoft.Authorization/roleAssignments/write'})
)
OR
(
@Request[Microsoft.Authorization/roleAssignments:RoleDefinitionId] ForAnyOfAnyValues:GuidEquals {5e467623-bb1f-42f4-a55d-6e525e11384b, a795c7a0-d4a2-40c1-ae25-d81f01202912}
AND
@Request[Microsoft.Authorization/roleAssignments:PrincipalType] ForAnyOfAnyValues:StringEqualsIgnoreCase {'User', 'Group'}
)
)
AND
(
(
!(ActionMatches{'Microsoft.Authorization/roleAssignments/delete'})
)
OR
(
@Resource[Microsoft.Authorization/roleAssignments:RoleDefinitionId] ForAnyOfAnyValues:GuidEquals {5e467623-bb1f-42f4-a55d-6e525e11384b, a795c7a0-d4a2-40c1-ae25-d81f01202912}
AND
@Resource[Microsoft.Authorization/roleAssignments:PrincipalType] ForAnyOfAnyValues:StringEqualsIgnoreCase {'User', 'Group'}
)
)
U kunt deze voorwaarde als volgt toevoegen met behulp van Azure PowerShell.
$roleDefinitionId = "f58310d9-a9f6-439a-9e8d-f62e7b41a168"
$principalId = "<principalId>"
$scope = "/subscriptions/<subscriptionId>"
$condition = "((!(ActionMatches{'Microsoft.Authorization/roleAssignments/write'})) OR (@Request[Microsoft.Authorization/roleAssignments:RoleDefinitionId] ForAnyOfAnyValues:GuidEquals {5e467623-bb1f-42f4-a55d-6e525e11384b, a795c7a0-d4a2-40c1-ae25-d81f01202912} AND @Request[Microsoft.Authorization/roleAssignments:PrincipalType] ForAnyOfAnyValues:StringEqualsIgnoreCase {'User', 'Group'})) AND ((!(ActionMatches{'Microsoft.Authorization/roleAssignments/delete'})) OR (@Resource[Microsoft.Authorization/roleAssignments:RoleDefinitionId] ForAnyOfAnyValues:GuidEquals {5e467623-bb1f-42f4-a55d-6e525e11384b, a795c7a0-d4a2-40c1-ae25-d81f01202912} AND @Resource[Microsoft.Authorization/roleAssignments:PrincipalType] ForAnyOfAnyValues:StringEqualsIgnoreCase {'User', 'Group'}))"
$conditionVersion = "2.0"
New-AzRoleAssignment -ObjectId $principalId -Scope $scope -RoleDefinitionId $roleDefinitionId -Condition $condition -ConditionVersion $conditionVersion
Voorbeeld: Rollen en specifieke groepen beperken
Met deze voorwaarde kan een gedelegeerde alleen roltoewijzingen toevoegen of verwijderen voor de rollen Back-upbijdrager of Back-uplezer . De gedelegeerde kan deze rollen ook alleen toewijzen aan specifieke groepen met de naam Marketing (28c35fea-2099-4cf5-8ad9-473547bc9423) of Sales (86951b8b-723a-407b-a74a-1bca3f0c95d0).
U moet deze voorwaarde toevoegen aan roltoewijzingen voor de gemachtigde die de volgende acties bevat.
Hier volgen de instellingen voor het toevoegen van deze voorwaarde met behulp van Azure Portal en de voorwaarde-editor.
Als u zowel de acties voor het toevoegen als verwijderen van roltoewijzing wilt toepassen, moet u twee voorwaarden toevoegen. U moet twee voorwaarden toevoegen omdat de kenmerkbron voor elke actie anders is. Als u beide acties in dezelfde voorwaarde probeert te richten, kunt u geen expressie toevoegen. Zie Symptom - No options available error voor meer informatie.
(
(
!(ActionMatches{'Microsoft.Authorization/roleAssignments/write'})
)
OR
(
@Request[Microsoft.Authorization/roleAssignments:RoleDefinitionId] ForAnyOfAnyValues:GuidEquals {5e467623-bb1f-42f4-a55d-6e525e11384b, a795c7a0-d4a2-40c1-ae25-d81f01202912}
AND
@Request[Microsoft.Authorization/roleAssignments:PrincipalId] ForAnyOfAnyValues:GuidEquals {28c35fea-2099-4cf5-8ad9-473547bc9423, 86951b8b-723a-407b-a74a-1bca3f0c95d0}
)
)
AND
(
(
!(ActionMatches{'Microsoft.Authorization/roleAssignments/delete'})
)
OR
(
@Resource[Microsoft.Authorization/roleAssignments:RoleDefinitionId] ForAnyOfAnyValues:GuidEquals {5e467623-bb1f-42f4-a55d-6e525e11384b, a795c7a0-d4a2-40c1-ae25-d81f01202912}
AND
@Resource[Microsoft.Authorization/roleAssignments:PrincipalId] ForAnyOfAnyValues:GuidEquals {28c35fea-2099-4cf5-8ad9-473547bc9423, 86951b8b-723a-407b-a74a-1bca3f0c95d0}
)
)
U kunt deze voorwaarde als volgt toevoegen met behulp van Azure PowerShell.
$roleDefinitionId = "f58310d9-a9f6-439a-9e8d-f62e7b41a168"
$principalId = "<principalId>"
$scope = "/subscriptions/<subscriptionId>"
$condition = "((!(ActionMatches{'Microsoft.Authorization/roleAssignments/write'})) OR (@Request[Microsoft.Authorization/roleAssignments:RoleDefinitionId] ForAnyOfAnyValues:GuidEquals {5e467623-bb1f-42f4-a55d-6e525e11384b, a795c7a0-d4a2-40c1-ae25-d81f01202912} AND @Request[Microsoft.Authorization/roleAssignments:PrincipalId] ForAnyOfAnyValues:GuidEquals {28c35fea-2099-4cf5-8ad9-473547bc9423, 86951b8b-723a-407b-a74a-1bca3f0c95d0})) AND ((!(ActionMatches{'Microsoft.Authorization/roleAssignments/delete'})) OR (@Resource[Microsoft.Authorization/roleAssignments:RoleDefinitionId] ForAnyOfAnyValues:GuidEquals {5e467623-bb1f-42f4-a55d-6e525e11384b, a795c7a0-d4a2-40c1-ae25-d81f01202912} AND @Resource[Microsoft.Authorization/roleAssignments:PrincipalId] ForAnyOfAnyValues:GuidEquals {28c35fea-2099-4cf5-8ad9-473547bc9423, 86951b8b-723a-407b-a74a-1bca3f0c95d0}))"
$conditionVersion = "2.0"
New-AzRoleAssignment -ObjectId $principalId -Scope $scope -RoleDefinitionId $roleDefinitionId -Condition $condition -ConditionVersion $conditionVersion
Voorbeeld: Beheer van virtuele machines beperken
Met deze voorwaarde kan een gemachtigde alleen roltoewijzingen toevoegen of verwijderen voor de roltoewijzingen van de virtuele machine Beheer istratoraanmelding of gebruikersaanmeldingsrollen voor virtuele machines. De gedelegeerde kan deze rollen ook alleen toewijzen aan een specifieke gebruiker met de naam Dara (ea585310-c95c-4a68-af22-49af4363bbb1).
Deze voorwaarde is handig als u wilt toestaan dat een gemachtigde een aanmeldingsrol van een virtuele machine aan zichzelf toewijst voor een virtuele machine die ze zojuist hebben gemaakt.
U moet deze voorwaarde toevoegen aan roltoewijzingen voor de gemachtigde die de volgende acties bevat.
Hier volgen de instellingen voor het toevoegen van deze voorwaarde met behulp van Azure Portal en de voorwaarde-editor.
Als u zowel de acties voor het toevoegen als verwijderen van roltoewijzing wilt toepassen, moet u twee voorwaarden toevoegen. U moet twee voorwaarden toevoegen omdat de kenmerkbron voor elke actie anders is. Als u beide acties in dezelfde voorwaarde probeert te richten, kunt u geen expressie toevoegen. Zie Symptom - No options available error voor meer informatie.
Deze voorwaarde is handig als u wilt toestaan dat een gemachtigde azure Kubernetes Service -clustergegevensvlakrollen (AKS) aan zichzelf toewijst voor een cluster dat ze zojuist hebben gemaakt.
U moet deze voorwaarde toevoegen aan roltoewijzingen voor de gemachtigde die de volgende acties bevat.
Hier volgen de instellingen voor het toevoegen van deze voorwaarde met behulp van Azure Portal en de voorwaarde-editor.
Als u zowel de acties voor het toevoegen als verwijderen van roltoewijzing wilt toepassen, moet u twee voorwaarden toevoegen. U moet twee voorwaarden toevoegen omdat de kenmerkbron voor elke actie anders is. Als u beide acties in dezelfde voorwaarde probeert te richten, kunt u geen expressie toevoegen. Zie Symptom - No options available error voor meer informatie.
(
(
!(ActionMatches{'Microsoft.Authorization/roleAssignments/write'})
)
OR
(
@Request[Microsoft.Authorization/roleAssignments:RoleDefinitionId] ForAnyOfAnyValues:GuidEquals {3498e952-d568-435e-9b2c-8d77e338d7f7, b1ff04bb-8a4e-4dc4-8eb5-8693973ce19b, 7f6c6a51-bcf8-42ba-9220-52d62157d7db, a7ffa36f-339b-4b5c-8bdf-e2c188b2c0eb}
AND
@Request[Microsoft.Authorization/roleAssignments:PrincipalId] ForAnyOfAnyValues:GuidEquals {ea585310-c95c-4a68-af22-49af4363bbb1}
)
)
AND
(
(
!(ActionMatches{'Microsoft.Authorization/roleAssignments/delete'})
)
OR
(
@Resource[Microsoft.Authorization/roleAssignments:RoleDefinitionId] ForAnyOfAnyValues:GuidEquals {3498e952-d568-435e-9b2c-8d77e338d7f7, b1ff04bb-8a4e-4dc4-8eb5-8693973ce19b, 7f6c6a51-bcf8-42ba-9220-52d62157d7db, a7ffa36f-339b-4b5c-8bdf-e2c188b2c0eb}
AND
@Resource[Microsoft.Authorization/roleAssignments:PrincipalId] ForAnyOfAnyValues:GuidEquals {ea585310-c95c-4a68-af22-49af4363bbb1}
)
)
U kunt deze voorwaarde als volgt toevoegen met behulp van Azure PowerShell.
$roleDefinitionId = "f58310d9-a9f6-439a-9e8d-f62e7b41a168"
$principalId = "<principalId>"
$scope = "/subscriptions/<subscriptionId>"
$condition = "((!(ActionMatches{'Microsoft.Authorization/roleAssignments/write'})) OR (@Request[Microsoft.Authorization/roleAssignments:RoleDefinitionId] ForAnyOfAnyValues:GuidEquals {3498e952-d568-435e-9b2c-8d77e338d7f7, b1ff04bb-8a4e-4dc4-8eb5-8693973ce19b, 7f6c6a51-bcf8-42ba-9220-52d62157d7db, a7ffa36f-339b-4b5c-8bdf-e2c188b2c0eb} AND @Request[Microsoft.Authorization/roleAssignments:PrincipalId] ForAnyOfAnyValues:GuidEquals {ea585310-c95c-4a68-af22-49af4363bbb1})) AND ((!(ActionMatches{'Microsoft.Authorization/roleAssignments/delete'})) OR (@Resource[Microsoft.Authorization/roleAssignments:RoleDefinitionId] ForAnyOfAnyValues:GuidEquals {3498e952-d568-435e-9b2c-8d77e338d7f7, b1ff04bb-8a4e-4dc4-8eb5-8693973ce19b, 7f6c6a51-bcf8-42ba-9220-52d62157d7db, a7ffa36f-339b-4b5c-8bdf-e2c188b2c0eb} AND @Resource[Microsoft.Authorization/roleAssignments:PrincipalId] ForAnyOfAnyValues:GuidEquals {ea585310-c95c-4a68-af22-49af4363bbb1}))"
$conditionVersion = "2.0"
New-AzRoleAssignment -ObjectId $principalId -Scope $scope -RoleDefinitionId $roleDefinitionId -Condition $condition -ConditionVersion $conditionVersion
Voorbeeld: ACR-beheer beperken
Met deze voorwaarde kan een gedelegeerde alleen roltoewijzingen toevoegen of verwijderen voor de AcrPull-rol . De gedelegeerde kan deze rollen ook alleen toewijzen aan principals van het type service-principal.
Deze voorwaarde is handig als u wilt dat een ontwikkelaar de AcrPull-rol zelf toewijst aan een beheerde identiteit, zodat deze installatiekopieën kan ophalen uit azure Container Registry (ACR).
U moet deze voorwaarde toevoegen aan roltoewijzingen voor de gemachtigde die de volgende acties bevat.
Hier volgen de instellingen voor het toevoegen van deze voorwaarde met behulp van Azure Portal en de voorwaarde-editor.
Als u zowel de acties voor het toevoegen als verwijderen van roltoewijzing wilt toepassen, moet u twee voorwaarden toevoegen. U moet twee voorwaarden toevoegen omdat de kenmerkbron voor elke actie anders is. Als u beide acties in dezelfde voorwaarde probeert te richten, kunt u geen expressie toevoegen. Zie Symptom - No options available error voor meer informatie.
(
(
!(ActionMatches{'Microsoft.Authorization/roleAssignments/write'})
)
OR
(
@Request[Microsoft.Authorization/roleAssignments:RoleDefinitionId] ForAnyOfAnyValues:GuidEquals {7f951dda-4ed3-4680-a7ca-43fe172d538d}
AND
@Request[Microsoft.Authorization/roleAssignments:PrincipalType] ForAnyOfAnyValues:StringEqualsIgnoreCase {'ServicePrincipal'}
)
)
AND
(
(
!(ActionMatches{'Microsoft.Authorization/roleAssignments/delete'})
)
OR
(
@Resource[Microsoft.Authorization/roleAssignments:RoleDefinitionId] ForAnyOfAnyValues:GuidEquals {7f951dda-4ed3-4680-a7ca-43fe172d538d}
AND
@Resource[Microsoft.Authorization/roleAssignments:PrincipalType] ForAnyOfAnyValues:StringEqualsIgnoreCase {'ServicePrincipal'}
)
)
U kunt deze voorwaarde als volgt toevoegen met behulp van Azure PowerShell.
$roleDefinitionId = "f58310d9-a9f6-439a-9e8d-f62e7b41a168"
$principalId = "<principalId>"
$scope = "/subscriptions/<subscriptionId>"
$condition = "((!(ActionMatches{'Microsoft.Authorization/roleAssignments/write'})) OR (@Request[Microsoft.Authorization/roleAssignments:RoleDefinitionId] ForAnyOfAnyValues:GuidEquals {7f951dda-4ed3-4680-a7ca-43fe172d538d} AND @Request[Microsoft.Authorization/roleAssignments:PrincipalType] ForAnyOfAnyValues:StringEqualsIgnoreCase {'ServicePrincipal'})) AND ((!(ActionMatches{'Microsoft.Authorization/roleAssignments/delete'})) OR (@Resource[Microsoft.Authorization/roleAssignments:RoleDefinitionId] ForAnyOfAnyValues:GuidEquals {7f951dda-4ed3-4680-a7ca-43fe172d538d} AND @Resource[Microsoft.Authorization/roleAssignments:PrincipalType] ForAnyOfAnyValues:StringEqualsIgnoreCase {'ServicePrincipal'}))"
$conditionVersion = "2.0"
New-AzRoleAssignment -ObjectId $principalId -Scope $scope -RoleDefinitionId $roleDefinitionId -Condition $condition -ConditionVersion $conditionVersion
Voorbeeld: Roltoewijzingen toevoegen beperken
Met deze voorwaarde kan een gedelegeerde alleen roltoewijzingen toevoegen voor de rollen Back-upbijdrager of Back-uplezer . De gedelegeerde kan roltoewijzingen verwijderen.
U moet deze voorwaarde toevoegen aan roltoewijzingen voor de gedelegeerde die de volgende actie bevat.
Deze voorwaarde is handig als u wilt toestaan dat een gemachtigde de meeste rollen toewijst, maar de gedelegeerde niet toestaat dat anderen rollen kunnen toewijzen.
Notitie
Deze voorwaarde moet met voorzichtigheid worden gebruikt. Als er later een nieuwe ingebouwde of aangepaste rol wordt toegevoegd met de machtiging voor het maken van roltoewijzingen, voorkomt deze voorwaarde niet dat de gedelegeerde rollen toewijst. De voorwaarde moet worden bijgewerkt om de nieuwe ingebouwde of aangepaste rol op te nemen.
U moet deze voorwaarde toevoegen aan roltoewijzingen voor de gemachtigde die de volgende acties bevat.
Hier volgen de instellingen voor het toevoegen van deze voorwaarde met behulp van Azure Portal en de voorwaarde-editor.
Als u zowel de acties voor het toevoegen als verwijderen van roltoewijzing wilt toepassen, moet u twee voorwaarden toevoegen. U moet twee voorwaarden toevoegen omdat de kenmerkbron voor elke actie anders is. Als u beide acties in dezelfde voorwaarde probeert te richten, kunt u geen expressie toevoegen. Zie Symptom - No options available error voor meer informatie.
