Azure-roltoewijzingsbeheer delegeren aan anderen met voorwaarden
Als beheerder krijgt u mogelijk verschillende aanvragen om toegang te verlenen tot Azure-resources die u aan iemand anders wilt delegeren. U kunt een gebruiker de rollen Eigenaar of Gebruikerstoegang toewijzen Beheer istrator, maar dit zijn rollen met hoge bevoegdheden. In dit artikel wordt een veiligere manier beschreven om roltoewijzingsbeheer te delegeren aan andere gebruikers in uw organisatie, maar beperkingen voor deze roltoewijzingen toe te voegen. U kunt bijvoorbeeld de rollen beperken waaraan de principals kunnen worden toegewezen of waaraan de rollen kunnen worden toegewezen.
In het volgende diagram ziet u hoe een gemachtigde met voorwaarden alleen de rollen Back-upbijdrager of Back-uplezer kan toewijzen aan alleen de groepen Marketing of Verkoop.
Vereisten
Als u Azure-rollen wilt toewijzen, hebt u het volgende nodig:
Microsoft.Authorization/roleAssignments/write
machtigingen, zoals op rollen gebaseerd toegangsbeheer Beheer istrator of gebruikerstoegang Beheer istrator
Stap 1: Bepaal de machtigingen die de gedelegeerde nodig heeft
Beantwoord de volgende vragen om de machtigingen te bepalen die de gedelegeerde nodig heeft:
- Welke rollen kan de gedelegeerde toewijzen?
- Aan welke typen principals kan de gedelegeerde rollen toewijzen?
- Aan welke principals kan de gedelegeerde rollen toewijzen?
- Kan de gedelegeerde roltoewijzingen verwijderen?
Zodra u weet welke machtigingen gedelegeerde nodig heeft, gebruikt u de volgende stappen om een voorwaarde toe te voegen aan de roltoewijzing van de gedelegeerde. Zie voorbeelden voor het delegeren van Azure-roltoewijzingsbeheer met voorwaarden.
Stap 2: Een nieuwe roltoewijzing starten
Meld u aan bij het Azure-portaal.
Volg de stappen om de pagina Roltoewijzing toevoegen te openen.
Selecteer op het tabblad Rollen het tabblad Bevoorrechte beheerdersrollen .
Selecteer de rol Op rollen gebaseerd toegangsbeheer Beheer istrator.
Het tabblad Voorwaarden wordt weergegeven.
U kunt elke rol selecteren die de
Microsoft.Authorization/roleAssignments/write
ofMicrosoft.Authorization/roleAssignments/delete
acties bevat, zoals gebruikerstoegang Beheer istrator, maar op rollen gebaseerd toegangsbeheer Beheer istrator heeft minder machtigingen.Zoek en selecteer de gedelegeerde op het tabblad Leden .
Stap 3: Een voorwaarde toevoegen
Er zijn twee manieren waarop u een voorwaarde kunt toevoegen. U kunt een voorwaardesjabloon gebruiken of u kunt een geavanceerde voorwaarde-editor gebruiken.
Selecteer op het tabblad Voorwaarden onder Wat de gebruiker kan doen, de optie Alleen geselecteerde rollen toewijzen aan geselecteerde principals (minder bevoegdheden).
Selecteer Rollen en principals selecteren.
De pagina Roltoewijzingsvoorwaarde toevoegen wordt weergegeven met een lijst met voorwaardesjablonen.
Selecteer een voorwaardesjabloon en selecteer vervolgens Configureren.
Voorwaardesjabloon Selecteer deze sjabloon om Rollen beperken Toestaan dat de gebruiker alleen rollen toewijst die u selecteert Rollen en principal-typen beperken Toestaan dat de gebruiker alleen rollen toewijst die u selecteert
Toestaan dat de gebruiker deze rollen alleen toewijst aan principaltypen die u selecteert (gebruikers, groepen of service-principals)Rollen en principals beperken Toestaan dat de gebruiker alleen rollen toewijst die u selecteert
Toestaan dat de gebruiker deze rollen alleen toewijst aan principals die u selecteertAlle behalve specifieke rollen toestaan Toestaan dat de gebruiker alle rollen toewijst, behalve de rollen die u selecteert Voeg in het deelvenster Configureren de vereiste configuraties toe.
Selecteer Opslaan om de voorwaarde toe te voegen aan de roltoewijzing.
Stap 4: Rol met voorwaarde toewijzen aan gedelegeerde
Controleer op het tabblad Beoordelen en toewijzen de instellingen voor roltoewijzing.
Selecteer Beoordelen en toewijzen om de rol toe te wijzen.
Na enkele ogenblikken krijgt de gedelegeerde de rol Op rollen gebaseerd toegangsbeheer toegewezen Beheer istrator met de voorwaarden voor roltoewijzing.
Stap 5: Gedelegeerde wijst rollen toe met voorwaarden
Gedelegeerde kan nu de stappen volgen om rollen toe te wijzen.
Wanneer de gedelegeerde probeert rollen toe te wijzen in Azure Portal, wordt de lijst met rollen gefilterd om alleen de rollen weer te geven die ze kunnen toewijzen.
Als er een voorwaarde is voor principals, wordt de lijst met principals die beschikbaar zijn voor toewijzing ook gefilterd.
Als de gedelegeerde een rol probeert toe te wijzen die buiten de voorwaarden valt met behulp van een API, mislukt de roltoewijzing met een fout. Zie Symptoom - Kan geen rol toewijzen voor meer informatie.
Een voorwaarde bewerken
Er zijn twee manieren waarop u een voorwaarde kunt bewerken. U kunt de voorwaardesjabloon gebruiken of u kunt de voorwaardeeditor gebruiken.
Open in Azure Portal de pagina Toegangsbeheer (IAM) voor de roltoewijzing met een voorwaarde die u wilt weergeven, bewerken of verwijderen.
Selecteer het tabblad Roltoewijzingen en zoek de roltoewijzing.
Selecteer Weergave/bewerken in de kolom Voorwaarde.
Als u de koppeling Weergeven/bewerken niet ziet, controleert u of u hetzelfde bereik bekijkt als de roltoewijzing.
De pagina Roltoewijzingsvoorwaarde toevoegen wordt weergegeven. Deze pagina ziet er anders uit, afhankelijk van of de voorwaarde overeenkomt met een bestaande sjabloon.
Als de voorwaarde overeenkomt met een bestaande sjabloon, selecteert u Configureren om de voorwaarde te bewerken.
Als de voorwaarde niet overeenkomt met een bestaande sjabloon, gebruikt u de editor voor geavanceerde voorwaarden om de voorwaarde te bewerken.
Als u bijvoorbeeld een voorwaarde wilt bewerken, schuift u omlaag naar de sectie buildexpressie en werkt u de kenmerken, operator of waarden bij.
Als u de voorwaarde rechtstreeks wilt bewerken, selecteert u het type code-editor en bewerkt u de code voor de voorwaarde.
Wanneer u klaar bent, klikt u op Opslaan om de voorwaarde bij te werken.