Utilizar Políticas de Gestão de Funções para gerir regras para cada função em cada recurso

As Políticas de Gestão de Funções ajudam-no a governar as regras de qualquer pedido de elegibilidade de função ou pedido de atribuição de função. Por exemplo, pode definir a duração máxima para a qual uma atribuição pode estar ativa ou até mesmo permitir a atribuição permanente. Pode atualizar as definições de notificação para cada atribuição. Também pode definir aprovadores para cada ativação de função.

Listar políticas de gestão de funções para um recurso

Para listar políticas de gestão de funções, pode utilizar Políticas de Gestão de Funções – Lista para API REST de Âmbito. Para refinar os resultados, especifique um âmbito e um filtro opcional. Para chamar a API, tem de ter acesso à Microsoft.Authorization/roleAssignments/read operação no âmbito especificado. Todas as funções incorporadas têm acesso a esta operação.

Importante

Não precisa de Criar políticas de gestão de funções, uma vez que cada função dentro de cada recurso tem uma política predefinida

1. Comece com o seguinte pedido:

   GET https://management.azure.com/{scope}/providers/Microsoft.Authorization/roleManagementPolicies?api-version=2020-10-01&$filter={filter}
   

2. No URI, substitua {scope} pelo âmbito para o qual pretende listar as políticas de gestão de funções.

   Âmbito	Tipo
   providers/Microsoft.Management/managementGroups/{mg-name}	Grupo de Gestão
   subscriptions/{subscriptionId}	Subscrição
   subscriptions/{subscriptionId}/resourceGroups/myresourcegroup1	Grupo de recursos
   subscriptions/{subscriptionId}/resourceGroups/myresourcegroup1/providers/Microsoft.Web/sites/mysite1	Recurso

3. Substitua {filter} pela condição que pretende aplicar para filtrar a lista de atribuição de funções.

   Filtro	Description
   $filter=roleDefinitionId%20eq%20'{scope}/providers/Microsoft.Authorization/roleDefinitions/{roleDefinitionId}'	Listar a política de gestão de funções para uma definição de função especificada no âmbito do recurso.

Atualizar uma política de gestão de funções

1. Selecione as regras que pretende atualizar. Estes são os tipos de regra -

   Tipo de Regra	Description
   RoleManagementPolicyEnablementRule	Ativar MFA, Justificação em atribuições ou Informações sobre a Permissão
   RoleManagementPolicyExpirationRule	Especificar a duração máxima de uma atribuição ou ativação de funções
   RoleManagementPolicyNotificationRule	Configurar definições de notificação por e-mail para atribuições, ativações e aprovações
   RoleManagementPolicyApprovalRule	Configurar definições de aprovação para uma ativação de função
   RoleManagementPolicyAuthenticationContextRule	Configurar a regra do ACRS para a Política de Acesso Condicional

2. utilize o seguinte pedido:

   PATCH https://management.azure.com/{scope}/providers/Microsoft.Authorization/roleManagementPolicies/{roleManagementPolicyId}?api-version=2020-10-01
   

   {
     "properties": {
       "rules": [
         {
           "isExpirationRequired": false,
           "maximumDuration": "P180D",
           "id": "Expiration_Admin_Eligibility",
           "ruleType": "RoleManagementPolicyExpirationRule",
           "target": {
             "caller": "Admin",
             "operations": [
               "All"
             ],
             "level": "Eligibility",
             "targetObjects": null,
             "inheritableSettings": null,
             "enforcedSettings": null
           }
         },
         {
           "notificationType": "Email",
           "recipientType": "Admin",
           "isDefaultRecipientsEnabled": false,
           "notificationLevel": "Critical",
           "notificationRecipients": [
             "admin_admin_eligible@test.com"
           ],
           "id": "Notification_Admin_Admin_Eligibility",
           "ruleType": "RoleManagementPolicyNotificationRule",
           "target": {
             "caller": "Admin",
             "operations": [
               "All"
             ],
             "level": "Eligibility",
             "targetObjects": null,
             "inheritableSettings": null,
             "enforcedSettings": null
           }
         },
         {
           "enabledRules": [
             "Justification",
             "MultiFactorAuthentication",
             "Ticketing"
           ],
           "id": "Enablement_EndUser_Assignment",
           "ruleType": "RoleManagementPolicyEnablementRule",
           "target": {
             "caller": "EndUser",
             "operations": [
               "All"
             ],
             "level": "Assignment",
             "targetObjects": null,
             "inheritableSettings": null,
             "enforcedSettings": null
           }
         },
         {
           "setting": {
             "isApprovalRequired": true,
             "isApprovalRequiredForExtension": false,
             "isRequestorJustificationRequired": true,
             "approvalMode": "SingleStage",
             "approvalStages": [
               {
                 "approvalStageTimeOutInDays": 1,
                 "isApproverJustificationRequired": true,
                 "escalationTimeInMinutes": 0,
                 "primaryApprovers": [
                   {
                     "id": "2385b0f3-5fa9-43cf-8ca4-b01dc97298cd",
                     "description": "amansw_new_group",
                     "isBackup": false,
                     "userType": "Group"
                   }
                 ],
                 "isEscalationEnabled": false,
                 "escalationApprovers": null
               }
             ]
           },
           "id": "Approval_EndUser_Assignment",
           "ruleType": "RoleManagementPolicyApprovalRule",
           "target": {
             "caller": "EndUser",
             "operations": [
               "All"
             ],
             "level": "Assignment",
             "targetObjects": null,
             "inheritableSettings": null,
             "enforcedSettings": null
           }
         }
       ]
     }
   }