共用方式為

適用於多位商務使用者的 RBAC 設定範例

  • 發行項

許多 Azure 球體客戶想要設定 RBAC 存取,讓工程小組在工程擁有的裝置和裝置群組上執行開發相關功能,但防止工程小組直接存取通常由作業小組管理的生產裝置群組。 下列案例詳述如何設定一組 RBAC 使用者群組和許可權,讓工程小組和作業小組僅存取所需的功能和資源。 在此案例中,有 3 個不同的商務使用者群組具有下列一般工作職責:

  • Azure 球體系統管理員 使用者 : Azure 球體使用者群組的最高許可權,適用於需要建立、設定及管理新 Azure 球體目錄及其子女資源的使用者,包括聲稱要建立目錄的裝置 (只將該目錄) 永久關聯,並將現有的 Azure 球體 (舊版) 租使用者整合至 Azure 球體 (整合) 型目錄。
  • 產品小組 用戶:對於需要屬於型錄資源本身之專案的許可權的使用者,例如影像和憑證,但不應具備屬於型錄之所有裝置群組的許可權,例如潛在的敏感生產裝置群組。 此使用者群組特別適用於下載裝置功能檔案、在開發、欄位測試和欄位測試 OS 評估裝置群組之間行動裝置的產品開發使用者,以及部署新軟體並可能收集欄位測試和欄位測試 OS 評估裝置群組中損毀傾印檔案的使用者,但未獲授權在生產及生產操作系統評估裝置群組中管理生產裝置的使用者。
  • 營運小組 使用者: 適用於管理生產裝置隊隊、需要生產裝置群組的許可權,以部署新的軟體和韌體映射、可能啟用損毀傾印檔案集合的使用者,以及驗證操作系統零售版本在 [生產操作系統評估] 裝置群組中如預期般運作。

RBAC 設定範例。

警告

  • 需要將 Azure 球體 (舊版) 租使用者整合至 Azure 球體 (整合式) 型目錄的使用者,必須將 Azure 球體參與者 角色套用至擁有租用戶所屬之訂閱的資源群組。

  • 雖然只能在產品或裝置群組中指派 RBAC 角色,但不能指派給使用者的上層目錄,但使用者將無法從其 Azure 主畫面搜尋產品或裝置群組或其父目錄。 他們只能透過直接指向產品的 URL 來存取產品或裝置群組。 為了方便使用者,建議所有使用者至少擁有 Azure 球體閱讀程式 存取型錄。