將 Azure 角色指派管理委派給有條件的其他人

身為系統管理員，您可能會收到數個要求，以授與您想要委派給其他人的 Azure 資源存取權。 您可以將擁有者或使用者存取權指派給使用者，管理員 istrator 角色，但這些角色是高度特殊許可權的角色。 本文說明將角色指派管理委派給組織中其他使用者的更安全方式，但新增這些角色指派的限制。 例如，您可以限制可指派的角色，或限制可指派角色的主體。

下圖顯示具有條件的委派如何只將備份參與者或備份讀取者角色指派給行銷或銷售群組。

必要條件

若要指派 Azure 角色，您必須具備：

• Microsoft.Authorization/roleAssignments/write許可權，例如角色型 存取控制 管理員 istrator 或 User Access 管理員 istrator

步驟 1：判斷委派所需的許可權

若要協助判斷委派所需的許可權，請回答下列問題：

• 委派可以指派哪些角色？
• 委派可以將角色指派給何種類型？
• 委派可以指派角色給哪些主體？
• 委派是否可以移除任何角色指派？

一旦您知道委派所需的許可權，您可以使用下列步驟，將條件新增至委派的角色指派。 如需範例條件，請參閱 使用條件委派 Azure 角色指派管理的範例。

步驟 2：啟動新的角色指派

1. 登入 Azure 入口網站。

2. 請依照步驟開啟 [新增角色指派] 頁面。

3. 在 [ 角色] 索引標籤上，選取 [ 特殊許可權系統管理員角色] 索引標籤 。

4. 選取角色型 存取控制 管理員 istrator 角色。

   [條件] 索引標籤隨即出現。

   您可以選取包含 Microsoft.Authorization/roleAssignments/write 或 Microsoft.Authorization/roleAssignments/delete 動作的任何角色，例如使用者存取 管理員 istrator，但角色型 存取控制 管理員 istrator 的許可權較少。

5. 在 [ 成員] 索引標籤上，尋找並選取委派。

步驟 3：新增條件

有兩種方式可以新增條件。 您可以使用條件範本，或使用進階條件編輯器。

範本

1. 在 [使用者可以執行的動作] 下的 [條件] 索引標籤上，選取 [允許使用者只將選取的角色指派給選取的主體 (權限較少)] 選項。

   

2. 選取 [ 選取角色和主體]。

   [新增角色指派條件] 頁面隨即出現，其中包含條件範本清單。

   

3. 選取條件範本，然後選取 [ 設定]。

   條件範本	選取此範本
   限制角色	允許使用者只指派您選取的角色
   限制角色和主體類型	允許使用者只指派您選取的角色 允許使用者只將這些角色指派給您選取的主體類型（使用者、群組或服務主體）
   限制角色和主體	允許使用者只指派您選取的角色 允許使用者只將這些角色指派給您選取的主體
   允許特定角色以外的所有角色	允許使用者指派您選取的角色以外的所有角色

4. 在 [設定] 窗格中，新增必要的組態。

   

5. 選取 [ 儲存 ] 以將條件新增至角色指派。

條件編輯器

如果條件範本不適用於您的案例，或想要更多控制，您可以使用條件編輯器。

開啟條件編輯器

1. 在 [使用者可以執行的動作] 下的 [條件] 索引標籤上，選取 [允許使用者只將選取的角色指派給選取的主體 (權限較少)] 選項。

   

2. 選取 [ 選取角色和主體]。

   [新增角色指派條件] 頁面隨即出現，其中包含條件範本清單。

   

3. 選取 [ 開啟進階條件編輯器]。

   [新增角色指派條件] 頁面隨即出現。

4. 針對 [ 編輯器類型] 選項，保留預設 的 [視覺效果 ]。

新增動作

1. 在 [ 新增動作] 區段中，選取 [ 新增動作]。

   即會出現 [選取動作] 窗格。 此窗格是根據角色指派篩選的動作清單，將會是條件的目標。

   

2. 選取您想要在條件為 true 時允許的 [建立或更新角色指派] 動作。

   提示

   如果您同時選取 [ 建立或更新角色指派 ] 和 [刪除角色指派 ] 動作，您將無法新增條件表達式。 如果您想要以這兩個動作為目標，您必須新增兩個條件。 如需詳細資訊，請參閱 範例：限制角色。

建置運算式

1. 在 [ 建置運算式] 區段中，選取 [ 新增表達式]。

   以下是您建置表示式來限制委派可以新增的角色指派的位置。

2. 在 [ 屬性來源 ] 清單中，選取 [ 要求]。

3. 在 [ 屬性 ] 清單中，選取表達式左側的下列其中一個屬性。

   • 角色定義標識碼 可用來限制委派可以指派的角色。
   • 主體標識碼 是用來限制委派可指派角色的特定主體。
   • 主體類型 可用來限制委派可以指派角色的主體類型（使用者、群組或服務主體）。

4. 在 [ 操作員] 列表中，選取運算符。

   根據您要建置的屬性和表達式，您通常會選取這些運算符，這可讓您選取表達式右側的一或多個值。

   屬性	一般運算子
   角色定義識別碼	ForAnyOfAnyValues：GuidEquals ForAnyOfAllValues：GuidNotEquals
   主體標識碼	ForAnyOfAnyValues：GuidEquals
   主體類型	ForAnyOfAnyValues：StringEqualsIgnoreCase

5. 在 [ 值] 方塊中，輸入表達式右側的一或多個值。

   

6. 視需要新增其他表達式。

   提示

   當您使用條件新增多個運算式來委派角色指派管理時，通常會在表達式之間使用 And 運算符，而不是預設 Or 運算符。

7. 選取 [ 儲存 ] 以將條件新增至角色指派。

步驟 4：將具有條件的角色指派給委派

1. 在 [檢閱 + 指派] 索引標籤上，檢閱角色指派設定。

2. 選取 [檢閱 + 指派] 以指派角色。

   幾分鐘后，委派會指派角色型 存取控制 管理員 istrator 角色，並具有您的角色指派條件。

步驟 5：委派會指派具有條件的角色

• 委派現在可以遵循步驟來 指派角色。

  

  當委派嘗試在 Azure 入口網站 中指派角色時，將會篩選角色清單，只顯示他們可以指派的角色。

  

  如果主體有條件，也會篩選可用於指派的主體清單。

  

  如果委派嘗試使用 API 指派超出條件的角色，則角色指派會失敗，併發生錯誤。 如需詳細資訊，請參閱 徵兆 - 無法指派角色。

編輯條件

有兩種方式可以編輯條件。 您可以使用條件範本，或使用條件編輯器。

1. 在 [Azure 入口網站] 中，開啟角色指派的訪問控制 （IAM） 頁面，其中包含您想要檢視、編輯或刪除的條件。

2. 選取 [ 角色指派] 索引 標籤並尋找角色指派。

3. 在 [條件] 數據行中，選取 [檢視/編輯]。

   如果您沒有看到 [檢視/編輯 ] 連結，請務必查看與角色指派相同的範圍。

   

   [ 新增角色指派條件 ] 頁面隨即出現。 此頁面會根據條件是否符合現有的範本而有所不同。

4. 如果條件符合現有的範本，請選取 [ 設定 ] 以編輯條件。

   

5. 如果條件不符合現有的範本，請使用進階條件編輯器來編輯條件。

   例如，若要編輯條件，請向下卷動至組建表達式區段，並更新屬性、運算元或值。

   

   若要直接編輯條件，請選取 [ 程式代碼 編輯器類型]，然後編輯條件的程序代碼。

   

6. 完成後，按兩下 [ 儲存 ] 以更新條件。

下一步

• 將 Azure 存取管理委派給其他人
• 授權動作和屬性