Verwenden von Rollenverwaltungsrichtlinien zum Verwalten von Regeln für jede Rolle innerhalb jeder Ressource

  • Artikel
  • 2 Minuten Lesedauer

Rollenverwaltungsrichtlinien helfen Ihnen dabei, die Regeln für jede Anforderung zur Rollenberechtigung oder Rollenzuweisung zu steuern. Sie können z. B. die maximale Dauer festlegen, für die eine Zuordnung aktiv sein kann, oder Sie können sogar eine dauerhafte Zuordnung zulassen. Sie können die Benachrichtigungseinstellungen für jede Zuordnung aktualisieren. Sie können genehmigende Personen auch für jede Rollenaktivierung festlegen.

Listen von Rollenverwaltungsrichtlinien für eine Ressource

Um Rollenverwaltungsrichtlinien auflisten zu können, können Sie Rollenverwaltungsrichtlinien verwenden – Liste für die REST-API des Bereichs . Um die Ergebnisse einzugrenzen, geben Sie einen Bereich und einen optionalen Filter an. Zum Aufrufen der API benötigen Sie Zugriff auf den Vorgang Microsoft.Authorization/roleAssignments/read für den angegebenen Bereich. Allen integrierten Rollen wird Zugriff auf diesen Vorgang gewährt.

Wichtig

Sie müssen keine Rollenverwaltungsrichtlinien erstellen, da jede Rolle in jeder Ressource über eine Standardrichtlinie verfügt.

  1. Beginnen Sie mit der folgenden Anforderung:

    GET https://management.azure.com/{scope}/providers/Microsoft.Authorization/roleManagementPolicies?api-version=2020-10-01&$filter={filter}

  2. Ersetzen Sie im URI {scope} durch den Bereich, für den Sie die Rollenverwaltungsrichtlinien auflisten möchten.

    `Scope` type
    providers/Microsoft.Management/managementGroups/{mg-name} Verwaltungsgruppe
    subscriptions/{subscriptionId} Subscription
    subscriptions/{subscriptionId}/resourceGroups/myresourcegroup1 Resource group
    subscriptions/{subscriptionId}/resourceGroups/myresourcegroup1/providers/Microsoft.Web/sites/mysite1 Resource

  3. Ersetzen Sie {filter} durch die Bedingung, die zum Filtern der Liste mit den Rollenzuweisungen angewendet werden soll.

    Filtern BESCHREIBUNG
    $filter=roleDefinitionId%20eq%20'{scope}/providers/Microsoft.Authorization/roleDefinitions/{roleDefinitionId}' Listenrollenverwaltungsrichtlinie für eine angegebene Rollendefinition innerhalb des Ressourcenbereichs.

Aktualisiert eine Rollenverwaltungsrichtlinie.

  1. Wählen Sie die Regel(n) aus, die Sie aktualisieren möchten. Dies sind die Arten von Regel -

    Regeltyp BESCHREIBUNG
    RoleManagementPolicyEnablementRule Aktivieren von MFA, Begründung für Zuordnungen oder Ticketinginformationen
    RoleManagementPolicyExpirationRule Maximale Dauer einer Rollenzuweisung oder Aktivierung angeben
    RoleManagementPolicyNotificationRule Konfigurieren von E-Mail-Benachrichtigungseinstellungen für Aufgaben, Aktivierungen und Genehmigungen
    RoleManagementPolicyApprovalRule Konfigurieren von Genehmigungseinstellungen für eine Rollenaktivierung
    RoleManagementPolicyAuthenticationContextRule Konfigurieren der ACRS-Regel für die Richtlinie für bedingten Zugriff

  2. Verwenden Sie die folgende Anforderung:

    PATCH https://management.azure.com/{scope}/providers/Microsoft.Authorization/roleManagementPolicies/{roleManagementPolicyId}?api-version=2020-10-01

    {
  "properties": {
    "rules": [
      {
        "isExpirationRequired": false,
        "maximumDuration": "P180D",
        "id": "Expiration_Admin_Eligibility",
        "ruleType": "RoleManagementPolicyExpirationRule",
        "target": {
          "caller": "Admin",
          "operations": [
            "All"
          ],
          "level": "Eligibility",
          "targetObjects": null,
          "inheritableSettings": null,
          "enforcedSettings": null
        }
      },
      {
        "notificationType": "Email",
        "recipientType": "Admin",
        "isDefaultRecipientsEnabled": false,
        "notificationLevel": "Critical",
        "notificationRecipients": [
          "admin_admin_eligible@test.com"
        ],
        "id": "Notification_Admin_Admin_Eligibility",
        "ruleType": "RoleManagementPolicyNotificationRule",
        "target": {
          "caller": "Admin",
          "operations": [
            "All"
          ],
          "level": "Eligibility",
          "targetObjects": null,
          "inheritableSettings": null,
          "enforcedSettings": null
        }
      },
      {
        "enabledRules": [
          "Justification",
          "MultiFactorAuthentication",
          "Ticketing"
        ],
        "id": "Enablement_EndUser_Assignment",
        "ruleType": "RoleManagementPolicyEnablementRule",
        "target": {
          "caller": "EndUser",
          "operations": [
            "All"
          ],
          "level": "Assignment",
          "targetObjects": null,
          "inheritableSettings": null,
          "enforcedSettings": null
        }
      },
      {
        "setting": {
          "isApprovalRequired": true,
          "isApprovalRequiredForExtension": false,
          "isRequestorJustificationRequired": true,
          "approvalMode": "SingleStage",
          "approvalStages": [
            {
              "approvalStageTimeOutInDays": 1,
              "isApproverJustificationRequired": true,
              "escalationTimeInMinutes": 0,
              "primaryApprovers": [
                {
                  "id": "2385b0f3-5fa9-43cf-8ca4-b01dc97298cd",
                  "description": "amansw_new_group",
                  "isBackup": false,
                  "userType": "Group"
                }
              ],
              "isEscalationEnabled": false,
              "escalationApprovers": null
            }
          ]
        },
        "id": "Approval_EndUser_Assignment",
        "ruleType": "RoleManagementPolicyApprovalRule",
        "target": {
          "caller": "EndUser",
          "operations": [
            "All"
          ],
          "level": "Assignment",
          "targetObjects": null,
          "inheritableSettings": null,
          "enforcedSettings": null
        }
      }
    ]
  }
}