Delegare la gestione delle assegnazioni di ruolo di Azure ad altri utenti con condizioni

Gli amministratori possono ricevere diverse richieste per concedere l'accesso alle risorse di Azure da delegare a un altro utente. È possibile assegnare a un utente i ruoli Proprietario o Accesso utenti Amministrazione istrator, ma si tratta di ruoli con privilegi elevati. Questo articolo descrive un modo più sicuro per delegare la gestione delle assegnazioni di ruolo ad altri utenti dell'organizzazione, ma aggiungere restrizioni per tali assegnazioni di ruolo. Ad esempio, è possibile vincolare i ruoli a cui è possibile assegnare o vincolare le entità a cui è possibile assegnare i ruoli.

Il diagramma seguente mostra come un delegato con condizioni può assegnare solo i ruoli Collaboratore backup o Lettore di backup solo ai gruppi Marketing o Sales.

Prerequisiti

Per assegnare ruoli di Azure, è necessario disporre di:

• Microsoft.Authorization/roleAssignments/writeautorizzazioni, ad esempio Controllo di accesso Amministrazione istrator basato su ruoli o accesso utente Amministrazione istrator

Passaggio 1: Determinare le autorizzazioni necessarie per il delegato

Per determinare le autorizzazioni necessarie per il delegato, rispondere alle domande seguenti:

• Quali ruoli possono assegnare al delegato?
• A quali tipi di entità può assegnare i ruoli il delegato?
• Quali entità possono assegnare ruoli al delegato?
• Il delegato può rimuovere eventuali assegnazioni di ruolo?

Dopo aver appreso le autorizzazioni necessarie per il delegato, seguire questa procedura per aggiungere una condizione all'assegnazione di ruolo del delegato. Per altre condizioni, vedere Esempi per delegare la gestione delle assegnazioni di ruolo di Azure con condizioni.

Passaggio 2: Avviare una nuova assegnazione di ruolo

1. Accedere al portale di Azure.

2. Seguire la procedura per aprire la pagina Aggiungi assegnazione di ruolo.

3. Nella scheda Ruoli selezionare la scheda Ruoli di amministratore con privilegi.

4. Selezionare il ruolo Controllo di accesso Amministrazione istrator basato su ruoli.

   Verrà visualizzata la scheda Condizioni .

   È possibile selezionare qualsiasi ruolo che includa le Microsoft.Authorization/roleAssignments/write azioni o Microsoft.Authorization/roleAssignments/delete , ad esempio Accesso utente Amministrazione istrator, ma l'Controllo di accesso Amministrazione istrator basato su ruoli dispone di meno autorizzazioni.

5. Nella scheda Membri trovare e selezionare il delegato.

Passaggio 3: Aggiungere una condizione

Esistono due modi per aggiungere una condizione. È possibile usare un modello di condizione oppure usare un editor di condizioni avanzate.

Modello

1. Nella scheda Condizioni in Operazioni che l'utente può eseguire selezionare l'opzione Consenti all'utente di assegnare solo i ruoli selezionati alle entità selezionate (meno privilegi).

   

2. Selezionare Seleziona ruoli e entità.

   La pagina Aggiungi condizione di assegnazione di ruolo viene visualizzata con un elenco di modelli di condizione.

   

3. Selezionare un modello di condizione e quindi selezionare Configura.

   Modello di condizione	Selezionare questo modello per
   Vincolare i ruoli	Consenti all'utente di assegnare solo i ruoli selezionati
   Vincolare ruoli e tipi di entità	Consenti all'utente di assegnare solo i ruoli selezionati Consentire all'utente di assegnare questi ruoli solo ai tipi di entità selezionati (utenti, gruppi o entità servizio)
   Vincolare ruoli e entità	Consenti all'utente di assegnare solo i ruoli selezionati Consentire all'utente di assegnare questi ruoli solo alle entità selezionate

4. Nel riquadro di configurazione aggiungere le configurazioni necessarie.

   

5. Selezionare Salva per aggiungere la condizione all'assegnazione di ruolo.

Editor condizioni

Se i modelli di condizione non funzionano per lo scenario o se si vuole un maggiore controllo, è possibile usare l'editor di condizioni.

Aprire l'editor di condizioni

1. Nella scheda Condizioni in Operazioni che l'utente può eseguire selezionare l'opzione Consenti all'utente di assegnare solo i ruoli selezionati alle entità selezionate (meno privilegi).

   

2. Selezionare Seleziona ruoli e entità.

   La pagina Aggiungi condizione di assegnazione di ruolo viene visualizzata con un elenco di modelli di condizione.

   

3. Selezionare Apri editor di condizioni avanzate.

   Verrà visualizzata la pagina Aggiungi condizione di assegnazione di ruolo.

4. Per l'opzione Tipo di editor lasciare selezionata l'opzione Oggetto visivo predefinito.

Aggiungere un'azione

1. Nella sezione Aggiungi azione selezionare Aggiungi azione.

   Viene visualizzato il riquadro Seleziona un'azione. Questo riquadro è un elenco filtrato di azioni in base all'assegnazione di ruolo che sarà la destinazione della condizione.

   

2. Selezionare l'azione Crea o aggiorna assegnazioni di ruolo che si vuole consentire se la condizione è true.

   Suggerimento

   Se si selezionano entrambe le assegnazioni di ruolo e Elimina un'assegnazione di ruolo, non sarà possibile aggiungere un'espressione di condizione. Se si desidera impostare come destinazione entrambe queste azioni, è necessario aggiungere due condizioni. Per altre informazioni, vedere Esempio: Vincolare i ruoli.

Espressioni di compilazione

1. Nella sezione Espressione di compilazione selezionare Aggiungi espressione.

   Ecco dove si compila l'espressione per vincolare le assegnazioni di ruolo che il delegato può aggiungere.

2. Nell'elenco Origine attributo selezionare Richiesta.

3. Nell'elenco Attributo selezionare uno degli attributi seguenti per il lato sinistro dell'espressione.

   • L'ID definizione del ruolo viene usato per vincolare i ruoli che il delegato può assegnare.
   • L'ID entità viene usato per vincolare le entità specifiche a cui il delegato può assegnare ruoli.
   • Il tipo di entità viene usato per vincolare i tipi di entità (utenti, gruppi o entità servizio) a cui il delegato può assegnare ruoli.

4. Nell'elenco Operatore selezionare un operatore.

   A seconda dell'attributo e dell'espressione da compilare, in genere si selezionano questi operatori, che consentono di selezionare uno o più valori per il lato destro dell'espressione.

   Attributo	Operatore comune
   Un ID di definizione del ruolo	ForAnyOfAnyValues:GuidEquals
   ID entità di sicurezza	ForAnyOfAnyValues:GuidEquals
   Tipo di entità	ForAnyOfAnyValues:StringEqualsIgnoreCase

5. Nella casella Valore immettere uno o più valori per il lato destro dell'espressione.

   

6. Aggiungere altre espressioni in base alle esigenze.

   Suggerimento

   Quando si aggiungono più espressioni per delegare la gestione delle assegnazioni di ruolo con condizioni, in genere si usa l'operatore And tra espressioni anziché l'operatore Or predefinito.

7. Selezionare Salva per aggiungere la condizione all'assegnazione di ruolo.

Passaggio 4: Assegnare un ruolo con condizione per delegare

1. Nella scheda Rivedi e assegna esaminare le impostazioni di assegnazione di ruolo.

2. Selezionare Rivedi e assegna per assegnare il ruolo.

   Dopo alcuni istanti, al delegato viene assegnato il ruolo basato su ruolo Controllo di accesso Amministrazione istrator con le condizioni di assegnazione del ruolo.

Passaggio 5: Delegare assegna ruoli con condizioni

• Il delegato può ora seguire i passaggi per assegnare i ruoli.

  

  Quando il delegato tenta di assegnare ruoli nella portale di Azure, l'elenco dei ruoli verrà filtrato in modo da mostrare solo i ruoli che possono assegnare.

  

  Se è presente una condizione per le entità, viene filtrato anche l'elenco delle entità disponibili per l'assegnazione.

  

  Se il delegato tenta di assegnare un ruolo esterno alle condizioni usando un'API, l'assegnazione di ruolo non riesce con un errore. Per altre informazioni, vedere Sintomo - Impossibile assegnare un ruolo.

Passaggi successivi

• Delegare la gestione degli accessi di Azure ad altri utenti
• Azioni e attributi di autorizzazione