Een aangepaste rol maken voor Azure Stack Hub-registratie

  • Artikel

Waarschuwing

Dit is geen beveiligingspostuurfunctie. Gebruik het in scenario's waarin u beperkingen wilt om onbedoelde wijzigingen in het Azure-abonnement te voorkomen. Wanneer aan een gebruiker rechten voor deze aangepaste rol zijn gedelegeerd, heeft de gebruiker rechten om machtigingen te bewerken en rechten te verhogen. Wijs alleen gebruikers die u vertrouwt toe aan de aangepaste rol.

Tijdens de registratie van Azure Stack Hub moet u zich aanmelden met een Microsoft Entra-account. Voor het account zijn de volgende Microsoft Entra-machtigingen en Azure-abonnementsmachtigingen vereist:

  • App-registratiemachtigingen in uw Microsoft Entra-tenant: beheerders hebben app-registratiemachtigingen. De machtiging voor gebruikers is een algemene instelling voor alle gebruikers in de tenant. Als u de instelling wilt weergeven of wijzigen, raadpleegt u Een Microsoft Entra-app en service-principal maken die toegang hebben tot resources.

    De instelling Gebruiker kan toepassingen registreren moet zijn ingesteld op Ja om ervoor te zorgen dat een gebruikersaccount Azure Stack Hub kan registreren. Als de instelling voor app-registraties is ingesteld op Nee, kunt u geen gebruikersaccount gebruiken om Azure Stack Hub te registreren. U moet een globale beheerdersaccount gebruiken.

  • Een set met voldoende Azure-abonnementsmachtigingen: Gebruikers die deel uitmaken van de rol Eigenaar hebben voldoende machtigingen. Voor andere accounts kunt u de machtigingenset toewijzen door een aangepaste rol toe te wijzen, zoals wordt beschreven in de volgende secties.

In plaats van een account te gebruiken met eigenaarsmachtigingen in het Azure-abonnement, kunt u een aangepaste rol maken om machtigingen toe te wijzen aan een gebruikersaccount met minder bevoegdheden. Dit account kan vervolgens worden gebruikt om uw Azure Stack Hub te registreren.

Een aangepaste rol maken met PowerShell

Als u een aangepaste rol wilt maken, moet u de Microsoft.Authorization/roleDefinitions/write machtiging hebben voor alle AssignableScopes, zoals Eigenaar of Beheerder van gebruikerstoegang. Gebruik de volgende JSON-sjabloon om het maken van de aangepaste rol te vereenvoudigen. De sjabloon maakt een aangepaste rol die de vereiste lees- en schrijftoegang voor Azure Stack Hub-registratie toestaat.

  1. Maak een JSON-bestand. Bijvoorbeeld C:\CustomRoles\registrationrole.json.

  2. Voeg de volgende JSON-code toe aan het bestand. Vervang <SubscriptionID> door de id van uw Azure-abonnement.

    {
  "Name": "Azure Stack Hub registration role",
  "Id": null,
  "IsCustom": true,
  "Description": "Allows access to register Azure Stack Hub",
  "Actions": [
    "Microsoft.Resources/subscriptions/resourceGroups/write",
    "Microsoft.Resources/subscriptions/resourceGroups/read",
    "Microsoft.AzureStack/registrations/*",
    "Microsoft.AzureStack/register/action",
    "Microsoft.Authorization/roleAssignments/read",
    "Microsoft.Authorization/roleAssignments/write",
    "Microsoft.Authorization/roleAssignments/delete",
    "Microsoft.Authorization/permissions/read",
    "Microsoft.Authorization/locks/read",
    "Microsoft.Authorization/locks/write"
  ],
  "NotActions": [
  ],
  "AssignableScopes": [
    "/subscriptions/<SubscriptionID>"
  ]
}

  3. Maak in PowerShell verbinding met Azure om Azure Resource Manager te gebruiken. Verifieer desgevraagd met een account met voldoende machtigingen, zoals Eigenaar of Beheerder van gebruikerstoegang.

    Connect-AzAccount

  4. Als u de aangepaste rol wilt maken, gebruikt u New-AzRoleDefinition om het JSON-sjabloonbestand op te geven.

    New-AzRoleDefinition -InputFile "C:\CustomRoles\registrationrole.json"

Een gebruiker toewijzen aan de registratierol

Nadat de aangepaste registratierol is gemaakt, wijst u de rol toe aan het gebruikersaccount dat wordt gebruikt voor het registreren van Azure Stack Hub.

  1. Meld u aan met het account met voldoende machtigingen voor het Azure-abonnement om rechten te delegeren, zoals Eigenaar of Beheerder van gebruikerstoegang.

  2. Selecteer in Abonnementende optie Toegangsbeheer (IAM) > Roltoewijzing toevoegen.

  3. Kies in Rol de aangepaste rol die u hebt gemaakt: Azure Stack Hub-registratierol.

  4. Selecteer de gebruikers die u aan de rol wilt toewijzen.

  5. Selecteer Opslaan om de geselecteerde gebruikers toe te wijzen aan de rol.

    Gebruikers selecteren die u wilt toewijzen aan een aangepaste rol in Azure Portal

Zie Toegang beheren met RBAC en de Azure Portal voor meer informatie over het gebruik van aangepaste rollen.

Volgende stappen

Azure Stack Hub registreren bij Azure