Tilldela en användare som administratör för en Azure-prenumeration med villkor
Om du vill göra en användare till administratör för en Azure-prenumeration tilldelar du rollen Ägare i prenumerationsomfånget. Rollen Ägare ger användaren fullständig åtkomst till alla resurser i prenumerationen, inklusive behörighet att bevilja åtkomst till andra. Eftersom rollen Ägare är en mycket privilegierad roll rekommenderar Microsoft att du lägger till ett villkor för att begränsa rolltilldelningen. Du kan till exempel tillåta att en användare endast tilldelar rollen Virtuell datordeltagare till tjänstens huvudnamn.
Den här artikeln beskriver hur du tilldelar en användare som administratör för en Azure-prenumeration med villkor. De här stegen är desamma som för andra rolltilldelningar.
Förutsättningar
För att tilldela Azure-roller måste du ha:
Microsoft.Authorization/roleAssignments/write
behörigheter, till exempel administratör för rollbaserad åtkomstkontroll eller administratör för användaråtkomst
Steg 1: Öppna prenumerationen
Logga in på Azure-portalen.
I sökrutan längst upp söker du efter prenumerationer.
Klicka på den prenumeration som du vill använda.
Nedan visas ett exempel på en prenumeration.
Steg 2: Öppna sidan Lägg till rolltilldelning
Åtkomstkontroll (IAM) är den sida som du vanligtvis använder för att tilldela roller som beviljar åtkomst till Azure-resurser. Det kallas även identitets- och åtkomsthantering (IAM) och finns på flera platser i Azure-portalen.
Klicka på Åtkomstkontroll (IAM).
Följande visar ett exempel på sidan Åtkomstkontroll (IAM) för en prenumeration.
Klicka på fliken Rolltilldelningar för att visa rolltilldelningarna i det här omfånget.
Klicka på Lägg till lägg till>rolltilldelning.
Om du inte har behörighet att tilldela roller är alternativet Lägg till rolltilldelning inaktiverat.
Sidan Lägg till rolltilldelning öppnas.
Steg 3: Välj rollen Ägare
Rollen Ägare ger fullständig åtkomst för att hantera alla resurser, inklusive möjligheten att tilldela roller i Azure RBAC. Du bör ha högst tre prenumerationsägare för att minska risken för intrång av en komprometterad ägare.
På fliken Roll väljer du fliken Privilegierade administratörsroller .
Välj rollen Ägare.
Klicka på Nästa.
Steg 4: Välj vem som ska ha åtkomst
På fliken Medlemmar väljer du Användare, grupp eller tjänstens huvudnamn.
Klicka på Välj medlemmar.
Leta upp och välj användaren.
Du kan skriva i rutan Välj om du vill söka i katalogen efter visningsnamn eller e-postadress.
Klicka på Spara för att lägga till användaren i listan Medlemmar.
Lägg till en beskrivning av rolltilldelningen i rutan Beskrivning.
Beskrivningen visas senare i listan med rolltilldelningar.
Klicka på Nästa.
Steg 5: Lägg till ett villkor
Eftersom rollen Ägare är en mycket privilegierad roll rekommenderar Microsoft att du lägger till ett villkor för att begränsa rolltilldelningen.
På fliken Villkor under Vad användaren kan göra väljer du alternativet Tillåt att användaren endast tilldelar valda roller till valda huvudnamn (färre behörigheter).
Välj Välj roller och huvudnamn.
Sidan Lägg till rolltilldelningsvillkor visas med en lista över villkorsmallar.
Välj en villkorsmall och välj sedan Konfigurera.
Villkorsmall Välj den här mallen för Begränsa roller Tillåt att användaren endast tilldelar roller som du väljer Begränsa roller och huvudtyper Tillåt att användaren endast tilldelar roller som du väljer
Tillåt att användaren endast tilldelar dessa roller till huvudtyper som du väljer (användare, grupper eller tjänstens huvudnamn)Begränsa roller och huvudnamn Tillåt att användaren endast tilldelar roller som du väljer
Tillåt att användaren endast tilldelar dessa roller till de huvudnamn som du väljerDricks
Om du vill tillåta de flesta rolltilldelningar, men inte tillåter specifika rolltilldelningar, kan du använda den avancerade villkorsredigeraren och lägga till ett villkor manuellt. Ett exempel finns i Exempel: Tillåt de flesta roller, men tillåt inte andra att tilldela roller.
I fönstret Konfigurera lägger du till nödvändiga konfigurationer.
Välj Spara för att lägga till villkoret i rolltilldelningen.
Steg 6: Tilldela en roll
På fliken Granska + tilldela granskar du inställningarna för rolltilldelningen.
Klicka på Granska + tilldela för att tilldela rollen.
Efter en stund tilldelas rollen Ägare till användaren för prenumerationen.