Tilldela en användare som administratör för en Azure-prenumeration med villkor

  • Artikel

Om du vill göra en användare till administratör för en Azure-prenumeration tilldelar du rollen Ägare i prenumerationsomfånget. Rollen Ägare ger användaren fullständig åtkomst till alla resurser i prenumerationen, inklusive behörighet att bevilja åtkomst till andra. Eftersom rollen Ägare är en mycket privilegierad roll rekommenderar Microsoft att du lägger till ett villkor för att begränsa rolltilldelningen. Du kan till exempel tillåta att en användare endast tilldelar rollen Virtuell datordeltagare till tjänstens huvudnamn.

Den här artikeln beskriver hur du tilldelar en användare som administratör för en Azure-prenumeration med villkor. De här stegen är desamma som för andra rolltilldelningar.

Förutsättningar

För att tilldela Azure-roller måste du ha:

Steg 1: Öppna prenumerationen

  1. Logga in på Azure-portalen.

  2. I sökrutan längst upp söker du efter prenumerationer.

  3. Klicka på den prenumeration som du vill använda.

    Nedan visas ett exempel på en prenumeration.

    Screenshot of Subscriptions overview

Steg 2: Öppna sidan Lägg till rolltilldelning

Åtkomstkontroll (IAM) är den sida som du vanligtvis använder för att tilldela roller som beviljar åtkomst till Azure-resurser. Det kallas även identitets- och åtkomsthantering (IAM) och finns på flera platser i Azure-portalen.

  1. Klicka på Åtkomstkontroll (IAM).

    Följande visar ett exempel på sidan Åtkomstkontroll (IAM) för en prenumeration.

    Screenshot of Access control (IAM) page for a subscription.

  2. Klicka på fliken Rolltilldelningar för att visa rolltilldelningarna i det här omfånget.

  3. Klicka på Lägg till lägg till>rolltilldelning.

    Om du inte har behörighet att tilldela roller är alternativet Lägg till rolltilldelning inaktiverat.

    Screenshot of Add > Add role assignment menu.

    Sidan Lägg till rolltilldelning öppnas.

Steg 3: Välj rollen Ägare

Rollen Ägare ger fullständig åtkomst för att hantera alla resurser, inklusive möjligheten att tilldela roller i Azure RBAC. Du bör ha högst tre prenumerationsägare för att minska risken för intrång av en komprometterad ägare.

  1. På fliken Roll väljer du fliken Privilegierade administratörsroller .

    Screenshot of Add role assignment page with Privileged administrator roles tab selected.

  2. Välj rollen Ägare.

  3. Klicka på Nästa.

Steg 4: Välj vem som ska ha åtkomst

  1. På fliken Medlemmar väljer du Användare, grupp eller tjänstens huvudnamn.

    Screenshot of Add role assignment page with Add members tab.

  2. Klicka på Välj medlemmar.

  3. Leta upp och välj användaren.

    Du kan skriva i rutan Välj om du vill söka i katalogen efter visningsnamn eller e-postadress.

    Screenshot of Select members pane.

  4. Klicka på Spara för att lägga till användaren i listan Medlemmar.

  5. Lägg till en beskrivning av rolltilldelningen i rutan Beskrivning.

    Beskrivningen visas senare i listan med rolltilldelningar.

  6. Klicka på Nästa.

Steg 5: Lägg till ett villkor

Eftersom rollen Ägare är en mycket privilegierad roll rekommenderar Microsoft att du lägger till ett villkor för att begränsa rolltilldelningen.

  1. På fliken Villkor under Vad användaren kan göra väljer du alternativet Tillåt att användaren endast tilldelar valda roller till valda huvudnamn (färre behörigheter).

    Screenshot of Add role assignment with the constrained option selected.

  2. Välj Välj roller och huvudnamn.

    Sidan Lägg till rolltilldelningsvillkor visas med en lista över villkorsmallar.

    Screenshot of Add role assignment condition with a list of condition templates.

  3. Välj en villkorsmall och välj sedan Konfigurera.

    Villkorsmall Välj den här mallen för
    Begränsa roller Tillåt att användaren endast tilldelar roller som du väljer
    Begränsa roller och huvudtyper Tillåt att användaren endast tilldelar roller som du väljer
    Tillåt att användaren endast tilldelar dessa roller till huvudtyper som du väljer (användare, grupper eller tjänstens huvudnamn)
    Begränsa roller och huvudnamn Tillåt att användaren endast tilldelar roller som du väljer
    Tillåt att användaren endast tilldelar dessa roller till de huvudnamn som du väljer

    Dricks

    Om du vill tillåta de flesta rolltilldelningar, men inte tillåter specifika rolltilldelningar, kan du använda den avancerade villkorsredigeraren och lägga till ett villkor manuellt. Ett exempel finns i Exempel: Tillåt de flesta roller, men tillåt inte andra att tilldela roller.

  4. I fönstret Konfigurera lägger du till nödvändiga konfigurationer.

    Screenshot of configure pane for a condition with selection added.

  5. Välj Spara för att lägga till villkoret i rolltilldelningen.

Steg 6: Tilldela en roll

  1. På fliken Granska + tilldela granskar du inställningarna för rolltilldelningen.

  2. Klicka på Granska + tilldela för att tilldela rollen.

    Efter en stund tilldelas rollen Ägare till användaren för prenumerationen.

    Screenshot of role assignment list after assigning role.

Nästa steg