以具有條件的 Azure 訂用帳戶系統管理員身分指派使用者

若要指派 Azure 角色，您必須具備：

• Microsoft.Authorization/roleAssignments/write許可權，例如角色型 存取控制 管理員 istrator 或 User Access 管理員 istrator

執行下列步驟:

1. 登入 Azure 入口網站。

2. 在頂端的 [搜尋] 方塊中搜尋訂用帳戶。

3. 按一下您要使用的訂用帳戶。

   以下顯示範例訂用帳戶。

   

[存取控制 (IAM)] 是您通常用來指派角色以授與 Azure 資源存取權的頁面。 這也稱為身分識別與存取管理 (IAM)，會出現在 Azure 入口網站的數個位置上。

1. 按一下 [存取控制 (IAM)]。

   以下顯示訂用帳戶的訪問控制 （IAM） 頁面範例。

   

2. 按一下 [角色指派] 索引標籤，以檢視此範圍中的角色指派。

3. 點擊 [新增]> [新增角色指派]。

   若您沒有指派角色的權限，[新增角色指派] 選項將會被停用。

   

   會開啟 [新增角色指派] 頁面。

擁有 者 角色授與完整存取權來管理所有資源，包括指派 Azure RBAC 中角色的能力。 您的訂用帳戶擁有者應限制在 3 位以內，以降低擁有者遭入侵而導致資料外洩的可能。

1. 在 [ 角色] 索引標籤上，選取 [ 特殊許可權系統管理員角色] 索引標籤。

   

2. 選取 [ 擁有者 ] 角色。

3. 按一下 [下一步] 。

執行下列步驟:

1. 在 [ 成員] 索引標籤上，選取 [ 使用者]、[群組] 或服務主體。

   

2. 點擊 [選取成員]。

3. 尋找並選取使用者。

   您可以在 [選取] 方塊中輸入，以在目錄中搜尋顯示名稱或電子郵件地址。

   

4. 按兩下 [ 儲存 ] 將使用者新增至 [成員] 清單。

5. 在 [描述] 方塊中，輸入此角色指派的選用描述。

   稍後您可以在角色指派清單中看到此描述。

6. 按一下 [下一步] 。

由於擁有者角色是高度特殊許可權的角色，因此 Microsoft 建議您新增條件來限制角色指派。

1. 在 [使用者可以執行的動作] 下的 [條件] 索引標籤上，選取 [允許使用者只將選取的角色指派給選取的主體 (權限較少)] 選項。

   

2. 選取 [ 選取角色和主體]。

   [新增角色指派條件] 頁面隨即出現，其中包含條件範本清單。

   

3. 選取條件範本，然後選取 [ 設定]。

   條件範本	選取此範本
   限制角色	允許使用者只指派您選取的角色
   限制角色和主體類型	允許使用者只指派您選取的角色 允許使用者只將這些角色指派給您選取的主體類型（使用者、群組或服務主體）
   限制角色和主體	允許使用者只指派您選取的角色 允許使用者只將這些角色指派給您選取的主體

   提示

   如果您想要允許大部分的角色指派，但不允許特定的角色指派，您可以使用進階條件編輯器，並手動新增條件。 如需範例，請參閱 範例：允許大部分角色，但不允許其他人指派角色。

4. 在 [設定] 窗格中，新增必要的組態。

   

5. 選取 [ 儲存 ] 以將條件新增至角色指派。

執行下列步驟:

1. 在 [檢閱 + 指派] 索引標籤上，檢閱角色指派設定。

2. 點擊 [檢閱 + 指派] 以指派角色。

   幾分鐘之後，即會將訂用帳戶的「擁有者」角色指派給使用者。