Udostępnij przez

Przypisywanie ról platformy Azure przy użyciu witryny Azure Portal

Kontrola dostępu oparta na rolach (RBAC) platformy Azure to system autoryzacji używany do zarządzania dostępem do zasobów platformy Azure. Aby udzielić dostępu, należy przydzielić role użytkownikom, grupom, jednostkom usługowym lub tożsamościom zarządzanym w określonym zakresie. W tym artykule opisano sposób przypisywania ról przy użyciu witryny Azure Portal.

Jeśli musisz przypisać role administratora w usłudze Microsoft Entra ID, zobacz Przypisywanie ról Microsoft Entra do użytkowników.

Wymagania wstępne

Aby przypisać role platformy Azure, musisz mieć następujące elementy:

Krok 1. Identyfikowanie wymaganego zakresu

Podczas przypisywania ról należy określić zakres. Zakres to zestaw zasobów, do których ma zastosowanie dostęp. Na platformie Azure można określić zakres na czterech poziomach od szerokiego do wąskiego: grupy zarządzania, subskrypcji, grupy zasobów i zasobu. Więcej informacji, zobacz Interpretacja zakresu.

Diagram przedstawiający poziomy zakresu dla Azure RBAC.

  1. Zaloguj się do witryny Azure Portal.

  2. W polu Wyszukaj u góry wyszukaj zakres, do którego chcesz udzielić dostępu. Na przykład wyszukaj grupy zarządzania, subskrypcje, grupy zasobów lub konkretny zasób.

  3. Kliknij konkretny zasób dla tego zakresu.

    Poniżej przedstawiono przykładową grupę zasobów.

    Zrzut ekranu przedstawiający stronę przeglądu grupy zasobów.

Krok 2. Otwieranie strony Dodaj przypisanie roli

Kontrola dostępu (IAM) to strona, która jest zwykle używana do przypisywania ról w celu udzielenia dostępu do zasobów platformy Azure. Jest ona również znana jako zarządzanie tożsamościami i dostępem (IAM) i jest wyświetlana w kilku lokalizacjach w witrynie Azure Portal.

  1. Kliknij pozycję Kontrola dostępu (IAM).

    Poniżej przedstawiono przykład strony Kontrola dostępu (IAM) dla grupy zasobów.

    Zrzut ekranu przedstawiający stronę Kontrola dostępu (IAM) dla grupy zasobów.

  2. Kliknij kartę Przypisania ról, aby wyświetlić przypisania ról w tym zakresie.

  3. Kliknij Dodaj>Dodaj przypisanie roli.

    Jeśli nie masz uprawnień do przypisywania ról, opcja Dodaj przypisanie roli będzie wyłączona.

    Zrzut ekranu przedstawiający menu Dodawanie > przypisania roli.

    Zostanie otworzona strona Dodawanie przypisania roli.

Krok 3. Wybieranie odpowiedniej roli

Aby wybrać rolę, należy wykonać następujące czynności.

  1. Na karcie Rola wybierz rolę, której chcesz używać.

    Rolę można wyszukać według nazwy lub opisu. Role można również filtrować według typu i kategorii.

    Zrzut ekranu przedstawiający stronę Dodawanie przypisania roli z kartą Rola.

    Uwaga: Jeśli nie masz pewności, jaką rolę chcesz przypisać, możesz teraz użyć narzędzia Copilot, aby ułatwić wybór odpowiedniej roli. (Ograniczona wersja zapoznawcza. Ta funkcja jest wdrażana na etapach, więc może nie być jeszcze dostępna w dzierżawie lub interfejs może wyglądać inaczej).

  2. (Opcjonalnie) Na karcie Rola kliknij przycisk Copilot może pomóc wybrać rolę . Zostanie otwarte okno dialogowe Copilot.

    Zrzut ekranu przedstawiający przycisk Copilot na stronie Dodawanie roli.

    W oknie dialogowym możesz dodać opisowe monity, aby poinformować Copilot o wymaganiach dotyczących roli oraz o tym, czego potrzebujesz, aby użytkownik był autoryzowany do wykonania, na przykład "Pomóż mi wybrać rolę do wdrożenia funkcji platformy Azure i zarządzania nimi". Lub "Której roli należy użyć, jeśli chcę, aby użytkownik mógł zarządzać obszarem roboczym i wyświetlać go?" Używanie fraz, takich jak "Pomóż mi wybrać...", lub "Której roli należy używać do..." , pomaga Copilot lepiej zrozumieć twoją intencję, aby zapewnić najlepsze wyniki.

    Copilot sugeruje rolę lub wiele ról na podstawie kierunku, z którego pochodzi Twój monit. Copilot prosi Cię o potwierdzenie przez pozycję Wybierz uprawnienia. Copilot zaleca następnie rolę opartą na podanych kryteriach. Możesz wybrać rolę lub poprosić Copilot o polecanie innych ról. Jeśli wybierzesz pozycję Wybierz rolę, wrócisz do strony Dodawanie przypisania roli , na której możesz wybrać zalecaną rolę i wyświetlić jej szczegóły.

  3. Jeśli chcesz przypisać uprzywilejowaną rolę administratora, wybierz kartę Uprzywilejowane role administratora, aby wybrać tę rolę.

    Aby uzyskać najlepsze praktyki dotyczące używania przypisań ról administratora uprzywilejowanego, zobacz Najlepsze praktyki dla Azure RBAC.

    Zrzut ekranu przedstawiający stronę Dodawanie przypisania roli z wybraną kartą Role administratora uprzywilejowanego.

  4. W kolumnie Szczegóły kliknij pozycję Widok , aby uzyskać więcej szczegółów na temat roli.

    Zrzut ekranu przedstawiający okienko Wyświetl szczegóły roli z kartą Uprawnienia.

  5. Kliknij przycisk Dalej.

Krok 4. Wybieranie, kto potrzebuje dostępu

Aby wybrać, kto powinien mieć dostęp, wykonaj następujące kroki:

  1. Na karcie Członkowie wybierz pozycję Użytkownik, grupa lub jednostka usługi, aby przypisać wybraną rolę do użytkownika, grupy lub jednostki usługi (aplikacji) usługi Microsoft Entra.

    Zrzut ekranu przedstawiający stronę Dodawanie przypisania roli z kartą Członkowie.

  2. Kliknij pozycję Wybierz członków.

  3. Znajdź i wybierz użytkowników, grupy lub jednostki usługi.

    Możesz skorzystać z pola Wybierz, aby wyszukać w katalogu nazwę wyświetlaną lub adres e-mail.

    Zrzut ekranu przedstawiający okienko Wybieranie członków.

  4. Kliknij pozycję Wybierz , aby dodać użytkowników, grupy lub jednostki usługi do listy Członkowie.

  5. Aby przypisać wybraną rolę do przynajmniej jednej tożsamości zarządzanej, wybierz pozycję Tożsamość zarządzana.

  6. Kliknij pozycję Wybierz członków.

  7. W okienku Wybieranie tożsamości zarządzanej wybierz typ: tożsamość zarządzana przypisana przez użytkownika lub tożsamość zarządzana przypisana przez system.

  8. Znajdź i wybierz tożsamości zarządzane.

    W przypadku tożsamości zarządzanych przypisanych przez system możesz wybrać tożsamości zarządzane według wystąpienia usługi platformy Azure.

    Zrzut ekranu przedstawiający panel wyboru tożsamości zarządzanych.

  9. Kliknij Wybierz, aby dodać tożsamości zarządzane do listy członków.

  10. W polu Opis wprowadź opcjonalny opis tego przypisania roli.

    Później możesz pokazać ten opis na liście przypisań ról.

  11. Kliknij przycisk Dalej.

Krok 5: (opcjonalnie) Dodaj warunek

Jeśli wybrano rolę, która obsługuje warunki, zostanie wyświetlona karta Warunki i będzie można dodać warunek do przypisania roli. Warunek to dodatkowy element kontroli, który można opcjonalnie dodać do przypisania roli w celu zapewnienia bardziej precyzyjnej kontroli dostępu.

Karta Warunki będzie wyglądać inaczej w zależności od wybranej roli.

Warunek delegatu

Jeśli wybrano jedną z następujących ról uprzywilejowanych, wykonaj kroki opisane w tej sekcji.

  1. Na karcie Warunki w obszarze Co użytkownik może zrobić, wybierz opcję Zezwalaj użytkownikowi na przypisywanie ról tylko wybranym głównym podmiotom (mniej uprawnień).

    Zrzut ekranu przedstawiający dodawanie przypisania roli z wybraną opcją Ograniczone.

  2. Kliknij pozycję Wybierz role i podmioty zabezpieczeń , aby dodać warunek ograniczający role i podmioty zabezpieczeń, do których ten użytkownik może przypisać role.

  3. Wykonaj kroki opisane w artykule Delegowanie zarządzania przypisywaniem ról Azure innym osobom na określonych warunkach.

Warunek magazynu

Jeśli wybrano jedną z następujących ról magazynu, wykonaj następujące czynności opisane w tej sekcji.

  1. Kliknij przycisk Dodaj warunek , jeśli chcesz jeszcze bardziej uściślić przypisania ról na podstawie atrybutów magazynu.

    Zrzut ekranu przedstawiający stronę Dodawanie przypisania roli z kartą Dodaj warunek.

  2. Wykonaj kroki opisane w temacie Dodawanie lub edytowanie warunków przypisywania ról platformy Azure.

Krok 6. Wybierz typ przypisania

Jeśli masz licencję Microsoft Entra ID P2 lub ładu usługi Microsoft Entra ID, zostanie wyświetlona karta Typ przypisania na potrzeby zakresów grupy zarządzania, subskrypcji i grupy zasobów. Użyj kwalifikujących się przypisań, aby zapewnić natychmiastowy dostęp do roli. Użytkownicy z kwalifikującymi się przypisaniami i/lub powiązanymi czasami muszą mieć ważną licencję.

Jeśli nie chcesz używać funkcji PIM, wybierz opcje Aktywny typ przypisania i Czas trwania przypisania stałego. Te ustawienia tworzą przypisanie roli, w którym podmiot zabezpieczeń zawsze ma uprawnienia w roli.

Ta funkcja jest wdrażana etapami, więc może nie być jeszcze dostępna w Twoim środowisku lub Twój interfejs może wyglądać inaczej. Aby uzyskać więcej informacji, zobacz Kwalifikowane i czasowo ograniczone przypisania ról w Azure RBAC.

  1. Na karcie Typ przypisania wybierz Typ przypisania.

    • Kwalifikujące się — użytkownik musi wykonać co najmniej jedną akcję, aby użyć roli, na przykład przeprowadzić sprawdzanie uwierzytelniania wieloskładnikowego, podać uzasadnienie biznesowe lub zażądać zatwierdzenia od wyznaczonych osób zatwierdzających. Nie można tworzyć kwalifikujących się przypisań ról dla aplikacji, jednostek usługi ani tożsamości zarządzanych, ponieważ nie mogą wykonać kroków aktywacji.
    • Aktywne — użytkownik nie musi wykonywać żadnej akcji, aby użyć roli.

    Zrzut ekranu przedstawiający dodawanie przypisania roli z wyświetlonymi opcjami Typ przypisania.

  2. W zależności od ustawień w obszarze Czas trwania przypisania wybierz pozycję Stałe lub Limit czasu.

    Wybierz stałe, jeśli chcesz, aby członek zawsze mógł aktywować rolę lub używać jej. Wybierz ograniczenie czasowe, aby określić daty rozpoczęcia i zakończenia. Ta opcja może być wyłączona, jeśli tworzenie przypisań stałych nie jest dozwolone przez zasady usługi PIM.

  3. Jeśli wybrane jest ograniczenie czasowe, ustaw datę i godzinę rozpoczęcia oraz datę i godzinę rozpoczęcia, aby określić, kiedy użytkownik może aktywować rolę lub jej używać.

    Można ustawić datę rozpoczęcia w przyszłości. Maksymalny dozwolony czas trwania kwalifikowania jest zależny od zasad usługi Privileged Identity Management (PIM).

  4. (Opcjonalnie) Użyj Skonfiguruj zasady usługi PIM, aby skonfigurować opcje wygasania, wymagania dotyczące aktywacji roli (zatwierdzenie, uwierzytelnianie wieloskładnikowe lub kontekst uwierzytelniania dostępu warunkowego) i inne ustawienia.

    Po wybraniu łącza Aktualizuj zasady usługi PIM zostanie wyświetlona strona PIM. Wybierz pozycję Ustawienia, aby skonfigurować zasady usługi PIM na potrzeby ról. Aby uzyskać więcej informacji, zobacz Konfigurowanie ustawień roli zasobów platformy Azure w usłudze Privileged Identity Management.

  5. Kliknij przycisk Dalej.

Krok 7. Przypisywanie roli

  1. Na karcie Przeglądanie i przypisywanie przejrzyj ustawienia przypisania roli.

    Zrzut ekranu przedstawiający stronę Przypisywanie roli z kartą Przeglądanie i przypisywanie.

  2. Kliknij Przejrzyj i przypisz, aby przypisać rolę.

    Po kilku chwilach podmiotowi zabezpieczeń zostanie przypisana rola w wybranym zakresie.

    Zrzut ekranu przedstawiający listę przypisań ról po przypisaniu roli.

  3. Jeśli nie widzisz opisu przypisania roli, kliknij pozycję Edytuj kolumny , aby dodać kolumnę Opis .

Edytuj przypisanie

Jeśli masz licencję Microsoft Entra ID P2 lub ładu usługi Microsoft Entra ID, możesz edytować ustawienia typu przypisania roli. Aby uzyskać więcej informacji, zobacz Kwalifikowane i czasowo ograniczone przypisania ról w Azure RBAC.

  1. Na stronie Kontrola dostępu (Zarządzanie dostępem i tożsamościami) kliknij kartę Przypisania ról, aby wyświetlić przypisania ról w tym zakresie.

  2. Znajdź przypisanie roli, które chcesz edytować.

  3. W kolumnie Stan kliknij link, taki jak Czasowo kwalifikujący się lub Aktywny na stałe.

    Pojawi się okienko Edytowanie przypisania, w którym można zaktualizować ustawienia typu przypisania roli. Otwarcie okienka może potrwać kilka chwil.

    Zrzut ekranu przedstawiający okienko Edytowanie przypisania z wyświetlonymi opcjami Typ przypisania.

  4. Po zakończeniu kliknij przycisk Zapisz.

    Przetwarzanie i odzwierciedlinie aktualizacji w portalu może zająć trochę czasu.

Treści powiązane

  • Last updated on