1 votos

Permisos personalizados (RBAC) para acceder a la hoja Azure AD específica

Estoy buscando una manera de confección personalizada de RBAC (concesión de acceso\creación de roles y la asignación de permisos) específicos de Azure AD hoja.
De hecho, quiero que mi usuario final con una función personalizada para poder modificar ciertos valores de configuración de Azure AD hoja.
Aquí está la captura de pantalla:

Azure AD blades

Por ejemplo, quiero que los permisos para registrar una aplicación (mediante la Aplicación de registro de la cuchilla) y también permisos para administrar esta nueva aplicación registrada a través de las aplicaciones de la Empresa de la cuchilla.

La razón es que a pesar de la Azure AD opción "los Usuarios pueden registrarse de aplicaciones" (Azure AD – Configuración de Usuario – Aplicación de los registros – los Usuarios pueden registrar las aplicaciones)

Incluso si usted no permitir a los usuarios registrarse único inquilino de aplicaciones LOB, no son límites a lo que puede ser registrado. Por ejemplo, los desarrolladores que están no directorio de administradores.

Los usuarios no pueden hacer de un solo inquilino de la aplicación de un multi-inquilino de la aplicación.
Cuando el registro único inquilino de aplicaciones LOB, los usuarios no podrán solicitar la aplicación-sólo permisos para otras aplicaciones.
Cuando el registro único inquilino de aplicaciones LOB, los usuarios no pueden solicitar permisos delegados a otras aplicaciones si los permisos que se requieren admin consentimiento.
Los usuarios no pueden realizar cambios en las aplicaciones que no son propietarios. Fuente

Según el proveedor del recurso de la enumeración, de Microsoft.AzureActiveDirectory proveedor

no es un BRAZO completo del proveedor y no proporciona ningún BRAZO operaciones.

así que no puedo crear una personalizada JSON plantilla como:

Microsoft.AzureActiveDirectory/*/read

y la importación a través de

New-AzureRmRoleDefinition 

cmdlet.

Las únicas acciones posibles con Microsoft.AzureActiveDirectory proveedor que he encontrado son

  • registrar el proveedor del recurso
  • trabajo con B2C directorio.

En mi caso, B2B se utiliza.

0voto

Wayne Yang - MSFT Puntos 73

Desafortunadamente,usted no puede lograr esto por ahora.

En primer lugar, Personalizada RBAC para la suscripción de los recursos, no para Azure AD características de acceso.

Para Azure AD , podemos asignar Azure AD Directorio de papel para los usuarios de diferencias de la gestión de acceso. Es diferente de la configuración de RBAC para las suscripciones. Por ahora, Hay tres tipo de roles en Azure AD : Usuario, administrador Global ,Límite de administrador.

Si desea asignar algunos limitar el acceso a un usuario , deberá seleccionar el Límite de la función de administrador y elegir el más adecuado para el usuario:

enter image description here

Sin embargo, aquellos límite de funciones de administrador no se puede personalizar. Sólo podemos elegir uno o algunos de esos roles en la lista.

Ver más detalles acerca de la asignación de funciones en Azure AD en este documento.

Adicional, hay muchos clientes que vinieron a través de cuestiones como el tuyo. Escriben sus ideas en este uservoice o Página y Azure AD Equipo de revisión de las ideas y darles respuesta. Así que me sugieren también puedes publicar tu idea o upvote la idea similar en la página.

Espero que esto ayude!

EnMiMaquinaFunciona.com

EnMiMaquinaFunciona es una comunidad de administradores de sistemas en la que puedes resolver tus problemas y dudas.
Puedes consultar las preguntas de otros sysadmin, hacer tus propias preguntas o resolver las de los demás.

Powered by: