#azure #azure-active-directory
Вопрос:
Я создал один App Registration , называемый Report , под AAD и его приложение под Enterprise Application .
Я хочу ограничить доступ людей (полный CRUD) к приложению отчетов в обоих App Registration и Enterprise Application , и запретить доступ к другим приложениям в AAD.
Ниже приведена моя идея?
1 Клонирование Cloud application administrator для создания новой роли
2 Добавьте людей в новую роль,
3 Добавьте новую роль в Roles and administrators оф Report App Registration в разделе и Enterprise Application
Работает ли это? У кого-нибудь есть идея получше?
Ответ №1:
Чтобы пользователю были предоставлены какие-либо разрешения только на регистрацию выбранного приложения.
- Создайте новую роль с помощью следующего сценария PowerShell
- Назначьте роль с помощью сценария PowerShell
- Создайте роль с помощью API Microsoft Graph 3.a. Создайте определение роли. 3.b. Создайте назначение роли.
- Назначьте ресурсу пользовательскую роль с областью действия
Ссылка: https://docs.microsoft.com/en-us/azure/active-directory/roles/custom-create
Дополнительная ссылка: https://docs.microsoft.com/en-us/azure/active-directory/roles/custom-create#create-a-new-custom-role-to-grant-access-to-manage-app-registrations
Назначьте роли Azure с помощью шаблонов Azure Resource Manager : https://docs.microsoft.com/en-us/azure/role-based-access-control/role-assignments-template
Комментарии:
1. Спасибо. Правильно ли, что в Azure нет функции клонирования для клонирования существующей встроенной роли?
2. Да, вы правы, Пинг-понг, мы можем клонировать только из пользовательской роли, а не из встроенных ролей.
3. спасибо, мне интересно, знаете ли вы, будут ли мои шаги в операции работать, объединяя ваши ссылки. Таким образом, другие люди имеют доступ только к назначенным регистрациям приложений и корпоративным приложениям, и никаких других приложений?
4. Да, пинг-понг должен работать, сочетая приведенные шаги и ссылки. Единственное, что нам нужно, это создать пользовательскую роль вместо клонирования встроенных ролей.