Пользовательские роли Azure Active Directory и возможные области - PullRequest
Новая
       7

Пользовательские роли Azure Active Directory и возможные области

0 голосов
/ 04 декабря 2018

Я хотел бы создать пользовательскую роль Azure Active Directory со следующими периметрами:

Кому назначить роль:

  • Либо пользовательили группа

Какой доступ будет иметь роль:

  • Разрешения роли по умолчанию из роли каталога «Администратор доступа пользователя»

    Область действия:

  • Пользовательская роль будет предоставлять доступ только в указанных группах AAD

(MyИдея состоит в том, чтобы пользователи с этой пользовательской ролью могли заполнять роли администратора доступа пользователей ТОЛЬКО в группах AAD Scoped)

Это предоставит администраторам приложений необходимые права для назначения ролей приложений указанным "Область действия "Группы AAD с наименьшими привилегиями в Active Directory

Можно ли разместить пользовательскую роль Azure Active Directory в группе AAD?Не назначать роль группе, но пользовательская роль предоставляет только разрешения для управления группой AAD (Назначение / удаление ролей приложений для группы ... и т. Д.)?

  • Значение нетправа / разрешения существуют в AAD, за исключением администрирования доступа пользователей указанной группы AAD «Область»

Если да, каким будет формат области при создании настраиваемой роли?Предпочтительнее в JSON или Powershell

1 Ответ

0 голосов
/ 04 декабря 2018

В настоящее время нет поддержки пользовательских ролей в Azure Active Directory.Для использования доступны только предопределенные роли администратора, , как описано в документации .

Однако вы можете взглянуть на расширенные возможности самообслуживания или делегированного управления группами . и объедините их с какой-либо существующей ролью (например, User Access Adminsitrator или Администратор приложения).Вам также может понравиться увидеть разницу между Администратором приложений и Администратором облачных приложений .

В уговоре для доступа с наименьшими привилегиями вы можете найти Least PrivilegeДокумент Role by Task полезен.А также Microsoft Azure AD Privileged Identity Management для контроля и аудита привилегированных задач.

Последняя, ​​но не менее важная функция предварительного просмотра - Административные единицы могут представлять интерес

Подводя итог

На сегодняшний день (2018-12-04) в Azure AD нет возможности создать настраиваемую роль.Не ограничивать данную роль определенной группой (будь то служба безопасности или офис)

Добро пожаловать на сайт PullRequest, где вы можете задавать вопросы и получать ответы от других членов сообщества.

Нет похожих вопросов

...