Назад | Перейти на главную страницу

Пользовательские разрешения (RBAC) для доступа к определенному блейду Azure AD

Я ищу способ настроить пользовательский RBAC (предоставление доступа \ создание роли и назначение разрешений) для конкретного блейда Azure AD.
Фактически, я хочу, чтобы мой конечный пользователь с настраиваемой ролью мог изменять только определенные параметры в колонке Azure AD.
Вот скриншот:

Например, мне нужны разрешения на регистрацию приложения (с помощью колонки регистрации приложений), а также разрешения на управление этим недавно зарегистрированным приложением через колонку Корпоративные приложения.

Причина в том, что, несмотря на параметр Azure AD «Пользователи могут регистрировать приложения» (Azure AD - Параметры пользователя - Регистрация приложений - Пользователи могут регистрировать приложения)

Даже если вы разрешите пользователям регистрировать однотенантные LOB-приложения, существуют ограничения на то, что может быть зарегистрировано. Например, разработчики, не являющиеся администраторами каталогов.

Пользователи не могут превратить однотенантное приложение в мультитенантное.
При регистрации однотенантных бизнес-приложений пользователи не могут запрашивать разрешения только для приложений для других приложений.
При регистрации однотенантных бизнес-приложений пользователи не могут запрашивать делегированные разрешения другим приложениям, если для этих разрешений требуется согласие администратора.
Пользователи не могут вносить изменения в приложения, владельцами которых они не являются. Источник

В соответствии с перечисление поставщиков ресурсов, Поставщик Microsoft.AzureActiveDirectory

не является полноценным поставщиком ARM и не предоставляет никаких операций с ARM.

поэтому я не могу создать собственный шаблон JSON, например:

Microsoft.AzureActiveDirectory/*/read

и импортировать через

New-AzureRmRoleDefinition 

командлет.

Единственно возможные действия с Microsoft.AzureActiveDirectory провайдер, которого я нашел

В моем случае используется B2B.

К сожалению, пока этого добиться нельзя.

Во-первых, Custom RBAC предназначен для ресурсов подписки, не для доступа к функциям Azure AD.

Для Azure AD мы можем назначить пользователям роль каталога Azure AD для управления разным доступом. Он отличается от RBAC для подписок. На данный момент в Azure AD существует три основных типа ролей: пользователь, глобальный администратор, ограниченный администратор.

Если вы хотите назначить пользователю какое-то ограничение доступа, вам нужно выбрать Ограничить роль администратора и выбрать подходящую для пользователя:

Однако эти ограничения административных ролей не могут быть изменены. Мы можем выбрать только одну или несколько из этих ролей в списке.

Дополнительные сведения о назначении ролей в Azure AD см. В этот документ.

Кроме того, есть много клиентов, которые столкнулись с проблемами, подобными вашим. Они публикуют свои идеи в эта страница UserVoice а команда Azure AD рассмотрит эти идеи и даст на них ответ. Поэтому я также предлагаю вам опубликовать свою идею или проголосовать за аналогичную идею на странице.

Надеюсь это поможет!