Я ищу способ настроить пользовательский RBAC (предоставление доступа \ создание роли и назначение разрешений) для конкретного блейда Azure AD.
Фактически, я хочу, чтобы мой конечный пользователь с настраиваемой ролью мог изменять только определенные параметры в колонке Azure AD.
Вот скриншот:
Например, мне нужны разрешения на регистрацию приложения (с помощью колонки регистрации приложений), а также разрешения на управление этим недавно зарегистрированным приложением через колонку Корпоративные приложения.
Причина в том, что, несмотря на параметр Azure AD «Пользователи могут регистрировать приложения» (Azure AD - Параметры пользователя - Регистрация приложений - Пользователи могут регистрировать приложения)
Даже если вы разрешите пользователям регистрировать однотенантные LOB-приложения, существуют ограничения на то, что может быть зарегистрировано. Например, разработчики, не являющиеся администраторами каталогов.
Пользователи не могут превратить однотенантное приложение в мультитенантное.
При регистрации однотенантных бизнес-приложений пользователи не могут запрашивать разрешения только для приложений для других приложений.
При регистрации однотенантных бизнес-приложений пользователи не могут запрашивать делегированные разрешения другим приложениям, если для этих разрешений требуется согласие администратора.
Пользователи не могут вносить изменения в приложения, владельцами которых они не являются. Источник
В соответствии с перечисление поставщиков ресурсов, Поставщик Microsoft.AzureActiveDirectory
не является полноценным поставщиком ARM и не предоставляет никаких операций с ARM.
поэтому я не могу создать собственный шаблон JSON, например:
Microsoft.AzureActiveDirectory/*/read
и импортировать через
New-AzureRmRoleDefinition
командлет.
Единственно возможные действия с Microsoft.AzureActiveDirectory
провайдер, которого я нашел
В моем случае используется B2B.
К сожалению, пока этого добиться нельзя.
Во-первых, Custom RBAC предназначен для ресурсов подписки, не для доступа к функциям Azure AD.
Для Azure AD мы можем назначить пользователям роль каталога Azure AD для управления разным доступом. Он отличается от RBAC для подписок. На данный момент в Azure AD существует три основных типа ролей: пользователь, глобальный администратор, ограниченный администратор.
Если вы хотите назначить пользователю какое-то ограничение доступа, вам нужно выбрать Ограничить роль администратора и выбрать подходящую для пользователя:
Однако эти ограничения административных ролей не могут быть изменены. Мы можем выбрать только одну или несколько из этих ролей в списке.
Дополнительные сведения о назначении ролей в Azure AD см. В этот документ.
Кроме того, есть много клиентов, которые столкнулись с проблемами, подобными вашим. Они публикуют свои идеи в эта страница UserVoice а команда Azure AD рассмотрит эти идеи и даст на них ответ. Поэтому я также предлагаю вам опубликовать свою идею или проголосовать за аналогичную идею на странице.
Надеюсь это поможет!