Dela via

Tilldela Azure-roller med hjälp av Azure-portalen

Rollbaserad åtkomstkontroll i Azure (Azure RBAC) är det auktoriseringssystem som du använder för att hantera åtkomst till Azure-resurser. Om du vill bevilja åtkomst tilldelar du roller till användare, grupper, tjänsthuvudnamn eller hanterade identiteter i ett visst omfång. Den här artikeln beskriver hur du tilldelar roller med hjälp av Azure-portalen.

Om du behöver tilldela administratörsroller i Microsoft Entra-ID kan du läsa Tilldela Microsoft Entra-roller till användare.

Förutsättningar

För att tilldela Azure-roller måste du ha:

Steg 1: Identifiera det omfång som behövs

När du tilldelar roller måste du ange ett omfång. Ett omfång är den uppsättning resurser som åtkomsten gäller för. I Azure kan du ange ett omfång på fyra nivåer från bred till smal: hanteringsgrupp, prenumeration, resursgrupp och resurs. För mer information se Förstå omfång.

Diagram som visar omfångsnivåer för Azure RBAC.

  1. Logga in på Azure-portalen.

  2. I rutan Sök högst upp söker du efter det omfång som du vill bevilja åtkomst till. Sök till exempel efter Hanteringsgrupper, Prenumerationer, Resursgrupper eller en specifik resurs.

  3. Klicka på den specifika resursen inom det omfånget.

    Nedan visas ett exempel på en resursgrupp.

    Skärmbild av översiktssidan för resursgrupper.

Steg 2: Öppna sidan Lägg till rolltilldelning

Åtkomstkontroll (IAM) är den sida som du vanligtvis använder för att tilldela roller som beviljar åtkomst till Azure-resurser. Det kallas även identitets- och åtkomsthantering (IAM) och finns på flera platser i Azure-portalen.

  1. Klicka på Åtkomstkontroll (IAM).

    Nedan visas ett exempel på sidan Åtkomstkontroll (IAM) för en resursgrupp.

    Skärmbild av sidan Åtkomstkontroll (IAM) för en resursgrupp.

  2. Klicka på fliken Rolltilldelningar för att visa rolltilldelningarna i det här omfånget.

  3. Klicka på Lägg tilllägg till >rolltilldelning.

    Om du inte har behörighet att tilldela roller är alternativet Lägg till rolltilldelning inaktiverat.

    Skärmbild av menyn Lägg till rolltilldelning>.

    Sidan Lägg till rolltilldelning öppnas.

Steg 3: Välj lämplig roll

Gör så här för att välja en roll:

  1. På fliken Roll väljer du rollen du vill använda.

    Du kan söka efter en roll med namn eller beskrivning. Du kan också filtrera roller efter typ och kategori.

    Skärmbild av sidan Lägg till rolltilldelning med fliken Roll.

    Obs! Om du är osäker på vilken roll du behöver tilldela kan du nu använda Copilot för att välja rätt roll. (Begränsad förhandsversion. Den här funktionen distribueras stegvis, så den kanske inte är tillgänglig ännu i klientorganisationen eller så kan gränssnittet se annorlunda ut.)

  2. (Valfritt) På fliken Roll klickar du på knappen Copilot kan hjälpa dig att välja roll . Dialogrutan Copilot öppnas.

    Skärmbild av knappen Copilot på sidan Lägg till rolltilldelning.

    I dialogrutan kan du lägga till beskrivande uppmaningar för att informera Copilot om dina krav för rollen och vad du behöver en användare som ska ha behörighet att göra, till exempel "Hjälp mig att välja en roll för att distribuera och hantera Azure-funktioner", eller "Vilken roll ska jag använda om jag vill att en användare ska hantera och visa en arbetsyta?" Med fraser som "Hjälp mig att välja..." eller "Vilken roll ska jag använda för att..." hjälper Copilot att förstå din avsikt tydligare för att leverera bästa resultat.

    Från uppmaningens riktning föreslår Copilot en roll, eller flera roller, baserat på de krav som ställs. Copilot ber dig bekräfta med Välj behörigheter. Copilot rekommenderar sedan en roll baserat på de kriterier som anges. Du kan välja roll eller be Copilot att rekommendera andra roller. Om du väljer Välj roll tas du tillbaka till sidan Lägg till rolltilldelning där du kan välja den rekommenderade rollen och visa dess information.

  3. Om du vill tilldela en privilegierad administratörsroll väljer du fliken Privilegierade administratörsroller för att välja rollen.

    Metodtips när du använder privilegierade administratörsrolltilldelningar finns i Metodtips för Azure RBAC.

    Skärmbild av sidan Lägg till rolltilldelning med fliken Privilegierade administratörsroller markerad.

  4. I kolumnen Information klickar du på Visa för att få mer information om en roll.

    Skärmbild av fönstret Visa rollinformation med fliken Behörigheter.

  5. Klicka på Nästa.

Steg 4: Välj vem som ska ha åtkomst

Följ dessa steg för att välja vem som behöver åtkomst:

  1. På fliken Medlemmar väljer du Användare, grupp eller tjänsthuvudnamn för att tilldela den valda rollen till en eller flera användare, grupper eller tjänsthuvudnamn (program) i Microsoft Entra.

    Skärmbild av sidan Lägg till rolltilldelning med fliken Medlemmar.

  2. Klicka på Välj medlemmar.

  3. Hitta och välj användare, grupper eller tjänsthuvudnamn.

    Du kan skriva i rutan Välj om du vill söka i katalogen efter visningsnamn eller e-postadress.

    Skärmbild av fönstret Välj medlemmar.

  4. Klicka på Välj för att lägga till användare, grupper eller tjänstens huvudnamn i listan Medlemmar.

  5. Du kan tilldela den valda rollen till en eller flera hanterade identiteter genom att välja Hanterad identitet.

  6. Klicka på Välj medlemmar.

  7. I fönstret Välj hanterade identiteter väljer du om typen är en användartilldelad hanterad identitet eller en systemtilldelad hanterad identitet.

  8. Leta upp och välj de hanterade identiteterna.

    För systemtilldelade hanterade identiteter kan du välja hanterade identiteter efter Azure-tjänstinstans.

    Skärmbild av fönstret Välj hanterade identiteter.

  9. Klicka på Välj för att lägga till hanterade identiteter i listan Medlemmar.

  10. Lägg till en beskrivning av rolltilldelningen i rutan Beskrivning.

    Beskrivningen visas senare i listan med rolltilldelningar.

  11. Klicka på Nästa.

Steg 5: (valfritt) Lägg till villkor

Om du valde en roll som har stöd för villkor visas fliken Villkor , där du kan lägga till ett villkor till rolltilldelningen. Ett villkor är en extra kontroll som du kan lägga till för rolltilldelningen om du vill justera åtkomstkontrollen ytterligare.

Fliken Villkor ser annorlunda ut beroende på vilken roll du har valt.

Villkor för ombud

Om du har valt någon av följande privilegierade roller följer du stegen i det här avsnittet.

  1. På fliken Villkor under Vad användaren kan göra väljer du alternativet Tillåt att användaren endast tilldelar valda roller till valda huvudnamn (färre behörigheter).

    Skärmbild av Lägg till rolltilldelning med alternativet Begränsad valt.

  2. Klicka på Välj roller och huvudnamn för att lägga till ett villkor som begränsar de roller och huvudnamn som användaren kan tilldela roller till.

  3. Följ stegen i Delegera Hantering av Azure-rolltilldelning till andra med villkor.

Lagringsvillkor

Om du har valt någon av följande lagringsroller följer du stegen i det här avsnittet.

  1. Klicka på Lägg till villkor om du vill förfina rolltilldelningarna ytterligare baserat på lagringsattribut.

    Skärmbild av sidan Lägg till rolltilldelning med fliken Lägg till villkor.

  2. Följ stegen i Lägg till eller redigera villkor för Azure-rolltilldelning.

Steg 6: Välj tilldelningstyp

Om du har en licens för Microsoft Entra ID P2 eller Microsoft Entra ID Governance visas fliken Tilldelningstyp för omfånget hanteringsgrupp, prenumeration och resursgrupp. Använd berättigade uppdrag för att ge just-in-time-access till en roll. Användare med berättigade och/eller tidsbundna tilldelningar måste ha en giltig licens.

Om du inte vill använda PIM-funktionen väljer du alternativen Aktiv tilldelningstyp och Permanent tilldelningstid. De här inställningarna skapar en rolltilldelning där huvudnamnet alltid har behörigheter i rollen.

Den här funktionen distribueras stegvis, så den kanske inte är tillgänglig ännu i din klientorganisation eller så kan gränssnittet se annorlunda ut. Mer information finns i Berättigade och tidsbundna rolltilldelningar i Azure RBAC.

  1. På fliken Tilldelningstyp väljer du Tilldelningstyp.

    • Berättigad – Användaren måste utföra en eller flera åtgärder för att använda rollen, som att utföra en kontroll av multifaktorautentisering, ange en verksamhetsmotivering eller begära godkännande från utsedda godkännare. Du kan inte skapa berättigade rolltilldelningar för program, tjänstens huvudnamn eller hanterade identiteter eftersom de inte kan utföra aktiveringsstegen.
    • Aktiv – Användaren behöver inte utföra någon åtgärd för att använda rollen.

    Skärmbild av Lägg till rolltilldelning med alternativ för tilldelningstyp som visas.

  2. Beroende på dina inställningar väljer du Permanent eller Tidsbundenför tilldelningsvaraktighet.

    Välj Permanent om du vill att medlemmen alltid ska kunna aktivera eller använda rollen. Välj Tidsbunden för att ange start- och slutdatum. Detta alternativ kan inaktiveras om PIM-principen inte tillåter permanent skapande av tilldelningar.

  3. Om du väljer Tidsbunden ska du ange Startdatum och starttid och Slutdatum och sluttid för att ange när användaren får aktivera eller använda rollen.

    Det går att ange startdatumet i framtiden. Längsta tillåtna berättigade varaktighet beror på din PIM-princip (Privileged Identity Management).

  4. (Valfritt) Använd Konfigurera PIM-princip för att konfigurera förfalloalternativ, krav för rollaktivering (godkännande, multifaktorautentisering eller kontext för autentisering med villkorsstyrd åtkomst) och andra inställningar.

    När du klickar på länken Uppdatera PIM-princip visas en PIM-sida. Välj Inställningar för att konfigurera PIM-princip för roller. Mer information finns i Konfigurera azure-resursrollinställningar i Privileged Identity Management.

  5. Klicka på Nästa.

Steg 7: Tilldela roll

  1. Granska inställningarna för rolltilldelning på fliken Granska + tilldela.

    Skärmbild av tilldela en roll-sida med fliken Granska + tilldela.

  2. Klicka på Översikt + tilldelning för att tilldela rollen.

    Efter en liten stund tilldelas säkerhetsprincipalen rollen i det valda omfånget.

    Skärmbild av rolltilldelningslistan efter tilldelning av roll.

  3. Om du inte ser beskrivningen för rolltilldelningen klickar du på Redigera kolumner för att lägga till kolumnen Beskrivning .

Redigera tilldelning

Om du har en Microsoft Entra ID P2- eller Microsoft Entra ID Governance-licens kan du redigera dina inställningar för rolltilldelningstyp. Mer information finns i Berättigade och tidsbundna rolltilldelningar i Azure RBAC.

  1. På sidan Åtkomstkontroll (IAM) klickar du på fliken Rolltilldelningar för att visa rolltilldelningarna i det här omfånget.

  2. Leta reda på rolltilldelningen som du vill redigera.

  3. I kolumnen Tillstånd klickar du på länken, till exempel Berättigad tidsbunden eller Aktiv permanent.

    Fönstret Redigera tilldelning visas där du kan uppdatera inställningarna för rolltilldelningstyp. Det kan ta en stund innan fönstret öppnas.

    Skärmbild av fönstret Redigera tilldelning med alternativ för tilldelningstyp som visas.

  4. När det är klart klickar du på Spara.

    Det kan ta ett tag innan uppdateringarna bearbetas och återspeglas i portalen.

Relaterat innehåll