Je comprends que vous pouvez attribuer le rôle RBAC "Contributeur" au niveau de l'abonnement pour donner à un utilisateur l'autorisation de créer des groupes de ressources.
Cependant, existe-t-il un moyen de donner cette autorisation via AAD (attribution de rôle d'administrateur)? Ou de toute autre manière?
Je ne suis actuellement pas en mesure de créer des groupes de ressources et je dois demander l'autorisation. J'essaie de comprendre quelles sont les différentes manières de procéder. (en particulier parce qu'il n'y a pas du tout de rôles RBAC sur l'abonnement, à l'exception des «administrateurs classiques» et pourtant je vois que certains groupes de ressources ont été créés et appartiennent à des administrateurs non classiques)
3 Réponses :
Seul autre moyen de le faire - attribuer à l'utilisateur un administrateur général, après cela, cet utilisateur peut s'octroyer des autorisations complètes sur tout ce qui se trouve à l'intérieur du locataire.
C'est sous la lame Azure AD >> propriétés >> Gestion des accès pour les ressources Azure
Ainsi, une fois que j'obtiens les privilèges d'administrateur global, je peux m'affecter en tant que contributeur (ou même propriétaire) de l'abonnement et créer des groupes de ressources - est-ce l'idée?
'tout à l'intérieur du locataire' - je suppose que je suis un peu confus sur la façon dont le locataire et l'abonnement (ou toute ressource) sont liés. Le locataire gère l'identité des ressources (en fait les utilisateurs et les applications) mais n'est pas réellement un conteneur de ressources AFAIK. Alors, comment Global Administrator réalise-t-il ce que je recherche?
abonnements appartient à un locataire. L'administrateur global d'un locataire est effectivement propriétaire de tous ces éléments et des ressources intrinsèques qu'ils contiennent.
Je comprends que vous pouvez attribuer le rôle RBAC "Contributeur" sur le Niveau d'abonnement pour donner à un utilisateur l'autorisation de créer une ressource Groupes.
Votre compréhension est correcte. Pour créer une ressource dans le client, vous devez attribuer le rôle au niveau de l'abonnement (RBAC). Mais c'est différent avec le rôle dans AAD (attribution de rôle d'administrateur).
Par exemple, si vous souhaitez créer un groupe de ressources, vous devez attribuer le rôle à l'utilisateur dans l'abonnement.
Mais si vous souhaitez créer un groupe dans l'AAD, vous avez juste besoin du rôle du répertoire.
Pour plus de détails sur le RBAC, vous pouvez lire ici .
AFAIK, le rôle de contributeur pourrait également être attribué par l'administrateur classique (par exemple, co-administrateur), alors laissez-le simplement attribuer le rôle pour vous, pas besoin d'utiliser AAD.
oui, c'est ce que je vais probablement faire. Mais essayer de comprendre si cela peut également être fait par le biais de l'AAD, et si oui, est-ce une meilleure approche, et comment?
La fin de chaque chemin nécessite que vous deveniez le rôle rbac ou l'administrateur classique. Dans AAD, cela vous donne simplement l'autorisation de le faire (par exemple, gérer l'abonnement), mais le but d'obtenir l'autorisation est d'attribuer le rôle.
AFAIK, le rôle de contributeur pourrait également être attribué par l'administrateur classique (par exemple, co-administrateur), alors laissez-le simplement attribuer le rôle pour vous, pas besoin d'utiliser AAD.
oui, c'est ce que je vais probablement faire. Mais essayer de comprendre si cela peut également être fait par le biais de l'AAD, et si oui, est-ce une meilleure approche, et comment?
La fin de chaque manière nécessite que vous deveniez le rôle rbac ou l'administrateur classique. Dans AAD, cela vous donne simplement l'autorisation de le faire (par exemple, gérer l'abonnement), mais le but d'obtenir l'autorisation est d'attribuer le rôle.
J'aimerais pouvoir également marquer votre commentaire comme une réponse, cela a tellement de sens :)
J'ajoute une réponse pour que d'autres membres de la communauté se réfèrent.