Permissões personalizadas (RBAC) para acessar o blade específico do Azure AD

1

Estou procurando uma maneira de personalizar o RBAC personalizado (concedendo acesso \ criando permissões de atribuição e atribuição de função) a um blade específico do Azure AD.
Na verdade, quero que meu usuário final com uma função personalizada possa modificar apenas algumas configurações no blade do Azure AD. Aqui está a captura de tela:

Porexemplo,queroqueaspermissõesregistremumaplicativo(usandoobladederegistrodoaplicativo)etambémpermissõesparagerenciaresseaplicativorecém-registradopormeiodobladedeaplicativoscorporativos.

Omotivoéque,apesardaopçãodoAzureAD"Os usuários podem registrar aplicativos" (Configurações do Azure AD - Configurações do aplicativo - Os usuários podem registrar aplicativos)

Even if you do allow users to register single-tenant LOB apps, there are limits to what can be registered. For example, developers who are not directory admins.

Users cannot make a single-tenant app a multi-tenant app.
When registering single-tenant LOB apps, users cannot request app-only permissions to other apps.
When registering single-tenant LOB apps, users cannot request delegated permissions to other apps if those permissions require admin consent.
Users cannot make changes to apps that they are not owners of. Source

De acordo com a enumeração do provedor de recursos , provedor Microsoft.AzureActiveDirectory

is not a full ARM provider and does not provide any ARM operations.

, por isso não posso criar um modelo JSON personalizado como:

Microsoft.AzureActiveDirectory/*/read

e importe-o via

New-AzureRmRoleDefinition 

cmdlet.

As únicas ações possíveis com Microsoft.AzureActiveDirectory provider que encontrei são

  • registre o provedor de recursos
  • trabalhe com o diretório B2C.

No meu caso, o B2B é usado.

    
por Sergey 25.01.2018 / 09:02

1 resposta

0

Infelizmente, você não pode conseguir isso por enquanto.

Primeiro, o RBAC personalizado é para recursos de assinatura, não para acesso ao recurso do Azure AD .

Para o Azure AD, podemos atribuir a função Diretório do AD do Azure a usuários para diferenciar o gerenciamento de acesso. É diferente do RBAC para assinaturas. Por enquanto, existem três funções de tipo principais no AD do Azure: Usuário, administrador global, Administrador de limite.

Se você quiser atribuir algum limite de acesso a um usuário, será necessário selecionar Limitar função de administrador e escolher o correto para o usuário:

Noentanto,essasfunçõesdeadministradorlimitadasnãopodemserpersonalizadas.Sópodemosescolherumaoualgumasdessasfunçõesnalista.

VejamaisdetalhessobreAtribuirfunçõesnoAzureADem este documento .

Além disso, há muitos clientes que se depararam com problemas como o seu. Eles postam suas ideias em esta Página do UserVoice e a equipe do Azure AD revisaria essas ideias e dar-lhes resposta. Por isso, também sugiro que você poste sua ideia ou invista a ideia semelhante na página.

Espero que isso ajude!

    
por 25.01.2018 / 09:40