我想创建一个具有以下边界的Azure Active Directory自定义角色:
谁将角色分配给:
该角色将具有什么访问权限:
“用户访问管理员”目录角色中的默认角色权限
范围:
自定义角色将仅授予对指定AAD组的访问权限
(我的想法是让用户具有此自定义角色,仅能够在范围AAD组中填充用户访问管理员的角色)
这将为应用程序管理员提供必需的权限,以将应用程序角色分配给指定的“作用域” AAD组,而在Active Directory中的特权最少
是否可以将Azure Active Directory自定义角色作用于AAD组?不是将角色分配给组,而是自定义角色仅授予管理AAD组的权限(向该组分配/删除应用程序角色...等)?
如果是这样,那么在创建自定义角色时作用域格式是什么?首选JSON或Powershell
答案 0 :(得分:1)
当前不支持Azure Active Directory中的自定义角色。仅可使用预定义的管理员角色as described in the documentation。
不过,您可以查看advanced self-service or delegated group management capabilities并将其与某些现有角色(例如User Access Adminsitrator或应用程序管理员)结合使用。您可能还希望看到Application Administrator和Cloud Application Administrator之间的区别。
说服最低权限访问,您可能会发现Least Privilege Role by Task document很有用。还有Microsoft Azure AD Privileged Identity Management用于控制和审核特权任务。
最后但并非最不重要的一点是,您可能会对preview feature - Administrative Units感兴趣。
总结
截止到今天(2018年12月4日),没有选项可以在Azure AD中创建自定义角色。既不将给定角色限制在特定组(安全组或办公室)
答案 1 :(得分:0)