·目前,无法应用此类策略来阻止Azure中的安全组删除。但有一种方法可以通过Azure中分配的Azure AD角色来阻止安全组删除。为此,你必须确保不分配Azure AD内置角色,如“用户管理员、特权身份验证管理员、等“,并将这些角色的默认分配权限直接分配给Azure AD租户中的任何用户或用户组。 然后,create custom Azure AD roles according to your specific requirement with the required permissions only如文档链接中所述,如下所示:- https://learn.microsoft.com/en-us/azure/role-based-access-control/custom-roles https://learn.microsoft.com/en-us/azure/active-directory/roles/custom-create ·创建自定义所需的Azure PIM特定角色后,然后将这些PIM角色分配给您认为正确的所需用户或用户组。但请确保未将***“microsoft.directory/groups/delete”和“microsoft.directory/accessReviews/definitions.groups/delete”权限分配给任何已创建的自定义PIM角色,并禁止将内置的特权身份管理下Azure AD角色中的权限授予任何用户,因为这些权限仅给予分配的角色/用户删除安全组的权限。*** 这样一来,you can restrict the users of PIM and other custom roles or default roles, maybe for that matter, to prevent deleting any security groups in Azure.
3条答案
按热度按时间ewm0tg9j1#
·目前,无法应用此类策略来阻止Azure中的安全组删除。但有一种方法可以通过Azure中分配的Azure AD角色来阻止安全组删除。为此,你必须确保不分配Azure AD内置角色,如“用户管理员、特权身份验证管理员、等“,并将这些角色的默认分配权限直接分配给Azure AD租户中的任何用户或用户组。
然后,
create custom Azure AD roles according to your specific requirement with the required permissions only如文档链接中所述,如下所示:-https://learn.microsoft.com/en-us/azure/role-based-access-control/custom-roles
https://learn.microsoft.com/en-us/azure/active-directory/roles/custom-create
·创建自定义所需的Azure PIM特定角色后,然后将这些PIM角色分配给您认为正确的所需用户或用户组。但请确保未将***“microsoft.directory/groups/delete”和“microsoft.directory/accessReviews/definitions.groups/delete”权限分配给任何已创建的自定义PIM角色,并禁止将内置的特权身份管理下Azure AD角色中的权限授予任何用户,因为这些权限仅给予分配的角色/用户删除安全组的权限。***
这样一来,
you can restrict the users of PIM and other custom roles or default roles, maybe for that matter, to prevent deleting any security groups in Azure.xsuvu9jc2#
简短的回答是否定的,没有这样的内置策略,您必须依赖自定义RBAC角色而不是内置角色。
例如,您希望使用
NotAction并将此操作添加到microsoft.directory/groups/delete。https://learn.microsoft.com/en-us/azure/active-directory/roles/permissions-reference
w1jd8yoj3#
你可以尝试使用Azure资源锁,这将保护你的资源不被意外删除,无论用户权限如何。有关Azure资源锁的详细信息,请查看此链接:
https://learn.microsoft.com/en-us/azure/azure-resource-manager/management/lock-resources?tabs=json