将Azure角色分配管理委托给有条件的其他人

作为管理员，你可能会收到多个请求，以授予对要委派给其他人Azure资源的访问权限。你可以为用户分配所有者或用户访问管理员角色，但这些角色是高特权角色。本文介绍将角色分配管理委派给组织中的其他用户的更安全方法，但为这些角色分配添加限制。例如，可以约束可分配的角色，或限制可向其分配角色的主体。

下图显示了带条件的委托如何只能将 Backup Contributor 角色或 Backup Reader 角色分配（或删除）给营销或销售组。

先决条件

若要分配Azure角色，必须具有：

Microsoft.Authorization/roleAssignments/write 权限，例如 Role Based 访问控制 Administrator 或 User Access Administrator

步骤 1：确定委托所需的权限

若要帮助确定委托所需的权限，请回答以下问题：

委托人可以分配哪些角色？
被授权者可以删除哪些角色的分配？
委托人可以向哪些类型的主体分配角色？
委托人可以向哪些主体分配角色？

知道委托所需的权限后，可以使用以下步骤向委托的角色分配添加条件。有关条件的示例，请参阅示例：通过条件委托 Azure 角色分配管理。

注释

这些步骤中添加的条件适用于分配特定角色，但它们通常也适用于删除这些相同角色的角色分配。

步骤 2：启动新的角色分配

登录到 Azure 门户。
按照步骤打开“添加角色分配”页。
在“ 角色 ”选项卡上，选择 “特权管理员角色 ”选项卡。
选择基于角色的访问控制管理员角色。

此时会显示“ 条件 ”选项卡。

可以选择包含 Microsoft.Authorization/roleAssignments/write 或 Microsoft.Authorization/roleAssignments/delete 操作的任何角色，例如用户访问管理员，但基于角色的访问控制管理员的权限更少。
在“成员”选项卡上，找到并选择委派。

步骤 3：添加条件

可通过两种方式添加条件。可以使用条件模板，也可以使用高级条件编辑器。

模板
条件编辑器

在“条件”选项卡上的“用户可以执行的作”下，选择“允许用户仅将所选角色分配给所选主体”选项（权限更少）。
选择 “选择角色和主体”。

此时会显示“添加角色分配条件”页，其中包含条件模板列表。

选择条件模板，然后选择“ 配置”。

条件模板	选择此模板
约束角色	允许用户仅分配你选择的角色允许用户仅删除所选角色的角色指派
约束角色和主体类型	允许用户仅分配你选择的角色允许用户仅将这些角色分配给你选择的主体类型（用户、组或服务主体）允许用户仅删除所选角色和主体类型的角色分配
约束角色和主体	允许用户仅分配你选择的角色允许用户仅将这些角色分配给你选择的主体允许用户仅删除所选角色和主体的角色分配
允许所有角色，除了特定角色	允许用户分配除所选角色之外的所有角色允许用户删除除所选角色以外的所有角色的角色分配

在配置窗格中，添加所需的配置。
选择 “保存 ”，将条件添加到角色分配。

如果条件模板不适用于你的方案，或者需要更多控制，则可以使用条件编辑器。

打开条件编辑器

在“条件”选项卡上的“用户可以执行的作”下，选择“允许用户仅将所选角色分配给所选主体”选项（权限更少）。
选择 “选择角色和主体”。

此时会显示“添加角色分配条件”页，其中包含条件模板列表。
选择 “打开高级条件编辑器”。

此时会显示“添加角色分配条件”页。
对于“编辑器类型”选项，保留默认可视化为选中状态。

添加动作

在添加操作部分中，选择添加操作。

显示“选择操作”窗格。此窗格是一个基于角色分配的操作筛选列表，它将成为您条件的目标。
如果条件为 true，请选择要允许的创建或更新角色分配操作。

小窍门

如果选择 “创建”或“更新角色分配 ”和 “删除角色分配 ”作，则无法添加条件表达式。如果要针对这两个操作进行操作，则必须添加两个条件。有关详细信息，请参阅示例：约束角色。

生成表达式

在 “生成表达式 ”部分中，选择“ 添加表达式”。

您可以在此处构建表达式，以限制委托可以添加的角色分配。
在 “属性源 ”列表中，选择“ 请求”。
在 “属性” 列表中，为表达式左侧选择以下属性之一。
- 角色定义 ID 用于限制委托可以分配的角色。
- 主体 ID 用于限制委托可以向其分配角色的特定主体。
- 主体类型用于约束委托可以向其分配角色的主体类型（用户、组或服务主体）。

在 “运算符 ”列表中，选择一个运算符。

根据要生成的属性和表达式，通常选择这些运算符，以便为表达式右侧选择一个或多个值。

Attribute	通用运算符
角色定义 ID	ForAnyOfAnyValues：GuidEquals ForAnyOfAllValues：GuidNotEquals
主体 ID	ForAnyOfAnyValues：GuidEquals
主体类型	ForAnyOfAnyValues：StringEqualsIgnoreCase

在 “值 ”框中，输入表达式右侧的一个或多个值。
根据需要添加其他表达式。

小窍门

添加多个表达式以使用条件委托角色分配管理时，通常会在表达式之间使用 And 运算符，而不是默认 Or 运算符。
选择 “保存 ”，将条件添加到角色分配。

步骤 4：分配有条件的角色以委派

在“查看 + 分配”选项卡上，查看角色分配设置。
选择“查看 + 分配”以分配角色。

片刻之后，委托人将根据您的角色分配条件被分配为基于角色的访问控制管理员角色。

步骤 5：由委派者在具备条件的情况下分配角色

代理人现在可以按照步骤来分配角色。

当委托者尝试在Azure门户中分配角色时，角色列表将被筛选，只显示他们能够分配的角色。

如果主体有特定条件，则可用于分配的主体列表也会受到筛选。

如果委托尝试使用 API 分配超出条件的角色，则角色分配失败并出现错误。有关详细信息，请参阅症状 - 无法分配角色。

编辑条件

可通过两种方式编辑条件。可以使用条件模板，也可以使用条件编辑器。

在Azure门户中，打开Access 控件（IAM）页，该角色分配具有要查看、编辑或删除的条件。
选择 “角色分配 ”选项卡并查找角色分配。
在 “条件 ”列中，选择“ 视图/编辑”。

如果看不到 “视图/编辑” 链接，请确保你的查看范围与你的角色分配一致。

此时会显示 “添加角色分配条件 ”页。此页将有所不同，具体取决于条件是否与现有模板匹配。
如果条件与现有模板匹配，请选择“ 配置 ”以编辑条件。
如果条件与现有模板不匹配，请使用高级条件编辑器编辑条件。

例如，若要编辑条件，请向下滚动到生成表达式部分并更新属性、运算符或值。

若要直接编辑条件，请选择代码编辑器类型，然后编辑条件的代码。
完成后，单击“ 保存 ”以更新条件。

后续步骤

Last updated on 2026-04-10

Compartir a través de