是否可以在没有 RBAC 的情况下通过 AAD 授予创建 Azure 资源组的权限?
Is it possible to give permissions to create Azure Resource Groups through AAD without RBAC?
我知道您可以在订阅级别分配 'Contributor' RBAC 角色以授予用户创建资源组的权限。
但是,有没有办法通过 AAD(管理员角色分配)授予该权限?或者其他方式?
我目前无法创建资源组,需要申请权限。我试图了解可以完成的各种方式。 (特别是因为订阅上根本没有 RBAC 角色,'classic administrators' 除外,但我看到一些资源组已由非经典管理员创建和拥有)
唯一的其他方法 - 为用户分配一个全局管理员,之后,该用户可以授予自己对租户内所有内容的完全权限。
它在 Azure AD 下 blade >> 属性 >> Azure 资源的访问管理
I understand you can assign 'Contributor' RBAC role on the
Subscription level to give a user permission to create Resource
Groups.
您的理解是正确的。要在租户中创建资源,您需要在订阅级别 (RBAC) 上分配角色。但这与 AAD 中的角色(管理员角色分配)不同。
比如你想创建一个资源组,你需要给订阅中的用户分配角色。
但是如果你想在AAD中创建一个组,你只需要目录的角色。
关于RBAC的详细信息,您可以阅读here。
据我所知,贡献者角色也可以由经典管理员(例如共同管理员)分配,所以让他为您分配角色即可,无需使用 AAD。
yes, thats what I will most probably do. But trying to understand if it can be done through AAD as well, and if so is it a better approach, and how?
每个方法的结尾都需要你成为 rbac 角色或经典管理员。在 AAD 中,它只是授予您这样做的权限(例如管理订阅),但获得权限的目的是分配角色。
我知道您可以在订阅级别分配 'Contributor' RBAC 角色以授予用户创建资源组的权限。
但是,有没有办法通过 AAD(管理员角色分配)授予该权限?或者其他方式?
我目前无法创建资源组,需要申请权限。我试图了解可以完成的各种方式。 (特别是因为订阅上根本没有 RBAC 角色,'classic administrators' 除外,但我看到一些资源组已由非经典管理员创建和拥有)
唯一的其他方法 - 为用户分配一个全局管理员,之后,该用户可以授予自己对租户内所有内容的完全权限。
它在 Azure AD 下 blade >> 属性 >> Azure 资源的访问管理
I understand you can assign 'Contributor' RBAC role on the Subscription level to give a user permission to create Resource Groups.
您的理解是正确的。要在租户中创建资源,您需要在订阅级别 (RBAC) 上分配角色。但这与 AAD 中的角色(管理员角色分配)不同。
比如你想创建一个资源组,你需要给订阅中的用户分配角色。
但是如果你想在AAD中创建一个组,你只需要目录的角色。
关于RBAC的详细信息,您可以阅读here。
据我所知,贡献者角色也可以由经典管理员(例如共同管理员)分配,所以让他为您分配角色即可,无需使用 AAD。
yes, thats what I will most probably do. But trying to understand if it can be done through AAD as well, and if so is it a better approach, and how?
每个方法的结尾都需要你成为 rbac 角色或经典管理员。在 AAD 中,它只是授予您这样做的权限(例如管理订阅),但获得权限的目的是分配角色。