有没有办法阻止通过策略向Azure资源添加用户?
有没有办法阻止通过策略向Azure资源添加用户有没有办法阻止通过策略向Azure资源添加用户?,azure,rbac,azure-policy,Azure,Rbac,Azure Policy,有没有办法阻止通过策略向Azure资源添加用户 我的组织只允许将组添加到Azure资源,而不允许将用户添加到Azure资源。从内置的策略来看,似乎没有一种方法可以在本地限制这一点。那么,有没有办法通过自定义策略实现这一点?或者通过其他方式?谢谢你提出的有趣的问题:) 正如你所说的那样,我认为应该通过政策来解决问题。创建将拒绝任何用户角色分配的策略 { "mode": "All", "policyRule": { &quo
我的组织只允许将组添加到Azure资源,而不允许将用户添加到Azure资源。从内置的策略来看,似乎没有一种方法可以在本地限制这一点。那么,有没有办法通过自定义策略实现这一点?或者通过其他方式?谢谢你提出的有趣的问题:) 正如你所说的那样,我认为应该通过政策来解决问题。创建将拒绝任何用户角色分配的策略
{
"mode": "All",
"policyRule": {
"if": {
"allOf": [
{
"field": "type",
"equals": "Microsoft.Authorization/roleAssignments"
},
{
"field": "Microsoft.Authorization/roleAssignments/principalType",
"equals": "User"
}
]
},
"then": {
"effect": "deny"
}
},
"parameters": {}
}
然后将此策略分配给所需的订阅
谢谢您的帮助。我正在使用Powershell(Get-AZRoleAssignments),它正在为用户字段返回objectType。因此,我查看了Microsoft.Authorization/roleAssignments属性,但查找的是objectType而不是principalType。很高兴知道我在正确的轨道上。再次感谢你。