Azure 管理群組所需的權限

檢視次數:

檢視必要的權限以部署資源並將 Azure 管理群組連接到 Trend Vision One。

要成功部署 Trend Vision One Cloud Security 資源到您的管理群組及其內的所有訂閱，需具備以下權限。若要了解更多 Azure 權限，請參閱 Azure 權限文件。

角色	角色啟用的功能	注意
使用者存取管理員	將服務主體指派給自訂角色管理基於角色的存取控制 (RBAC)	管理群組中的所有訂閱均需此項
貢獻者	在主要訂閱中建立資源群組、儲存帳戶和 Blob 容器為每個訂閱建立Trend Vision One自訂角色部署所有其他 Terraform 資源（無法管理角色指派）	管理群組中的所有訂閱均需此項
擁有者	包括使用者存取管理員和貢獻者權限	可用於替代分別指派使用者存取管理員和貢獻者
管理群組讀者	查詢管理群組結構和元數據列出管理群組中的所有訂閱	在管理群組層級必需
應用程式管理員	在 Azure AD 中建立應用程式註冊建立服務主體為 OIDC 驗證配置聯邦身份憑證	適用於 Microsoft Entra ID 使用者。透過 Azure 入口網站指派：「Azure AD」 → 「Roles and administrators」 → 「Application Administrator」 → 「Add assignments」

您可以透過在 Azure CLI 中執行以下命令來驗證所需的權限是否正確配置：

測試管理群組存取權限：

az account management-group show --name <mg-id>

測試訂閱列表：

az account management-group entities list --query "[?type=='/subscriptions']"

測試主要訂閱存取權：

az account show --subscription <primary-sub-id>

錯誤	解決方案
無法列出管理群組訂閱	指派管理群組讀者角色。
無法建立狀態儲存資源	在主要訂閱上指派擁有者或貢獻者角色。
無法建立應用程式授權碼	在 Azure AD 中指派應用程式管理員角色。
無法建立角色定義	在所有訂閱上指派擁有者角色（或使用者存取管理員 + 貢獻者）。