Teilen über


Erstellen oder Aktualisieren von benutzerdefinierten Azure-Rollen über das Azure-Portal

Wenn sich die spezifischen Anforderungen Ihrer Organisation mit den integrierten Azure-Rollen nicht erfüllen lassen, können Sie eigene benutzerdefinierte Rollen erstellen. Genau wie integrierte Rollen können Sie Benutzern, Gruppen und Dienstprinzipale in Verwaltungsgruppen, Abonnement- und Ressourcengruppenbereichen benutzerdefinierte Rollen zuweisen. Benutzerdefinierte Rollen werden in einem Microsoft Entra-Verzeichnis gespeichert und können über Abonnements hinweg freigegeben werden. Jedes Verzeichnis kann bis zu 5.000 benutzerdefinierte Rollen enthalten. Benutzerdefinierte Rollen können über das Azure-Portal, mit Azure PowerShell, über die Azure CLI oder mithilfe der REST-API erstellt werden. In diesem Artikel wird das Erstellen benutzerdefinierter Rollen über das Azure-Portal beschrieben.

Voraussetzungen

Zum Erstellen von benutzerdefinierten Rollen benötigen Sie Folgendes:

Schritt 1: Ermitteln der benötigten Berechtigungen

Azure verfügt über Tausende von Berechtigungen, die Sie potenziell zu Ihrer benutzerdefinierten Rolle hinzufügen können. Nachfolgend sind einige Methoden aufgeführt, mit denen Sie die Berechtigungen ermitteln können, die Sie Ihrer benutzerdefinierten Rolle hinzufügen sollten:

Schritt 2: Auswählen des Startmenüs

Es gibt drei Möglichkeiten, wie Sie eine benutzerdefinierte Rolle erstellen können. Sie können eine vorhandene Rolle klonen, eine Rolle von Grund auf neu erstellen oder den Vorgang mit einer JSON-Datei beginnen. Die einfachste Möglichkeit besteht darin, eine vorhandene Rolle zu ermitteln, die über die meisten benötigten Berechtigungen verfügt, und diese Rolle dann zu klonen und an Ihr Szenario anzupassen.

Klonen einer Rolle

Wenn eine vorhandene Rolle nicht über die erforderlichen Berechtigungen verfügt, können Sie sie klonen und die Berechtigungen anschließend ändern. Führen Sie diese Schritte aus, um mit dem Klonen einer Rolle zu beginnen.

  1. Öffnen Sie in der Azure-Portal eine Verwaltungsgruppe, ein Abonnement oder eine Ressourcengruppe, in der die benutzerdefinierte Rolle zugewiesen werden soll, und öffnen Sie dann die Zugriffssteuerung (IAM).

    Der folgende Screenshot zeigt die geöffnete Seite „Zugriffssteuerung (IAM)“ für ein Abonnement.

    Access control (IAM) page for a subscription

  2. Klicken Sie auf die Registerkarte Rollen, um eine Liste aller integrierten und benutzerdefinierten Rollen anzuzeigen.

  3. Suchen Sie nach einer Rolle, die Sie klonen möchten, z.B. nach der Rolle „Abrechnungsleser“.

  4. Klicken Sie am Ende der Zeile auf die Auslassungspunkte ( ... ), und klicken Sie dann auf Klonen.

    Clone context menu

    Dadurch wird der Editor für benutzerdefinierte Rollen mit ausgewählter Option Rolle klonen geöffnet.

  5. Fahren Sie mit Schritt 3 fort : Grundlagen.

Von Grund auf neu starten

Führen Sie die folgenden Schritte aus, um eine benutzerdefinierte Rolle von Grund auf neu zu erstellen.

  1. Öffnen Sie in der Azure-Portal eine Verwaltungsgruppe, ein Abonnement oder eine Ressourcengruppe, in der die benutzerdefinierte Rolle zugewiesen werden soll, und öffnen Sie dann die Zugriffssteuerung (IAM).

  2. Klicken Sie auf Hinzufügen und anschließend auf Benutzerdefinierte Rolle hinzufügen.

    Screenshot showing Add custom role menu.

    Dadurch wird der Editor für benutzerdefinierte Rollen mit ausgewählter Option Von Grund auf neu starten geöffnet.

  3. Fahren Sie mit Schritt 3 fort : Grundlagen.

Verwenden einer JSON-Datei

Sie können die meisten Werte Ihrer benutzerdefinierten Rolle in einer JSON-Datei angeben. Sie können die Datei im Editor für benutzerdefinierte Rollen öffnen, Änderungen vornehmen und dann die benutzerdefinierte Rolle erstellen. Führen Sie diese Schritte aus, um die benutzerdefinierte Rolle anhand einer JSON-Datei zu erstellen.

  1. Erstellen Sie eine JSON-Datei mit folgendem Format:

    {
        "properties": {
            "roleName": "",
            "description": "",
            "assignableScopes": [],
            "permissions": [
                {
                    "actions": [],
                    "notActions": [],
                    "dataActions": [],
                    "notDataActions": []
                }
            ]
        }
    }
    
  2. Geben Sie in der JSON-Datei Werte für die verschiedenen Eigenschaften an. Im Folgenden finden Sie ein Beispiel mit hinzugefügten Werten. Informationen zu den verschiedenen Eigenschaften finden Sie unter Grundlegendes zu Azure-Rollendefinitionen.

    {
        "properties": {
            "roleName": "Billing Reader Plus",
            "description": "Read billing data and download invoices",
            "assignableScopes": [
                "/subscriptions/11111111-1111-1111-1111-111111111111"
            ],
            "permissions": [
                {
                    "actions": [
                        "Microsoft.Authorization/*/read",
                        "Microsoft.Billing/*/read",
                        "Microsoft.Commerce/*/read",
                        "Microsoft.Consumption/*/read",
                        "Microsoft.Management/managementGroups/read",
                        "Microsoft.CostManagement/*/read",
                        "Microsoft.Support/*"
                    ],
                    "notActions": [],
                    "dataActions": [],
                    "notDataActions": []
                }
            ]
        }
    }
    
  3. Öffnen Sie im Azure-Portal die Seite Zugriffssteuerung (IAM).

  4. Klicken Sie auf Hinzufügen und anschließend auf Benutzerdefinierte Rolle hinzufügen.

    Screenshot showing Add custom role menu.

    Dadurch wird der Editor für benutzerdefinierte Rollen geöffnet.

  5. Wählen Sie auf der Registerkarte mit den Grundeinstellungen unter Baselineberechtigungen die Option Von JSON aus starten aus.

  6. Klicken Sie neben dem Feld „Datei auswählen“ auf die Schaltfläche „Ordner“, um das Dialogfeld „Öffnen“ anzuzeigen.

  7. Wählen Sie Ihre JSON-Datei aus, und klicken Sie dann auf Öffnen.

  8. Fahren Sie mit Schritt 3 fort : Grundlagen.

Schritt 3: Grundlagen

Geben Sie auf der Registerkarte Grundeinstellungen den Namen, eine Beschreibung und die Baselineberechtigungen für Ihre benutzerdefinierte Rolle an.

  1. Geben Sie im Feld Name der benutzerdefinierten Rolle einen Namen für die benutzerdefinierte Rolle an. Der Name muss für das Microsoft Entra-Verzeichnis eindeutig sein. Er kann Buchstaben, Ziffern, Leerzeichen und Sonderzeichen enthalten.

  2. Geben Sie im Feld Beschreibung eine optionale Beschreibung für die benutzerdefinierte Rolle an. Dies wird die QuickInfo für die benutzerdefinierte Rolle.

    Die Option Baselineberechtigungen sollte basierend auf dem vorherigen Schritt bereits ausgewählt sein. Sie können sie jedoch ändern.

    Basics tab with values specified

Schritt 4: Berechtigungen

Auf der Registerkarte Berechtigungen können Sie die Berechtigungen für Ihre benutzerdefinierte Rolle angeben. Abhängig davon, ob Sie eine Rolle geklont haben oder den Vorgang anhand einer JSON-Datei durchgeführt haben, werden auf der Registerkarte „Berechtigungen“ möglicherweise bereits einige Berechtigungen aufgeführt.

Permissions tab of create custom role

Hinzufügen oder Entfernen von Berechtigungen

Führen Sie diese Schritte aus, um Berechtigungen für Ihre benutzerdefinierte Rolle hinzuzufügen oder zu entfernen.

  1. Um Berechtigungen hinzuzufügen, klicken Sie auf Berechtigungen hinzufügen. Dadurch wird der Bereich „Berechtigungen hinzufügen“ geöffnet.

    In diesem Bereich werden alle verfügbaren Berechtigungen aufgelistet (in einem Kartenformat in verschiedenen Kategorien gruppiert). Jede Kategorie stellt einen Ressourcenanbieter dar. Dabei handelt es sich um einen Dienst, der Azure-Ressourcen bereitstellt.

  2. Geben Sie im Feld Berechtigung suchen eine Zeichenfolge ein, um nach Berechtigungen zu suchen. Suchen Sie z.B. nach Rechnung, um Berechtigungen zu finden, die mit Rechnungen in Zusammenhang stehen.

    Basierend auf Ihrer Suchzeichenfolge wird eine Liste mit Ressourcenanbieterkarten angezeigt. Eine Übersicht über die Zuordnung von Ressourcenanbietern und Azure-Diensten finden Sie unter Ressourcenanbieter für Azure-Dienste.

    Add permissions pane with resource provider

  3. Klicken Sie auf die Karte eines Ressourcenanbieters, der möglicherweise über die Berechtigungen verfügt, die Sie Ihrer benutzerdefinierten Rolle hinzufügen möchten (z.B. Microsoft-Abrechnung).

    Basierend auf Ihrer Suchzeichenfolge wird eine Liste mit Verwaltungsberechtigungen für den jeweiligen Ressourcenanbieter angezeigt.

    Add permissions list

  4. Wenn Sie nach Berechtigungen suchen, die sich auf die Datenebene beziehen, klicken Sie auf Datenaktionen. Anderenfalls behalten Sie die Einstellung Aktionen bei, um Berechtigungen aufzulisten, die sich auf die Steuerungsebene beziehen. Weitere Informationen zu den Unterschieden zwischen der Steuerungsebene und der Datenebene finden Sie unter Steuerungs- und Datenvorgänge.

  5. Aktualisieren Sie bei Bedarf die Suchzeichenfolge, um die Suche weiter einzuschränken.

  6. Sobald Sie mindestens eine Berechtigung gefunden haben, die Sie zu Ihrer benutzerdefinierten Rolle hinzufügen möchten, fügen Sie neben der Berechtigung ein Häkchen hinzu. Fügen Sie beispielsweise ein Häkchen neben " Andere: Rechnung herunterladen" hinzu, um die Berechtigung zum Herunterladen von Rechnungen hinzuzufügen.

  7. Klicken Sie auf Hinzufügen, um die Berechtigung zu Ihrer Liste hinzuzufügen.

    Die Berechtigung wird als Actions oder DataActions hinzugefügt.

    Permission added

  8. Um Berechtigungen zu entfernen, klicken Sie auf das Symbol zum Löschen am Ende der Zeile. Da in diesem Beispiel keine Berechtigung zum Erstellen von Supporttickets erforderlich ist, kann die Berechtigung Microsoft.Support/* gelöscht werden.

Hinzufügen von Platzhalterberechtigungen

Abhängig davon, wie Sie den Vorgang zum Erstellen von Rollen starten, enthält Ihre Liste mit Berechtigungen möglicherweise Berechtigungen mit Platzhaltern (*). Ein Platzhalter (*) erweitert eine Berechtigung auf alles, was der von Ihnen angegebenen Aktionszeichenfolge entspricht. Beispielsweise werden mit der folgenden Platzhalterzeichenfolge alle Berechtigungen für Azure Cost Management und Exporte hinzugefügt. Dies schließt auch alle zukünftigen Exportberechtigungen ein, die möglicherweise hinzugefügt werden.

Microsoft.CostManagement/exports/*

Neue Platzhalterberechtigungen können nicht über den Bereich Berechtigungen hinzufügen hinzugefügt werden. Um eine Wild Karte berechtigung hinzuzufügen, müssen Sie sie manuell mithilfe der JSON-Registerkarte hinzufügen. Weitere Informationen finden Sie unter Schritt 6: JSON.

Hinweis

Es empfiehlt sich, explizit Actions und DataActions anzugeben, anstatt das Platzhalterzeichen (*) zu verwenden. Bei Verwendung des Platzhalters können ggf. ungewollt zusätzlicher Zugriff und zusätzliche Berechtigungen durch zukünftige Aktionen (Actions) oder Datenaktionen (DataActions) gewährt werden.

Ausschließen von Berechtigungen

Wenn Ihre Rolle über eine Platzhalterberechtigung (*) verfügt und Sie bestimmte Berechtigungen von dieser Platzhalterberechtigung ausschließen oder entfernen möchten, können Sie sie ausschließen. Angenommen, Sie haben die folgende Platzhalterberechtigung:

Microsoft.CostManagement/exports/*

Wenn Sie nicht zulassen möchten, dass ein Export gelöscht wird, können Sie die folgende Löschberechtigung ausschließen:

Microsoft.CostManagement/exports/delete

Wenn Sie eine Berechtigung ausschließen, wird sie als NotActions oder NotDataActions hinzugefügt. Die geltenden Verwaltungsberechtigungen werden ermittelt, indem alle Actions hinzugefügt und dann alle NotActions entfernt werden. Die geltenden Datenberechtigungen werden ermittelt, indem alle DataActions hinzugefügt und dann alle NotDataActions entfernt werden.

Hinweis

Das Ausschließen einer Berechtigung ist nicht mit dem Verweigern einer Berechtigung identisch. Das Ausschließen von Berechtigungen dient lediglich dazu, Berechtigungen aus einer Platzhalterberechtigung zu entfernen.

  1. Zum Ausschließen oder Entfernen von Berechtigungen aus einer zulässigen Platzhalterberechtigung klicken Sie auf Berechtigungen ausschließen, um den Bereich „Berechtigungen ausschließen“ zu öffnen.

    In diesem Bereich geben Sie die Verwaltungs- oder Datenberechtigungen an, die ausgeschlossen oder entfernt werden.

  2. Sobald Sie mindestens eine Berechtigung gefunden haben, die ausgeschlossen werden soll, fügen Sie neben der Berechtigung ein Häkchen hinzu und klicken auf die Schaltfläche Hinzufügen.

    Exclude permissions pane - permission selected

    Die Berechtigung wird als NotActions oder NotDataActions hinzugefügt.

    Permission excluded

Schritt 5: Zuzuweisende Bereiche

Geben Sie auf der Registerkarte Zuweisbare Bereiche an, wo Ihre benutzerdefinierte Rolle für die Zuweisung verfügbar ist, z. B. Verwaltungsgruppe: Abonnements: oder Ressourcengruppen. Je nachdem, wie Sie den Anfang gewählt haben, ist auf dieser Registerkarte möglicherweise bereits der Bereich aufgeführt, in dem Sie die Seite Zugriffssteuerung (IAM) geöffnet haben.

Sie können nur eine Verwaltungsgruppe in zuweisungsfähigen Bereichen definieren. Der zuweisbare Bereich kann nicht auf den Stammbereich ("/") festgelegt werden.

  1. Klicken Sie auf Zuweisbare Bereiche hinzufügen, um den Bereich „Zuweisbare Bereiche hinzufügen“ zu öffnen.

    Assignable scopes tab

  2. Klicken Sie auf mindestens einen Bereich, den Sie verwenden möchten (üblicherweise Ihr Abonnement).

    Add assignable scopes

  3. Klicken Sie auf die Registerkarte Hinzufügen, um Ihren zuweisbaren Bereich hinzuzufügen.

Schritt 6: JSON

Auf der Registerkarte JSON wird Ihre benutzerdefinierte Rolle im JSON-Format angezeigt. Wenn Sie möchten, können Sie den JSON-Code direkt bearbeiten.

  1. Um den JSON-Code zu bearbeiten, klicken Sie auf Bearbeiten.

    JSON tab showing custom role

  2. Nehmen Sie die gewünschten Änderungen am JSON-Code vor.

    Wenn der JSON-Code nicht ordnungsgemäß formatiert ist, sehen Sie eine rote Zackenlinie und einen Hinweis im vertikalen Bundsteg.

  3. Klicken Sie auf Speichern, wenn Sie fertig sind.

Schritt 7: Überprüfen und Erstellen

Auf der Registerkarte Bewerten + erstellen können Sie die Einstellungen Ihrer benutzerdefinierten Rolle noch einmal überprüfen.

  1. Überprüfen Sie die Einstellungen Ihrer benutzerdefinierten Rolle.

    Review + create tab

  2. Klicken Sie auf Erstellen, um Ihre benutzerdefinierte Rolle zu erstellen.

    Nach einigen Augenblicken wird in einem Meldungsfeld angezeigt, dass Ihre benutzerdefinierte Rolle erfolgreich erstellt wurde.

    Create custom role message

    Falls Fehler ermittelt wurden, wird eine entsprechende Meldung angezeigt.

    Review + create error

  3. Überprüfen Sie, ob Ihre neue benutzerdefinierte Rolle in der Liste Rollen aufgeführt wird. Sollte Ihre benutzerdefinierte Rolle nicht angezeigt werden, klicken Sie auf Aktualisieren.

    Es kann einige Minuten dauern, bis Ihre benutzerdefinierte Rolle überall angezeigt wird.

Auflisten benutzerdefinierter Rollen

Führen Sie die folgenden Schritte aus, um Ihre benutzerdefinierten Rollen anzuzeigen.

  1. Öffnen Sie eine Verwaltungsgruppe, ein Abonnement oder eine Ressourcengruppe, und öffnen Sie dann die Zugriffssteuerung (IAM).

  2. Klicken Sie auf die Registerkarte Rollen, um eine Liste aller integrierten und benutzerdefinierten Rollen anzuzeigen.

  3. Wählen Sie in der Liste Type die Option CustomRole aus, um Ihre benutzerdefinierten Rollen anzuzeigen.

    Wenn Sie die benutzerdefinierte Rolle gerade erst erstellt haben und sie nicht in der Liste aufgeführt ist, klicken Sie auf Aktualisieren.

    Custom role list

Aktualisieren einer benutzerdefinierten Rolle

  1. Führen Sie die weiter oben in diesem Artikel beschriebenen Schritte aus, um Ihre Liste mit benutzerdefinierten Rollen zu öffnen.

  2. Klicken Sie auf die Auslassungspunkte (...) für die benutzerdefinierte Rolle, die Sie aktualisieren möchten, und klicken Sie dann auf Bearbeiten. Beachten Sie, dass integrierte Rollen nicht aktualisiert werden können.

    Die benutzerdefinierte Rolle wird im Editor geöffnet.

    Custom role menu

  3. Verwenden Sie die verschiedenen Registerkarten, um die benutzerdefinierte Rolle zu aktualisieren.

  4. Wenn Sie fertig sind, klicken Sie auf die Registerkarte Überprüfen + erstellen, um Ihre Änderungen zu überprüfen.

  5. Klicken Sie auf die Schaltfläche Aktualisieren, um Ihre benutzerdefinierte Rolle zu aktualisieren.

Löschen einer benutzerdefinierten Rolle

  1. Entfernen Sie alle Rollenzuweisungen, welche die benutzerdefinierte Rolle verwenden. Weitere Informationen finden Sie unter Suchen nach Rollenzuweisungen zum Löschen einer benutzerdefinierten Rolle.

  2. Führen Sie die weiter oben in diesem Artikel beschriebenen Schritte aus, um Ihre Liste mit benutzerdefinierten Rollen zu öffnen.

  3. Klicken Sie auf die Auslassungspunkte (...) für die benutzerdefinierte Rolle, die Sie löschen möchten, und klicken Sie dann auf Löschen.

    Screenshot of a list of custom roles that can be selected for deletion.

    Es kann einige Minuten dauern, bis Ihre benutzerdefinierte Rolle vollständig gelöscht ist.

Nächste Schritte