Erhöhen der Zugriffsrechte zum Verwalten aller Azure-Abonnements und Verwaltungsgruppen

Als globaler Administrator in Microsoft Entra ID haben Sie möglicherweise keinen Zugriff auf alle Abonnements und Verwaltungsgruppen in Ihrem Verzeichnis. In diesem Artikel erfahren Sie, wie Sie Ihren Zugriff auf alle Abonnements und Verwaltungsgruppen erhöhen.

Hinweis

Informationen über Anzeigen oder Löschen von personenbezogenen Daten finden Sie unter Anträge betroffener Personen für Azure im Rahmen der DSGVO. Weitere Informationen zur DSGVO finden Sie im Abschnitt zur DSGVO im Microsoft Trust Center und im Abschnitt zur DSGVO im Service Trust Portal.

In welchen Fällen müssen Sie Ihren Zugriff erhöhen?

Wenn Sie globaler Administrator sind, müssen Sie unter Umständen folgende Aktionen ausführen:

• Wiedererlangen des Zugriffs auf ein Azure-Abonnement oder eine Verwaltungsgruppe, wenn ein Benutzer keinen Zugriff mehr hat
• Gewähren von Zugriff auf ein Azure-Abonnement oder eine Azure-Verwaltungsgruppe für einen anderen Benutzer oder sich selbst
• Anzeigen aller Azure-Abonnements oder Verwaltungsgruppen in einer Organisation
• Zulassen des Zugriffs auf alle Azure-Abonnements oder Verwaltungsgruppen für eine Automation-App (etwa eine App für die Rechnungsstellung oder Überwachung)

Wie erhöhe ich den Zugriff?

Microsoft Entra ID und Azure-Ressourcen werden unabhängig voneinander geschützt. Das heißt, Microsoft Entra-Rollenzuweisungen gewähren keinen Zugriff auf Azure-Ressourcen, und Azure-Rollenzuweisungen gewähren keinen Zugriff auf Microsoft Entra-ID. Wenn Sie jedoch die globale Administratorrolle in Microsoft Entra ID besitzen, können Sie sich selbst Zugriff auf alle Azure-Abonnements und Verwaltungsgruppen in Ihrem Verzeichnis zuweisen. Verwenden Sie diese Funktion, wenn Sie keinen Zugriff auf Azure-Abonnementressourcen wie virtuelle Computer oder Speicherkonten haben und Ihre globalen Administratorrechte verwenden möchten, um Zugriff auf diese Ressourcen zu erhalten.

Wenn Sie Ihre Zugriffsrechte erhöhen, wird Ihnen die Rolle Benutzerzugriffsadministrator in Azure für den Stammbereich (/) zugewiesen. Auf diese Weise können Sie alle Ressourcen anzeigen und den Zugriff in jeder Abonnement- oder Verwaltungsgruppe im Verzeichnis zuweisen. Die Rollenzuweisung „Benutzerzugriffsadministrator“ kann mit Azure PowerShell, der Azure-Befehlszeilenschnittstelle oder der REST-API entfernt werden.

Sie sollten dieses erhöhte Zugriffsrecht entfernen, sobald Sie die Änderungen vorgenommen haben, die im Stammbereich erforderlich sind.

Führen Sie die Schritten auf Stammverzeichnis-Ebene aus.

Azure portal

Schritt 1: Erhöhen der Zugriffsrechte für einen Globalen Admin

Führen Sie diese Schritte aus, um die Zugriffsrechte für einen globalen Administrator mit dem Azure-Portal zu erhöhen.

1. Melden Sie sich als globaler Administrator am Azure-Portal an.

   Wenn Sie Microsoft Entra Privileged Identity Management verwenden, aktivieren Sie Ihre Rollenzuweisung „Globaler Admin“.

2. Öffnen Sie Microsoft Entra ID.

3. Wählen Sie unter Verwalten die Option Eigenschaften aus.

   

4. Wählen Sie unter Zugriffsverwaltung für Azure-Ressourcen die Option Ja.

   

   Wenn Sie Ja auswählen, wird Ihnen in Azure RBAC im Stammbereich (/) die Rolle „Benutzerzugriffsadministrator“ zugewiesen. Dadurch erhalten Sie die Berechtigung, Rollen in allen Azure-Abonnements und Verwaltungsgruppen zuzuweisen, die diesem Microsoft Entra-Verzeichnis zugeordnet sind. Diese Option ist nur für Benutzer*innen verfügbar, denen in Microsoft Entra ID die globale Administratorrolle zugewiesen wurde.

   Wenn Sie Nein festlegen, wird die Rolle „Benutzerzugriffsadministrator“ in Azure RBAC aus Ihrem Benutzerkonto entfernt. Sie können in allen Azure-Abonnements und Verwaltungsgruppen, die diesem Microsoft Entra-Verzeichnis zugeordnet sind, keine Rollen mehr zuweisen. Sie können nur die Azure-Abonnements und Verwaltungsgruppen anzeigen und verwalten, für die Ihnen der Zugriff gewährt wurde.

   Hinweis

   Wenn Sie Privileged Identity Management verwenden, ändert die Deaktivierung Ihrer Rollenzuweisung den Umschalter Zugriffsverwaltung für Azure-Ressourcen nicht in Nein. Um den Zugriff mit den geringsten Rechten zu gewähren, empfehlen wir Ihnen das Festlegen dieses Umschalters auf Nein, bevor Sie Ihre Rollenzuweisung deaktivieren.

5. Klicken Sie auf Speichern, um Ihre Einstellung zu speichern.

   Diese Einstellung ist keine globale Eigenschaft und gilt nur für den aktuell angemeldeten Benutzer. Sie können den Zugriff nicht für alle Mitglieder der globalen Administratorrolle erhöhen.

6. Melden Sie sich ab und wieder an, um den Zugriff zu aktualisieren.

   Sie sollten jetzt auf alle Azure-Abonnements und Verwaltungsgruppen in Ihrem Verzeichnis zugreifen können. Wenn Sie den Bereich „Zugriffssteuerung (IAM)“ anzeigen, werden Sie feststellen, dass Ihnen die Rolle „Benutzerzugriffsadministrator“ im Stammbereich zugewiesen wurde.

   

7. Führen Sie die erforderlichen Änderungen für erhöhte Zugriffsrechte durch.

   Weitere Informationen zum Zuweisen von Rollen finden Sie unter Zuweisen von Azure-Rollen mit dem Azure-Portal. Wenn Sie Privileged Identity Management verwenden, lesen Sie Ermitteln von Azure-Ressourcen zur Verwaltung oder Zuweisen von Azure-Ressourcenrollen.

8. Führen Sie die Schritte im folgenden Abschnitt aus, um die erhöhten Zugriffsrechte zu entfernen.

Schritt 2: Entfernen von erhöhten Zugriffsrechte

Führen Sie die folgenden Schritte aus, um die Zuweisung der Rolle „Benutzerzugriffsadministrator“ im Stammbereich (/) zu entfernen.

1. Melden Sie sich als derselbe Benutzer an, mit dem der Zugriff erhöht wurde.

2. Klicken Sie in der Navigationsliste auf Microsoft Entra-ID und dann auf Eigenschaften.

3. Ändern Sie die Option Zugriffsverwaltung für Azure-Ressourcen wieder in Nein. Da es sich um eine benutzerspezifische Einstellung handelt, müssen Sie als der Benutzer angemeldet sein, der den Zugriff erhöht hat.

   Wenn Sie versuchen, die Rollenzuweisung „Benutzerzugriffsadministrator“ im Bereich „Zugriffssteuerung (IAM)“ zu entfernen, wird die folgende Meldung angezeigt. Um die Rollenzuweisung zu entfernen, müssen Sie den Umschalter wieder auf Nein festlegen oder Azure PowerShell, die Azure-Befehlszeilenschnittstelle oder die REST-API verwenden.

   

4. Melden Sie sich als „Globaler Administrator“ ab.

   Wenn Sie Privileged Identity Management verwenden, aktivieren Sie Ihre Rollenzuweisung „Globaler Administrator“.

   Hinweis

   Wenn Sie Privileged Identity Management verwenden, ändert die Deaktivierung Ihrer Rollenzuweisung den Umschalter Zugriffsverwaltung für Azure-Ressourcen nicht in Nein. Um den Zugriff mit den geringsten Rechten zu gewähren, empfehlen wir Ihnen das Festlegen dieses Umschalters auf Nein, bevor Sie Ihre Rollenzuweisung deaktivieren.

PowerShell

Schritt 1: Erhöhen der Zugriffsrechte für einen Globalen Admin

Verwenden Sie das Azure-Portal oder die REST-API, um die Zugriffsrechte für einen Globalen Admin zu erhöhen.

Schritt 2: Auflisten der Rollenzuweisung auf Stammverzeichnis-Ebene (/)

Nachdem Sie die Zugriffsrechte erhöht haben, verwenden Sie auf Stammverzeichnis-Ebene (/) den Befehl Get-AzRoleAssignment, um die Zuweisung der Rolle „Benutzerzugriffsadmin“ aufzulisten.

Get-AzRoleAssignment | where {$_.RoleDefinitionName -eq "User Access Administrator" `
  -and $_.SignInName -eq "<username@example.com>" -and $_.Scope -eq "/"}

RoleAssignmentId   : /providers/Microsoft.Authorization/roleAssignments/11111111-1111-1111-1111-111111111111
Scope              : /
DisplayName        : username
SignInName         : username@example.com
RoleDefinitionName : User Access Administrator
RoleDefinitionId   : 18d7d88d-d35e-4fb5-a5c3-7773c20a72d9
ObjectId           : 22222222-2222-2222-2222-222222222222
ObjectType         : User
CanDelegate        : False

Schritt 3: Entfernen der erhöhten Zugriffsrechte

Führen Sie die folgenden Schritte aus, um die Zuweisung der Rolle „Benutzerzugriffsadministrator“ für Sie selbst oder einen anderen Benutzer im Stammbereich (/) zu entfernen.

1. Melden Sie sich als Benutzer an, der erhöhte Zugriffsrechte entfernen kann. Hierbei kann es sich um den Benutzer, der den Zugriff erhöht hat, oder einen anderen globalen Administrator handeln, der über erhöhte Zugriffsrechte im Stammbereich verfügt.

2. Verwenden Sie den Befehl Remove-AzRoleAssignment, um die Zuweisung der Rolle „Benutzerzugriffsadministrator“ zu entfernen.

   Remove-AzRoleAssignment -SignInName <username@example.com> `
     -RoleDefinitionName "User Access Administrator" -Scope "/"
   

Azure-Befehlszeilenschnittstelle

Schritt 1: Erhöhen der Zugriffsrechte für einen Globalen Admin

Führen Sie die folgenden grundlegenden Schritte aus, um die Zugriffsrechte für einen globalen Administrator über die Azure CLI zu erhöhen.

1. Rufen Sie mit dem Befehl az rest den Endpunkt elevateAccess auf. Dadurch wird Ihnen die Rolle „Benutzerzugriffsadministrator“ im Stammbereich (/) zugewiesen.

   az rest --method post --url "/providers/Microsoft.Authorization/elevateAccess?api-version=2016-07-01"
   

2. Führen Sie die erforderlichen Änderungen für erhöhte Zugriffsrechte durch.

   Informationen zum Zuweisen von Rollen finden Sie unter Zuweisen von Azure-Rollen mithilfe der Azure CLI.

3. Führen Sie die Schritte in einem späteren Abschnitt aus, um die erhöhten Zugriffsrechte zu entfernen.

Schritt 2: Auflisten der Rollenzuweisung auf Stammverzeichnis-Ebene (/)

Nachdem Sie die Zugriffsrechte erhöht haben, verwenden Sie auf Stammverzeichnis-Ebene (/) den Befehl az role assignment list, um die Zuweisung der Rolle „Benutzerzugriffsadmin“ aufzulisten.

az role assignment list --role "User Access Administrator" --scope "/"

[
  {
    "canDelegate": null,
    "id": "/providers/Microsoft.Authorization/roleAssignments/11111111-1111-1111-1111-111111111111",
    "name": "11111111-1111-1111-1111-111111111111",
    "principalId": "22222222-2222-2222-2222-222222222222",
    "principalName": "username@example.com",
    "principalType": "User",
    "roleDefinitionId": "/providers/Microsoft.Authorization/roleDefinitions/18d7d88d-d35e-4fb5-a5c3-7773c20a72d9",
    "roleDefinitionName": "User Access Administrator",
    "scope": "/",
    "type": "Microsoft.Authorization/roleAssignments"
  }
]

Schritt 3: Entfernen der erhöhten Zugriffsrechte

Führen Sie die folgenden Schritte aus, um die Zuweisung der Rolle „Benutzerzugriffsadministrator“ für Sie selbst oder einen anderen Benutzer im Stammbereich (/) zu entfernen.

1. Melden Sie sich als Benutzer an, der erhöhte Zugriffsrechte entfernen kann. Hierbei kann es sich um den Benutzer, der den Zugriff erhöht hat, oder einen anderen globalen Administrator handeln, der über erhöhte Zugriffsrechte im Stammbereich verfügt.

2. Verwenden Sie den Befehl az role assignment delete, um die Zuweisung der Rolle „Benutzerzugriffsadministrator“ zu entfernen.

   az role assignment delete --assignee username@example.com --role "User Access Administrator" --scope "/"
   

REST-API

Voraussetzungen

Sie müssen die folgenden Versionen verwenden:

• 2015-07-01 oder höher, um Rollenzuweisungen aufzulisten und zu entfernen
• 2016-07-01 oder höher, um die Zugriffsrechte zu erhöhen
• 2018-07-01-preview oder höher, um Ablehnungszuweisungen zu listen

Weitere Informationen finden Sie unter API-Versionen von Azure RBAC REST-APIs.

Schritt 1: Erhöhen der Zugriffsrechte für einen Globalen Admin

Führen Sie die folgenden grundlegenden Schritte aus, um mithilfe der REST-API die Zugriffsrechte für einen globalen Administrator zu erhöhen.

1. Rufen Sie mithilfe von REST elevateAccess auf. So erhalten Sie die Rolle „Benutzerzugriffsadministrator“ im Stammbereich (/).

   POST https://management.azure.com/providers/Microsoft.Authorization/elevateAccess?api-version=2016-07-01
   

2. Führen Sie die erforderlichen Änderungen für erhöhte Zugriffsrechte durch.

   Weitere Informationen zum Zuweisen von Rollen finden Sie unter Zuweisen von Azure-Rollen mit der REST-API.

3. Führen Sie die Schritte in einem späteren Abschnitt aus, um die erhöhten Zugriffsrechte zu entfernen.

Schritt 2: Auflisten der Rollenzuweisungen auf Stammverzeichnis-Ebene (/)

Nachdem Sie den Zugriff erhöht haben, können Sie alle Rollenzuweisungen auf Stammverzeichnis-Ebene (/) auflisten.

• Rufen Sie Rollenzuweisungen – Für Bereich auflisten auf. Dabei entspricht {objectIdOfUser} der Objekt-ID des Benutzers, dessen Rollenzuweisungen Sie abrufen möchten.

  GET https://management.azure.com/providers/Microsoft.Authorization/roleAssignments?api-version=2022-04-01&$filter=principalId+eq+'{objectIdOfUser}'
  

Schritt 3: Auflisten der Ablehnungszuweisungen auf Stammverzeichnis-Ebene (/)

Nachdem Sie den Zugriff erhöht haben, können Sie alle Ablehnungszuweisungen auf Stammverzeichnis-Ebene (/) auflisten.

• Rufen Sie Ablehnungszuweisungen – Für Bereich auflisten auf. Dabei entspricht {objectIdOfUser} der Objekt-ID der Person, deren Ablehnungszuweisungen Sie abrufen möchten.

  GET https://management.azure.com/providers/Microsoft.Authorization/denyAssignments?api-version=2022-04-01&$filter=gdprExportPrincipalId+eq+'{objectIdOfUser}'
  

Schritt 4: Entfernen der erhöhten Zugriffsrechte

Beim Aufruf von elevateAccess erstellen Sie eine Rollenzuweisung für sich selbst. Um diese Berechtigungen zu widerrufen, müssen Sie die Rollenzuweisung „Benutzerzugriffsadministrator“ für sich selbst im Stammbereich (/) entfernen.

1. Rufen Sie Rollendefinitionen – Abrufen mit „User Access Administrator“ für roleName auf, um die Namens-ID der Rolle des Benutzerzugriffsadministrators abzurufen.

   GET https://management.azure.com/providers/Microsoft.Authorization/roleDefinitions?api-version=2022-04-01&$filter=roleName+eq+'User Access Administrator'
   

   {
     "value": [
       {
         "properties": {
     "roleName": "User Access Administrator",
     "type": "BuiltInRole",
     "description": "Lets you manage user access to Azure resources.",
     "assignableScopes": [
       "/"
     ],
     "permissions": [
       {
         "actions": [
           "*/read",
           "Microsoft.Authorization/*",
           "Microsoft.Support/*"
         ],
         "notActions": []
       }
     ],
     "createdOn": "0001-01-01T08:00:00.0000000Z",
     "updatedOn": "2016-05-31T23:14:04.6964687Z",
     "createdBy": null,
     "updatedBy": null
         },
         "id": "/providers/Microsoft.Authorization/roleDefinitions/18d7d88d-d35e-4fb5-a5c3-7773c20a72d9",
         "type": "Microsoft.Authorization/roleDefinitions",
         "name": "18d7d88d-d35e-4fb5-a5c3-7773c20a72d9"
       }
     ],
     "nextLink": null
   }
   

   Speichern Sie die ID aus dem name-Parameter (in diesem Fall 18d7d88d-d35e-4fb5-a5c3-7773c20a72d9).

2. Außerdem müssen Sie die Rollenzuweisung für den Verzeichnisadministrator im Verzeichnisbereich auflisten. Listen Sie alle Zuweisungen im Verzeichnisbereich für principalId des Verzeichnisadministrators auf, der den Aufruf mit erhöhten Zugriffsrechten vorgenommen hat. Dadurch werden alle Zuweisungen im Verzeichnis für „objectid“ aufgelistet.

   GET https://management.azure.com/providers/Microsoft.Authorization/roleAssignments?api-version=2022-04-01&$filter=principalId+eq+'{objectid}'
   

   Hinweis

   Ein Verzeichnisadministrator sollte nicht über zu viele Zuweisungen verfügen. Wenn die obige Abfrage zu viele Zuweisungen zurückgibt, können Sie auch Abfragen für alle Zuweisungen auf der Verzeichnisbereichsebene durchführen und dann die Ergebnisse filtern: GET https://management.azure.com/providers/Microsoft.Authorization/roleAssignments?api-version=2022-04-01&$filter=atScope()

3. Mit den oben aufgeführten Aufrufe wird eine Liste von Rollenzuweisungen zurückgegeben. Suchen Sie die Rollenzuweisung, bei der der Bereich "/" lautet und roleDefinitionId mit der Rollennamen-ID endet, die Sie in Schritt 1 ermittelt haben, und principalId der Objekt-ID des Verzeichnisadministrators entspricht.

   Beispielrollenzuweisung:

   {
     "value": [
       {
         "properties": {
           "roleDefinitionId": "/providers/Microsoft.Authorization/roleDefinitions/18d7d88d-d35e-4fb5-a5c3-7773c20a72d9",
           "principalId": "{objectID}",
           "scope": "/",
           "createdOn": "2016-08-17T19:21:16.3422480Z",
           "updatedOn": "2016-08-17T19:21:16.3422480Z",
           "createdBy": "22222222-2222-2222-2222-222222222222",
           "updatedBy": "22222222-2222-2222-2222-222222222222"
         },
         "id": "/providers/Microsoft.Authorization/roleAssignments/11111111-1111-1111-1111-111111111111",
         "type": "Microsoft.Authorization/roleAssignments",
         "name": "11111111-1111-1111-1111-111111111111"
       }
     ],
     "nextLink": null
   }
   

   Speichern Sie erneut die ID aus dem name-Parameter (in diesem Fall „11111111-1111-1111-1111-111111111111“).

4. Verwenden Sie abschließend die Rollenzuweisungs-ID, um die durch elevateAccess hinzugefügte Zuweisung zu entfernen:

   DELETE https://management.azure.com/providers/Microsoft.Authorization/roleAssignments/11111111-1111-1111-1111-111111111111?api-version=2022-04-01
   

Anzeigen von Protokolleinträgen für den erhöhten Zugriff in den Verzeichnisaktivitätsprotokollen

Wenn das Zugriffsrecht erhöht wird, wird den Protokollen ein Eintrag hinzugefügt. Als Globaler Admin in Microsoft Entra ID sollten Sie überprüfen, ob das Zugriffsrecht erhöht wurde und wer diesen Vorgang ausgeführt hat. Protokolleinträge zu erhöhten Zugriffsrechten werden nicht in den Standardaktivitätsprotokollen, sondern in den Aktivitätsprotokollen des Verzeichnisses angezeigt. In diesem Abschnitt werden verschiedene Möglichkeiten beschrieben, wie Sie die Protokolleinträge zu erhöhten Zugriffsrechten anzeigen können.

Anzeigen von Protokolleinträgen zu erhöhten Zugriffsrechten im Azure-Portal

1. Melden Sie sich als globaler Administrator am Azure-Portal an.

2. Öffnen Sie Monitor>Aktivitätsprotokoll.

3. Ändern Sie die Liste Aktivität zu Verzeichnisaktivität.

4. Suchen Sie nach dem folgenden Vorgang, der auf eine Aktion zum Erhöhen von Zugriffsrechten hinweist.

   Assigns the caller to User Access Administrator role

   

Anzeigen von Protokolleinträgen zu erhöhten Zugriffsrechten mithilfe der Azure CLI

1. Verwenden Sie den Befehl az login, um sich als globaler Administrator anzumelden.

2. Verwenden Sie den Befehl az rest, um folgenden Aufruf auszuführen. Dabei müssen Sie nach einem Datum filtern – wie im Beispielzeitstempel gezeigt – und einen Dateinamen angeben, unter dem die Protokolle gespeichert werden sollen.

   url ruft eine API auf, mit der die Protokolle in Microsoft.Insights abgerufen werden. Die Ausgabe wird in Ihrer Datei gespeichert.

   az rest --url "https://management.azure.com/providers/Microsoft.Insights/eventtypes/management/values?api-version=2015-04-01&$filter=eventTimestamp ge '2021-09-10T20:00:00Z'" > output.txt
   

3. Suchen Sie in der Ausgabedatei nach elevateAccess.

   Das Protokoll ähnelt der folgenden Ausgabe, in der Sie ablesen können, wann und durch wen die Aktion ausgeführt wurde.

     "submissionTimestamp": "2021-08-27T15:42:00.1527942Z",
     "subscriptionId": "",
     "tenantId": "33333333-3333-3333-3333-333333333333"
   },
   {
     "authorization": {
       "action": "Microsoft.Authorization/elevateAccess/action",
       "scope": "/providers/Microsoft.Authorization"
     },
     "caller": "user@example.com",
     "category": {
       "localizedValue": "Administrative",
       "value": "Administrative"
     },
   

Delegieren des Zugriffs an eine Gruppe zum Anzeigen von Protokolleinträgen zu erhöhten Zugriffsrechten mithilfe der Azure CLI

Wenn Sie die Protokolleinträge zu erhöhten Zugriffsrechten regelmäßig abrufen möchten, können Sie den Zugriff an eine Gruppe delegieren und dann die Azure CLI verwenden.

1. Öffnen Sie Microsoft Entra ID>Gruppen.

2. Erstellen Sie eine neue Sicherheitsgruppe, und notieren Sie sich die Gruppenobjekt-ID.

3. Verwenden Sie den Befehl az login, um sich als globaler Administrator anzumelden.

4. Verwenden Sie den Befehl az role assignment create, um der Gruppe die Rolle Leser zuzuweisen. Diese kann nur Protokolle auf Verzeichnisebene lesen, die sich unter Microsoft/Insights befinden.

   az role assignment create --assignee "{groupId}" --role "Reader" --scope "/providers/Microsoft.Insights"
   

5. Fügen Sie einen Benutzer hinzu, der Protokolle für die zuvor erstellte Gruppe liest.

Ein Mitglied der Gruppe kann jetzt regelmäßig den Befehl az rest ausführen, um Protokolleinträge zu erhöhten Zugriffsrechten anzuzeigen.

az rest --url "https://management.azure.com/providers/Microsoft.Insights/eventtypes/management/values?api-version=2015-04-01&$filter=eventTimestamp ge '2021-09-10T20:00:00Z'" > output.txt

Nächste Schritte

• Grundlegendes zu den verschiedenen Rollen
• Zuweisen von Azure-Rollen mithilfe der REST-API