Zuweisen von Azure-Rollen über das Azure-Portal

Zum Zuweisen von Azure-Rollen müssen Sie über Folgendes verfügen:

• Microsoft.Authorization/roleAssignments/write-Berechtigungen, z. B. Administrator für rollenbasierte Zugriffssteuerung oder Benutzerzugriffsadministrator

Wenn Sie Rollen zuweisen, müssen Sie einen Bereich angeben. Ein Bereich ist der für den Zugriff geltende Ressourcensatz. In Azure können Sie einen Bereich auf vier Ebenen angeben (von weit nach eng): Verwaltungsgruppe, Abonnement, Ressourcengruppe und Ressource. Weitere Informationen finden Sie unter Grundlagen des Bereichs für Azure RBAC.

1. Melden Sie sich beim Azure-Portal an.

2. Suchen Sie im oberen Suchfeld nach dem Bereich, für den Sie Zugriff gewähren möchten. Suchen Sie beispielsweise nach Verwaltungsgruppen, Abonnements, Ressourcengruppen oder eine bestimmten Ressource.

3. Klicken Sie auf die gewünschte Ressource für diesen Bereich.

   Die folgende Abbildung zeigt eine Beispielressourcengruppe.

   

Die Zuweisung von Rollen zum Gewähren von Zugriff auf Azure-Ressourcen erfolgt in der Regel über die Seite Zugriffssteuerung (IAM) . Diese wird auch als Identity & Access Management (IAM) bezeichnet und wird an mehreren Stellen im Azure-Portal angezeigt.

1. Klicken Sie auf Zugriffssteuerung (IAM) .

   Die folgende Abbildung zeigt ein Beispiel der Seite „Zugriffssteuerung (IAM)“ für eine Ressourcengruppe.

   

2. Klicken Sie auf die Registerkarte Rollenzuweisungen, um die Rollenzuweisungen für diesen Bereich anzuzeigen.

3. Klicken Sie auf Hinzufügen>Rollenzuweisung hinzufügen.

   Wenn Sie keine Berechtigungen zum Zuweisen von Rollen haben, ist die Option „Rollenzuweisung hinzufügen“ deaktiviert.

   

   Die Seite Rollenzuweisung hinzufügen wird geöffnet.

Führen Sie die folgenden Schritte aus, um eine Rolle auszuwählen:

1. Wählen Sie auf der Registerkarte Rolle eine Rolle aus, die Sie verwenden möchten.

   Sie können nach einer Rolle anhand des Namens oder der Beschreibung suchen. Sie können Rollen auch nach Typ und Kategorie filtern.

   

2. Wenn Sie eine privilegierte Administratorrolle zuweisen möchten, wählen Sie die Registerkarte Privilegierte Administratorrollen aus, um die Rolle auszuwählen.

   Bewährte Methoden für die Verwendung der Zuweisungen privilegierter Administratorrollen finden Sie unter Bewährte Methoden für Azure RBAC.

   

3. Klicken Sie in der Spalte Details auf Anzeigen, um weitere Details zu einer Rolle abzurufen.

   

4. Klicken Sie auf Weiter.

Führen Sie die folgenden Schritte aus, um Personen auszuwählen, die Zugriff benötigen:

1. Wählen Sie auf der Registerkarte Mitglieder die Option Benutzer, Gruppe oder Dienstprinzipal aus, um die ausgewählte Rolle mindestens einem Microsoft Entra-Benutzer, einer Gruppe oder einem Dienstprinzipal (Anwendung) zuzuweisen.

   

2. Klicken Sie auf Mitglieder auswählen.

3. Suchen Sie nach den Benutzern, Gruppen oder Dienstprinzipalen, und wählen Sie sie aus.

   Sie können im Feld Auswählen einen Begriff eingeben, um das Verzeichnis nach Anzeigename oder E-Mail-Adresse zu durchsuchen.

   

4. Klicken Sie auf Auswählen, um die Benutzer*innen, Gruppen oder Dienstprinzipale der Liste „Mitglieder“ hinzuzufügen.

5. Um die ausgewählte Rolle mindestens einer verwalteten Identität zuzuweisen, wählen Sie Verwaltete Identität aus.

6. Klicken Sie auf Mitglieder auswählen.

7. Wählen Sie im Bereich Select managed identities (Verwaltete Identitäten auswählen) aus, ob der Typ User-assigned managed identity (Benutzerseitig zugewiesene verwaltete Identität) oder System-assigned managed identity (Systemseitig zugewiesene verwaltete Identität) ist.

8. Suchen Sie nach den verwalteten Identitäten, und wählen Sie sie aus.

   Bei systemseitig zugewiesenen verwalteten Identitäten können Sie verwaltete Identitäten nach Azure-Dienstinstanz auswählen.

   

9. Klicken Sie auf Auswählen, um die verwalteten Identitäten der Liste „Mitglieder“ hinzuzufügen.

10. Geben Sie im Feld Beschreibung eine optionale Beschreibung für diese Rollenzuweisung ein.

    Sie können diese Beschreibung später in der Liste der Rollenzuweisungen anzeigen.

11. Klicken Sie auf Weiter.

Wenn Sie eine Rolle ausgewählt haben, die Bedingungen unterstützt, wird die Registerkarte Bedingungen angezeigt, und Sie haben die Möglichkeit, Ihrer Rollenzuweisung eine Bedingung hinzuzufügen. Eine Bedingung ist eine zusätzliche Überprüfung, die Sie ihrer Rollenzuweisung optional hinzufügen können, um eine genauere Zugriffssteuerung zu ermöglichen.

Die Registerkarte Bedingungen sieht je nach ausgewählter Rolle anders aus.

Delegierungsbedingung

Wenn Sie eine der folgenden privilegierten Rollen ausgewählt haben, führen Sie die Schritte in diesem Abschnitt aus.

• Besitzer
• Administrator:in für rollenbasierte Zugriffssteuerung
• Benutzerzugriffsadministrator

1. Wählen Sie auf der Registerkarte Bedingungen unter Welche Aktionen eine Benutzerin oder ein Benutzer ausführen kann, die Option Zulassen, dass die Benutzerin bzw. der Benutzer nur ausgewählte Rollen zu ausgewählten Prinzipalen (geringere Berechtigungen) zuweisen kann.

   

2. Klicken Sie auf Rollen und Prinzipale auswählen, um eine Bedingung hinzuzufügen, die die Rollen und Prinzipale einschränkt, denen dieser Benutzer Rollen zuweisen kann.

3. Führen Sie die Schritte unter Delegieren der Azure-Rollenzuweisungsverwaltung an andere Personen mit Bedingungen aus.

Speicherbedingung

Wenn Sie eine der folgenden Speicherrollen ausgewählt haben, führen Sie die Schritte in diesem Abschnitt aus.

• Mitwirkender an Speicherblobdaten
• Besitzer von Speicherblobdaten
• Leser von Speicherblobdaten
• Mitwirkender an Storage-Warteschlangendaten
• Verarbeiter von Speicherwarteschlangen-Datennachrichten
• Absender der Speicherwarteschlangen-Datennachricht
• Storage-Warteschlangendatenleser

1. Klicken Sie auf Bedingung hinzufügen, wenn Sie die Rollenzuweisungen basierend auf Speicherattributen weiter optimieren möchten.

   

2. Führen Sie die Schritte unter Hinzufügen und Bearbeiten von Bedingungen für die Azure-Rollenzuweisung über das Azure-Portal aus.

Wenn Sie über eine der Lizenzen Microsoft Entra ID P2 oder Microsoft Entra ID Governance verfügen, wird eine Registerkarte Zuweisungstyp für die Bereiche Verwaltungsgruppe, Abonnement und Ressourcengruppe angezeigt. Verwenden Sie berechtigte Zuweisungen, um Just-In-Time-Zugriff auf eine Rolle bereitzustellen. Diese Funktion wird in Phasen bereitgestellt und ist daher möglicherweise noch nicht in Ihrem Mandanten verfügbar oder sieht auf Ihrer Benutzeroberfläche anders aus. Weitere Informationen finden Sie unter Integration mit Privileged Identity Management (Vorschau).

Wenn Sie die PIM-Funktion nicht verwenden möchten, wählen Sie den Zuordnungstyp Aktiv und die Zuweisungsdauer Dauerhaft aus. Diese Einstellungen erstellen eine Rollenzuweisung, bei der der Prinzipal immer über die Berechtigungen in der Rolle verfügt.

1. Wählen Sie auf der Registerkarte Zuweisungstyp den Zuweisungstyp aus.

   • Berechtigt: Der Benutzer muss mindestens eine Aktion ausführen, um die Rolle zu verwenden, z. B. eine Multi-Faktor-Authentifizierung durchführen, eine geschäftliche Begründung bereitstellen oder eine Genehmigung von festgelegten genehmigenden Personen anfordern. Sie können keine berechtigten Rollenzuweisungen für Anwendungen, Dienstprinzipale oder verwaltete Identitäten erstellen, da sie die Aktivierungsschritte nicht ausführen können.
   • Aktiv: Der Benutzer muss keine Aktion ausführen, um die Rolle zu verwenden.

   

2. Wählen Sie je nach Ihren Einstellungen für Zuweisungsdauer die OptionDauerhaft oderZeitgebunden aus.

   Wählen Sie „Dauerhaft“ aus, wenn das Mitglied immer berechtigt sein soll, die Rolle zu aktivieren oder zu verwenden. Wählen Sie „Zeitgebunden“ aus, um Anfangs- und Enddatum anzugeben. Diese Option ist möglicherweise deaktiviert, wenn die Erstellung dauerhafter Zuweisungen aufgrund der PIM-Richtlinie nicht zulässig ist.

3. Wenn Zeitgebunden ausgewählt wurde, legen Sie Startdatum und -uhrzeit sowie Enddatum und -uhrzeit fest, um anzugeben, wann der Benutzer die Rolle aktivieren oder verwenden darf.

   Es ist möglich, ein Startdatum in der Zukunft festzulegen. Die maximal zulässige berechtigte Dauer hängt von Ihrer PIM-Richtlinie (Privileged Identity Management) ab.

4. (Optional:) Verwenden Sie PIM-Richtlinie konfigurieren, um Ablaufoptionen, Anforderungen für die Rollenaktivierung (Genehmigung, Multi-Faktor-Authentifizierung oder Authentifizierungskontext für bedingten Zugriff) und andere Einstellungen zu konfigurieren.

   Wenn Sie den Link PIM-Richtlinie aktualisieren auswählen, wird eine PIM-Seite angezeigt. Wählen Sie Einstellungen aus, um die PIM-Richtlinie für Rollen zu konfigurieren. Weitere Informationen finden Sie unter Konfigurieren von Rolleneinstellungen für Azure-Ressourcen in Privileged Identity Management.

5. Klicken Sie auf Weiter.

Führen Sie folgende Schritte aus:

1. Überprüfen Sie auf der Registerkarte Überprüfen und zuweisen die Einstellungen für die Rollenzuweisung.

   

2. Klicken Sie auf Überprüfen und zuweisen, um die Rolle zuzuweisen.

   Nach einigen Augenblicken wird dem Sicherheitsprinzipal die Rolle für den Bereich zugewiesen.

   

3. Wenn die Beschreibung für die Rollenzuweisung nicht angezeigt wird, klicken Sie auf Spalten bearbeiten, um die Spalte Beschreibung hinzuzufügen.

Wenn Sie über eine der Lizenzen Microsoft Entra ID P2 oder Microsoft Entra ID Governance verfügen, können Sie Ihre Einstellungen für Rollenzuweisungstypen bearbeiten. Weitere Informationen finden Sie unter Integration mit Privileged Identity Management (Vorschau).

1. Wählen Sie auf der Seite Zugriffssteuerung (IAM) die Registerkarte Rollenzuweisungen aus, um die Rollenzuweisungen in diesem Bereich anzuzeigen.

2. Suchen Sie die Rollenzuweisung, die Sie bearbeiten möchten.

3. Wählen Sie in der Spalte Status einen Link aus, z. B. Zeitgebunden berechtigt oder Dauerhaft aktiv.

   Der Bereich Zuweisung bearbeiten wird angezeigt, in dem Sie die Einstellungen des Rollenzuweisungstyps ändern können. Das Öffnen dieses Bereichs kann einige Zeit dauern.

   

4. Klicken Sie abschließend auf Speichern.

   Es kann einige Zeit dauern, bis Ihre Änderungen im Portal verarbeitet wurden und angezeigt werden.