Freigeben über


Delegieren der Azure-Rollenzuweisungsverwaltung an andere Personen mit Bedingungen

Als Administrator erhalten Sie möglicherweise mehrere Anforderungen zum Gewähren des Zugriffs auf Azure-Ressourcen, die Sie an eine andere Person weitergeben möchten. Sie können einem Benutzer die Rollen Besitzer oder Benutzerzugriffsadministrator zuweisen, dies sind jedoch hoch privilegierte Rollen. In diesem Artikel wird eine sicherere Methode zum Delegieren der Rollenzuweisungsverwaltung an andere Benutzer in Ihrer Organisation beschrieben, fügen Sie jedoch Einschränkungen für diese Rollenzuweisungen hinzu. Sie können beispielsweise die Rollen einschränken, die zugewiesen werden können, oder die Prinzipale einschränken, denen die Rollen zugewiesen werden können.

Das folgende Diagramm zeigt, wie ein Delegat mit Bedingungen nur die Rollen „Sicherungsmitwirkender“ oder „Benutzer mit Leseberechtigung für Sicherungsfunktionen“ nur der Marketing- oder der Vertriebsgruppe zuweisen kann:

Diagramm: Administrator, der die Rollenzuweisungsverwaltung mit Bedingungen delegiert

Voraussetzungen

Zum Zuweisen von Azure-Rollen müssen Sie über Folgendes verfügen:

Schritt 1: Bestimmen der Berechtigungen, die der Delegat benötigt

Um die Berechtigungen zu ermitteln, die der Delegat benötigt, beantworten Sie die folgenden Fragen:

  • Welche Rollen kann der Delegate zuweisen?
  • Welchen Prinzipaltypen kann der Delegate Rollen zuweisen?
  • Welchen Prinzipalen kann der Delegate Rollen zuweisen?
  • Kann der Delegate Rollenzuweisungen löschen?

Sobald Sie die Berechtigungen kennen, die der Delegat benötigt, führen Sie die folgenden Schritte aus, um der Rollenzuweisung des Delegaten eine Bedingung hinzuzufügen. Beispielbedingungen finden Sie unter Beispiele zum Delegieren der Azure-Rollenzuweisungsverwaltung mit Bedingungen.

Schritt 2: Starten einer neuen Rollenzuweisung

  1. Melden Sie sich beim Azure-Portal an.

  2. Führen Sie die Schritte zum Öffnen der Seite „Rollenzuweisung hinzufügen“ aus.

  3. Wählen Sie auf der Registerkarte Rollen die Registerkarte Privilegierte Administratorrollen aus.

  4. Wählen Sie die Rolle Administrator für rollenbasierte Zugriffssteuerung aus.

    Die Registerkarte Bedingungen wird angezeigt.

    Sie können eine beliebige Rolle auswählen, die die Aktion Microsoft.Authorization/roleAssignments/write oder Microsoft.Authorization/roleAssignments/delete beinhaltet (etwa Benutzerzugriffsadministrator), aber der die Rolle Administrator für rollenbasierte Zugriffssteuerung verfügt über weniger Berechtigungen.

  5. Suchen Sie auf der Registerkarte Mitglieder nach dem Delegaten, und wählen Sie ihn aus.

Schritt 3: Hinzufügen einer Bedingung

Es gibt zwei Möglichkeiten, um eine Bedingung hinzuzufügen. Sie können eine Bedingungsvorlage oder einen erweiterten Bedingungs-Editor verwenden.

  1. Wählen Sie auf der Registerkarte Bedingungen unter Welche Aktionen eine Benutzerin oder ein Benutzer ausführen kann, die Option Zulassen, dass die Benutzerin bzw. der Benutzer nur ausgewählte Rollen zu ausgewählten Prinzipalen (geringere Berechtigungen) zuweisen kann.

    Screenshot der Seite „Rollenzuweisung hinzufügen“ mit eingeschränkter Option.

  2. Wählen Sie Rollen und Prinzipale auswählen aus.

    Die Seite „Rollenzuweisung hinzufügen“ wird mit einer Liste von Bedingungsvorlagen angezeigt.

    Screenshot der Seite „Rollenzuweisung hinzufügen“ mit einer Liste von Bedingungsvorlagen.

  3. Wählen Sie eine Bedingungsvorlage und dann Konfigurierenaus.

    Bedingungsvorlage Wählen Sie diese Vorlage aus, um:
    Rollen einschränken Benutzern zu erlauben, nur die von Ihnen ausgewählten Rollen zuzuweisen
    Einschränken von Rollen und Prinzipaltypen Benutzern zu erlauben, nur die von Ihnen ausgewählten Rollen zuzuweisen
    Benutzern zu erlauben, diese Rollen nur den Prinzipalen zuzuweisen, die Sie auswählen (Benutzer, Gruppen oder Dienstprinzipale)
    Einschränken von Rollen und Prinzipale Benutzern zu erlauben, nur die von Ihnen ausgewählten Rollen zuzuweisen
    Benutzern zu erlauben, diese Rollen nur den Prinzipale zuzuweisen, die Sie auswählen
    Alle außer bestimmte Rollen zulassen Zulassen, dass der Benutzer alle Rollen außer den ausgewählten Rollen zuweisen kann
  4. Fügen Sie im Bereich „Konfigurieren“ die erforderlichen Konfigurationen hinzu.

    Screenshot des Bereichs „Konfigurieren“ für eine Bedingung mit weiteren Selektionen.

  5. Klicken Sie auf Speichern, um die Bedingung zur Rollenzuweisung hinzuzufügen.

Schritt 4: Zuweisen einer Rolle mit Bedingung zum Delegaten

  1. Überprüfen Sie auf der Registerkarte Überprüfen und zuweisen die Einstellungen für die Rollenzuweisung.

  2. Wählen Sie Überprüfen und zuweisen aus, um die Rolle zuzuweisen.

    Nach wenigen Augenblicken wird der Delegaten die Rolle „Administrator für rollenbasierte Zugriffssteuerung“ mit den Rollenzuweisungsbedingungen zugewiesen.

Schritt 5: Der Delegat weist Rollen mit Bedingungen zu.

  • Der Delegat kann jetzt Schritte zum Zuweisen von Rollen ausführen.

    Diagramm: Auf bestimmte Rollen und bestimmte Gruppen beschränkte Rollenzuweisungen

    Wenn der Delegat versucht, Rollen im Azure-Portal zuzuweisen, wird die Liste der Rollen gefiltert, um nur die Rollen anzuzeigen, die zugewiesen werden können.

    Screenshot: Auf bestimmte Rollen beschränkte Rollenzuweisungen

    Wenn eine Bedingung für Prinzipale vorliegt, wird auch die Liste der für die Zuordnung verfügbaren Prinzipale gefiltert.

    Screenshot: Auf bestimmte Gruppen beschränkte Rollenzuweisungen

    Wenn der Delegat versucht, eine Rolle außerhalb der Bedingungen mithilfe einer API zuzuweisen, tritt bei der Rollenzuweisung ein Fehler auf. Weitere Informationen finden Sie unter Symptom: Es ist nicht möglich, eine Rolle zuzuweisen.

Bearbeiten einer Bedingung

Es gibt zwei Möglichkeiten, um eine Bedingung zu bearbeiten. Sie können die Bedingungsvorlage oder den Bedingungs-Editor verwenden.

  1. Öffnen Sie im Azure-Portal die Seite Zugriffssteuerung (IAM) für die Rollenzuweisung mit der Bedingung, die Sie anzeigen, bearbeiten oder löschen möchten.

  2. Wählen Sie die Registerkarte Rollenzuweisungen aus, um nach der Rollenzuweisung zu suchen.

  3. Wählen Sie in der Spalte Bedingung die Option Anzeigen/Bearbeiten aus.

    Wenn der Link Anzeigen/Bearbeiten nicht angezeigt wird, überprüfen Sie, ob der Bereich dem Bereich der Rollenzuweisung entspricht.

    Screenshot: Rollenzuweisungsliste mit dem Link zum Anzeigen/Bearbeiten für eine Bedingung

    Die Seite Bedingung für Rollenzuweisung hinzufügen wird angezeigt. Je nachdem, ob die Bedingung mit einer vorhandenen Vorlage übereinstimmt, sieht diese Seite anders aus.

  4. Wenn die Bedingung einer vorhandenen Vorlage entspricht, wählen Sie Konfigurieren aus, um die Bedingung zu bearbeiten.

    Screenshot: Bedingungsvorlagen mit aktivierter übereinstimmender Vorlage

  5. Wenn die Bedingung nicht mit einer vorhandenen Vorlage übereinstimmt, verwenden Sie den erweiterten Bedingungs-Editor, um die Bedingung zu bearbeiten.

    Um beispielsweise eine Bedingung zu bearbeiten, scrollen Sie nach unten zum Abschnitt „Ausdruck erstellen“, und aktualisieren Sie die Attribute, Operatoren oder Werte.

    Screenshot: Editor für Bedingungen mit Optionen zum Bearbeiten eines Buildausdrucks

    Um die Bedingung direkt zu bearbeiten, wählen Sie den Editor-Typ Code aus, und bearbeiten Sie dann den Code für die Bedingung.

    Screenshot: Bedingungs-Editor mit dem Editor-Typ „Code“

  6. Wenn Sie fertig sind, klicken Sie auf Speichern, um die Bedingung zu aktualisieren.

Nächste Schritte