Delegieren der Azure-Rollenzuweisungsverwaltung an andere Personen mit Bedingungen

Als Administrator erhalten Sie möglicherweise mehrere Anforderungen zum Gewähren des Zugriffs auf Azure-Ressourcen, die Sie an eine andere Person weitergeben möchten. Sie können einem Benutzer die Rollen Besitzer oder Benutzerzugriffsadministrator zuweisen, dies sind jedoch hoch privilegierte Rollen. In diesem Artikel wird eine sicherere Methode zum Delegieren der Rollenzuweisungsverwaltung an andere Benutzer in Ihrer Organisation beschrieben, fügen Sie jedoch Einschränkungen für diese Rollenzuweisungen hinzu. Sie können beispielsweise die Rollen einschränken, die zugewiesen werden können, oder die Prinzipale einschränken, denen die Rollen zugewiesen werden können.

Das folgende Diagramm zeigt, wie ein Delegat mit Bedingungen nur die Rollen „Sicherungsmitwirkender“ oder „Benutzer mit Leseberechtigung für Sicherungsfunktionen“ nur der Marketing- oder der Vertriebsgruppe zuweisen kann:

Voraussetzungen

Zum Zuweisen von Azure-Rollen müssen Sie über Folgendes verfügen:

• Microsoft.Authorization/roleAssignments/write-Berechtigungen, z. B. Administrator für rollenbasierte Zugriffssteuerung oder Benutzerzugriffsadministrator

Schritt 1: Bestimmen der Berechtigungen, die der Delegat benötigt

Um die Berechtigungen zu ermitteln, die der Delegat benötigt, beantworten Sie die folgenden Fragen:

• Welche Rollen kann der Delegate zuweisen?
• Welchen Prinzipaltypen kann der Delegate Rollen zuweisen?
• Welchen Prinzipalen kann der Delegate Rollen zuweisen?
• Kann der Delegate Rollenzuweisungen löschen?

Sobald Sie die Berechtigungen kennen, die der Delegat benötigt, führen Sie die folgenden Schritte aus, um der Rollenzuweisung des Delegaten eine Bedingung hinzuzufügen. Beispielbedingungen finden Sie unter Beispiele zum Delegieren der Azure-Rollenzuweisungsverwaltung mit Bedingungen.

Schritt 2: Starten einer neuen Rollenzuweisung

1. Melden Sie sich beim Azure-Portal an.

2. Führen Sie die Schritte zum Öffnen der Seite „Rollenzuweisung hinzufügen“ aus.

3. Wählen Sie auf der Registerkarte Rollen die Registerkarte Privilegierte Administratorrollen aus.

4. Wählen Sie die Rolle Administrator für rollenbasierte Zugriffssteuerung aus.

   Die Registerkarte Bedingungen wird angezeigt.

   Sie können eine beliebige Rolle auswählen, die die Aktion Microsoft.Authorization/roleAssignments/write oder Microsoft.Authorization/roleAssignments/delete beinhaltet (etwa Benutzerzugriffsadministrator), aber der die Rolle Administrator für rollenbasierte Zugriffssteuerung verfügt über weniger Berechtigungen.

5. Suchen Sie auf der Registerkarte Mitglieder nach dem Delegaten, und wählen Sie ihn aus.

Schritt 3: Hinzufügen einer Bedingung

Es gibt zwei Möglichkeiten, um eine Bedingung hinzuzufügen. Sie können eine Bedingungsvorlage oder einen erweiterten Bedingungs-Editor verwenden.

Vorlage

1. Wählen Sie auf der Registerkarte Bedingungen unter Welche Aktionen eine Benutzerin oder ein Benutzer ausführen kann, die Option Zulassen, dass die Benutzerin bzw. der Benutzer nur ausgewählte Rollen zu ausgewählten Prinzipalen (geringere Berechtigungen) zuweisen kann.

   

2. Wählen Sie Rollen und Prinzipale auswählen aus.

   Die Seite „Rollenzuweisung hinzufügen“ wird mit einer Liste von Bedingungsvorlagen angezeigt.

   

3. Wählen Sie eine Bedingungsvorlage und dann Konfigurierenaus.

   Bedingungsvorlage	Wählen Sie diese Vorlage aus, um:
   Rollen einschränken	Benutzern zu erlauben, nur die von Ihnen ausgewählten Rollen zuzuweisen
   Einschränken von Rollen und Prinzipaltypen	Benutzern zu erlauben, nur die von Ihnen ausgewählten Rollen zuzuweisen Benutzern zu erlauben, diese Rollen nur den Prinzipalen zuzuweisen, die Sie auswählen (Benutzer, Gruppen oder Dienstprinzipale)
   Einschränken von Rollen und Prinzipale	Benutzern zu erlauben, nur die von Ihnen ausgewählten Rollen zuzuweisen Benutzern zu erlauben, diese Rollen nur den Prinzipale zuzuweisen, die Sie auswählen
   Alle außer bestimmte Rollen zulassen	Zulassen, dass der Benutzer alle Rollen außer den ausgewählten Rollen zuweisen kann

4. Fügen Sie im Bereich „Konfigurieren“ die erforderlichen Konfigurationen hinzu.

   

5. Klicken Sie auf Speichern, um die Bedingung zur Rollenzuweisung hinzuzufügen.

Bedingungs-Editor

Wenn die Bedingungsvorlagen für Ihr Szenario nicht funktionieren oder wenn Sie mehr Kontrolle wünschen, können Sie den Bedingungs-Editor verwenden.

Öffnen des Bedingungs-Editors

1. Wählen Sie auf der Registerkarte Bedingungen unter Welche Aktionen eine Benutzerin oder ein Benutzer ausführen kann, die Option Zulassen, dass die Benutzerin bzw. der Benutzer nur ausgewählte Rollen zu ausgewählten Prinzipalen (geringere Berechtigungen) zuweisen kann.

   

2. Wählen Sie Rollen und Prinzipale auswählen aus.

   Die Seite „Rollenzuweisung hinzufügen“ wird mit einer Liste von Bedingungsvorlagen angezeigt.

   

3. Wählen Sie Erweiterten Bedingungs-Editor öffnen aus.

   Die Seite „Bedingung für Rollenzuweisung hinzufügen“ wird angezeigt.

4. Übernehmen Sie für die Option Editor-Typ die Standardeinstellung Visuelles Element.

Hinzufügen einer Aktion

1. Wählen Sie im Abschnitt Aktion hinzufügen die Option Aktion hinzufügen aus.

   Die Seite „Aktion auswählen“ wird angezeigt. In diesem Bereich wird eine gefilterte Liste mit Aktionen angezeigt, die auf der Rollenzuweisung basiert, die als Ziel Ihrer Bedingung verwendet wird.

   

2. Wählen Sie die Aktion Rollenzuweisungen erstellen oder aktualisieren aus, die Sie zulassen möchten, wenn die Bedingung zutrifft.

   Tipp

   Wenn Sie die Aktionen Rollenzuweisungen erstellen oder aktualisieren und Rollenzuweisung löschen auswählen, können Sie keinen Bedingungsausdruck hinzufügen. Wenn Sie beide Aktionen als Ziel festlegen möchten, müssen Sie zwei Bedingungen hinzufügen. Weitere Informationen finden Sie unter Beispiel: Einschränken von Rollen.

Erstellen von Ausdrücken

1. Wählen Sie im Abschnitt Ausdruck erstellen die Option Ausdruck hinzufügen aus.

   Hier erstellen Sie den Ausdruck, um Rollenzuweisungen einzuschränken, die der Delegat hinzufügen kann.

2. Wählen Sie in der Liste Attributquelle die Option Anforderung aus.

3. Wählen Sie in der Liste Attribut eins der folgenden Attribute für die linke Seite des Ausdrucks aus:

   • Rollendefinitions-ID wird verwendet, um die Rollen einzuschränken, die der Delegat zuweisen kann.
   • Prinzipal-ID wird verwendet, um die spezifischen Prinzipale einzuschränken, denen der Delegat Rollen zuweisen kann.
   • Prinzipaltyp wird verwendet, um die Typen der Prinzipale (Benutzer, Gruppen oder Dienstprinzipale) einzuschränken, denen der Delegat Rollen zuweisen kann.

4. Wählen Sie in der Liste Operator einen Operator aus.

   Abhängig vom Attribut und vom Ausdruck, den Sie erstellen möchten, wählen Sie in der Regel die folgenden Operatoren aus, mit denen Sie einen oder mehrere Werte für die rechte Seite des Ausdrucks auswählen können:

   Attribut	Allgemeiner Operator
   Rollendefinitions-ID	ForAnyOfAnyValues:GuidEquals ForAnyOfAllValues:GuidNotEquals
   Prinzipal-ID	ForAnyOfAnyValues:GuidEquals
   Prinzipaltyp	ForAnyOfAnyValues:StringEqualsIgnoreCase

5. Geben Sie im Feld Wert mindestens einen Wert für die rechte Seite des Ausdrucks ein.

   

6. Fügen Sie bei Bedarf zusätzliche Ausdrücke hinzu.

   Tipp

   Wenn Sie mehrere Ausdrücke hinzufügen, um die Rollenzuweisungsverwaltung mit Bedingungen zu delegieren, verwenden Sie in der Regel den Operator And zwischen Ausdrücken anstelle des Standardoperators Or.

7. Klicken Sie auf Speichern, um die Bedingung zur Rollenzuweisung hinzuzufügen.

Schritt 4: Zuweisen einer Rolle mit Bedingung zum Delegaten

1. Überprüfen Sie auf der Registerkarte Überprüfen und zuweisen die Einstellungen für die Rollenzuweisung.

2. Wählen Sie Überprüfen und zuweisen aus, um die Rolle zuzuweisen.

   Nach wenigen Augenblicken wird der Delegaten die Rolle „Administrator für rollenbasierte Zugriffssteuerung“ mit den Rollenzuweisungsbedingungen zugewiesen.

Schritt 5: Der Delegat weist Rollen mit Bedingungen zu.

• Der Delegat kann jetzt Schritte zum Zuweisen von Rollen ausführen.

  

  Wenn der Delegat versucht, Rollen im Azure-Portal zuzuweisen, wird die Liste der Rollen gefiltert, um nur die Rollen anzuzeigen, die zugewiesen werden können.

  

  Wenn eine Bedingung für Prinzipale vorliegt, wird auch die Liste der für die Zuordnung verfügbaren Prinzipale gefiltert.

  

  Wenn der Delegat versucht, eine Rolle außerhalb der Bedingungen mithilfe einer API zuzuweisen, tritt bei der Rollenzuweisung ein Fehler auf. Weitere Informationen finden Sie unter Symptom: Es ist nicht möglich, eine Rolle zuzuweisen.

Bearbeiten einer Bedingung

Es gibt zwei Möglichkeiten, um eine Bedingung zu bearbeiten. Sie können die Bedingungsvorlage oder den Bedingungs-Editor verwenden.

1. Öffnen Sie im Azure-Portal die Seite Zugriffssteuerung (IAM) für die Rollenzuweisung mit der Bedingung, die Sie anzeigen, bearbeiten oder löschen möchten.

2. Wählen Sie die Registerkarte Rollenzuweisungen aus, um nach der Rollenzuweisung zu suchen.

3. Wählen Sie in der Spalte Bedingung die Option Anzeigen/Bearbeiten aus.

   Wenn der Link Anzeigen/Bearbeiten nicht angezeigt wird, überprüfen Sie, ob der Bereich dem Bereich der Rollenzuweisung entspricht.

   

   Die Seite Bedingung für Rollenzuweisung hinzufügen wird angezeigt. Je nachdem, ob die Bedingung mit einer vorhandenen Vorlage übereinstimmt, sieht diese Seite anders aus.

4. Wenn die Bedingung einer vorhandenen Vorlage entspricht, wählen Sie Konfigurieren aus, um die Bedingung zu bearbeiten.

   

5. Wenn die Bedingung nicht mit einer vorhandenen Vorlage übereinstimmt, verwenden Sie den erweiterten Bedingungs-Editor, um die Bedingung zu bearbeiten.

   Um beispielsweise eine Bedingung zu bearbeiten, scrollen Sie nach unten zum Abschnitt „Ausdruck erstellen“, und aktualisieren Sie die Attribute, Operatoren oder Werte.

   

   Um die Bedingung direkt zu bearbeiten, wählen Sie den Editor-Typ Code aus, und bearbeiten Sie dann den Code für die Bedingung.

   

6. Wenn Sie fertig sind, klicken Sie auf Speichern, um die Bedingung zu aktualisieren.

Nächste Schritte

• Delegieren der Azure-Zugriffsverwaltung an andere Personen
• Autorisierungsaktionen und -attribute