Bearbeiten

Freigeben über


Auflisten von Azure-Rollenzuweisungen über das Azure-Portal

Azure RBAC (Role-Based Access Control, rollenbasierte Zugriffssteuerung) ist das Autorisierungssystem für die Verwaltung des Zugriffs auf Azure-Ressourcen. Um zu ermitteln, auf welche Ressourcen Benutzer, Gruppen, Dienstprinzipale oder verwaltete Identitäten Zugriff haben, können Sie deren Rollenzuweisungen auflisten. In diesem Artikel wird beschrieben, wie Sie mit dem Azure-Portal Rollenzuweisungen auflisten.

Hinweis

Wenn Ihre Organisation Verwaltungsfunktionen an einen Dienstanbieter ausgelagert hat, der die Azure Lighthouse verwendet, werden die von diesem Dienstanbieter autorisierten Rollenzuweisungen hier nicht angezeigt. Ebenso werden Benutzer*innen im Dienstanbietermandanten keine Rollenzuweisungen für Benutzer*innen im Kundenmandanten angezeigt, unabhängig von ihrer Rolle.

Voraussetzungen

Berechtigung Microsoft.Authorization/roleAssignments/read, z. B. mit der Rolle Leser

Auflisten von Rollenzuweisungen für einen Benutzer oder eine Gruppe

Eine schnelle Möglichkeit, die einem Benutzer oder einer Gruppe in einem Abonnement zugewiesenen Rollen anzuzeigen, ist die Verwendung des Bereichs Azure-Rollenzuweisungen.

  1. Klicken Sie im Menü des Azure-Portals auf Alle Dienste.

  2. Wählen Sie Microsoft Entra ID und dann Benutzer oder Gruppen aus.

  3. Klicken Sie auf den Benutzer oder die Gruppe, für den bzw. die Sie Rollenzuweisungen auflisten möchten.

  4. Klicken Sie auf Azure-Rollenzuweisungen.

    Es wird eine Liste der Rollen angezeigt, die dem ausgewählten Benutzer bzw. der ausgewählten Gruppe in verschiedenen Bereichen (etwa Verwaltungsgruppe, Abonnement, Ressourcengruppe oder Ressource) zugewiesen sind. Diese Liste enthält alle Rollenzuweisungen, für die Sie über Leseberechtigungen verfügen.

    Screenshot: Rollenzuweisungen für einen Benutzer.

  5. Um das Abonnement zu ändern, klicken Sie auf die Liste Abonnements.

Auflisten der Besitzer eines Abonnements

Benutzer, denen die Rolle Besitzer für ein Abonnement zugewiesen wurde, können alles in dem Abonnement verwalten. Befolgen Sie diese Schritte, um die Besitzer eines Abonnements aufzulisten.

  1. Klicken Sie im Azure-Portal auf Alle Dienste und anschließend auf Abonnements.

  2. Klicken Sie auf das Abonnement, dessen Besitzer Sie auflisten möchten.

  3. Klicken Sie auf Zugriffssteuerung (IAM) .

  4. Klicken Sie auf die Registerkarte Rollenzuweisungen, um alle Rollenzuweisungen für dieses Abonnement anzuzeigen.

  5. Blättern Sie zum Abschnitt Besitzer, um alle Benutzer anzuzeigen, denen die Rolle des Besitzers für dieses Abonnement zugewiesen wurde.

    Screenshot: Zugriffssteuerung für Abonnements und Registerkarte „Rollenzuweisungen“.

Auflisten oder Verwalten der Zuweisungen privilegierter Administratorrollen

Auf der Registerkarte Rollenzuweisungen können Sie die Anzahl der Zuweisungen privilegierter Administratorrollen im aktuellen Bereich auflisten und anzeigen. Weitere Informationen finden Sie unter Privilegierte Administratorrollen.

  1. Klicken Sie im Azure-Portal auf Alle Dienste, und wählen Sie anschließend den Bereich aus. Sie können beispielsweise Verwaltungsgruppen, Abonnements, Ressourcengruppen oder eine Ressource auswählen.

  2. Klicken Sie auf die gewünschte Ressource.

  3. Klicken Sie auf Zugriffssteuerung (IAM) .

  4. Klicken Sie auf die Registerkarte Rollenzuweisungen und dann auf die Registerkarte Privilegiert, um die Zuweisungen privilegierter Administratorrollen in diesem Bereich auflisten zu können.

    Screenshot: Seite „Zugriffssteuerung“, Registerkarte „Rollenzuweisungen“ und Registerkarte „Privilegiert“ mit Zuweisungen privilegierter Rollen

  5. Informationen zur Anzahl der Zuweisungen privilegierter Administratorrollen in diesem Bereich finden Sie auf der Karte Privilegiert.

  6. Um die Zuweisungen privilegierter Administratorrollen zu verwalten, zeigen Sie die Karte Privilegiert an, und klicken Sie auf Zuweisungen anzeigen.

    Auf der Seite Zuweisungen privilegierter Rollen verwalten können Sie eine Bedingung hinzufügen, um die Zuweisung privilegierter Rollen einzuschränken oder die Rollenzuweisung zu entfernen. Weitere Informationen finden Sie unter Delegieren der Azure-Rollenzuweisungsverwaltung an andere Personen mit Bedingungen.

    Screenshot: Seite „Zuweisungen privilegierter Rollen verwalten“ – Hinzufügen von Bedingungen oder Entfernen von Rollenzuweisungen

Auflisten der Rollenzuweisungen für einen Bereich

Führen Sie folgende Schritte aus:

  1. Klicken Sie im Azure-Portal auf Alle Dienste, und wählen Sie anschließend den Bereich aus. Sie können beispielsweise Verwaltungsgruppen, Abonnements, Ressourcengruppen oder eine Ressource auswählen.

  2. Klicken Sie auf die gewünschte Ressource.

  3. Klicken Sie auf Zugriffssteuerung (IAM) .

  4. Klicken Sie auf die Registerkarte Rollenzuweisungen, um die Rollenzuweisungen für diesen Bereich anzuzeigen.

    Wenn Sie über eine der Lizenzen Microsoft Entra ID Free oder Microsoft Entra ID P1 verfügen, ähnelt die Registerkarte Rollenzuweisungen dem folgenden Screenshot.

    Screenshot: Zugriffssteuerung und Registerkarte „Rollenzuweisungen“.

    Wenn Sie über eine der Lizenzen Microsoft Entra ID P2 oder Microsoft Entra ID Governance verfügen, ähnelt die Registerkarte Rollenzuweisungen dem folgenden Screenshot der Bereiche „Verwaltungsgruppe“, „Abonnement“ und „Ressourcengruppe“. Diese Funktion wird in Phasen bereitgestellt und ist daher möglicherweise noch nicht in Ihrem Mandanten verfügbar oder sieht auf Ihrer Benutzeroberfläche anders aus.

    Screenshot der Registerkarten „Zugriffssteuerung“, „Aktive Zuweisungen“ und „Berechtigte Zuweisungen“

    Es wird eine Spalte Status mit einem der folgenden Zustände angezeigt:

    State Beschreibung
    Dauerhaft aktiv Eine Rollenzuweisung, bei der ein Benutzer die Rolle jederzeit ohne vorherige Aktion verwenden kann.
    Zeitgebunden aktiv Eine Rollenzuweisung, bei der ein Benutzer die Rolle nur innerhalb eines Zeitraums (Start- und Enddatum) ohne vorherige Aktion verwenden kann
    Dauerhaft berechtigt Eine Rollenzuweisung, bei der ein Benutzer immer zum Aktivieren der Rolle berechtigt ist.
    Zeitgebunden berechtigt Eine Rollenzuweisung, bei der ein Benutzer nur innerhalb eines Zeitraums (Start- und Enddatum) zum Aktivieren der Rolle berechtigt ist.

    Es ist möglich, ein Startdatum in der Zukunft festzulegen.

    Wenn Sie die Start- und Endzeit für Rollenzuweisungen auflisten möchten, wählen Sie Spalten bearbeiten und dann Startzeit und Endzeit aus.

    Screenshot des Bereichs „Spalten“ mit den Kontrollkästchen „Startzeit“ und „Endzeit“

    Beachten Sie, dass einige Rollen auf Diese Ressource begrenzt sind, während andere von einem anderen Bereich geerbt werden. Der Zugriff wird entweder speziell dieser Ressource zugewiesen oder von einer Zuweisung des übergeordneten Bereichs geerbt.

Auflisten von Rollenzuweisungen für einen Benutzer für einen Bereich

Um den Zugriff für einen Benutzer, eine Gruppe, einen Dienstprinzipal oder eine verwaltete Identität aufzulisten, listen Sie die Rollenzuweisungen auf. Führen Sie diese Schritte aus, um die Rollenzuweisungen für einen einzelnen Benutzer, eine Gruppe, einen Dienstprinzipal oder eine verwaltete Identität für einen bestimmten Bereich aufzulisten.

  1. Klicken Sie im Azure-Portal auf Alle Dienste, und wählen Sie anschließend den Bereich aus. Sie können beispielsweise Verwaltungsgruppen, Abonnements, Ressourcengruppen oder eine Ressource auswählen.

  2. Klicken Sie auf die gewünschte Ressource.

  3. Klicken Sie auf Zugriffssteuerung (IAM) .

    Screenshot: Ressourcengruppen-Zugriffssteuerung und Registerkarte „Zugriff überprüfen“.

  4. Klicken Sie auf der Registerkarte Zugriff überprüfen auf die Schaltfläche Zugriff überprüfen.

  5. Klicken Sie im Bereich Zugriff überprüfen auf Benutzer, Gruppe oder Dienstprinzipal oder Verwaltete Identität.

  6. Geben Sie in das Suchfeld eine Zeichenfolge ein, nach der das Verzeichnis durchsucht werden soll. Sie können nach Anzeigenamen, E-Mail-Adressen oder Objektbezeichnern suchen.

    Screenshot: Auswahlliste für Zugriffsüberprüfung.

  7. Klicken Sie auf den Sicherheitsprinzipal, um den Bereich Zuweisungen zu öffnen.

    Hier können Sie den in diesem Bereich zugewiesenen und geerbten Zugriff für den ausgewählten Sicherheitsprinzipal anzeigen. Zuweisungen in untergeordneten Bereichen sind nicht aufgeführt. Folgende Zuweisungen werden angezeigt:

    • Mit Azure RBAC hinzugefügte Rollenzuweisungen.
    • Mithilfe von Azure Blueprints oder verwalteten Azure-Apps hinzugefügte Zuweisungen werden abgelehnt.
    • Klassische Dienstadministrator- oder Co-Administratorzuweisungen für klassische Bereitstellungen.

    Screenshot: Bereich „Zuweisungen“.

Auflisten von Rollenzuweisungen für eine verwaltete Identität

Sie können Rollenzuweisungen für vom System zugewiesene und vom Benutzer zugewiesene verwaltete Identitäten in einem bestimmten Bereich mithilfe des zuvor beschriebenen Blatts für die Zugriffssteuerung (IAM) auflisten. In diesem Abschnitt wird beschrieben, wie Rollenzuweisungen nur für die verwaltete Identität aufgelistet werden.

Systemseitig zugewiesene verwaltete Identität

  1. Öffnen Sie im Azure-Portal eine systemseitig zugewiesene verwaltete Identität.

  2. Klicken Sie im linken Menü auf Identität.

    Screenshot einer systemseitig zugewiesene verwaltete Identität.

  3. Klicken Sie unter Berechtigungen auf Azure-Rollenzuweisungen.

    Es wird eine Liste der Rollen angezeigt, die der ausgewählten systemseitig zugewiesenen verwalteten Identität in verschiedenen Bereichen (etwa Verwaltungsgruppe, Abonnement, Ressourcengruppe oder Ressource) zugewiesen sind. Diese Liste enthält alle Rollenzuweisungen, für die Sie über Leseberechtigungen verfügen.

    Screenshot: Rollenzuweisungen für eine systemseitig zugewiesene verwaltete Identität.

  4. Klicken Sie auf die Liste Abonnement, um das Abonnement zu ändern.

    Benutzerseitig zugewiesene verwaltete Identität

    1. Öffnen Sie im Azure-Portal eine benutzerseitig zugewiesene verwaltete Identität.

    2. Klicken Sie auf Azure-Rollenzuweisungen.

      Es wird eine Liste der Rollen angezeigt, die der ausgewählten benutzerseitig zugewiesenen verwalteten Identität in verschiedenen Bereichen (etwa Verwaltungsgruppe, Abonnement, Ressourcengruppe oder Ressource) zugewiesen sind. Diese Liste enthält alle Rollenzuweisungen, für die Sie über Leseberechtigungen verfügen.

      Screenshot: Rollenzuweisungen für eine benutzerseitig zugewiesene verwaltete Identität.

    3. Klicken Sie auf die Liste Abonnement, um das Abonnement zu ändern.

Auflisten der Anzahl von Rollenzuweisungen

Jedes Abonnement kann über bis zu 4000 Rollenzuweisungen verfügen. Dieser Grenzwert schließt Rollenzuweisungen im Abonnement, in der Ressourcengruppe und im Ressourcenbereich ein. Berechtigte Rollenzuweisungen und für die Zukunft geplante Rollenzuweisungen zählen nicht zu diesem Grenzwert. Damit Sie diesen Grenzwert nachverfolgen können, enthält die Registerkarte Rollenzuweisungen ein Diagramm, in dem die Anzahl der Rollenzuweisungen für das aktuelle Abonnement aufgeführt ist.

Screenshot: Zugriffssteuerung und Diagramm „Anzahl der Rollenzuweisungen“.

Wenn Sie sich der maximalen Anzahl nähern und versuchen, weitere Rollenzuweisungen hinzuzufügen, wird im Bereich Rollenzuweisung hinzufügen eine Warnung angezeigt. Möglichkeiten, wie Sie die Anzahl der Rollenzuweisungen reduzieren können, finden Sie unter Behandeln von Azure RBAC-Grenzwerten.

Screenshot: Zugriffssteuerung und Warnung „Rollenzuweisung hinzufügen“.

Herunterladen von Rollenzuweisungen

Sie können Rollenzuweisungen in einem Bereich im CSV-oder JSON-Format herunterladen. Dies kann hilfreich sein, wenn Sie die Liste in einer Kalkulationstabelle überprüfen oder bei der Migration eines Abonnements eine Inventur durchführen müssen.

Beachten Sie beim Herunterladen von Rollenzuweisungen unbedingt die folgenden Kriterien:

  • Wenn Sie nicht über die Berechtigungen zum Lesen des Verzeichnisses verfügen, z. B. die Rolle „Verzeichnisleseberechtigte“, sind die Spalten DisplayName, SignInName und ObjectType leer.
  • Rollenzuweisungen, deren Sicherheitsprinzipal gelöscht wurde, sind nicht eingeschlossen.
  • Klassischen Administratoren gewährter Zugriff ist nicht eingeschlossen.

Führen Sie die folgenden Schritte aus, um Rollenzuweisungen in einem Bereich herunterzuladen.

  1. Klicken Sie im Azure-Portal auf Alle Dienste, und wählen Sie dann den Bereich aus, in dem Sie Rollenzuweisungen herunterladen möchten. Sie können beispielsweise Verwaltungsgruppen, Abonnements, Ressourcengruppen oder eine Ressource auswählen.

  2. Klicken Sie auf die gewünschte Ressource.

  3. Klicken Sie auf Zugriffssteuerung (IAM) .

  4. Klicken Sie auf Rollenzuweisungen herunterladen, um den Bereich „Rollenzuweisungen herunterladen“ zu öffnen.

    Screenshot: Zugriffssteuerung und „Rollenzuweisungen herunterladen“.

  5. Verwenden Sie die Kontrollkästchen, um die Rollenzuweisungen auszuwählen, die Sie in die heruntergeladene Datei einschließen möchten.

    • Geerbt: Geerbte Rollenzuweisungen für den aktuellen Bereich einschließen.
    • Im aktuellen Bereich: Rollenzuweisungen für den aktuellen Bereich einschließen.
    • Untergeordnet: Rollenzuweisungen auf Ebenen unterhalb des aktuellen Bereichs einschließen. Dieses Kontrollkästchen ist für den Verwaltungsgruppenbereich deaktiviert.
  6. Wählen Sie das Dateiformat, durch Trennzeichen getrennte Werte (CSV) oder JavaScript Object Notation (JSON).

  7. Geben Sie den Dateinamen an.

  8. Klicken Sie auf Starten, um den Download zu starten.

    Im folgenden finden Sie Beispiele für die Ausgabe in den einzelnen Dateiformaten.

    Screenshot: Herunterladen von Rollenzuweisungen im CSV-Format.

    Screenshot der heruntergeladenen Rollenzuweisungen im JSON-Format.