Bearbeiten

Freigeben über


Zuweisen eines Benutzers mit Bedingungen als Administrator eines Azure-Abonnements

Um einen Benutzer zum Administrator eines Azure-Abonnements zu machen, weisen Sie ihm die Rolle Besitzer im Abonnementbereich zu. Durch die Rolle „Besitzer“ erhält der Benutzer Vollzugriff auf alle Ressourcen im Abonnement, einschließlich der Berechtigung, anderen Personen den Zugriff zu gewähren. Da die Rolle „Besitzer“ eine sehr privilegierte Rolle ist, empfiehlt Microsoft, eine Bedingung hinzuzufügen, um die Rollenzuweisung einzuschränken. Sie können beispielsweise festlegen, dass ein Benutzer nur die Rolle „Mitwirkender für virtuelle Computer“ Dienstprinzipalen zuweist.

Dieser Artikel beschreibt, wie man einen Benutzer mit Bedingungen als Administrator eines Azure-Abonnements zuweist. Diese Schritte sind identisch mit allen anderen Rollenzuweisungen.

Voraussetzungen

Zum Zuweisen von Azure-Rollen müssen Sie über Folgendes verfügen:

Schritt 1: Öffnen des Abonnements

Führen Sie folgende Schritte aus:

  1. Melden Sie sich beim Azure-Portal an.

  2. Suchen Sie im oberen Suchfeld nach Abonnements.

  3. Klicken Sie auf das Abonnement, das Sie verwenden möchten.

    Die folgende Abbildung zeigt ein Beispielabonnement.

    Screenshot: Abonnementübersicht

Schritt 2: Öffnen der Seite „Rollenzuweisung hinzufügen“

Die Zuweisung von Rollen zum Gewähren von Zugriff auf Azure-Ressourcen erfolgt in der Regel über die Seite Zugriffssteuerung (IAM) . Diese wird auch als Identity & Access Management (IAM) bezeichnet und wird an mehreren Stellen im Azure-Portal angezeigt.

  1. Klicken Sie auf Zugriffssteuerung (IAM) .

    Die folgende Abbildung zeigt ein Beispiel der Seite „Zugriffssteuerung (IAM)“ für ein Abonnement:

    Screenshot: Seite „Zugriffssteuerung (IAM)“ für ein Abonnement

  2. Klicken Sie auf die Registerkarte Rollenzuweisungen, um die Rollenzuweisungen für diesen Bereich anzuzeigen.

  3. Klicken Sie auf Hinzufügen>Rollenzuweisung hinzufügen.

    Wenn Sie keine Berechtigungen zum Zuweisen von Rollen haben, ist die Option „Rollenzuweisung hinzufügen“ deaktiviert.

    Screenshot: Menü „Hinzufügen > Rollenzuweisung hinzufügen“

    Die Seite Rollenzuweisung hinzufügen wird geöffnet.

Schritt 3: Auswählen der Rolle „Besitzer“

Über die Rolle Besitzer wird Vollzugriff zum Verwalten aller Ressourcen gewährt, einschließlich der Möglichkeit, Rollen in Azure RBAC zuzuweisen. Sie sollten höchstens 3 Abonnementbesitzer haben, um die Möglichkeit einer Sicherheitsverletzung durch einen kompromittierten Besitzer zu verringern.

  1. Wählen Sie auf der Registerkarte Rolle die Registerkarte Privilegierte Administratorrollen aus.

    Screenshot der Seite „Rollenzuweisung hinzufügen“ mit der Registerkarte „Privilegierte Administratorrollen“.

  2. Wählen Sie die Rolle Besitzer.

  3. Klicken Sie auf Weiter.

Schritt 4: Festlegen, wer Zugriff benötigt

Führen Sie folgende Schritte aus:

  1. Wählen Sie auf der Registerkarte Mitglieder die Option Benutzer, Gruppe oder Dienstprinzipal aus.

    Screenshot: Seite „Rollenzuweisung hinzufügen“ mit der Registerkarte „Mitglieder hinzufügen“.

  2. Klicken Sie auf Mitglieder auswählen.

  3. Suchen Sie den Benutzer, und wählen Sie ihn aus.

    Sie können im Feld Auswählen einen Begriff eingeben, um das Verzeichnis nach Anzeigename oder E-Mail-Adresse zu durchsuchen.

    Screenshot: Bereich „Mitglieder auswählen“.

  4. Klicken Sie auf Speichern, um den Benutzer der Liste „Mitglieder“ hinzuzufügen.

  5. Geben Sie im Feld Beschreibung eine optionale Beschreibung für diese Rollenzuweisung ein.

    Sie können diese Beschreibung später in der Liste der Rollenzuweisungen anzeigen.

  6. Klicken Sie auf Weiter.

Schritt 5: Hinzufügen einer Bedingung

Da die Rolle „Besitzer“ eine sehr privilegierte Rolle ist, empfiehlt Microsoft, eine Bedingung hinzuzufügen, um die Rollenzuweisung einzuschränken.

  1. Wählen Sie auf der Registerkarte Bedingungen unter Welche Aktionen eine Benutzerin oder ein Benutzer ausführen kann, die Option Zulassen, dass die Benutzerin bzw. der Benutzer nur ausgewählte Rollen zu ausgewählten Prinzipalen (geringere Berechtigungen) zuweisen kann.

    Screenshot der Seite „Rollenzuweisung hinzufügen“ mit eingeschränkter Option.

  2. Wählen Sie Rollen und Prinzipale auswählen aus.

    Die Seite „Rollenzuweisung hinzufügen“ wird mit einer Liste von Bedingungsvorlagen angezeigt.

    Screenshot der Seite „Rollenzuweisung hinzufügen“ mit einer Liste von Bedingungsvorlagen.

  3. Wählen Sie eine Bedingungsvorlage und dann Konfigurierenaus.

    Bedingungsvorlage Wählen Sie diese Vorlage aus, um:
    Rollen einschränken Benutzern zu erlauben, nur die von Ihnen ausgewählten Rollen zuzuweisen
    Einschränken von Rollen und Prinzipaltypen Benutzern zu erlauben, nur die von Ihnen ausgewählten Rollen zuzuweisen
    Benutzern zu erlauben, diese Rollen nur den Prinzipalen zuzuweisen, die Sie auswählen (Benutzer, Gruppen oder Dienstprinzipale)
    Einschränken von Rollen und Prinzipale Benutzern zu erlauben, nur die von Ihnen ausgewählten Rollen zuzuweisen
    Benutzern zu erlauben, diese Rollen nur den Prinzipale zuzuweisen, die Sie auswählen

    Tipp

    Wenn Sie die meisten Rollenzuweisungen zulassen möchten, aber keine bestimmten Rollenzuweisungen, können Sie den erweiterten Bedingungs-Editor verwenden und eine Bedingung manuell hinzufügen. Ein Beispiel finden Sie unter Beispiel: Zulassen der meisten Rollen, aber nicht zulassen, dass andere Rollen zuweisen.

  4. Fügen Sie im Bereich „Konfigurieren“ die erforderlichen Konfigurationen hinzu.

    Screenshot des Bereichs „Konfigurieren“ für eine Bedingung mit weiteren Selektionen.

  5. Klicken Sie auf Speichern, um die Bedingung zur Rollenzuweisung hinzuzufügen.

Schritt 6: Zuweisen einer Rolle

Führen Sie folgende Schritte aus:

  1. Überprüfen Sie auf der Registerkarte Überprüfen und zuweisen die Einstellungen für die Rollenzuweisung.

  2. Klicken Sie auf Überprüfen und zuweisen, um die Rolle zuzuweisen.

    Kurz darauf wird dem Benutzer die Rolle „Besitzer“ für das Abonnement zugewiesen.

    Screenshot: Rollenzuweisungsliste nach dem Zuweisen einer Rolle.