Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
In diesem Artikel werden einige bewährte Methoden für die Verwendung der rollenbasierten Zugriffssteuerung (Azure RBAC) beschrieben. Diese bewährten Methoden stammen aus unserer Erfahrung mit Azure RBAC und den Erfahrungen von Kunden wie sich selbst.
Nur den für Benutzer erforderlichen Zugriff gewähren
Mithilfe von Azure RBAC können Sie Aufgaben in Ihrem Team verteilen und Benutzern nur den Zugriff gewähren, den sie zur Ausführung ihrer Aufgaben benötigen. Anstatt allen uneingeschränkten Berechtigungen in Ihrem Azure-Abonnement oder Ihren Ressourcen zu gewähren, können Sie nur bestimmte Aktionen in einem bestimmten Bereich zulassen.
Bei der Planung Ihrer Zugriffskontrollesstrategie empfiehlt es sich, Benutzern die geringsten Berechtigungen zu gewähren, um ihre Arbeit zu erledigen. Vermeiden Sie es, breitere Rollen in breiteren Bereichen zuzuweisen, auch wenn dies anfänglich bequemer erscheint. Schließen Sie beim Erstellen benutzerdefinierter Rollen nur die erforderlichen Berechtigungen ein. Durch das Einschränken von Rollen und Bereichen begrenzen Sie die Ressourcen, die gefährdet sind, wenn der Sicherheitsprinzipal kompromittiert wird.
Das folgende Diagramm zeigt ein vorgeschlagenes Muster für die Verwendung von Azure RBAC.
Informationen zum Zuweisen von Rollen finden Sie unter Zuweisen von Azure-Rollen mithilfe des Azure-Portals.
Beschränken Sie die Anzahl der Abonnementbesitzer.
Sie sollten höchstens 3 Abonnementbesitzer haben, um die Möglichkeit einer Sicherheitsverletzung durch einen kompromittierten Besitzer zu verringern. Diese Empfehlung kann in Microsoft Defender für Cloud überwacht werden. Weitere Identitäts- und Zugriffsempfehlungen in Defender für Cloud finden Sie unter Sicherheitsempfehlungen – ein Referenzhandbuch.
Einschränken privilegierter Administratorrollenzuweisungen
Einige Rollen werden als privilegierte Administratorrollen identifiziert. Erwägen Sie die folgenden Maßnahmen, um Ihren Sicherheitsstatus zu verbessern:
- Entfernen Sie unnötige privilegierte Rollenzuweisungen.
- Vermeiden Sie das Zuweisen einer privilegierten Administratorrolle, wenn stattdessen eine Funktionsrolle verwendet werden kann.
- Wenn Sie eine Privilegierte Administratorrolle zuweisen müssen, verwenden Sie einen schmalen Bereich, z. B. Ressourcengruppe oder Ressource, anstelle eines breiteren Bereichs, z. B. Verwaltungsgruppe oder Abonnement.
- Wenn Sie eine Rolle mit der Berechtigung zum Erstellen von Rollenzuweisungen zuweisen, sollten Sie eine Bedingung hinzufügen, um die Rollenzuweisung einzuschränken. Weitere Informationen finden Sie unter Delegieren der Azure-Rollenzuweisungsverwaltung an andere Personen mit Bedingungen.
Weitere Informationen finden Sie unter Auflisten oder Verwalten der Zuweisungen privilegierter Administratorrollen.
Verwenden von Microsoft Entra Privileged Identity Management
Um privilegierte Konten vor böswilligen Cyberangriffen zu schützen, können Sie Microsoft Entra Privileged Identity Management (PIM) verwenden, um die Gefährdungszeit von Berechtigungen zu senken und Ihre Sichtbarkeit in ihre Verwendung durch Berichte und Warnungen zu erhöhen. PIM trägt zum Schutz privilegierter Konten bei, indem sie just-in-time privilegierten Zugriff auf Microsoft Entra-ID- und Azure-Ressourcen bereitstellt. Der Zugriff kann zeitgebunden sein, nachdem Berechtigungen automatisch widerrufen werden.
Weitere Informationen finden Sie unter Was ist Microsoft Entra Privileged Identity Management?.
Zuweisen von Rollen zu Gruppen und nicht zu Benutzern
Um Rollenzuweisungen besser zu verwalten, vermeiden Sie das direkte Zuweisen von Rollen zu Benutzern. Weisen Sie stattdessen Gruppen Rollen zu. Das Zuweisen von Rollen zu Gruppen anstelle von Benutzern trägt auch dazu bei, die Anzahl der Rollenzuweisungen zu minimieren, die ein Limit an Rollenzuweisungen pro Abonnement aufweisen.
Zuweisen von Rollen mithilfe der eindeutigen Rollen-ID anstelle des Rollennamens
Es gibt ein paar Male, wenn sich ein Rollenname ändern kann, z. B.:
- Sie verwenden Ihre eigene benutzerdefinierte Rolle, und Sie entscheiden, den Namen zu ändern.
- Sie verwenden eine Vorschaurolle mit dem Namen (Vorschau ). Wenn die Rolle freigegeben wird, wird die Rolle umbenannt.
Auch wenn eine Rolle umbenannt wird, ändert sich die Rollen-ID nicht. Wenn Sie Ihre Rollenzuweisungen mithilfe von Skripts oder mittels Automatisierung erstellen, wird empfohlen, die eindeutige Rollen-ID anstelle des Rollennamens zu verwenden. Wird eine Rolle umbenannt, ist auf diese Weise die Wahrscheinlichkeit größer, dass Ihre Skripts funktionieren.
Weitere Informationen finden Sie unter Zuweisen einer Rolle mithilfe der eindeutigen Rollen-ID und Azure PowerShell und Zuweisen einer Rolle mithilfe der eindeutigen Rollen-ID und der Azure CLI.
Vermeiden der Verwendung eines Wildcards beim Erstellen benutzerdefinierter Rollen
Beim Erstellen von benutzerdefinierten Rollen können Sie das Wildcardzeichen (*) verwenden, um Berechtigungen zu definieren. Es empfiehlt sich, explizit Actions und DataActions anzugeben, anstatt das Platzhalterzeichen (*) zu verwenden. Bei Verwendung des Platzhalters können ggf. ungewollt zusätzlicher Zugriff und zusätzliche Berechtigungen durch zukünftige Aktionen (Actions) oder Datenaktionen (DataActions) gewährt werden. Weitere Informationen finden Sie unter Benutzerdefinierte Azure-Rollen.