Zuweisen von Azure-Rollen über das Azure-Portal

  • Artikel

Azure RBAC (Role-Based Access Control, rollenbasierte Zugriffssteuerung) ist das Autorisierungssystem für die Verwaltung des Zugriffs auf Azure-Ressourcen. Sie weisen Benutzern, Gruppen, Dienstprinzipalen oder verwalteten Identitäten für einen bestimmten Bereich Rollen zu, um diesen Zugriff zu gewähren. In diesem Artikel wird beschrieben, wie Sie Rollen mithilfe der Azure-Portal zuweisen.

Wenn Sie Administratorrollen in der Microsoft Entra-ID zuweisen müssen, lesen Sie "Zuweisen von Microsoft Entra-Rollen zu Benutzern".

Voraussetzungen

Zum Zuweisen von Azure-Rollen müssen Sie über Folgendes verfügen:

Schritt 1: Identifizieren des erforderlichen Bereichs

Wenn Sie Rollen zuweisen, müssen Sie einen Bereich angeben. Ein Bereich ist der für den Zugriff geltende Ressourcensatz. In Azure können Sie einen Bereich auf vier Ebenen angeben (von weit nach eng): Verwaltungsgruppe, Abonnement, Ressourcengruppe und Ressource. Weitere Informationen finden Sie unter Grundlagen des Bereichs für Azure RBAC.

Diagram that shows the scope levels for Azure RBAC.

  1. Melden Sie sich beim Azure-Portal an.

  2. Suchen Sie im oberen Suchfeld nach dem Bereich, für den Sie Zugriff gewähren möchten. Suchen Sie beispielsweise nach Verwaltungsgruppen, Abonnements, Ressourcengruppen oder eine bestimmten Ressource.

  3. Klicken Sie auf die gewünschte Ressource für diesen Bereich.

    Nachfolgend sehen Sie ein Beispiel für eine Ressourcengruppe.

    Screenshot of resource group overview page.

Schritt 2: Öffnen der Seite „Rollenzuweisung hinzufügen“

Die Zuweisung von Rollen zum Gewähren von Zugriff auf Azure-Ressourcen erfolgt in der Regel über die Seite Zugriffssteuerung (IAM) . Diese wird auch als Identity & Access Management (IAM) bezeichnet und wird an mehreren Stellen im Azure-Portal angezeigt.

  1. Klicken Sie auf Zugriffssteuerung (IAM) .

    Die folgende Abbildung zeigt ein Beispiel der Seite „Zugriffssteuerung (IAM)“ für eine Ressourcengruppe.

    Screenshot of Access control (IAM) page for a resource group.

  2. Klicken Sie auf die Registerkarte Rollenzuweisungen, um die Rollenzuweisungen für diesen Bereich anzuzeigen.

  3. Klicken Sie auf Hinzufügen>Rollenzuweisung hinzufügen.

    Wenn Sie keine Berechtigungen zum Zuweisen von Rollen haben, ist die Option „Rollenzuweisung hinzufügen“ deaktiviert.

    Screenshot of Add > Add role assignment menu.

    Die Seite „Rollenzuweisung hinzufügen“ wird geöffnet.

Schritt 3: Auswählen der geeigneten Rolle

  1. Wählen Sie auf der Registerkarte "Rolle " eine Rolle aus, die Sie verwenden möchten.

    Sie können nach einer Rolle anhand des Namens oder der Beschreibung suchen. Sie können Rollen auch nach Typ und Kategorie filtern.

    Screenshot of Add role assignment page with Role tab.

  2. Wenn Sie eine Privilegierte Administratorrolle zuweisen möchten, wählen Sie die Registerkarte "Privilegierte Administratorrollen " aus, um die Rolle auszuwählen.

    Bewährte Methoden für die Verwendung privilegierter Administratorrollenzuweisungen finden Sie unter Bewährte Methoden für Azure RBAC.

    Screenshot of Add role assignment page with Privileged administrator roles tab selected.

  3. Klicken Sie in der Spalte Details auf Anzeigen, um weitere Details zu einer Rolle abzurufen.

    Screenshot of View role details pane with Permissions tab.

  4. Klicken Sie auf Weiter.

Schritt 4: Auswahl zugriffsberechtigter Benutzer

  1. Wählen Sie auf der Registerkarte Mitglieder die Option Benutzer, Gruppe oder Dienstprinzipal aus, um die ausgewählte Rolle mindestens einem Microsoft Entra-Benutzer, einer Gruppe oder einem Dienstprinzipal (Anwendung) zuzuweisen.

    Screenshot of Add role assignment page with Members tab.

  2. Klicken Sie auf Mitglieder auswählen.

  3. Suchen Sie nach den Benutzern, Gruppen oder Dienstprinzipalen, und wählen Sie sie aus.

    Sie können im Feld Auswählen einen Begriff eingeben, um das Verzeichnis nach Anzeigename oder E-Mail-Adresse zu durchsuchen.

    Screenshot of Select members pane.

  4. Klicken Sie auf Auswählen, um die Benutzer*innen, Gruppen oder Dienstprinzipale der Liste „Mitglieder“ hinzuzufügen.

  5. Um die ausgewählte Rolle mindestens einer verwalteten Identität zuzuweisen, wählen Sie Verwaltete Identität aus.

  6. Klicken Sie auf Mitglieder auswählen.

  7. Wählen Sie im Bereich Select managed identities (Verwaltete Identitäten auswählen) aus, ob der Typ User-assigned managed identity (Benutzerseitig zugewiesene verwaltete Identität) oder System-assigned managed identity (Systemseitig zugewiesene verwaltete Identität) ist.

  8. Suchen Sie nach den verwalteten Identitäten, und wählen Sie sie aus.

    Bei systemseitig zugewiesenen verwalteten Identitäten können Sie verwaltete Identitäten nach Azure-Dienstinstanz auswählen.

    Screenshot of Select managed identities pane.

  9. Klicken Sie auf Auswählen, um die verwalteten Identitäten der Liste „Mitglieder“ hinzuzufügen.

  10. Geben Sie im Feld Beschreibung eine optionale Beschreibung für diese Rollenzuweisung ein.

    Sie können diese Beschreibung später in der Liste der Rollenzuweisungen anzeigen.

  11. Klicken Sie auf Weiter.

Schritt 5: (Optional) Bedingung hinzufügen

Wenn Sie eine Rolle ausgewählt haben, die Bedingungen unterstützt, wird eine Registerkarte "Bedingungen " angezeigt, und Sie haben die Möglichkeit, Ihrer Rollenzuweisung eine Bedingung hinzuzufügen. Eine Bedingung ist eine zusätzliche Überprüfung, die Sie ihrer Rollenzuweisung optional hinzufügen können, um eine genauere Zugriffssteuerung zu ermöglichen.

Die Registerkarte "Bedingungen " sieht je nach ausgewählter Rolle anders aus.

Wichtig

Das Delegieren der Azure-Rollenzuweisungsverwaltung mit Bedingungen befindet sich derzeit in der VORSCHAU. Die zusätzlichen Nutzungsbestimmungen für Microsoft Azure-Vorschauen enthalten rechtliche Bedingungen. Sie gelten für diejenigen Azure-Features, die sich in der Beta- oder Vorschauversion befinden oder aber anderweitig noch nicht zur allgemeinen Verfügbarkeit freigegeben sind.

Wenn Sie eine der folgenden privilegierten Rollen ausgewählt haben, führen Sie die Schritte in diesem Abschnitt aus.

  1. Wählen Sie auf der Registerkarte "Bedingungen " unter "Delegierungstyp" die Option "Eingeschränkt" (empfohlen) aus.

    Screenshot of Add role assignment with the Constrained option selected.

  2. Klicken Sie auf " Bedingung hinzufügen", um eine Bedingung hinzuzufügen, die die Rollen und Prinzipale einschränkt, denen dieser Benutzer Rollen zuweisen kann.

  3. Führen Sie die Schritte in der Azure-Rollenzuweisungsverwaltung an andere Personen mit Bedingungen (Vorschau) aus.

Schritt 6: Zuweisen einer Rolle

  1. Überprüfen Sie auf der Registerkarte Überprüfen und zuweisen die Einstellungen für die Rollenzuweisung.

    Screenshot of Assign a role page with Review + assign tab.

  2. Klicken Sie auf Überprüfen und zuweisen, um die Rolle zuzuweisen.

    Nach einigen Augenblicken wird dem Sicherheitsprinzipal die Rolle für den Bereich zugewiesen.

    Screenshot of role assignment list after assigning role.

  3. Wenn die Beschreibung für die Rollenzuweisung nicht angezeigt wird, klicken Sie auf Spalten bearbeiten, um die Spalte Beschreibung hinzuzufügen.

Nächste Schritte