Zuweisen eines Benutzers als Administrator eines Azure-Abonnements mit Bedingungen
Um einen Benutzer zu einem Administrator eines Azure-Abonnements zu machen, weisen Sie ihm die Rolle "Besitzer " im Abonnementbereich zu. Durch die Rolle „Besitzer“ erhält der Benutzer Vollzugriff auf alle Ressourcen im Abonnement, einschließlich der Berechtigung, anderen Personen den Zugriff zu gewähren. Da die Rolle "Besitzer" eine Rolle mit hoher Berechtigung ist, empfiehlt Microsoft, eine Bedingung hinzuzufügen, um die Rollenzuweisung einzuschränken. Sie können beispielsweise zulassen, dass ein Benutzer nur die Rolle "Mitwirkender virtueller Computer" dienstprinzipalen zuweist.
In diesem Artikel wird beschrieben, wie Sie einen Benutzer als Administrator eines Azure-Abonnements mit Bedingungen zuweisen. Diese Schritte sind identisch mit allen anderen Rollenzuweisungen.
Voraussetzungen
Zum Zuweisen von Azure-Rollen müssen Sie über Folgendes verfügen:
Microsoft.Authorization/roleAssignments/write
Berechtigungen, z. B. Rollenbasierte Zugriffssteuerungsadministrator oder Benutzerzugriffsadministrator
Schritt 1: Öffnen des Abonnements
Melden Sie sich beim Azure-Portal an.
Suchen Sie im oberen Suchfeld nach Abonnements.
Klicken Sie auf das Abonnement, das Sie verwenden möchten.
Die folgende Abbildung zeigt ein Beispielabonnement.
Schritt 2: Öffnen der Seite „Rollenzuweisung hinzufügen“
Die Zuweisung von Rollen zum Gewähren von Zugriff auf Azure-Ressourcen erfolgt in der Regel über die Seite Zugriffssteuerung (IAM) . Diese wird auch als Identity & Access Management (IAM) bezeichnet und wird an mehreren Stellen im Azure-Portal angezeigt.
Klicken Sie auf Zugriffssteuerung (IAM) .
Die folgende Abbildung zeigt ein Beispiel der Seite „Zugriffssteuerung (IAM)“ für ein Abonnement:
Klicken Sie auf die Registerkarte Rollenzuweisungen, um die Rollenzuweisungen für diesen Bereich anzuzeigen.
Klicken Sie auf Hinzufügen>Rollenzuweisung hinzufügen.
Wenn Sie keine Berechtigungen zum Zuweisen von Rollen haben, ist die Option „Rollenzuweisung hinzufügen“ deaktiviert.
Die Seite Rollenzuweisung hinzufügen wird geöffnet.
Schritt 3: Auswählen der Rolle „Besitzer“
Über die Rolle Besitzer wird Vollzugriff zum Verwalten aller Ressourcen gewährt, einschließlich der Möglichkeit, Rollen in Azure RBAC zuzuweisen. Sie sollten höchstens 3 Abonnementbesitzer haben, um die Möglichkeit einer Sicherheitsverletzung durch einen kompromittierten Besitzer zu verringern.
Wählen Sie auf der Registerkarte "Rolle " die Registerkarte "Privilegierte Administratorrollen " aus.
Wählen Sie die Rolle Besitzer.
Klicken Sie auf Weiter.
Schritt 4: Auswahl zugriffsberechtigter Benutzer
Wählen Sie auf der Registerkarte Mitglieder die Option Benutzer, Gruppe oder Dienstprinzipal aus.
Klicken Sie auf Mitglieder auswählen.
Suchen Sie den Benutzer, und wählen Sie ihn aus.
Sie können im Feld Auswählen einen Begriff eingeben, um das Verzeichnis nach Anzeigename oder E-Mail-Adresse zu durchsuchen.
Klicken Sie auf Speichern, um den Benutzer der Liste „Mitglieder“ hinzuzufügen.
Geben Sie im Feld Beschreibung eine optionale Beschreibung für diese Rollenzuweisung ein.
Sie können diese Beschreibung später in der Liste der Rollenzuweisungen anzeigen.
Klicken Sie auf Weiter.
Schritt 5: Hinzufügen einer Bedingung
Da die Rolle "Besitzer" eine Rolle mit hoher Berechtigung ist, empfiehlt Microsoft, eine Bedingung hinzuzufügen, um die Rollenzuweisung einzuschränken.
Wählen Sie auf der Registerkarte "Bedingungen " unter "Was der Benutzer tun kann" die Option "Benutzer zulassen", ausgewählte Rollen nur ausgewählten Prinzipale (weniger Berechtigungen) zuzuweisen.
Wählen Sie "Rollen und Prinzipale auswählen " aus.
Die Seite "Rollenzuweisungsbedingung hinzufügen" wird mit einer Liste von Bedingungsvorlagen angezeigt.
Wählen Sie eine Bedingungsvorlage und dann "Konfigurieren" aus.
Bedingungsvorlage Wählen Sie diese Vorlage aus, um Rollen einschränken Benutzern das Zuweisen von Rollen erlauben, die Sie auswählen Einschränken von Rollen und Prinzipaltypen Benutzern das Zuweisen von Rollen erlauben, die Sie auswählen
Zulassen, dass Benutzer diese Rollen nur prinzipaltypen zuweisen können , die Sie auswählen (Benutzer, Gruppen oder Dienstprinzipale)Einschränken von Rollen und Prinzipale Benutzern das Zuweisen von Rollen erlauben, die Sie auswählen
Zulassen, dass Benutzer diese Rollen nur prinzipale zuweisen, die Sie auswählenTipp
Wenn Sie die meisten Rollenzuweisungen zulassen möchten, aber keine bestimmten Rollenzuweisungen zulassen möchten, können Sie den erweiterten Bedingungs-Editor verwenden und eine Bedingung manuell hinzufügen. Ein Beispiel finden Sie unter Beispiel: Allow most roles, but don't allow others to assign roles.
Fügen Sie im Konfigurationsbereich die erforderlichen Konfigurationen hinzu.
Wählen Sie " Speichern" aus, um der Rollenzuweisung die Bedingung hinzuzufügen.
Schritt 6: Zuweisen einer Rolle
Überprüfen Sie auf der Registerkarte Überprüfen und zuweisen die Einstellungen für die Rollenzuweisung.
Klicken Sie auf Überprüfen und zuweisen, um die Rolle zuzuweisen.
Kurz darauf wird dem Benutzer die Rolle „Besitzer“ für das Abonnement zugewiesen.