Zuweisen eines Benutzers mit Bedingungen als Administrator eines Azure-Abonnements

Um einen Benutzer zum Administrator eines Azure-Abonnements zu machen, weisen Sie ihm die Rolle Besitzer im Abonnementbereich zu. Durch die Rolle „Besitzer“ erhält der Benutzer Vollzugriff auf alle Ressourcen im Abonnement, einschließlich der Berechtigung, anderen Personen den Zugriff zu gewähren. Da die Rolle „Besitzer“ eine sehr privilegierte Rolle ist, empfiehlt Microsoft, eine Bedingung hinzuzufügen, um die Rollenzuweisung einzuschränken. Sie können beispielsweise festlegen, dass ein Benutzer nur die Rolle „Mitwirkender für virtuelle Computer“ Dienstprinzipalen zuweist.

Dieser Artikel beschreibt, wie man einen Benutzer mit Bedingungen als Administrator eines Azure-Abonnements zuweist. Diese Schritte sind identisch mit allen anderen Rollenzuweisungen.

Voraussetzungen

Zum Zuweisen von Azure-Rollen müssen Sie über Folgendes verfügen:

• Microsoft.Authorization/roleAssignments/write-Berechtigungen, z. B. Administrator für rollenbasierte Zugriffssteuerung oder Benutzerzugriffsadministrator

Schritt 1: Öffnen des Abonnements

Führen Sie folgende Schritte aus:

1. Melden Sie sich beim Azure-Portal an.

2. Suchen Sie im oberen Suchfeld nach Abonnements.

3. Klicken Sie auf das Abonnement, das Sie verwenden möchten.

   Die folgende Abbildung zeigt ein Beispielabonnement.

   

Schritt 2: Öffnen der Seite „Rollenzuweisung hinzufügen“

Die Zuweisung von Rollen zum Gewähren von Zugriff auf Azure-Ressourcen erfolgt in der Regel über die Seite Zugriffssteuerung (IAM) . Diese wird auch als Identity & Access Management (IAM) bezeichnet und wird an mehreren Stellen im Azure-Portal angezeigt.

1. Klicken Sie auf Zugriffssteuerung (IAM) .

   Die folgende Abbildung zeigt ein Beispiel der Seite „Zugriffssteuerung (IAM)“ für ein Abonnement:

   

2. Klicken Sie auf die Registerkarte Rollenzuweisungen, um die Rollenzuweisungen für diesen Bereich anzuzeigen.

3. Klicken Sie auf Hinzufügen>Rollenzuweisung hinzufügen.

   Wenn Sie keine Berechtigungen zum Zuweisen von Rollen haben, ist die Option „Rollenzuweisung hinzufügen“ deaktiviert.

   

   Die Seite Rollenzuweisung hinzufügen wird geöffnet.

Schritt 3: Auswählen der Rolle „Besitzer“

Über die Rolle Besitzer wird Vollzugriff zum Verwalten aller Ressourcen gewährt, einschließlich der Möglichkeit, Rollen in Azure RBAC zuzuweisen. Sie sollten höchstens 3 Abonnementbesitzer haben, um die Möglichkeit einer Sicherheitsverletzung durch einen kompromittierten Besitzer zu verringern.

1. Wählen Sie auf der Registerkarte Rolle die Registerkarte Privilegierte Administratorrollen aus.

   

2. Wählen Sie die Rolle Besitzer.

3. Klicken Sie auf Weiter.

Schritt 4: Festlegen, wer Zugriff benötigt

Führen Sie folgende Schritte aus:

1. Wählen Sie auf der Registerkarte Mitglieder die Option Benutzer, Gruppe oder Dienstprinzipal aus.

   

2. Klicken Sie auf Mitglieder auswählen.

3. Suchen Sie den Benutzer, und wählen Sie ihn aus.

   Sie können im Feld Auswählen einen Begriff eingeben, um das Verzeichnis nach Anzeigename oder E-Mail-Adresse zu durchsuchen.

   

4. Klicken Sie auf Speichern, um den Benutzer der Liste „Mitglieder“ hinzuzufügen.

5. Geben Sie im Feld Beschreibung eine optionale Beschreibung für diese Rollenzuweisung ein.

   Sie können diese Beschreibung später in der Liste der Rollenzuweisungen anzeigen.

6. Klicken Sie auf Weiter.

Schritt 5: Hinzufügen einer Bedingung

Da die Rolle „Besitzer“ eine sehr privilegierte Rolle ist, empfiehlt Microsoft, eine Bedingung hinzuzufügen, um die Rollenzuweisung einzuschränken.

1. Wählen Sie auf der Registerkarte Bedingungen unter Welche Aktionen eine Benutzerin oder ein Benutzer ausführen kann, die Option Zulassen, dass die Benutzerin bzw. der Benutzer nur ausgewählte Rollen zu ausgewählten Prinzipalen (geringere Berechtigungen) zuweisen kann.

   

2. Wählen Sie Rollen und Prinzipale auswählen aus.

   Die Seite „Rollenzuweisung hinzufügen“ wird mit einer Liste von Bedingungsvorlagen angezeigt.

   

3. Wählen Sie eine Bedingungsvorlage und dann Konfigurierenaus.

   Bedingungsvorlage	Wählen Sie diese Vorlage aus, um:
   Rollen einschränken	Benutzern zu erlauben, nur die von Ihnen ausgewählten Rollen zuzuweisen
   Einschränken von Rollen und Prinzipaltypen	Benutzern zu erlauben, nur die von Ihnen ausgewählten Rollen zuzuweisen Benutzern zu erlauben, diese Rollen nur den Prinzipalen zuzuweisen, die Sie auswählen (Benutzer, Gruppen oder Dienstprinzipale)
   Einschränken von Rollen und Prinzipale	Benutzern zu erlauben, nur die von Ihnen ausgewählten Rollen zuzuweisen Benutzern zu erlauben, diese Rollen nur den Prinzipale zuzuweisen, die Sie auswählen

   Tipp

   Wenn Sie die meisten Rollenzuweisungen zulassen möchten, aber keine bestimmten Rollenzuweisungen, können Sie den erweiterten Bedingungs-Editor verwenden und eine Bedingung manuell hinzufügen. Ein Beispiel finden Sie unter Beispiel: Zulassen der meisten Rollen, aber nicht zulassen, dass andere Rollen zuweisen.

4. Fügen Sie im Bereich „Konfigurieren“ die erforderlichen Konfigurationen hinzu.

   

5. Klicken Sie auf Speichern, um die Bedingung zur Rollenzuweisung hinzuzufügen.

Schritt 6: Zuweisen einer Rolle

Führen Sie folgende Schritte aus:

1. Überprüfen Sie auf der Registerkarte Überprüfen und zuweisen die Einstellungen für die Rollenzuweisung.

2. Klicken Sie auf Überprüfen und zuweisen, um die Rolle zuzuweisen.

   Kurz darauf wird dem Benutzer die Rolle „Besitzer“ für das Abonnement zugewiesen.

   

Zugehöriger Inhalt

• Zuweisen von Azure-Rollen über das Azure-Portal
• Organisieren Ihrer Ressourcen mit Azure-Verwaltungsgruppen
• Warnung bei Zuweisungen privilegierter Azure-Rollen

Um einen Benutzer zum Administrator eines Azure-Abonnements zu machen, weisen Sie ihm die Rolle Besitzer im Abonnementbereich zu. Durch die Rolle „Besitzer“ erhält der Benutzer Vollzugriff auf alle Ressourcen im Abonnement, einschließlich der Berechtigung, anderen Personen den Zugriff zu gewähren. Da die Rolle „Besitzer“ eine sehr privilegierte Rolle ist, empfiehlt Microsoft, eine Bedingung hinzuzufügen, um die Rollenzuweisung einzuschränken. Sie können beispielsweise festlegen, dass ein Benutzer nur die Rolle „Mitwirkender für virtuelle Computer“ Dienstprinzipalen zuweist.

Dieser Artikel beschreibt, wie man einen Benutzer mit Bedingungen als Administrator eines Azure-Abonnements zuweist. Diese Schritte sind identisch mit allen anderen Rollenzuweisungen.

Zum Zuweisen von Azure-Rollen müssen Sie über Folgendes verfügen:

• Microsoft.Authorization/roleAssignments/write-Berechtigungen, z. B. Administrator für rollenbasierte Zugriffssteuerung oder Benutzerzugriffsadministrator

Führen Sie folgende Schritte aus:

1. Melden Sie sich beim Azure-Portal an.

2. Suchen Sie im oberen Suchfeld nach Abonnements.

3. Klicken Sie auf das Abonnement, das Sie verwenden möchten.

   Die folgende Abbildung zeigt ein Beispielabonnement.

   

Die Zuweisung von Rollen zum Gewähren von Zugriff auf Azure-Ressourcen erfolgt in der Regel über die Seite Zugriffssteuerung (IAM) . Diese wird auch als Identity & Access Management (IAM) bezeichnet und wird an mehreren Stellen im Azure-Portal angezeigt.

1. Klicken Sie auf Zugriffssteuerung (IAM) .

   Die folgende Abbildung zeigt ein Beispiel der Seite „Zugriffssteuerung (IAM)“ für ein Abonnement:

   

2. Klicken Sie auf die Registerkarte Rollenzuweisungen, um die Rollenzuweisungen für diesen Bereich anzuzeigen.

3. Klicken Sie auf Hinzufügen>Rollenzuweisung hinzufügen.

   Wenn Sie keine Berechtigungen zum Zuweisen von Rollen haben, ist die Option „Rollenzuweisung hinzufügen“ deaktiviert.

   

   Die Seite Rollenzuweisung hinzufügen wird geöffnet.

Über die Rolle Besitzer wird Vollzugriff zum Verwalten aller Ressourcen gewährt, einschließlich der Möglichkeit, Rollen in Azure RBAC zuzuweisen. Sie sollten höchstens 3 Abonnementbesitzer haben, um die Möglichkeit einer Sicherheitsverletzung durch einen kompromittierten Besitzer zu verringern.

1. Wählen Sie auf der Registerkarte Rolle die Registerkarte Privilegierte Administratorrollen aus.

   

2. Wählen Sie die Rolle Besitzer.

3. Klicken Sie auf Weiter.

Führen Sie folgende Schritte aus:

1. Wählen Sie auf der Registerkarte Mitglieder die Option Benutzer, Gruppe oder Dienstprinzipal aus.

   

2. Klicken Sie auf Mitglieder auswählen.

3. Suchen Sie den Benutzer, und wählen Sie ihn aus.

   Sie können im Feld Auswählen einen Begriff eingeben, um das Verzeichnis nach Anzeigename oder E-Mail-Adresse zu durchsuchen.

   

4. Klicken Sie auf Speichern, um den Benutzer der Liste „Mitglieder“ hinzuzufügen.

5. Geben Sie im Feld Beschreibung eine optionale Beschreibung für diese Rollenzuweisung ein.

   Sie können diese Beschreibung später in der Liste der Rollenzuweisungen anzeigen.

6. Klicken Sie auf Weiter.

Da die Rolle „Besitzer“ eine sehr privilegierte Rolle ist, empfiehlt Microsoft, eine Bedingung hinzuzufügen, um die Rollenzuweisung einzuschränken.

1. Wählen Sie auf der Registerkarte Bedingungen unter Welche Aktionen eine Benutzerin oder ein Benutzer ausführen kann, die Option Zulassen, dass die Benutzerin bzw. der Benutzer nur ausgewählte Rollen zu ausgewählten Prinzipalen (geringere Berechtigungen) zuweisen kann.

   

2. Wählen Sie Rollen und Prinzipale auswählen aus.

   Die Seite „Rollenzuweisung hinzufügen“ wird mit einer Liste von Bedingungsvorlagen angezeigt.

   

3. Wählen Sie eine Bedingungsvorlage und dann Konfigurierenaus.

   Bedingungsvorlage	Wählen Sie diese Vorlage aus, um:
   Rollen einschränken	Benutzern zu erlauben, nur die von Ihnen ausgewählten Rollen zuzuweisen
   Einschränken von Rollen und Prinzipaltypen	Benutzern zu erlauben, nur die von Ihnen ausgewählten Rollen zuzuweisen Benutzern zu erlauben, diese Rollen nur den Prinzipalen zuzuweisen, die Sie auswählen (Benutzer, Gruppen oder Dienstprinzipale)
   Einschränken von Rollen und Prinzipale	Benutzern zu erlauben, nur die von Ihnen ausgewählten Rollen zuzuweisen Benutzern zu erlauben, diese Rollen nur den Prinzipale zuzuweisen, die Sie auswählen

   Tipp

   Wenn Sie die meisten Rollenzuweisungen zulassen möchten, aber keine bestimmten Rollenzuweisungen, können Sie den erweiterten Bedingungs-Editor verwenden und eine Bedingung manuell hinzufügen. Ein Beispiel finden Sie unter Beispiel: Zulassen der meisten Rollen, aber nicht zulassen, dass andere Rollen zuweisen.

4. Fügen Sie im Bereich „Konfigurieren“ die erforderlichen Konfigurationen hinzu.

   

5. Klicken Sie auf Speichern, um die Bedingung zur Rollenzuweisung hinzuzufügen.

Führen Sie folgende Schritte aus:

1. Überprüfen Sie auf der Registerkarte Überprüfen und zuweisen die Einstellungen für die Rollenzuweisung.

2. Klicken Sie auf Überprüfen und zuweisen, um die Rolle zuzuweisen.

   Kurz darauf wird dem Benutzer die Rolle „Besitzer“ für das Abonnement zugewiesen.