Zuweisen eines Benutzers als Administrator eines Azure-Abonnements mit Bedingungen

  • Artikel

Um einen Benutzer zu einem Administrator eines Azure-Abonnements zu machen, weisen Sie ihm die Rolle "Besitzer " im Abonnementbereich zu. Durch die Rolle „Besitzer“ erhält der Benutzer Vollzugriff auf alle Ressourcen im Abonnement, einschließlich der Berechtigung, anderen Personen den Zugriff zu gewähren. Da die Rolle "Besitzer" eine Rolle mit hoher Berechtigung ist, empfiehlt Microsoft, eine Bedingung hinzuzufügen, um die Rollenzuweisung einzuschränken. Sie können beispielsweise zulassen, dass ein Benutzer nur die Rolle "Mitwirkender virtueller Computer" dienstprinzipalen zuweist.

In diesem Artikel wird beschrieben, wie Sie einen Benutzer als Administrator eines Azure-Abonnements mit Bedingungen zuweisen. Diese Schritte sind identisch mit allen anderen Rollenzuweisungen.

Voraussetzungen

Zum Zuweisen von Azure-Rollen müssen Sie über Folgendes verfügen:

Schritt 1: Öffnen des Abonnements

  1. Melden Sie sich beim Azure-Portal an.

  2. Suchen Sie im oberen Suchfeld nach Abonnements.

  3. Klicken Sie auf das Abonnement, das Sie verwenden möchten.

    Die folgende Abbildung zeigt ein Beispielabonnement.

    Screenshot of Subscriptions overview

Schritt 2: Öffnen der Seite „Rollenzuweisung hinzufügen“

Die Zuweisung von Rollen zum Gewähren von Zugriff auf Azure-Ressourcen erfolgt in der Regel über die Seite Zugriffssteuerung (IAM) . Diese wird auch als Identity & Access Management (IAM) bezeichnet und wird an mehreren Stellen im Azure-Portal angezeigt.

  1. Klicken Sie auf Zugriffssteuerung (IAM) .

    Die folgende Abbildung zeigt ein Beispiel der Seite „Zugriffssteuerung (IAM)“ für ein Abonnement:

    Screenshot of Access control (IAM) page for a subscription.

  2. Klicken Sie auf die Registerkarte Rollenzuweisungen, um die Rollenzuweisungen für diesen Bereich anzuzeigen.

  3. Klicken Sie auf Hinzufügen>Rollenzuweisung hinzufügen.

    Wenn Sie keine Berechtigungen zum Zuweisen von Rollen haben, ist die Option „Rollenzuweisung hinzufügen“ deaktiviert.

    Screenshot of Add > Add role assignment menu.

    Die Seite Rollenzuweisung hinzufügen wird geöffnet.

Schritt 3: Auswählen der Rolle „Besitzer“

Über die Rolle Besitzer wird Vollzugriff zum Verwalten aller Ressourcen gewährt, einschließlich der Möglichkeit, Rollen in Azure RBAC zuzuweisen. Sie sollten höchstens 3 Abonnementbesitzer haben, um die Möglichkeit einer Sicherheitsverletzung durch einen kompromittierten Besitzer zu verringern.

  1. Wählen Sie auf der Registerkarte "Rolle " die Registerkarte "Privilegierte Administratorrollen " aus.

    Screenshot of Add role assignment page with Privileged administrator roles tab selected.

  2. Wählen Sie die Rolle Besitzer.

  3. Klicken Sie auf Weiter.

Schritt 4: Auswahl zugriffsberechtigter Benutzer

  1. Wählen Sie auf der Registerkarte Mitglieder die Option Benutzer, Gruppe oder Dienstprinzipal aus.

    Screenshot of Add role assignment page with Add members tab.

  2. Klicken Sie auf Mitglieder auswählen.

  3. Suchen Sie den Benutzer, und wählen Sie ihn aus.

    Sie können im Feld Auswählen einen Begriff eingeben, um das Verzeichnis nach Anzeigename oder E-Mail-Adresse zu durchsuchen.

    Screenshot of Select members pane.

  4. Klicken Sie auf Speichern, um den Benutzer der Liste „Mitglieder“ hinzuzufügen.

  5. Geben Sie im Feld Beschreibung eine optionale Beschreibung für diese Rollenzuweisung ein.

    Sie können diese Beschreibung später in der Liste der Rollenzuweisungen anzeigen.

  6. Klicken Sie auf Weiter.

Schritt 5: Hinzufügen einer Bedingung

Da die Rolle "Besitzer" eine Rolle mit hoher Berechtigung ist, empfiehlt Microsoft, eine Bedingung hinzuzufügen, um die Rollenzuweisung einzuschränken.

  1. Wählen Sie auf der Registerkarte "Bedingungen " unter "Was der Benutzer tun kann" die Option "Benutzer zulassen", ausgewählte Rollen nur ausgewählten Prinzipale (weniger Berechtigungen) zuzuweisen.

    Screenshot of Add role assignment with the constrained option selected.

  2. Wählen Sie "Rollen und Prinzipale auswählen " aus.

    Die Seite "Rollenzuweisungsbedingung hinzufügen" wird mit einer Liste von Bedingungsvorlagen angezeigt.

    Screenshot of Add role assignment condition with a list of condition templates.

  3. Wählen Sie eine Bedingungsvorlage und dann "Konfigurieren" aus.

    Bedingungsvorlage Wählen Sie diese Vorlage aus, um
    Rollen einschränken Benutzern das Zuweisen von Rollen erlauben, die Sie auswählen
    Einschränken von Rollen und Prinzipaltypen Benutzern das Zuweisen von Rollen erlauben, die Sie auswählen
    Zulassen, dass Benutzer diese Rollen nur prinzipaltypen zuweisen können , die Sie auswählen (Benutzer, Gruppen oder Dienstprinzipale)
    Einschränken von Rollen und Prinzipale Benutzern das Zuweisen von Rollen erlauben, die Sie auswählen
    Zulassen, dass Benutzer diese Rollen nur prinzipale zuweisen, die Sie auswählen

    Tipp

    Wenn Sie die meisten Rollenzuweisungen zulassen möchten, aber keine bestimmten Rollenzuweisungen zulassen möchten, können Sie den erweiterten Bedingungs-Editor verwenden und eine Bedingung manuell hinzufügen. Ein Beispiel finden Sie unter Beispiel: Allow most roles, but don't allow others to assign roles.

  4. Fügen Sie im Konfigurationsbereich die erforderlichen Konfigurationen hinzu.

    Screenshot of configure pane for a condition with selection added.

  5. Wählen Sie " Speichern" aus, um der Rollenzuweisung die Bedingung hinzuzufügen.

Schritt 6: Zuweisen einer Rolle

  1. Überprüfen Sie auf der Registerkarte Überprüfen und zuweisen die Einstellungen für die Rollenzuweisung.

  2. Klicken Sie auf Überprüfen und zuweisen, um die Rolle zuzuweisen.

    Kurz darauf wird dem Benutzer die Rolle „Besitzer“ für das Abonnement zugewiesen.

    Screenshot of role assignment list after assigning role.

Nächste Schritte