Erstellen, Ändern oder Löschen einer Netzwerksicherheitsgruppe

Mit Sicherheitsregeln in Netzwerksicherheitsgruppen können Sie den Typ des ein- und ausgehenden Netzwerkdatenverkehrs von Subnetzen virtueller Netzwerke und Netzwerkschnittstellen filtern. Weitere Informationen zu Netzwerksicherheitsgruppen finden Sie unter Netzwerksicherheitsgruppen – Übersicht. Absolvieren Sie als Nächstes das Tutorial Filtern von Netzwerkdatenverkehr, um sich mit Netzwerksicherheitsgruppen vertraut zu machen.

Voraussetzungen

Falls Sie über kein Azure-Konto mit einem aktiven Abonnement verfügen, können Sie ein kostenloses Konto erstellen. Führen Sie eine dieser Aufgaben aus, bevor Sie mit dem Rest dieses Artikels starten:

  • Portalbenutzer: Melden Sie sich mit Ihrem Azure-Konto beim Azure-Portal an.

  • PowerShell-Benutzer: Führen Sie die Befehle entweder in Azure Cloud Shell aus, oder führen Sie PowerShell lokal auf Ihrem Computer aus. Azure Cloud Shell ist eine kostenlose interaktive Shell, mit der Sie die Schritte in diesem Artikel ausführen können. Sie verfügt über allgemeine vorinstallierte Tools und ist für die Verwendung mit Ihrem Konto konfiguriert. Wechseln Sie auf der Browserregisterkarte „Azure Cloud Shell“ zur Dropdownliste Umgebung auswählen, und wählen Sie dann PowerShell aus, falls nicht bereits ausgewählt.

    Wenn Sie PowerShell lokal ausführen, müssen Sie mindestens Version 1.0.0 des Azure PowerShell-Moduls verwenden. Führen Sie Get-Module -ListAvailable Az.Network aus, um die installierte Version zu ermitteln. Wenn Sie eine Installation oder ein Upgrade ausführen müssen, finden Sie unter Install and configure Azure PowerShell (Installieren des Azure PowerShell-Moduls) Informationen dazu. Führen Sie Connect-AzAccount aus, um sich bei Azure anzumelden.

  • Benutzer der Azure-Befehlszeilenschnittstelle (Azure Command Line Interface, Azure CLI): Führen Sie die Befehle entweder in Azure Cloud Shell aus, oder führen Sie die Azure CLI lokal auf Ihrem Computer aus. Azure Cloud Shell ist eine kostenlose interaktive Shell, mit der Sie die Schritte in diesem Artikel ausführen können. Sie verfügt über allgemeine vorinstallierte Tools und ist für die Verwendung mit Ihrem Konto konfiguriert. Wählen Sie auf der Browserregisterkarte „Azure Cloud Shell“ in der Dropdownliste Umgebung auswählen die Option Bash aus, falls diese noch nicht ausgewählt ist.

    Verwenden Sie bei lokaler Ausführung der Azure CLI die Version 2.0.28 oder höher. Führen Sie az --version aus, um die installierte Version zu ermitteln. Informationen zum Durchführen einer Installation oder eines Upgrades finden Sie bei Bedarf unter Installieren der Azure CLI. Führen Sie az login aus, um sich bei Azure anzumelden.

Das Konto, bei dem Sie sich anmelden oder das Sie zum Herstellen einer Verbindung mit Azure verwenden, muss der Rolle Netzwerkmitwirkender oder einer benutzerdefinierten Rolle zugewiesen sein, der die entsprechenden, unter Berechtigungen aufgeführten Aktionen zugewiesen wurden.

Arbeiten mit Netzwerksicherheitsgruppen

Sie können eine Netzwerksicherheitsgruppe erstellen, komplett anzeigen, Details von ihr anzeigen, sie ändern und löschen. Sie können eine Netzwerksicherheitsgruppe auch einer Netzwerkschnittstelle oder einem Subnetz zuordnen oder eine vorhandene Zuordnung aufheben.

Erstellen einer Netzwerksicherheitsgruppe

Die Anzahl von Netzwerksicherheitsgruppen, die Sie pro Azure-Region und -Abonnement erstellen können, ist begrenzt. Weitere Informationen finden Sie unter Grenzwerte für Azure-Abonnements und Dienste, Kontingente und Einschränkungen.

  1. Geben Sie im Suchfeld oben im Portal Netzwerksicherheitsgruppen ein. Wählen Sie in den Suchergebnissen Netzwerksicherheitsgruppen aus.

  2. Wählen Sie + Erstellen aus.

  3. Geben Sie auf der Seite Netzwerksicherheitsgruppe erstellen auf der Registerkarte Grundlagen die folgenden Werte ein, bzw. wählen Sie sie aus:

    Einstellung Aktion
    Projektdetails
    Subscription Wählen Sie Ihr Azure-Abonnement.
    Resource group Wählen Sie eine vorhandene Ressourcengruppe aus, oder erstellen Sie eine neue, indem Sie den Link Neu erstellen auswählen. In diesem Beispiel wird die Ressourcengruppe myResourceGroup verwendet.
    Instanzendetails
    Name der Netzwerksicherheitsgruppe Geben Sie einen Namen für die Netzwerksicherheitsgruppe ein, die Sie erstellen.
    Region Wählen Sie die gewünschte Region aus.

    Screenshot: Erstellen einer Netzwerksicherheitsgruppe im Azure-Portal.

  4. Klicken Sie auf Überprüfen + erstellen.

  5. Wenn die Meldung Überprüfung erfolgreich angezeigt wird, wählen Sie Erstellen aus.

Anzeigen aller Netzwerksicherheitsgruppen

Geben Sie im Suchfeld oben im Portal Netzwerksicherheitsgruppen ein. Wählen Sie in den Suchergebnissen Netzwerksicherheitsgruppen aus, um die Liste der Netzwerksicherheitsgruppen in Ihrem Abonnement anzuzeigen.

Screenshot: Liste der Netzwerksicherheitsgruppen im Azure-Portal.

Anzeigen von Details einer Netzwerksicherheitsgruppe

  1. Geben Sie im Suchfeld oben im Portal Netzwerksicherheitsgruppe ein, und wählen Sie in den Suchergebnissen Netzwerksicherheitsgruppen aus.

  2. Wählen Sie den Namen der Netzwerksicherheitsgruppe aus.

Unter Einstellungen sehen Sie die Sicherheitsregeln für eingehenden Datenverkehr, Sicherheitsregeln für ausgehenden Datenverkehr, Netzwerkschnittstellen und Subnetze, denen die Netzwerksicherheitsgruppe zugeordnet ist.

Unter Überwachung können Sie Diagnoseeinstellungen aktivieren oder deaktivieren. Weitere Informationen finden Sie unter Ressourcenprotokollierung für eine Netzwerksicherheitsgruppe.

Unter Hilfe können Sie Effektive Sicherheitsregeln anzeigen. Weitere Informationen finden Sie unter Diagnostizieren von Problemen mit dem Filter für Netzwerkdatenverkehr eines virtuellen Computers.

Screenshot: Seite „Netzwerksicherheitsgruppe“ im Azure-Portal.

Weitere Informationen zu allgemeinen aufgelisteten Azure-Einstellungen finden Sie in den folgenden Artikeln:

Ändern einer Netzwerksicherheitsgruppe

Folgende Änderungen werden am häufigsten an einer Netzwerksicherheitsgruppe vorgenommen:

Zuordnen einer Netzwerksicherheitsgruppe zu einer Netzwerkschnittstelle bzw. Aufheben einer Zuordnung

Wie Sie eine Netzwerksicherheitsgruppe einer Netzwerkschnittstelle zuordnen bzw. davon trennen, erfahren Sie unter Zuordnen einer Netzwerksicherheitsgruppe zu einer Netzwerkschnittstelle bzw. Trennen davon.

Zuordnen einer Netzwerksicherheitsgruppe zu einem Subnetz bzw. Aufheben einer Zuordnung

  1. Geben Sie im Suchfeld oben im Portal Netzwerksicherheitsgruppe ein, und wählen Sie in den Suchergebnissen Netzwerksicherheitsgruppen aus.

  2. Wählen Sie den Namen Ihrer Netzwerksicherheitsgruppe und dann Subnetze aus.

Wenn Sie dem Subnetz eine Netzwerksicherheitsgruppe zuordnen möchten, wählen Sie + Zuordnen und dann Ihr virtuelles Netzwerk und das Subnetz aus, dem Sie die Netzwerksicherheitsgruppe zuordnen möchten. Klicken Sie auf OK.

Screenshot: Zuordnen einer Netzwerksicherheitsgruppe zu einem Subnetz im Azure-Portal.

Wenn Sie die Zuordnung einer Netzwerksicherheitsgruppe zum Subnetz aufheben möchten, wählen Sie die Schaltfläche mit den drei Punkten neben dem Subnetz, das Sie von der Netzwerksicherheitsgruppe trennen möchten, und dann Zuordnung aufheben aus. Wählen Sie Ja aus.

Screenshot: Aufheben der Zuordnung einer Netzwerksicherheitsgruppe zu einem Subnetz im Azure-Portal.

Löschen einer Netzwerksicherheitsgruppe

Wenn eine Netzwerksicherheitsgruppe Subnetzen bzw. Netzwerkschnittstellen zugeordnet ist, kann sie nicht gelöscht werden. Trennen Sie eine Netzwerksicherheitsgruppe von allen Subnetzen und Netzwerkschnittstellen, bevor Sie versuchen, sie zu löschen.

  1. Geben Sie im Suchfeld oben im Portal Netzwerksicherheitsgruppe ein, und wählen Sie in den Suchergebnissen Netzwerksicherheitsgruppen aus.

  2. Wählen Sie die Netzwerksicherheitsgruppe aus, die Sie löschen möchten.

  3. Klicke Sie auf Löschen und dann im Bestätigungsdialogfeld auf Ja.

    Screenshot: Löschen einer Netzwerksicherheitsgruppe im Azure-Portal.

Arbeiten mit Sicherheitsregeln

Eine Netzwerksicherheitsgruppe muss keine Sicherheitsregeln enthalten, kann aber Sicherheitsregeln enthalten. Für Sicherheitsregeln sind die Optionen Erstellen, Alle anzeigen, Details anzeigen, Ändern und Löschen verfügbar.

Erstellen einer Sicherheitsregel

Die Anzahl der Regeln pro Netzwerksicherheitsgruppe, die Sie für Azure-Standorte und -Abonnements erstellen können, ist begrenzt. Weitere Informationen finden Sie unter Grenzwerte für Azure-Abonnements und Dienste, Kontingente und Einschränkungen.

  1. Geben Sie im Suchfeld oben im Portal Netzwerksicherheitsgruppe ein, und wählen Sie in den Suchergebnissen Netzwerksicherheitsgruppen aus.

  2. Wählen Sie den Namen der Netzwerksicherheitsgruppe aus, der Sie eine Sicherheitsregel hinzufügen möchten.

  3. Wählen Sie Sicherheitsregeln für eingehenden Datenverkehr oder Sicherheitsregeln für ausgehenden Datenverkehr aus.

    Es sind mehrere bestehende Regeln aufgeführt, darunter auch einige, die Sie möglicherweise nicht hinzugefügt haben. Wenn Sie eine Netzwerksicherheitsgruppe erstellen, werden mehrere Standardsicherheitsregeln darin erstellt. Weitere Informationen finden Sie unter Standardsicherheitsregeln. Sie können Standardsicherheitsregeln nicht löschen, können jedoch mit Regeln mit höherer Priorität überschreiben.

  4. Wählen Sie + Hinzufügen aus. Wählen Sie Werte für die folgenden Einstellungen aus, oder fügen Sie sie hinzu, und wählen Sie dann Hinzufügen aus:

    Einstellung Wert Details
    Quelle Enthält einen der folgenden Werte:
    • Alle
    • IP-Adressen
    • My IP address (Meine IP-Adresse)
    • Diensttag
    • Anwendungssicherheitsgruppe

    Bei Wahl von IP-Adressen müssen Sie auch Quell-IP-Adressen/CIDR-Bereiche angeben.

    Bei Auswahl von Diensttag müssen Sie auch ein Quelldiensttag auswählen.

    Wenn Sie Anwendungssicherheitsgruppe wählen, müssen Sie auch eine vorhandene Anwendungssicherheitsgruppe wählen. Wenn Sie sowohl für Quelle als auch für Ziel die Option Anwendungssicherheitsgruppe wählen, müssen sich die Netzwerkschnittstellen beider Anwendungssicherheitsgruppen im selben virtuellen Netzwerk befinden. Informieren Sie sich über das Erstellen einer Anwendungssicherheitsgruppe.

    IP-Quelladressen/CIDR-Bereiche Eine durch Trennzeichen getrennte Liste von IP-Adressen und CIDR-Bereichen (Classless Interdomain Routing)

    Diese Einstellung wird angezeigt, wenn Sie Quelle auf IP-Adressen festlegen. Sie müssen einen einzelnen Wert oder eine durch Trennzeichen getrennte Liste mit mehreren Werten angeben. Ein Beispiel mehrerer Werte ist 10.0.0.0/16, 192.188.1.1. Es gibt Grenzen für die Anzahl der Werte, die Sie angeben können. Weitere Informationen finden Sie unter Azure-Grenzwerte.

    Wenn die von Ihnen angegebene IP-Adresse einer Azure-VM zugewiesen ist, geben Sie deren private IP-Adresse und nicht deren öffentliche IP-Adresse an. Azure verarbeitet Sicherheitsregeln, nachdem die öffentliche IP-Adresse von Azure in eine private IP-Adresse für Eingangssicherheitsregeln und bevor eine private IP-Adresse in eine öffentliche IP-Adresse für Ausgangsregeln übersetzt wurde. Weitere Informationen zu IP-Adressen in Azure finden Sie unter Öffentliche IP-Adressen und Private IP-Adressen.

    Quelldiensttag Ein Diensttag in der Dropdownliste Diese Einstellung wird angezeigt, wenn Sie Quelle für eine Sicherheitsregel auf Diensttag festlegen. Ein Diensttag ist ein vordefinierter Bezeichner für eine Kategorie von IP-Adressen. Weitere Informationen zu verfügbaren Diensttags und dazu, was die einzelnen Tag darstellen, finden Sie unter Diensttags.
    Quell-Anwendungssicherheitsgruppe Eine vorhandene Anwendungssicherheitsgruppe Diese Einstellung wird angezeigt, wenn Sie Quelle auf Anwendungssicherheitsgruppe festlegen. Wählen Sie eine Anwendungssicherheitsgruppe aus, die in derselben Region wie die Netzwerkschnittstelle vorhanden ist. Informieren Sie sich über das Erstellen einer Anwendungssicherheitsgruppe.
    Quellportbereiche Enthält einen der folgenden Werte:
    • Ein einzelner Port, z. B. 80
    • Ein Portbereich, z. B. 1024-65535
    • Eine durch Trennzeichen getrennte Liste mit einzelnen Ports und/oder Portbereichen wie z. B. 80, 1024-65535
    • Ein Sternchen (*), um Datenverkehr an jedem beliebigen Port zuzulassen
    Diese Einstellung gibt die Ports an, an denen die Regel Datenverkehr zulässt oder verweigert. Es gibt Grenzen für die Anzahl der Ports, die Sie angeben können. Weitere Informationen finden Sie unter Azure-Grenzwerte.
    Ziel Enthält einen der folgenden Werte:
    • Alle
    • IP-Adressen
    • Diensttag
    • Anwendungssicherheitsgruppe

    Bei Auswahl von IP-Adressen müssen Sie auch Ziel-IP-Adressen/CIDR-Bereiche angeben.

    Bei Auswahl von Diensttag müssen Sie auch ein Zieldiensttag auswählen.

    Bei Auswahl von Anwendungssicherheitsgruppe müssen Sie auch eine vorhandene Anwendungssicherheitsgruppe auswählen. Wenn Sie sowohl für Quelle als auch für Ziel die Option Anwendungssicherheitsgruppe wählen, müssen sich die Netzwerkschnittstellen beider Anwendungssicherheitsgruppen im selben virtuellen Netzwerk befinden. Informieren Sie sich über das Erstellen einer Anwendungssicherheitsgruppe.

    Ziel-IP-Adressen/CIDR-Bereiche Eine durch Trennzeichen getrennte Liste von IP-Adressen und CIDR-Bereichen

    Diese Einstellung wird angezeigt, wenn Sie Ziel in IP-Adressen ändern. Ähnlich wie bei Quelle und Quell-IP-Adressen/CIDR-Bereiche können Sie eine einzelne oder mehrere Adressen bzw. Bereiche angeben. Die Anzahl, die Sie angeben können, ist begrenzt. Weitere Informationen finden Sie unter Azure-Grenzwerte.

    Wenn die von Ihnen angegebene IP-Adresse einer Azure-VM zugewiesen ist, geben Sie unbedingt deren private IP-Adresse und nicht deren öffentliche IP-Adresse an. Azure verarbeitet Sicherheitsregeln, nachdem die öffentliche IP-Adresse von Azure in eine private IP-Adresse für Eingangssicherheitsregeln und bevor eine private IP-Adresse in eine öffentliche IP-Adresse für Ausgangsregeln übersetzt wurde. Weitere Informationen zu IP-Adressen in Azure finden Sie unter Öffentliche IP-Adressen und Private IP-Adressen.

    Zieldiensttag Ein Diensttag in der Dropdownliste Diese Einstellung wird angezeigt, wenn Sie Ziel für eine Sicherheitsregel auf Diensttag festlegen. Ein Diensttag ist ein vordefinierter Bezeichner für eine Kategorie von IP-Adressen. Weitere Informationen zu verfügbaren Diensttags und dazu, was die einzelnen Tag darstellen, finden Sie unter Diensttags.
    Ziel-Anwendungssicherheitsgruppe Eine vorhandene Anwendungssicherheitsgruppe Diese Einstellung wird angezeigt, wenn Sie Ziel auf Anwendungssicherheitsgruppe festlegen. Wählen Sie eine Anwendungssicherheitsgruppe aus, die in derselben Region wie die Netzwerkschnittstelle vorhanden ist. Informieren Sie sich über das Erstellen einer Anwendungssicherheitsgruppe.
    Service Ein Zielprotokoll aus der Dropdownliste Diese Einstellung gibt das Zielprotokoll und den Portbereich für die Sicherheitsregel an. Sie können einen vordefinierten Dienst wie RDP auswählen oder Benutzerdefiniert auswählen und den Portbereich unter Zielportbereiche angeben.
    Zielportbereiche Enthält einen der folgenden Werte:
    • Ein einzelner Port, z. B. 80
    • Ein Portbereich, z. B. 1024-65535
    • Eine durch Trennzeichen getrennte Liste mit einzelnen Ports und/oder Portbereichen wie z. B. 80, 1024-65535
    • Ein Sternchen (*), um Datenverkehr an jedem beliebigen Port zuzulassen
    Wie bei Quellportbereichen können Sie einzelne oder mehrere Ports und Bereiche angeben. Die Anzahl, die Sie angeben können, ist begrenzt. Weitere Informationen finden Sie unter Azure-Grenzwerte.
    Protokoll Alle, TCP, UDP oder ICMP Sie können die Regel auf Transmission Control Protocol (TCP), User Datagram Protocol (UDP) oder Internet Control Message Protocol (ICMP) beschränken. Standardmäßig gilt die Regel für alle Protokolle (Beliebig).
    Aktion Zulassen oder Verweigern Diese Einstellung gibt an, ob diese Regel den Zugriff für die bereitgestellte Quell- und Zielkonfiguration zulässt oder verweigert.
    Priority Ein Wert von 100 bis 4.096, der für alle Sicherheitsregeln innerhalb der Netzwerksicherheitsgruppe eindeutig ist Azure verarbeitet Sicherheitsregeln in der Reihenfolge ihrer Priorität. Je niedriger die Zahl, desto höher die Priorität. Sie sollten beim Erstellen von Regeln eine Lücke zwischen Prioritätswerten lassen, z. B. 100, 200 und 300. Wenn Sie Lücken lassen, ist es einfacher, in Zukunft Regeln so hinzuzufügen, dass Sie ihnen eine höhere oder niedrigere Priorität als bestehenden Regeln geben können.
    Name Ein eindeutiger Name für die Regel in der Netzwerksicherheitsgruppe Der Name kann bis zu 80 Zeichen umfassen. Der Name muss mit einem Buchstaben oder einer Zahl beginnen und mit einem Buchstaben, einer Zahl oder einem Unterstrich enden. Der Name darf nur Buchstaben, Ziffern, Unterstriche, Punkte und Bindestriche enthalten.
    Beschreibung Eine Textbeschreibung Sie können optional eine Textbeschreibung für die Sicherheitsregel angeben. Die Beschreibung darf nicht länger als 140 Zeichen sein.

    Screenshot: Hinzufügen einer Sicherheitsregel zu einer Netzwerksicherheitsgruppe im Azure-Portal.

Anzeigen aller Sicherheitsregeln

Eine Netzwerksicherheitsgruppe muss keine Regeln enthalten, kann aber Regeln enthalten. Weitere Informationen zu den Details, die beim Anzeigen von Regeln aufgeführt werden, finden Sie unter Sicherheitsregeln.

  1. Geben Sie im Suchfeld oben im Portal Netzwerksicherheitsgruppe ein, und wählen Sie in den Suchergebnissen Netzwerksicherheitsgruppen aus.

  2. Wählen Sie den Namen der Netzwerksicherheitsgruppe aus, deren Regeln Sie anzeigen möchten.

  3. Wählen Sie Sicherheitsregeln für eingehenden Datenverkehr oder Sicherheitsregeln für ausgehenden Datenverkehr aus.

    Die Liste enthält alle Regeln, die Sie erstellt haben, und die Standardsicherheitsregeln Ihrer Netzwerksicherheitsgruppe.

    Screenshot: Sicherheitsregeln für eingehenden Datenverkehr einer Netzwerksicherheitsgruppe im Azure-Portal.

Anzeigen von Details einer Sicherheitsregel

  1. Geben Sie im Suchfeld oben im Portal Netzwerksicherheitsgruppe ein, und wählen Sie in den Suchergebnissen Netzwerksicherheitsgruppen aus.

  2. Wählen Sie den Namen der Netzwerksicherheitsgruppe aus, deren Regeln Sie anzeigen möchten.

  3. Wählen Sie Sicherheitsregeln für eingehenden Datenverkehr oder Sicherheitsregeln für ausgehenden Datenverkehr aus.

  4. Wählen Sie die Regel aus, für die Sie Details anzeigen möchten. Eine Erläuterung aller Einstellungen finden Sie unter Sicherheitsregeleinstellungen.

    Hinweis

    Dieses Verfahren gilt nur für eine benutzerdefinierte Sicherheitsregel. Es funktioniert nicht, wenn Sie eine Standardsicherheitsregel wählen.

    Screenshot: Details einer Sicherheitsregel für eingehenden Datenverkehr einer Netzwerksicherheitsgruppe im Azure-Portal.

Ändern einer Sicherheitsregel

  1. Geben Sie im Suchfeld oben im Portal Netzwerksicherheitsgruppe ein, und wählen Sie in den Suchergebnissen Netzwerksicherheitsgruppen aus.

  2. Wählen Sie den Namen der Netzwerksicherheitsgruppe aus, deren Regeln Sie anzeigen möchten.

  3. Wählen Sie Sicherheitsregeln für eingehenden Datenverkehr oder Sicherheitsregeln für ausgehenden Datenverkehr aus.

  4. Wählen Sie die Regel aus, die Sie ändern möchten.

  5. Ändern Sie die Einstellungen nach Bedarf, und wählen Sie dann Speichern aus. Eine Erläuterung aller Einstellungen finden Sie unter Sicherheitsregeleinstellungen.

    Screenshot: Ändern der Details einer Sicherheitsregel für eingehenden Datenverkehr einer Netzwerksicherheitsgruppe im Azure-Portal.

    Hinweis

    Dieses Verfahren gilt nur für eine benutzerdefinierte Sicherheitsregel. Sie dürfen eine Standardsicherheitsregel nicht ändern.

Löschen einer Sicherheitsregel

  1. Geben Sie im Suchfeld oben im Portal Netzwerksicherheitsgruppe ein, und wählen Sie in den Suchergebnissen Netzwerksicherheitsgruppen aus.

  2. Wählen Sie den Namen der Netzwerksicherheitsgruppe aus, deren Regeln Sie anzeigen möchten.

  3. Wählen Sie Sicherheitsregeln für eingehenden Datenverkehr oder Sicherheitsregeln für ausgehenden Datenverkehr aus.

  4. Wählen Sie die Regeln aus, die Sie löschen möchten.

  5. Wählen Sie Löschen und dann Ja.

    Screenshot: Löschen einer Sicherheitsregel für eingehenden Datenverkehr einer Netzwerksicherheitsgruppe im Azure-Portal.

    Hinweis

    Dieses Verfahren gilt nur für eine benutzerdefinierte Sicherheitsregel. Sie dürfen eine Standardsicherheitsregel nicht löschen.

Arbeiten mit Anwendungssicherheitsgruppen

Eine Anwendungssicherheitsgruppe muss keine Netzwerkschnittstellen enthalten, kann aber Netzwerkschnittstellen enthalten. Weitere Informationen finden Sie unter Anwendungssicherheitsgruppen. Alle Netzwerkschnittstellen innerhalb einer Anwendungssicherheitsgruppe müssen sich im gleichen virtuellen Netzwerk befinden. Wie Sie eine Netzwerkschnittstelle einer Anwendungssicherheitsgruppe hinzufügen, erfahren Sie unter Erstellen, Ändern oder Löschen von Netzwerkschnittstellen.

Erstellen einer Anwendungssicherheitsgruppe

  1. Geben Sie im Suchfeld oben im Portal Anwendungssicherheitsgruppe ein. Wählen Sie in den Suchergebnissen Anwendungssicherheitsgruppen aus.

  2. Wählen Sie + Erstellen aus.

  3. Geben Sie auf der Seite Anwendungssicherheitsgruppe erstellen auf der Registerkarte Grundlagen die folgenden Werte ein, bzw. wählen Sie sie aus:

    Einstellung Aktion
    Projektdetails
    Subscription Wählen Sie Ihr Azure-Abonnement.
    Resource group Wählen Sie eine vorhandene Ressourcengruppe aus, oder erstellen Sie eine neue, indem Sie den Link Neu erstellen auswählen. In diesem Beispiel wird die Ressourcengruppe myResourceGroup verwendet.
    Instanzendetails
    Name Geben Sie einen Namen für die Anwendungssicherheitsgruppe ein, die Sie erstellen.
    Region Wählen Sie die Region aus, in der Sie die Anwendungssicherheitsgruppe erstellen möchten.

    Screenshot: Erstellen einer Anwendungssicherheitsgruppe im Azure-Portal.

  4. Klicken Sie auf Überprüfen + erstellen.

  5. Wenn die Meldung Überprüfung erfolgreich angezeigt wird, wählen Sie Erstellen aus.

Anzeigen aller Anwendungssicherheitsgruppen

Geben Sie im Suchfeld oben im Portal Anwendungssicherheitsgruppe ein. Wählen Sie in den Suchergebnissen Anwendungssicherheitsgruppen aus. Im Azure-Portal wird eine Liste Ihrer Anwendungssicherheitsgruppen angezeigt.

Screenshot: Vorhandene Anwendungssicherheitsgruppen im Azure-Portal.

Anzeigen von Details einer bestimmten Anwendungssicherheitsgruppe

  1. Geben Sie im Suchfeld oben im Portal Anwendungssicherheitsgruppe ein. Wählen Sie in den Suchergebnissen Anwendungssicherheitsgruppen aus.

  2. Wählen Sie die Anwendungssicherheitsgruppe aus, für die Sie die Details anzeigen möchten.

Ändern einer Anwendungssicherheitsgruppe

  1. Geben Sie im Suchfeld oben im Portal Anwendungssicherheitsgruppe ein. Wählen Sie in den Suchergebnissen Anwendungssicherheitsgruppen aus.

  2. Wählen Sie die Anwendungssicherheitsgruppe aus, die Sie ändern möchten.

Wählen Sie neben Ressourcengruppe oder Abonnement die Option Verschieben aus, um die Ressourcengruppe bzw. das Abonnement zu ändern.

Wählen Sie neben Tags die Option Bearbeiten aus, um Tags hinzuzufügen oder zu entfernen. Weitere Informationen finden Sie unter Verwenden von Tags zum Organisieren von Azure-Ressourcen und Verwaltungshierarchie.

Screenshot: Ändern einer Anwendungssicherheitsgruppe im Azure-Portal.

Hinweis

Sie können den Speicherort einer Anwendungssicherheitsgruppe nicht ändern.

Wählen Sie Zugriffssteuerung (IAM) aus, um der Anwendungssicherheitsgruppe Berechtigungen zuzuweisen oder Berechtigungen zu entfernen.

Löschen einer Anwendungssicherheitsgruppe

Sie können eine Anwendungssicherheitsgruppe nicht löschen, wenn sie Netzwerkschnittstellen enthält. Um alle Netzwerkschnittstellen aus der Anwendungssicherheitsgruppe zu entfernen, ändern Sie entweder die Einstellungen der Netzwerkschnittstelle, oder löschen Sie die Netzwerkschnittstellen. Weitere Informationen finden Sie unter Hinzufügen einer Netzwerkschnittstelle zu einer Anwendungssicherheitsgruppe bzw. deren Entfernen daraus oder Löschen einer Netzwerkschnittstelle.

  1. Geben Sie im Suchfeld oben im Portal Anwendungssicherheitsgruppe ein. Wählen Sie in den Suchergebnissen Anwendungssicherheitsgruppen aus.

  2. Wählen Sie die Anwendungssicherheitsgruppe aus, die Sie löschen möchten.

  3. Wählen Sie Löschen und dann Ja, um die Anwendungssicherheitsgruppe zu löschen.

    Screenshot: Löschen einer Anwendungssicherheitsgruppe im Azure-Portal.

Berechtigungen

Zum Durchführen von Aufgaben für Netzwerksicherheitsgruppen, Sicherheitsregeln und Anwendungssicherheitsgruppen muss Ihr Konto der Rolle Netzwerkmitwirkender oder einer benutzerdefinierten Rolle zugewiesen sein, der die entsprechenden in den folgenden Tabellen aufgeführten Berechtigungen zugewiesen sind:

Netzwerksicherheitsgruppe

Aktion Name
Microsoft.Network/networkSecurityGroups/read Netzwerksicherheitsgruppe abrufen
Microsoft.Network/networkSecurityGroups/write Netzwerksicherheitsgruppe erstellen oder aktualisieren
Microsoft.Network/networkSecurityGroups/delete Netzwerksicherheitsgruppe löschen
Microsoft.Network/networkSecurityGroups/join/action Netzwerksicherheitsgruppe einem Subnetz oder einer Netzwerkschnittstelle zuordnen

Hinweis

Um write-Vorgänge für eine Netzwerksicherheitsgruppe auszuführen, muss das Abonnementkonto mindestens über read-Berechtigungen für die Ressourcengruppe sowie über die Berechtigung Microsoft.Network/networkSecurityGroups/write verfügen.

Netzwerksicherheitsgruppen-Regel

Aktion Name
Microsoft.Network/networkSecurityGroups/securityRules/read Regel abrufen
Microsoft.Network/networkSecurityGroups/securityRules/write Regel erstellen oder aktualisieren
Microsoft.Network/networkSecurityGroups/securityRules/delete Regel löschen

Anwendungssicherheitsgruppe

Aktion Name
Microsoft.Network/applicationSecurityGroups/joinIpConfiguration/action IP-Konfiguration mit einer Anwendungssicherheitsgruppe verknüpfen
Microsoft.Network/applicationSecurityGroups/joinNetworkSecurityRule/action Sicherheitsregel mit einer Anwendungssicherheitsgruppe verknüpfen
Microsoft.Network/applicationSecurityGroups/read Anwendungssicherheitsgruppe abrufen
Microsoft.Network/applicationSecurityGroups/write Anwendungssicherheitsgruppe erstellen oder aktualisieren
Microsoft.Network/applicationSecurityGroups/delete Löschen einer Anwendungssicherheitsgruppe

Nächste Schritte