Erstellen, Ändern oder Löschen einer Netzwerksicherheitsgruppe

Indem Sie Sicherheitsregeln in Netzwerksicherheitsgruppen (NSGs) anwenden, können Sie den Typ des ein- und ausgehenden Netzwerkdatenverkehrs von Subnetzen virtueller Netzwerke und Netzwerkschnittstellen filtern. Weitere Informationen zu NSGs finden Sie in der Übersicht über Netzwerksicherheitsgruppen. Absolvieren Sie als Nächstes das Tutorial Filtern von Netzwerkdatenverkehr, um sich mit Netzwerksicherheitsgruppen vertraut zu machen.

Voraussetzungen

Falls Sie über kein Azure-Konto mit einem aktiven Abonnement verfügen, können Sie ein kostenloses Konto erstellen. Führen Sie eine dieser Aufgaben aus, bevor Sie mit dem Rest dieses Artikels beginnen:

• Portalbenutzer: Melden Sie sich mit Ihrem Azure-Konto beim Azure-Portal an.

• PowerShell-Benutzer: Führen Sie die Befehle entweder in Azure Cloud Shell oder lokal auf Ihrem Computer in PowerShell aus. Cloud Shell ist eine kostenlose interaktive Shell, mit der Sie die Schritte in diesem Artikel ausführen können. Sie verfügt über allgemeine vorinstallierte Azure-Tools und ist für die Verwendung mit Ihrem Konto konfiguriert. Wählen Sie auf der Browserregisterkarte „Cloud Shell“ die Dropdownliste Umgebung auswählen aus. Wählen Sie dann PowerShell aus, wenn es noch nicht ausgewählt ist.

  Wenn Sie PowerShell lokal ausführen, verwenden Sie die Azure PowerShell-Modulversion 1.0.0 oder höher. Führen Sie Get-Module -ListAvailable Az.Network aus, um die installierte Version zu ermitteln. Wenn Sie eine Installation oder ein Upgrade ausführen müssen, finden Sie unter Install and configure Azure PowerShell (Installieren des Azure PowerShell-Moduls) Informationen dazu. Führen Sie Connect-AzAccount aus, um sich bei Azure anzumelden.

• Benutzer der Azure-Befehlszeilenschnittstelle: Führen Sie die Befehle entweder in Cloud Shell lokal auf Ihrem Computer in der Azure-Befehlszeilenschnittstelle aus. Cloud Shell ist eine kostenlose interaktive Shell, mit der Sie die Schritte in diesem Artikel ausführen können. Sie verfügt über allgemeine vorinstallierte Azure-Tools und ist für die Verwendung mit Ihrem Konto konfiguriert. Wählen Sie auf der Browserregisterkarte „Cloud Shell“ die Dropdownliste Umgebung auswählen aus. Wählen Sie dann Bash aus, wenn sie noch nicht ausgewählt ist.

  Verwenden Sie bei lokaler Ausführung der Azure-Befehlszeilenschnittstelle die Version 2.0.28 oder höher. Führen Sie az --version aus, um die installierte Version zu ermitteln. Installations- und Upgradeinformationen finden Sie bei Bedarf unter Installieren von Azure CLI. Führen Sie az login aus, um sich bei Azure anzumelden.

Weisen Sie die Rolle Netzwerkmitwirkender oder eine benutzerdefinierte Rolle mit den entsprechenden Berechtigungen zu.

Arbeiten mit Netzwerksicherheitsgruppen

Sie können NSGs erstellen, alle anzeigen, Details anzeigen, sie ändern und löschen. Sie können auch die Verknüpfung einer NSG mit einer Netzwerkschnittstelle oder einem Subnetz einrichten oder trennen.

Erstellen einer Netzwerksicherheitsgruppe

Die Anzahl der NSGs, die Sie für jede Azure-Region und jedes Abonnement erstellen können, ist begrenzt. Weitere Informationen finden Sie unter Grenzwerte für Azure-Abonnements und Dienste, Kontingente und Einschränkungen.

Portal

1. Geben Sie im Suchfeld oben im Portal Netzwerksicherheitsgruppen ein. Wählen Sie in den Suchergebnissen Netzwerksicherheitsgruppen aus.

2. Wählen Sie + Erstellen aus.

3. Geben Sie auf der Seite Netzwerksicherheitsgruppe erstellen auf der Registerkarte Grundlagen die folgenden Werte ein, bzw. wählen Sie sie aus:

   Einstellung	Aktion
   Projektdetails
   Subscription	Wählen Sie Ihr Azure-Abonnement.
   Resource group	Wählen Sie eine vorhandene Ressourcengruppe aus, oder erstellen Sie eine neue, indem Sie den Link Neu erstellen auswählen. In diesem Beispiel wird die Ressourcengruppe myResourceGroup verwendet.
   Instanzendetails
   Name der Netzwerksicherheitsgruppe	Geben Sie einen Namen für die NSG ein, die Sie erstellen.
   Region	Wählen Sie die gewünschte Region aus.

   

4. Klicken Sie auf Überprüfen + erstellen.

5. Wenn die Meldung Überprüfung erfolgreich angezeigt wird, wählen Sie Erstellen aus.

PowerShell

Erstellen Sie mit New-AzNetworkSecurityGroup eine NSG namens myNSG in der Region USA, Osten. Die NSG myNSG wird in der vorhandenen Ressourcengruppe myResourceGroup erstellt.

New-AzNetworkSecurityGroup -Name myNSG -ResourceGroupName myResourceGroup  -Location  eastus

Azure CLI

Erstellen Sie mit az network nsg create eine NSG namens myNSG in der vorhandenen Ressourcengruppe myResourceGroup.

az network nsg create --resource-group MyResourceGroup --name myNSG

Anzeigen aller Netzwerksicherheitsgruppen

Portal

Geben Sie im Suchfeld oben im Portal Netzwerksicherheitsgruppen ein. Wählen Sie in den Suchergebnissen Netzwerksicherheitsgruppen aus, um die Liste der NSGs in Ihrem Abonnement anzuzeigen.

PowerShell

Verwenden Sie Get-AzNetworkSecurityGroup, um alle NSGs in Ihrem Abonnement aufzulisten.

Get-AzNetworkSecurityGroup | format-table Name, Location, ResourceGroupName, ProvisioningState, ResourceGuid

Azure CLI

Verwenden Sie az network nsg list, um alle NSGs in Ihrem Abonnement aufzulisten.

az network nsg list --out table

Anzeigen von Details einer Netzwerksicherheitsgruppe

Portal

1. Geben Sie im Suchfeld oben im Portal Netzwerksicherheitsgruppe ein, und wählen Sie in den Suchergebnissen Netzwerksicherheitsgruppen aus.

2. Wählen Sie den Namen Ihrer NSG aus.

   • Unter Einstellungen werden die Sicherheitsregeln für eingehenden Datenverkehr, Sicherheitsregeln für ausgehenden Datenverkehr, Netzwerkschnittstellen und Subnetze angezeigt, denen die NSG zugeordnet ist.
   • Unter Überwachung können Sie Diagnoseeinstellungen aktivieren oder deaktivieren. Weitere Informationen finden Sie unter Ressourcenprotokollierung für eine Netzwerksicherheitsgruppe.
   • Unter Hilfe können Sie Effektive Sicherheitsregeln anzeigen. Weitere Informationen finden Sie unter Diagnostizieren von Problemen mit dem Filter für Netzwerkdatenverkehr eines virtuellen Computers (VM).

   

Weitere Informationen zu den aufgeführten allgemeinen Azure-Einstellungen finden Sie in den folgenden Artikeln:

• Aktivitätsprotokoll
• Zugriffssteuerung mit Identity & Access Management (IAM)
• Tags
• Locks
• Automatisierungsskript

PowerShell

Mit Get-AzNetworkSecurityGroup zeigen Sie Details einer NSG an.

Get-AzNetworkSecurityGroup -Name myNSG -ResourceGroupName myResourceGroup

Weitere Informationen zu den aufgeführten allgemeinen Azure-Einstellungen finden Sie in den folgenden Artikeln:

• Aktivitätsprotokoll
• Zugriffssteuerung (IAM)
• Tags
• Locks

Azure CLI

Mit az network nsg, zeigen Sie Details einer NSG an.

az network nsg show --resource-group myResourceGroup --name myNSG

Weitere Informationen zu den aufgeführten allgemeinen Azure-Einstellungen finden Sie in den folgenden Artikeln:

• Aktivitätsprotokoll
• Zugriffssteuerung (IAM)
• Tags
• Locks

Ändern einer Netzwerksicherheitsgruppe

Die häufigsten Änderungen an einer NSG sind:

• Zuordnen einer Netzwerksicherheitsgruppe zu einer Netzwerkschnittstelle bzw. Aufheben einer Zuordnung
• Zuordnen einer Netzwerksicherheitsgruppe zu einem Subnetz bzw. Aufheben einer Zuordnung
• Erstellen einer Sicherheitsregel
• Löschen einer Sicherheitsregel

Zuordnen einer Netzwerksicherheitsgruppe zu einer Netzwerkschnittstelle bzw. Aufheben einer Zuordnung

Weitere Informationen zum Erstellen und Aufheben der Zuordnung einer Netzwerksicherheitsgruppe finden Sie unter Zuordnen oder Aufheben der Zuordnung einer Netzwerksicherheitsgruppe.

Zuordnen einer Netzwerksicherheitsgruppe zu einem Subnetz bzw. Aufheben einer Zuordnung

Portal

1. Geben Sie im Suchfeld oben im Portal Netzwerksicherheitsgruppen ein. Wählen Sie anschließend in den Suchergebnissen Netzwerksicherheitsgruppen aus.

2. Wählen Sie den Namen Ihrer NSG und dann Subnetze aus.

   • Wenn Sie dem Subnetz eine NSG zuordnen möchten, wählen Sie + Zuordnen aus. Wählen Sie anschließend Ihr virtuelles Netzwerk und das Subnetz aus, dem Sie die NSG zuordnen möchten. Wählen Sie OK aus.

     

   • Wenn Sie die Zuordnung einer NSG zu einem Subnetz trennen möchten, wählen Sie die drei Punkte neben dem Subnetz aus, von dem Sie die NSG trennen möchten, und wählen Sie dann Trennen aus. Wählen Sie Ja aus.

     

PowerShell

Verwenden Sie Set-AzVirtualNetworkSubnetConfig, um die Zuordnung einer NSG zu einem Subnetz zu erstellen oder zu trennen.

## Place the virtual network configuration into a variable. ##
$virtualNetwork = Get-AzVirtualNetwork -Name myVNet -ResourceGroupName myResourceGroup
## Place the network security group configuration into a variable. ##
$networkSecurityGroup = Get-AzNetworkSecurityGroup -Name myNSG -ResourceGroupName myResourceGroup
## Update the subnet configuration. ##
Set-AzVirtualNetworkSubnetConfig -Name mySubnet -VirtualNetwork $virtualNetwork -AddressPrefix 10.0.0.0/24 -NetworkSecurityGroup $networkSecurityGroup
## Update the virtual network. ##
Set-AzVirtualNetwork -VirtualNetwork $virtualNetwork

Azure-Befehlszeilenschnittstelle

Verwenden Sie az network vnet subnet update, um die Zuordnung einer NSG zu einem Subnetz zu erstellen oder zu trennen.

az network vnet subnet update --resource-group myResourceGroup --vnet-name myVNet --name mySubnet --network-security-group myNSG

Löschen einer Netzwerksicherheitsgruppe

Wenn eine NSG einem Subnetzen oder einer Netzwerkschnittstelle zugeordnet ist, kann sie nicht gelöscht werden. Trennen Sie eine NSG zunächst von allen Subnetzen und Netzwerkschnittstellen, bevor Sie sie löschen.

Portal

1. Geben Sie im Suchfeld oben im Portal Netzwerksicherheitsgruppen ein. Wählen Sie anschließend in den Suchergebnissen Netzwerksicherheitsgruppen aus.

2. Wählen Sie die NSG aus, die Sie löschen möchten.

3. Wählen Sie Löschen aus, und dann Ja im Bestätigungsdialogfeld.

   

PowerShell

Verwenden Sie Remove-AzNetworkSecurityGroup, um eine NSG zu löschen.

Remove-AzNetworkSecurityGroup -Name myNSG -ResourceGroupName myResourceGroup

Azure-Befehlszeilenschnittstelle

Verwenden Sie az network nsg delete, um eine NSG zu löschen.

az network nsg delete --resource-group myResourceGroup --name myNSG

Arbeiten mit Sicherheitsregeln

Eine NSG enthält null oder mehr Sicherheitsregeln. Für Sicherheitsregeln sind die Optionen Erstellen, Alle anzeigen, Details anzeigen, Ändern und Löschen verfügbar.

Erstellen einer Sicherheitsregel

Die Anzahl der Regeln pro NSG, die Sie für jeden Azure-Standort und jedes Abonnement erstellen können, ist begrenzt. Weitere Informationen finden Sie unter Grenzwerte für Azure-Abonnements und Dienste, Kontingente und Einschränkungen.

Portal

1. Geben Sie im Suchfeld oben im Portal Netzwerksicherheitsgruppen ein. Wählen Sie anschließend in den Suchergebnissen Netzwerksicherheitsgruppen aus.

2. Wählen Sie den Namen der NSG aus, der Sie eine Sicherheitsregel hinzufügen möchten.

3. Wählen Sie Sicherheitsregeln für eingehenden Datenverkehr oder Sicherheitsregeln für ausgehenden Datenverkehr aus.

   Es werden mehrere bestehende Regeln aufgeführt, darunter auch einige, die Sie möglicherweise nicht hinzugefügt haben. Wenn Sie eine NSG erstellen, werden darin mehrere Standardsicherheitsregeln erstellt. Weitere Informationen finden Sie unter Standardsicherheitsregeln. Sie können Standardsicherheitsregeln nicht löschen, können jedoch mit Regeln mit höherer Priorität überschreiben.

4. Wählen Sie + Hinzufügen aus. Wählen Sie Werte für die folgenden Einstellungen und dann Hinzufügen aus.

   Einstellung	Wert	Details
   Quelle	Enthält einen der folgenden Werte: Alle IP-Adressen My IP address (Meine IP-Adresse) Diensttag Anwendungssicherheitsgruppe	Bei Auswahl von IP-Adressen müssen Sie außerdem Quell-IP-Adressen/CIDR-Bereiche angeben. Wenn Sie Diensttag auswählen, müssen Sie auch ein Quelldiensttag auswählen. Wenn Sie Anwendungssicherheitsgruppe auswählen, müssen Sie auch eine vorhandene Anwendungssicherheitsgruppe auswählen. Wenn Sie sowohl für Quelle als auch für Ziel die Option Anwendungssicherheitsgruppe auswählen, müssen sich die Netzwerkschnittstellen beider Anwendungssicherheitsgruppen im selben virtuellen Netzwerk befinden. Informieren Sie sich über das Erstellen einer Anwendungssicherheitsgruppe.
   IP-Quelladressen/CIDR-Bereiche	Eine durch Trennzeichen getrennte Liste von IP-Adressen und CIDR-Bereichen (Classless Interdomain Routing)	Diese Einstellung wird angezeigt, wenn Sie Quelle auf IP-Adressen festlegen. Sie müssen einen einzelnen Wert oder eine durch Trennzeichen getrennte Liste mit mehreren Werten angeben. Ein Beispiel mehrerer Werte ist 10.0.0.0/16, 192.188.1.1. Die Anzahl der Werte, die Sie angeben können, ist begrenzt. Weitere Informationen finden Sie unter Azure-Grenzwerte. Wenn die von Ihnen angegebene IP-Adresse einer Azure-VM zugewiesen ist, geben Sie deren private IP-Adresse und nicht deren öffentliche IP-Adresse an. Azure verarbeitet Sicherheitsregeln, nachdem die öffentliche IP-Adresse von Azure in eine private IP-Adresse für Eingangssicherheitsregeln und bevor eine private IP-Adresse in eine öffentliche IP-Adresse für Ausgangsregeln übersetzt wurde. Weitere Informationen zu IP-Adressen in Azure finden Sie unter Öffentliche IP-Adressen und Private IP-Adressen.
   Quelldiensttag	Ein Diensttag in der Dropdownliste	Diese Einstellung wird angezeigt, wenn Sie Quelle für eine Sicherheitsregel auf Diensttag festlegen. Ein Diensttag ist ein vordefinierter Bezeichner für eine Kategorie von IP-Adressen. Weitere Informationen zu verfügbaren Diensttags und dazu, was die einzelnen Tag darstellen, finden Sie unter Diensttags.
   Quell-Anwendungssicherheitsgruppe	Eine vorhandene Anwendungssicherheitsgruppe	Diese Einstellung wird angezeigt, wenn Sie Quelle auf Anwendungssicherheitsgruppe festlegen. Wählen Sie eine Anwendungssicherheitsgruppe aus, die in derselben Region wie die Netzwerkschnittstelle vorhanden ist. Informieren Sie sich über das Erstellen einer Anwendungssicherheitsgruppe.
   Quellportbereiche	Enthält einen der folgenden Werte: Ein einzelner Port, z. B. 80 Ein Portbereich, z. B. 1024-65535 Eine durch Trennzeichen getrennte Liste mit einzelnen Ports und/oder Portbereichen wie z. B. 80, 1024-65535 Ein Sternchen (*), um Datenverkehr an jedem beliebigen Port zuzulassen	Diese Einstellung gibt die Ports an, an denen die Regel Datenverkehr zulässt oder verweigert. Die Anzahl der Ports, die Sie angeben können, ist begrenzt. Weitere Informationen finden Sie unter Azure-Grenzwerte.
   Ziel	Enthält einen der folgenden Werte: Alle IP-Adressen Diensttag Anwendungssicherheitsgruppe	Bei Auswahl von IP-Adressen müssen Sie auch Ziel-IP-Adressen/CIDR-Bereiche angeben. Wenn Sie Diensttag auswählen, müssen Sie auch ein Zieldiensttag auswählen. Wenn Sie Anwendungssicherheitsgruppe auswählen, müssen Sie auch eine vorhandene Anwendungssicherheitsgruppe auswählen. Wenn Sie sowohl für Quelle als auch für Ziel die Option Anwendungssicherheitsgruppe auswählen, müssen sich die Netzwerkschnittstellen beider Anwendungssicherheitsgruppen im selben virtuellen Netzwerk befinden. Informieren Sie sich über das Erstellen einer Anwendungssicherheitsgruppe.
   Ziel-IP-Adressen/CIDR-Bereiche	Eine durch Trennzeichen getrennte Liste von IP-Adressen und CIDR-Bereichen	Diese Einstellung wird angezeigt, wenn Sie Ziel in IP-Adressen ändern. Ähnlich wie bei Quelle und Quell-IP-Adressen/CIDR-Bereiche können Sie eine einzelne oder mehrere Adressen bzw. Bereiche angeben. Die Anzahl, die Sie angeben können, ist begrenzt. Weitere Informationen finden Sie unter Azure-Grenzwerte. Wenn die von Ihnen angegebene IP-Adresse einer Azure-VM zugewiesen ist, geben Sie unbedingt deren private IP-Adresse und nicht deren öffentliche IP-Adresse an. Azure verarbeitet Sicherheitsregeln, nachdem die öffentliche IP-Adresse von Azure in eine private IP-Adresse für Eingangssicherheitsregeln und bevor eine private IP-Adresse in eine öffentliche IP-Adresse für Ausgangsregeln übersetzt wurde. Weitere Informationen zu IP-Adressen in Azure finden Sie unter Öffentliche IP-Adressen und Private IP-Adressen.
   Zieldiensttag	Ein Diensttag in der Dropdownliste	Diese Einstellung wird angezeigt, wenn Sie Ziel für eine Sicherheitsregel auf Diensttag festlegen. Ein Diensttag ist ein vordefinierter Bezeichner für eine Kategorie von IP-Adressen. Weitere Informationen zu verfügbaren Diensttags und dazu, was die einzelnen Tag darstellen, finden Sie unter Diensttags.
   Ziel-Anwendungssicherheitsgruppe	Eine vorhandene Anwendungssicherheitsgruppe	Diese Einstellung wird angezeigt, wenn Sie Ziel auf Anwendungssicherheitsgruppe festlegen. Wählen Sie eine Anwendungssicherheitsgruppe aus, die in derselben Region wie die Netzwerkschnittstelle vorhanden ist. Informieren Sie sich über das Erstellen einer Anwendungssicherheitsgruppe.
   Service	Ein Zielprotokoll aus der Dropdownliste	Diese Einstellung gibt das Zielprotokoll und den Portbereich für die Sicherheitsregel an. Sie können einen vordefinierten Dienst wie RDP auswählen oder Benutzerdefiniert auswählen und den Portbereich unter Zielportbereiche angeben.
   Zielportbereiche	Enthält einen der folgenden Werte: Ein einzelner Port, z. B. 80 Ein Portbereich, z. B. 1024-65535 Eine durch Trennzeichen getrennte Liste mit einzelnen Ports und/oder Portbereichen wie z. B. 80, 1024-65535 Ein Sternchen (*), um Datenverkehr an jedem beliebigen Port zuzulassen	Wie bei Quellportbereichen können Sie einzelne oder mehrere Ports und Bereiche angeben. Die Anzahl, die Sie angeben können, ist begrenzt. Weitere Informationen finden Sie unter Azure-Grenzwerte.
   Protokoll	Alle, TCP, UDP oder ICMP	Sie können die Regel auf TCP (Transmission Control Protocol), UDP (User Datagram Protocol) oder ICMP (Internet Control Message Protocol) beschränken. Standardmäßig gilt die Regel für alle Protokolle (Beliebig).
   Aktion	Zulassen oder Verweigern	Diese Einstellung gibt an, ob diese Regel den Zugriff für die bereitgestellte Quell- und Zielkonfiguration zulässt oder verweigert.
   Priorität	Ein Wert zwischen 100 und 4.096, der für alle Sicherheitsregeln innerhalb der NSG eindeutig ist	Azure verarbeitet Sicherheitsregeln in der Reihenfolge ihrer Priorität. Je niedriger die Zahl, desto höher die Priorität. Sie sollten beim Erstellen von Regeln eine Lücke zwischen Prioritätswerten lassen, z. B. 100, 200 und 300. Wenn Sie Lücken lassen, ist es einfacher, in Zukunft Regeln so hinzuzufügen, dass Sie ihnen eine höhere oder niedrigere Priorität als bestehenden Regeln geben können.
   Name	Ein eindeutiger Name für die Regel innerhalb der NSG	Der Name kann bis zu 80 Zeichen umfassen. Der Name muss mit einem Buchstaben oder einer Zahl beginnen und mit einem Buchstaben, einer Zahl oder einem Unterstrich enden. Der Name darf nur Buchstaben, Ziffern, Unterstriche, Punkte und Bindestriche enthalten.
   Beschreibung	Eine Textbeschreibung	Sie können optional eine Textbeschreibung für die Sicherheitsregel angeben. Die Beschreibung darf nicht länger als 140 Zeichen sein.

   

PowerShell

Verwenden Sie Add-AzNetworkSecurityRuleConfig, um eine NSG-Regel zu erstellen.

## Place the network security group configuration into a variable. ##
$networkSecurityGroup = Get-AzNetworkSecurityGroup -Name myNSG -ResourceGroupName myResourceGroup
## Create the security rule. ##
Add-AzNetworkSecurityRuleConfig -Name RDP-rule -NetworkSecurityGroup $networkSecurityGroup `
-Description "Allow RDP" -Access Allow -Protocol Tcp -Direction Inbound -Priority 300 `
-SourceAddressPrefix * -SourcePortRange * -DestinationAddressPrefix * -DestinationPortRange 3389
## Updates the network security group. ##
Set-AzNetworkSecurityGroup -NetworkSecurityGroup $networkSecurityGroup

Azure-Befehlszeilenschnittstelle

Verwenden Sie az network nsg rule create, um eine NSG-Regel zu erstellen.

az network nsg rule create --resource-group myResourceGroup --nsg-name myNSG --name RDP-rule --priority 300 \
    --destination-address-prefixes '*' --destination-port-ranges 3389 --protocol Tcp --description "Allow RDP"

Anzeigen aller Sicherheitsregeln

Eine NSG enthält null oder mehr Regeln. Weitere Informationen zur Liste der Informationen beim Anzeigen von Regeln finden Sie unter Sicherheitsregeln.

Portal

1. Geben Sie im Suchfeld oben im Portal Netzwerksicherheitsgruppen ein. Wählen Sie anschließend in den Suchergebnissen Netzwerksicherheitsgruppen aus.

2. Wählen Sie den Namen der NSG aus, deren Regeln Sie anzeigen möchten.

3. Wählen Sie Sicherheitsregeln für eingehenden Datenverkehr oder Sicherheitsregeln für ausgehenden Datenverkehr aus.

   Die Liste enthält alle Regeln, die Sie erstellt haben, sowie die Standardsicherheitsregeln Ihrer NSG.

   

PowerShell

Verwenden Sie Get-AzNetworkSecurityRuleConfig, um die Sicherheitsregeln einer NSG anzuzeigen.

## Place the network security group configuration into a variable. ##
$networkSecurityGroup = Get-AzNetworkSecurityGroup -Name myNSG -ResourceGroupName myResourceGroup
## List security rules of the network security group in a table. ##
Get-AzNetworkSecurityRuleConfig -NetworkSecurityGroup $networkSecurityGroup | format-table Name, Protocol, Access, Priority, Direction, SourcePortRange, DestinationPortRange, SourceAddressPrefix, DestinationAddressPrefix

Azure-Befehlszeilenschnittstelle

Verwenden Sie az network nsg rule list, um die Sicherheitsregeln einer NSG anzuzeigen.

az network nsg rule list --resource-group myResourceGroup --nsg-name myNSG

Anzeigen von Details einer Sicherheitsregel

Portal

1. Geben Sie im Suchfeld oben im Portal Netzwerksicherheitsgruppen ein. Wählen Sie anschließend in den Suchergebnissen Netzwerksicherheitsgruppen aus.

2. Wählen Sie den Namen der NSG aus, deren Regeln Sie anzeigen möchten.

3. Wählen Sie Sicherheitsregeln für eingehenden Datenverkehr oder Sicherheitsregeln für ausgehenden Datenverkehr aus.

4. Wählen Sie die Regel aus, deren Details Sie anzeigen möchten. Eine Erläuterung aller Einstellungen finden Sie unter Sicherheitsregeleinstellungen.

   Hinweis

   Diese Vorgehensweise gilt nur für benutzerdefinierte Sicherheitsregeln. Es funktioniert nicht, wenn Sie eine Standardsicherheitsregel wählen.

   

PowerShell

Verwenden Sie Get-AzNetworkSecurityRuleConfig, um die Details einer Sicherheitsregel anzuzeigen.

## Place the network security group configuration into a variable. ##
$networkSecurityGroup = Get-AzNetworkSecurityGroup -Name myNSG -ResourceGroupName myResourceGroup
## View details of the security rule. ##
Get-AzNetworkSecurityRuleConfig -Name RDP-rule -NetworkSecurityGroup $networkSecurityGroup

Hinweis

Diese Vorgehensweise gilt nur für benutzerdefinierte Sicherheitsregeln. Es funktioniert nicht, wenn Sie eine Standardsicherheitsregel wählen.

Azure-Befehlszeilenschnittstelle

Verwenden Sie az network nsg rule show, um die Details einer Sicherheitsregel anzuzeigen.

az network nsg rule show --resource-group myResourceGroup --nsg-name myNSG --name RDP-rule

Hinweis

Diese Vorgehensweise gilt nur für benutzerdefinierte Sicherheitsregeln. Es funktioniert nicht, wenn Sie eine Standardsicherheitsregel wählen.

Ändern einer Sicherheitsregel

Portal

1. Geben Sie im Suchfeld oben im Portal Netzwerksicherheitsgruppen ein. Wählen Sie anschließend in den Suchergebnissen Netzwerksicherheitsgruppen aus.

2. Wählen Sie den Namen der NSG aus, deren Regeln Sie anzeigen möchten.

3. Wählen Sie Sicherheitsregeln für eingehenden Datenverkehr oder Sicherheitsregeln für ausgehenden Datenverkehr aus.

4. Wählen Sie die Regel aus, die Sie ändern möchten.

5. Ändern Sie die Einstellungen nach Bedarf, und wählen Sie dann Speichern aus. Eine Erläuterung aller Einstellungen finden Sie unter Sicherheitsregeleinstellungen.

   

   Hinweis

   Diese Vorgehensweise gilt nur für benutzerdefinierte Sicherheitsregeln. Sie dürfen eine Standardsicherheitsregel nicht ändern.

PowerShell

Verwenden Sie Set-AzNetworkSecurityRuleConfig, um eine NSG-Regel zu aktualisieren.

## Place the network security group configuration into a variable. ##
$networkSecurityGroup = Get-AzNetworkSecurityGroup -Name myNSG -ResourceGroupName myResourceGroup
## Make changes to the security rule. ##
Set-AzNetworkSecurityRuleConfig -Name RDP-rule -NetworkSecurityGroup $networkSecurityGroup `
-Description "Allow RDP" -Access Allow -Protocol Tcp -Direction Inbound -Priority 200 `
-SourceAddressPrefix * -SourcePortRange * -DestinationAddressPrefix * -DestinationPortRange 3389
## Updates the network security group. ##
Set-AzNetworkSecurityGroup -NetworkSecurityGroup $networkSecurityGroup

Hinweis

Diese Vorgehensweise gilt nur für benutzerdefinierte Sicherheitsregeln. Sie dürfen eine Standardsicherheitsregel nicht ändern.

Azure-Befehlszeilenschnittstelle

Verwenden Sie az network nsg rule update, um eine NSG-Regel zu aktualisieren.

az network nsg rule update --resource-group myResourceGroup --nsg-name myNSG --name RDP-rule --priority 200

Hinweis

Diese Vorgehensweise gilt nur für benutzerdefinierte Sicherheitsregeln. Sie dürfen eine Standardsicherheitsregel nicht ändern.

Löschen einer Sicherheitsregel

Portal

1. Geben Sie im Suchfeld oben im Portal Netzwerksicherheitsgruppen ein. Wählen Sie anschließend in den Suchergebnissen Netzwerksicherheitsgruppen aus.

2. Wählen Sie den Namen der NSG aus, deren Regeln Sie anzeigen möchten.

3. Wählen Sie Sicherheitsregeln für eingehenden Datenverkehr oder Sicherheitsregeln für ausgehenden Datenverkehr aus.

4. Wählen Sie die Regeln aus, die Sie löschen möchten.

5. Wählen Sie Löschen und dann Ja.

   

   Hinweis

   Diese Vorgehensweise gilt nur für benutzerdefinierte Sicherheitsregeln. Sie dürfen eine Standardsicherheitsregel nicht löschen.

PowerShell

Verwenden Sie Remove-AzNetworkSecurityRuleConfig, um eine Sicherheitsregel aus einer NSG zu löschen.

## Place the network security group configuration into a variable. ##
$networkSecurityGroup = Get-AzNetworkSecurityGroup -Name myNSG -ResourceGroupName myResourceGroup
## Remove the security rule. ##
Remove-AzNetworkSecurityRuleConfig -Name RDP-rule -NetworkSecurityGroup $networkSecurityGroup
## Updates the network security group. ##
Set-AzNetworkSecurityGroup -NetworkSecurityGroup $networkSecurityGroup

Hinweis

Diese Vorgehensweise gilt nur für benutzerdefinierte Sicherheitsregeln. Sie dürfen eine Standardsicherheitsregel nicht ändern.

Azure-Befehlszeilenschnittstelle

Verwenden Sie az network nsg rule delete, um eine Sicherheitsregel aus einer NSG zu löschen.

az network nsg rule delete --resource-group myResourceGroup --nsg-name myNSG --name RDP-rule

Hinweis

Diese Vorgehensweise gilt nur für benutzerdefinierte Sicherheitsregeln. Sie dürfen eine Standardsicherheitsregel nicht ändern.

Arbeiten mit Anwendungssicherheitsgruppen

Eine Anwendungssicherheitsgruppe muss keine Netzwerkschnittstellen enthalten, kann aber Netzwerkschnittstellen enthalten. Weitere Informationen finden Sie unter Anwendungssicherheitsgruppen. Alle Netzwerkschnittstellen innerhalb einer Anwendungssicherheitsgruppe müssen sich im gleichen virtuellen Netzwerk befinden. Wie Sie eine Netzwerkschnittstelle einer Anwendungssicherheitsgruppe hinzufügen, erfahren Sie unter Erstellen, Ändern oder Löschen von Netzwerkschnittstellen.

Erstellen einer Anwendungssicherheitsgruppe

Portal

1. Geben Sie im Suchfeld oben im Portal Anwendungssicherheitsgruppe ein. Wählen Sie anschließend in den Suchergebnissen Anwendungssicherheitsgruppen aus.

2. Wählen Sie + Erstellen aus.

3. Geben Sie auf der Seite Anwendungssicherheitsgruppe erstellen auf der Registerkarte Grundlagen die folgenden Werte ein, bzw. wählen Sie sie aus:

   Einstellung	Aktion
   Projektdetails
   Subscription	Wählen Sie Ihr Azure-Abonnement.
   Resource group	Wählen Sie eine vorhandene Ressourcengruppe aus, oder erstellen Sie eine neue, indem Sie den Link Neu erstellen auswählen. In diesem Beispiel wird die Ressourcengruppe myResourceGroup verwendet.
   Instanzendetails
   Name	Geben Sie einen Namen für die Anwendungssicherheitsgruppe ein, die Sie erstellen.
   Region	Wählen Sie die Region aus, in der Sie die Anwendungssicherheitsgruppe erstellen möchten.

   

4. Klicken Sie auf Überprüfen + erstellen.

5. Wenn die Meldung Überprüfung erfolgreich angezeigt wird, wählen Sie Erstellen aus.

PowerShell

Verwenden Sie New-AzApplicationSecurityGroup, um eine Anwendungssicherheitsgruppe zu erstellen.

New-AzApplicationSecurityGroup -ResourceGroupName myResourceGroup -Name myASG -Location eastus

Azure CLI

Verwenden Sie az network asg create, um eine Anwendungssicherheitsgruppe zu erstellen.

az network asg create --resource-group myResourceGroup --name myASG --location eastus

Anzeigen aller Anwendungssicherheitsgruppen

Portal

Geben Sie im Suchfeld oben im Portal Anwendungssicherheitsgruppe ein. Wählen Sie anschließend in den Suchergebnissen Anwendungssicherheitsgruppen aus. Im Azure-Portal wird eine Liste Ihrer Anwendungssicherheitsgruppen angezeigt.

PowerShell

Verwenden Sie Get-AzApplicationSecurityGroup, um alle Anwendungssicherheitsgruppen in Ihrem Azure-Abonnement aufzulisten.

Get-AzApplicationSecurityGroup | format-table Name, ResourceGroupName, Location

Azure CLI

Verwenden Sie az network asg list, um alle Anwendungssicherheitsgruppen in einer Ressourcengruppe aufzulisten.

az network asg list --resource-group myResourceGroup --out table

Anzeigen von Details einer bestimmten Anwendungssicherheitsgruppe

Portal

1. Geben Sie im Suchfeld oben im Portal Anwendungssicherheitsgruppe ein. Wählen Sie anschließend in den Suchergebnissen Anwendungssicherheitsgruppen aus.

2. Wählen Sie die Anwendungssicherheitsgruppe aus, deren Details Sie anzeigen möchten.

PowerShell

Verwenden Sie Get-AzApplicationSecurityGroup, um die Details einer Anwendungssicherheitsgruppe anzuzeigen.

Get-AzApplicationSecurityGroup -Name myASG

Azure CLI

Verwenden Sie az network asg show, um die Details einer Anwendungssicherheitsgruppe anzuzeigen.

az network asg show --resource-group myResourceGroup --name myASG

Ändern einer Anwendungssicherheitsgruppe

Portal

1. Geben Sie im Suchfeld oben im Portal Anwendungssicherheitsgruppe ein. Wählen Sie anschließend in den Suchergebnissen Anwendungssicherheitsgruppen aus.

2. Wählen Sie die Anwendungssicherheitsgruppe aus, die Sie ändern möchten:

   • Wählen Sie neben Ressourcengruppe oder Abonnement die Option Verschieben aus, um die Ressourcengruppe bzw. das Abonnement zu ändern.

   • Wählen Sie neben Tags die Option Bearbeiten aus, um Tags hinzuzufügen oder zu entfernen. Weitere Informationen finden Sie unter Verwenden von Tags zum Organisieren von Azure-Ressourcen und Verwaltungshierarchie.

     

     Hinweis

     Sie können den Speicherort einer Anwendungssicherheitsgruppe nicht ändern.

   • Wählen Sie Zugriffssteuerung (IAM) aus, um der Anwendungssicherheitsgruppe Berechtigungen zuzuweisen oder Berechtigungen zu entfernen.

PowerShell

Sie können eine Anwendungssicherheitsgruppe nicht mithilfe von PowerShell ändern.

Azure CLI

Verwenden Sie az network asg update, um die Tags für eine Anwendungssicherheitsgruppe zu aktualisieren.

az network asg update --resource-group myResourceGroup --name myASG --tags Dept=Finance

Hinweis

Sie können die Ressourcengruppe, das Abonnement oder den Speicherort einer Anwendungssicherheitsgruppe nicht über die Azure-Befehlszeilenschnittstelle ändern.

Löschen einer Anwendungssicherheitsgruppe

Sie können eine Anwendungssicherheitsgruppe nicht löschen, wenn sie Netzwerkschnittstellen enthält. Um alle Netzwerkschnittstellen aus der Anwendungssicherheitsgruppe zu entfernen, ändern Sie entweder die Einstellungen der Netzwerkschnittstelle, oder löschen Sie die Netzwerkschnittstellen. Weitere Informationen finden Sie unter Hinzufügen einer Netzwerkschnittstelle zu einer Anwendungssicherheitsgruppe bzw. deren Entfernen daraus oder Löschen einer Netzwerkschnittstelle.

Portal

1. Geben Sie im Suchfeld oben im Portal Anwendungssicherheitsgruppe ein. Wählen Sie anschließend in den Suchergebnissen Anwendungssicherheitsgruppen aus.

2. Wählen Sie die Anwendungssicherheitsgruppe aus, die Sie löschen möchten.

3. Wählen Sie Löschen und dann Ja, um die Anwendungssicherheitsgruppe zu löschen.

   

PowerShell

Verwenden Sie Remove-AzApplicationSecurityGroup, um eine Anwendungssicherheitsgruppe zu löschen.

Remove-AzApplicationSecurityGroup -ResourceGroupName myResourceGroup -Name myASG

Azure CLI

Verwenden Sie az network asg delete, um eine Anwendungssicherheitsgruppe zu löschen.

az network asg delete --resource-group myResourceGroup --name myASG

Berechtigungen

Zum Verwalten von Netzwerksicherheitsgruppen, Sicherheitsregeln und Anwendungssicherheitsgruppen muss Ihr Konto der Rolle Netzwerkmitwirkender zugewiesen sein. Sie können auch eine benutzerdefinierte Rolle mit den Berechtigungen in den folgenden Tabellen verwenden.

Hinweis

Möglicherweise wird die vollständige Liste der Diensttags nicht angezeigt, wenn die Rolle „Netzwerkmitwirkender“ auf Ressourcengruppenebene zugewiesen wurde. Um die vollständige Liste anzuzeigen, können Sie diese Rolle stattdessen auf Abonnementebene zuweisen. Wenn Sie die Rolle „Netzwerkmitwirkender“ nur für die Ressourcengruppe gewähren können, können Sie auch eine benutzerdefinierte Rolle mit den Berechtigungen Microsoft.Network/locations/serviceTags/read und Microsoft.Network/locations/serviceTagDetails/read erstellen. Weisen Sie sie auf Abonnementebene zusammen mit der Rolle „Netzwerkmitwirkender“ auf Ressourcengruppenebene zu.

Netzwerksicherheitsgruppe

Aktion	Name
Microsoft.Network/networkSecurityGroups/read	Abrufen einer NSG
Microsoft.Network/networkSecurityGroups/write	Erstellen oder Aktualisieren einer NSG
Microsoft.Network/networkSecurityGroups/delete	Löschen einer NSG
Microsoft.Network/networkSecurityGroups/join/action	Zuordnen einer NSG zu einem Subnetz oder einer Netzwerkschnittstelle

Hinweis

Um write-Vorgänge für eine NSG auszuführen, muss das Abonnementkonto mindestens über read-Berechtigungen für die Ressourcengruppe sowie über die Berechtigung Microsoft.Network/networkSecurityGroups/write verfügen.

Netzwerksicherheitsgruppen-Regel

Aktion	Name
Microsoft.Network/networkSecurityGroups/securityRules/read	Abrufen einer Regel
Microsoft.Network/networkSecurityGroups/securityRules/write	Erstellen oder Aktualisieren einer Regel
Microsoft.Network/networkSecurityGroups/securityRules/delete	Löschen einer Regel

Anwendungssicherheitsgruppe

Aktion	Name
Microsoft.Network/applicationSecurityGroups/joinIpConfiguration/action	Verknüpfen einer IP-Konfiguration mit einer Anwendungssicherheitsgruppe
Microsoft.Network/applicationSecurityGroups/joinNetworkSecurityRule/action	Verknüpfen einer Sicherheitsregel mit einer Anwendungssicherheitsgruppe
Microsoft.Network/applicationSecurityGroups/read	Abrufen einer Anwendungssicherheitsgruppe
Microsoft.Network/applicationSecurityGroups/write	Erstellen oder Aktualisieren einer Anwendungssicherheitsgruppe
Microsoft.Network/applicationSecurityGroups/delete	Löschen einer Anwendungssicherheitsgruppe

Zugehöriger Inhalt

• Erfahren Sie, wie Sie eine Netzwerkschnittstelle zu einer Anwendungssicherheitsgruppe hinzufügen bzw. aus ihr entfernen.
• Erstellen und Zuweisen von Azure Policy-Definitionen für virtuelle Netzwerke