Zuweisen von Azure-Rollen zu externen Benutzern über das Azure-Portal

Die rollenbasierte Zugriffssteuerung von Azure (Azure RBAC) ermöglicht eine bessere Sicherheitsverwaltung für große Organisationen sowie für kleine und mittelständische Unternehmen, die mit externen Projektmitarbeitern, Lieferanten oder Freiberuflern zusammenarbeiten und für diese Zugriff auf bestimmte Ressourcen in der Umgebung benötigen, nicht aber auf die gesamte Infrastruktur oder abrechnungsrelevante Bereiche. Mithilfe der Funktionen in Microsoft Entra B2B können Sie mit externen Benutzern zusammenarbeiten, und Sie können mithilfe von Azure RBAC nur die Berechtigungen erteilen, die externe Benutzer in Ihrer Umgebung benötigen.

Voraussetzungen

Sie benötigen Folgendes, um Azure-Rollen zuzuweisen oder zu entfernen:

Wann laden Sie externe Benutzer ein?

Einige Beispielszenarios, in denen Sie möglicherweise Benutzer in Ihre Organisation einladen und Berechtigungen erteilen:

  • Zugriff für einen externen selbstständigen Anbieter, der nur über ein E-Mail-Konto verfügt, auf Ihre Azure-Ressourcen für ein Projekt
  • Zugriff für einen externen Partner zum Verwalten bestimmter Ressourcen oder eines ganzen Abonnements
  • Temporärer Zugriff für Supporttechniker außerhalb Ihrer Organisation (z.B. Microsoft-Support) auf Ihre Azure-Ressource zur Behebung von Problemen

Berechtigungsunterschiede zwischen Mitgliedsbenutzern und Gastbenutzern

Benutzer eines Verzeichnisses mit Mitgliedstyp (Mitgliedsbenutzer) verfügen standardmäßig über andere Berechtigungen als Benutzer, die als B2B-Zusammenarbeitsgäste (Gastbenutzer) aus einem anderen Verzeichnis eingeladen wurden. Mitgliedsbenutzer können z. B. fast alle Verzeichnisinformationen lesen, während Gastbenutzer über eingeschränkte Verzeichnisberechtigungen verfügen. Weitere Informationen zu Mitglieds- und Gastbenutzern finden Sie unter Welche Standardbenutzerberechtigungen gibt es in Microsoft Entra ID?.

Einladen neuer externer Benutzer zu Ihrem Verzeichnis

Führen Sie die folgenden Schritte aus, um externe Benutzer zu Ihrem Verzeichnis in Microsoft Entra ID einzuladen.

  1. Melden Sie sich beim Azure-Portal an.

  2. Stellen Sie sicher, dass die Einstellungen für externe Zusammenarbeit Ihrer Organisation so konfiguriert sind, dass Sie externe Benutzer einladen dürfen. Weitere Informationen finden Sie unter Konfigurieren von Einstellungen für die externe Zusammenarbeit.

  3. Wählen Sie Microsoft Entra ID>Benutzer aus.

  4. Wählen Sie Neuer Benutzer>Externen Benutzer einladen aus.

    Screenshot of Invite external user page in Azure portal.

  5. Führen Sie die Schritte aus, um externe Benutzer einzuladen. Weitere Informationen finden Sie unter Hinzufügen von Microsoft Entra B2B-Zusammenarbeitsbenutzern über das Azure-Portal.

Nachdem Sie externe Benutzer zum Verzeichnis eingeladen haben, können Sie den externen Benutzern entweder einen direkten Link zu einer freigegebenen App senden, oder die externen Benutzer können den Einladungslink in der Einladungs-E-Mail auswählen.

Screenshot of external user invite email.

Damit externe Benutzer auf Ihr Verzeichnis zugreifen kann, müssen sie den Einladungsprozess abschließen.

Screenshot of external user invite review permissions.

Weitere Informationen zum Einladungsprozess finden Sie unter Microsoft Entra B2B-Zusammenarbeit: Einlösen von Einladungen.

Zuweisen von Rolle an externe Benutzer

In Azure RBAC weisen Sie zum Gewähren des Zugriffs eine Rolle zu. Um externen Benutzern eine Rolle zuzuweisen, befolgen Sie dieselben Schritte wie für Mitgliedsbenutzer, eine Gruppe, einen Dienstprinzipal oder eine verwaltete Identität. Gehen Sie wie folgt vor, um externen Benutzern eine Rolle mit verschiedenen Gültigkeitsbereichen zuzuweisen.

  1. Melden Sie sich beim Azure-Portal an.

  2. Suchen Sie im oberen Suchfeld nach dem Bereich, für den Sie Zugriff gewähren möchten. Suchen Sie beispielsweise nach Verwaltungsgruppen, Abonnements, Ressourcengruppen oder eine bestimmten Ressource.

  3. Wählen Sie die gewünschte Ressource für diesen Bereich aus.

  4. Wählen Sie Zugriffssteuerung (IAM) aus.

    Die folgende Abbildung zeigt ein Beispiel der Seite „Zugriffssteuerung (IAM)“ für eine Ressourcengruppe.

    Screenshot of Access control (IAM) page for a resource group.

  5. Wählen Sie die Registerkarte Rollenzuweisungen aus, um die Rollenzuweisungen für diesen Bereich anzuzeigen.

  6. Wählen Sie Hinzufügen>Rollenzuweisung hinzufügen.

    Wenn Sie keine Berechtigungen zum Zuweisen von Rollen haben, ist die Option „Rollenzuweisung hinzufügen“ deaktiviert.

    Screenshot of Add > Add role assignment menu.

    Die Seite Rollenzuweisung hinzufügen wird geöffnet.

  7. Wählen Sie auf der Registerkarte Rolle eine Rolle aus, etwa Mitwirkender für virtuelle Computer.

    Screenshot of Add role assignment page with Roles tab.

  8. Wählen Sie auf der Registerkarte Mitglieder die Option Benutzer, Gruppe oder Dienstprinzipal aus.

    Screenshot of Add role assignment page with Members tab.

  9. Wählen Sie Mitglieder auswählen.

  10. Suchen Sie den externen Benutzer, und wählen Sie ihn aus. Wird der Benutzer in der Liste nicht angezeigt, können Sie im Feld Auswählen einen Suchbegriff eingeben, um das Verzeichnis nach Anzeigename oder E-Mail-Adresse zu durchsuchen.

    Sie können im Feld Auswählen einen Begriff eingeben, um das Verzeichnis nach Anzeigename oder E-Mail-Adresse zu durchsuchen.

    Screenshot of Select members pane.

  11. Wählen Sie Auswählen aus, um den externen Benutzer der Mitgliederliste hinzuzufügen.

  12. Wählen Sie auf der Registerkarte Überprüfen + Zuweisen Überprüfen + Zuweisen aus.

    Nach einigen Augenblicken wird dem externen Benutzer die Rolle für den ausgewählten Bereich zugewiesen.

    Screenshot of role assignment for Virtual Machine Contributor.

Zuweisen einer Rolle zu einem externen Benutzer, der sich noch nicht in Ihrem Verzeichnis befindet

Um externen Benutzern eine Rolle zuzuweisen, befolgen Sie dieselben Schritte wie für Mitgliedsbenutzer, eine Gruppe, einen Dienstprinzipal oder eine verwaltete Identität.

Wenn sich der externe Benutzer noch nicht in Ihrem Verzeichnis befindet, können Sie den Benutzer direkt über den Bereich „Mitglieder auswählen“ einladen.

  1. Melden Sie sich beim Azure-Portal an.

  2. Suchen Sie im oberen Suchfeld nach dem Bereich, für den Sie Zugriff gewähren möchten. Suchen Sie beispielsweise nach Verwaltungsgruppen, Abonnements, Ressourcengruppen oder eine bestimmten Ressource.

  3. Wählen Sie die gewünschte Ressource für diesen Bereich aus.

  4. Wählen Sie Zugriffssteuerung (IAM) aus.

  5. Wählen Sie Hinzufügen>Rollenzuweisung hinzufügen.

    Wenn Sie keine Berechtigungen zum Zuweisen von Rollen haben, ist die Option „Rollenzuweisung hinzufügen“ deaktiviert.

    Screenshot of Add > Add role assignment menu.

    Die Seite Rollenzuweisung hinzufügen wird geöffnet.

  6. Wählen Sie auf der Registerkarte Rolle eine Rolle aus, etwa Mitwirkender für virtuelle Computer.

  7. Wählen Sie auf der Registerkarte Mitglieder die Option Benutzer, Gruppe oder Dienstprinzipal aus.

    Screenshot of Add role assignment page with Members tab.

  8. Wählen Sie Mitglieder auswählen.

  9. Geben Sie im Feld Auswählen die E-Mail-Adresse der einzuladenden Person ein, und wählen Sie diese Person dann aus.

    Screenshot of invite external user in Select members pane.

  10. Wählen Sie Auswählen aus, um den externen Benutzer der Mitgliederliste hinzuzufügen.

  11. Wählen Sie auf der Registerkarte Überprüfen und zuweisen die Option Überprüfen und zuweisen aus, um den externen Benutzer zu Ihrem Verzeichnis hinzuzufügen, die Rolle zuzuweisen und eine Einladung zu senden.

    Nach einigen Momenten werden eine Benachrichtigung über die Rollenzuweisung sowie Informationen zur Einladung angezeigt.

    Screenshot of role assignment and invited user notification.

  12. Um den externen Benutzer manuell einzuladen, klicken Sie mit der rechten Maustaste und kopieren den Link der Einladung in der Benachrichtigung. Wählen Sie nicht den Link zur Einladung aus, da dadurch der Einladungsprozess gestartet wird.

    Der Link zur Einladung hat das folgende Format:

    https://login.microsoftonline.com/redeem?rd=https%3a%2f%2finvitations.microsoft.com%2fredeem%2f%3ftenant%3d0000...

  13. Senden Sie den Einladungslink an den externen Benutzer, um den Einladungsprozess abzuschließen.

    Weitere Informationen zum Einladungsprozess finden Sie unter Microsoft Entra B2B-Zusammenarbeit: Einlösen von Einladungen.

Entfernen eines externen Benutzers aus Ihrem Verzeichnis

Bevor Sie einen externen Benutzer aus einem Verzeichnis entfernen, sollten Sie zunächst alle Rollenzuweisungen für diesen externen Benutzer entfernen. Führen Sie die folgenden Schritte aus, um einen externen Benutzer aus einem Verzeichnis zu entfernen.

  1. Öffnen Sie das Blatt Zugriffssteuerung (IAM) für einen Bereich, z. B. für eine Verwaltungsgruppe, ein Abonnement, eine Ressourcengruppe oder eine Ressource, für den der externen Benutzer über eine Rollenzuweisung verfügt.

  2. Wählen Sie auf die Registerkarte die Option Rollenzuweisungen aus, um alle Rollenzuweisungen anzuzeigen.

  3. Aktivieren Sie in der Liste der Rollenzuweisungen den externen Benutzer mit der zu entfernenden Rollenzuweisung.

    Screenshot of selected role assignment to remove.

  4. Wählen Sie Entfernen.

    Screenshot of Remove role assignment message.

  5. Wählen Sie in der angezeigten Meldung zum Entfernen der Rollenzuweisung die Option Ja.

  6. Wählen Sie die Registerkarte Klassische Administratoren aus.

  7. Wenn der externe Benutzer über eine Co-Admin-Zuweisung verfügt, fügen Sie neben dem externen Benutzer ein Häkchen hinzu, und wählen Sie Entfernen aus.

  8. Wählen Sie in der linken Navigationsleiste Microsoft Entra ID>Benutzer aus.

  9. Wählen Sie den externen Benutzer aus, den Sie entfernen möchten.

  10. Klicken Sie auf Löschen.

    Screenshot of deleting an external user.

  11. Wählen Sie in der angezeigten Löschmeldung Ja aus.

Problembehandlung

Externe Benutzer können das Verzeichnis nicht durchsuchen.

Externe Benutzer erhalten eingeschränkte Verzeichnisberechtigungen. Externe Benutzer können z. B. das Verzeichnis nicht durchsuchen und nicht nach Gruppen oder Anwendungen suchen. Weitere Informationen finden Sie unter Welche Standardbenutzerberechtigungen gibt es in Microsoft Entra ID?.

Screenshot of external user can't browse users in a directory.

Wenn ein externer Benutzer zusätzliche Berechtigungen im Verzeichnis benötigt, können Sie dem externen Benutzer eine Microsoft Entra-Rolle zuweisen. Wenn Sie einem externen Benutzer tatsächlich uneingeschränkten Lesezugriff auf Ihr Verzeichnis gestatten möchten, können Sie den externen Benutzer der Rolle Verzeichnisleseberechtigte in Microsoft Entra ID hinzufügen. Weitere Informationen finden Sie unter Hinzufügen von Microsoft Entra B2B-Zusammenarbeitsbenutzern über das Azure-Portal.

Screenshot of assigning Directory Readers role.

Externe Benutzer können keine Benutzer, Gruppen oder Dienstprinzipale durchsuchen, um Rollen zuzuweisen.

Externe Benutzer erhalten eingeschränkte Verzeichnisberechtigungen. Selbst wenn ein externer Benutzer ein Besitzer in einem Bereich ist, kann er die Liste der Benutzer, Gruppen oder Dienstprinzipale nicht durchsuchen, wenn er versucht, einer anderen Person Zugriff zu erteilen.

Screenshot of external user can't browse security principals to assign roles.

Wenn der externe Benutzer den genauen Anmeldenamen einer Person im Verzeichnis kennt, kann er Zugriff gewähren. Wenn Sie einem externen Benutzer tatsächlich uneingeschränkten Lesezugriff auf Ihr Verzeichnis gestatten möchten, können Sie den externen Benutzer der Rolle Verzeichnisleseberechtigte in Microsoft Entra ID hinzufügen. Weitere Informationen finden Sie unter Hinzufügen von Microsoft Entra B2B-Zusammenarbeitsbenutzern über das Azure-Portal.

Externe Benutzer können keine Anwendungen registrieren oder Dienstprinzipale erstellen.

Externe Benutzer erhalten eingeschränkte Verzeichnisberechtigungen. Wenn ein externer Benutzer Anwendungen registrieren oder Dienstprinzipale erstellen können muss, können Sie den externen Benutzer der Rolle Anwendungsentwickler in Microsoft Entra ID hinzufügen. Weitere Informationen finden Sie unter Hinzufügen von Microsoft Entra B2B-Zusammenarbeitsbenutzern über das Azure-Portal.

Screenshot of external user can't register applications.

Externen Benutzern wird das neue Verzeichnis nicht angezeigt.

Wenn ein externer Benutzer Zugriff auf ein Verzeichnis hat, aber das neue Verzeichnis nicht im Azure-Portal angezeigt wird, wenn er versucht, auf der Seite Verzeichnisse dorthin zu wechseln, stellen Sie sicher, dass der externe Benutzer den Einladungprozess abgeschlossen hat. Weitere Informationen zum Einladungsprozess finden Sie unter Microsoft Entra B2B-Zusammenarbeit: Einlösen von Einladungen.

Externen Benutzern werden keine Ressourcen angezeigt.

Wenn einem externen Benutzer der Zugriff auf ein Verzeichnis gewährt wurde, er aber die Ressourcen, auf die er im Azure-Portal Zugriff erhalten hat, nicht sieht, stellen Sie sicher, dass der externe Benutzer das richtige Verzeichnis ausgewählt hat. Ein externer Benutzer kann Zugriff auf mehrere Verzeichnisse erhalten. Wählen Sie zum Wechseln des Verzeichnisses oben links die Option Einstellungen>Verzeichnisse aus, und wählen Sie dann das entsprechende Verzeichnis aus.

Screenshot of Portal setting Directories section in Azure portal.

Nächste Schritte