Zuweisen von Azure-Rollen über das Azure-Portal

Azure RBAC (Role-Based Access Control, rollenbasierte Zugriffssteuerung) ist das Autorisierungssystem für die Verwaltung des Zugriffs auf Azure-Ressourcen. Sie weisen Benutzern, Gruppen, Dienstprinzipalen oder verwalteten Identitäten für einen bestimmten Bereich Rollen zu, um diesen Zugriff zu gewähren. In diesem Artikel wird die Zuweisung von Rollen über das Azure-Portal beschrieben.

Wenn Sie Administratorrollen in Microsoft Entra ID zuweisen müssen, lesen Sie die Informationen unter Zuweisen von Microsoft Entra-Rollen zu Benutzern.

Voraussetzungen

Zum Zuweisen von Azure-Rollen müssen Sie über Folgendes verfügen:

Schritt 1: Identifizieren des erforderlichen Bereichs

Wenn Sie Rollen zuweisen, müssen Sie einen Bereich angeben. Ein Bereich ist der für den Zugriff geltende Ressourcensatz. In Azure können Sie einen Bereich auf vier Ebenen angeben (von weit nach eng): Verwaltungsgruppe, Abonnement, Ressourcengruppe und Ressource. Weitere Informationen finden Sie unter Grundlagen des Bereichs für Azure RBAC.

Abbildung der Bereichsebenen für Azure RBAC.

  1. Melden Sie sich beim Azure-Portal an.

  2. Suchen Sie im oberen Suchfeld nach dem Bereich, für den Sie Zugriff gewähren möchten. Suchen Sie beispielsweise nach Verwaltungsgruppen, Abonnements, Ressourcengruppen oder eine bestimmten Ressource.

  3. Klicken Sie auf die gewünschte Ressource für diesen Bereich.

    Die folgende Abbildung zeigt eine Beispielressourcengruppe.

    Screenshot: Übersichtsseite einer Ressourcengruppe.

Schritt 2: Öffnen der Seite „Rollenzuweisung hinzufügen“

Die Zuweisung von Rollen zum Gewähren von Zugriff auf Azure-Ressourcen erfolgt in der Regel über die Seite Zugriffssteuerung (IAM) . Diese wird auch als Identity & Access Management (IAM) bezeichnet und wird an mehreren Stellen im Azure-Portal angezeigt.

  1. Klicken Sie auf Zugriffssteuerung (IAM) .

    Die folgende Abbildung zeigt ein Beispiel der Seite „Zugriffssteuerung (IAM)“ für eine Ressourcengruppe.

    Screenshot: Seite „Zugriffssteuerung (IAM)“ für eine Ressourcengruppe.

  2. Klicken Sie auf die Registerkarte Rollenzuweisungen, um die Rollenzuweisungen für diesen Bereich anzuzeigen.

  3. Klicken Sie auf Hinzufügen>Rollenzuweisung hinzufügen.

    Wenn Sie keine Berechtigungen zum Zuweisen von Rollen haben, ist die Option „Rollenzuweisung hinzufügen“ deaktiviert.

    Screenshot: Menü „Hinzufügen > Rollenzuweisung hinzufügen“

    Die Seite Rollenzuweisung hinzufügen wird geöffnet.

Schritt 3: Auswählen der geeigneten Rolle

Führen Sie die folgenden Schritte aus, um eine Rolle auszuwählen:

  1. Wählen Sie auf der Registerkarte Rolle eine Rolle aus, die Sie verwenden möchten.

    Sie können nach einer Rolle anhand des Namens oder der Beschreibung suchen. Sie können Rollen auch nach Typ und Kategorie filtern.

    Screenshot: Seite „Rollenzuweisung hinzufügen“ mit der Registerkarte „Rolle“

  2. Wenn Sie eine privilegierte Administratorrolle zuweisen möchten, wählen Sie die Registerkarte Privilegierte Administratorrollen aus, um die Rolle auszuwählen.

    Bewährte Methoden für die Verwendung der Zuweisungen privilegierter Administratorrollen finden Sie unter Bewährte Methoden für Azure RBAC.

    Screenshot: Seite „Rollenzuweisung hinzufügen“ mit ausgewählter Registerkarte „Privilegierte Administratorrollen“

  3. Klicken Sie in der Spalte Details auf Anzeigen, um weitere Details zu einer Rolle abzurufen.

    Screenshot: Bereich „Rollendetails anzeigen“ mit der Registerkarte „Berechtigungen“.

  4. Klicken Sie auf Weiter.

Schritt 4: Auswählen zugriffsberechtigter Benutzer

Führen Sie die folgenden Schritte aus, um Personen auszuwählen, die Zugriff benötigen:

  1. Wählen Sie auf der Registerkarte Mitglieder die Option Benutzer, Gruppe oder Dienstprinzipal aus, um die ausgewählte Rolle mindestens einem Microsoft Entra-Benutzer, einer Gruppe oder einem Dienstprinzipal (Anwendung) zuzuweisen.

    Screenshot: Seite „Rollenzuweisung hinzufügen“ mit der Registerkarte „Mitglieder“

  2. Klicken Sie auf Mitglieder auswählen.

  3. Suchen Sie nach den Benutzern, Gruppen oder Dienstprinzipalen, und wählen Sie sie aus.

    Sie können im Feld Auswählen einen Begriff eingeben, um das Verzeichnis nach Anzeigename oder E-Mail-Adresse zu durchsuchen.

    Screenshot: Bereich „Mitglieder auswählen“.

  4. Klicken Sie auf Auswählen, um die Benutzer*innen, Gruppen oder Dienstprinzipale der Liste „Mitglieder“ hinzuzufügen.

  5. Um die ausgewählte Rolle mindestens einer verwalteten Identität zuzuweisen, wählen Sie Verwaltete Identität aus.

  6. Klicken Sie auf Mitglieder auswählen.

  7. Wählen Sie im Bereich Select managed identities (Verwaltete Identitäten auswählen) aus, ob der Typ User-assigned managed identity (Benutzerseitig zugewiesene verwaltete Identität) oder System-assigned managed identity (Systemseitig zugewiesene verwaltete Identität) ist.

  8. Suchen Sie nach den verwalteten Identitäten, und wählen Sie sie aus.

    Bei systemseitig zugewiesenen verwalteten Identitäten können Sie verwaltete Identitäten nach Azure-Dienstinstanz auswählen.

    Screenshot: Bereich „Verwaltete Identitäten auswählen“.

  9. Klicken Sie auf Auswählen, um die verwalteten Identitäten der Liste „Mitglieder“ hinzuzufügen.

  10. Geben Sie im Feld Beschreibung eine optionale Beschreibung für diese Rollenzuweisung ein.

    Sie können diese Beschreibung später in der Liste der Rollenzuweisungen anzeigen.

  11. Klicken Sie auf Weiter.

Schritt 5: (Optional) Hinzufügen einer Bedingung

Wenn Sie eine Rolle ausgewählt haben, die Bedingungen unterstützt, wird die Registerkarte Bedingungen angezeigt, und Sie haben die Möglichkeit, Ihrer Rollenzuweisung eine Bedingung hinzuzufügen. Eine Bedingung ist eine zusätzliche Überprüfung, die Sie ihrer Rollenzuweisung optional hinzufügen können, um eine genauere Zugriffssteuerung zu ermöglichen.

Die Registerkarte Bedingungen sieht je nach ausgewählter Rolle anders aus.

Delegierungsbedingung

Wenn Sie eine der folgenden privilegierten Rollen ausgewählt haben, führen Sie die Schritte in diesem Abschnitt aus.

  1. Wählen Sie auf der Registerkarte Bedingungen unter Welche Aktionen eine Benutzerin oder ein Benutzer ausführen kann, die Option Zulassen, dass die Benutzerin bzw. der Benutzer nur ausgewählte Rollen zu ausgewählten Prinzipalen (geringere Berechtigungen) zuweisen kann.

    Screenshot: Seite „Rollenzuweisung hinzufügen“ mit ausgewählter Option „Eingeschränkt“

  2. Klicken Sie auf Rollen und Prinzipale auswählen, um eine Bedingung hinzuzufügen, die die Rollen und Prinzipale einschränkt, denen dieser Benutzer Rollen zuweisen kann.

  3. Führen Sie die Schritte unter Delegieren der Azure-Rollenzuweisungsverwaltung an andere Personen mit Bedingungen aus.

Speicherbedingung

Wenn Sie eine der folgenden Speicherrollen ausgewählt haben, führen Sie die Schritte in diesem Abschnitt aus.

  1. Klicken Sie auf Bedingung hinzufügen, wenn Sie die Rollenzuweisungen basierend auf Speicherattributen weiter optimieren möchten.

    Screenshot: Seite „Rollenzuweisung hinzufügen“ mit der Registerkarte „Bedingung hinzufügen“.

  2. Führen Sie die Schritte unter Hinzufügen und Bearbeiten von Bedingungen für die Azure-Rollenzuweisung über das Azure-Portal aus.

Schritt 6: Auswählen des Zuweisungstyps (Vorschau)

Wichtig

Die Integration von Azure-Rollenzuweisungen mit Privileged Identity Management befindet sich derzeit in der Vorschauphase. Die zusätzlichen Nutzungsbestimmungen für Microsoft Azure-Vorschauen enthalten rechtliche Bedingungen. Sie gelten für diejenigen Azure-Features, die sich in der Beta- oder Vorschauversion befinden oder aber anderweitig noch nicht zur allgemeinen Verfügbarkeit freigegeben sind.

Wenn Sie über eine der Lizenzen Microsoft Entra ID P2 oder Microsoft Entra ID Governance verfügen, wird eine Registerkarte Zuweisungstyp für die Bereiche Verwaltungsgruppe, Abonnement und Ressourcengruppe angezeigt. Verwenden Sie berechtigte Zuweisungen, um Just-In-Time-Zugriff auf eine Rolle bereitzustellen. Diese Funktion wird in Phasen bereitgestellt und ist daher möglicherweise noch nicht in Ihrem Mandanten verfügbar oder sieht auf Ihrer Benutzeroberfläche anders aus. Weitere Informationen finden Sie unter Integration mit Privileged Identity Management (Vorschau).

Wenn Sie die PIM-Funktion nicht verwenden möchten, wählen Sie den Zuordnungstyp Aktiv und die Zuweisungsdauer Dauerhaft aus. Diese Einstellungen erstellen eine Rollenzuweisung, bei der der Prinzipal immer über die Berechtigungen in der Rolle verfügt.

  1. Wählen Sie auf der Registerkarte Zuweisungstyp den Zuweisungstyp aus.

    • Berechtigt: Der Benutzer muss mindestens eine Aktion ausführen, um die Rolle zu verwenden, z. B. eine Multi-Faktor-Authentifizierung durchführen, eine geschäftliche Begründung bereitstellen oder eine Genehmigung von festgelegten genehmigenden Personen anfordern. Sie können keine berechtigten Rollenzuweisungen für Anwendungen, Dienstprinzipale oder verwaltete Identitäten erstellen, da sie die Aktivierungsschritte nicht ausführen können.
    • Aktiv: Der Benutzer muss keine Aktion ausführen, um die Rolle zu verwenden.

    Screenshot von „Rollenzuweisung hinzufügen“ mit den Optionen für den Zuweisungstyp

  2. Wählen Sie je nach Ihren Einstellungen für Zuweisungsdauer die OptionDauerhaft oderZeitgebunden aus.

    Wählen Sie „Dauerhaft“ aus, wenn das Mitglied immer berechtigt sein soll, die Rolle zu aktivieren oder zu verwenden. Wählen Sie „Zeitgebunden“ aus, um Anfangs- und Enddatum anzugeben. Diese Option ist möglicherweise deaktiviert, wenn die Erstellung dauerhafter Zuweisungen aufgrund der PIM-Richtlinie nicht zulässig ist.

  3. Wenn Zeitgebunden ausgewählt wurde, legen Sie Startdatum und -uhrzeit sowie Enddatum und -uhrzeit fest, um anzugeben, wann der Benutzer die Rolle aktivieren oder verwenden darf.

    Es ist möglich, ein Startdatum in der Zukunft festzulegen. Die maximal zulässige berechtigte Dauer hängt von Ihrer PIM-Richtlinie (Privileged Identity Management) ab.

  4. (Optional:) Verwenden Sie PIM-Richtlinie konfigurieren, um Ablaufoptionen, Anforderungen für die Rollenaktivierung (Genehmigung, Multi-Faktor-Authentifizierung oder Authentifizierungskontext für bedingten Zugriff) und andere Einstellungen zu konfigurieren.

    Wenn Sie den Link PIM-Richtlinie aktualisieren auswählen, wird eine PIM-Seite angezeigt. Wählen Sie Einstellungen aus, um die PIM-Richtlinie für Rollen zu konfigurieren. Weitere Informationen finden Sie unter Konfigurieren von Rolleneinstellungen für Azure-Ressourcen in Privileged Identity Management.

  5. Klicken Sie auf Weiter.

Schritt 7: Zuweisen einer Rolle

Führen Sie folgende Schritte aus:

  1. Überprüfen Sie auf der Registerkarte Überprüfen und zuweisen die Einstellungen für die Rollenzuweisung.

    Screenshot: Seite „Rolle zuweisen“ mit der Registerkarte „Überprüfen und zuweisen“.

  2. Klicken Sie auf Überprüfen und zuweisen, um die Rolle zuzuweisen.

    Nach einigen Augenblicken wird dem Sicherheitsprinzipal die Rolle für den Bereich zugewiesen.

    Screenshot: Rollenzuweisungsliste nach dem Zuweisen einer Rolle.

  3. Wenn die Beschreibung für die Rollenzuweisung nicht angezeigt wird, klicken Sie auf Spalten bearbeiten, um die Spalte Beschreibung hinzuzufügen.

Bearbeiten von Zuweisungen (Vorschau)

Wichtig

Die Integration von Azure-Rollenzuweisungen mit Privileged Identity Management befindet sich derzeit in der Vorschauphase. Die zusätzlichen Nutzungsbestimmungen für Microsoft Azure-Vorschauen enthalten rechtliche Bedingungen. Sie gelten für diejenigen Azure-Features, die sich in der Beta- oder Vorschauversion befinden oder aber anderweitig noch nicht zur allgemeinen Verfügbarkeit freigegeben sind.

Wenn Sie über eine der Lizenzen Microsoft Entra ID P2 oder Microsoft Entra ID Governance verfügen, können Sie Ihre Einstellungen für Rollenzuweisungstypen bearbeiten. Weitere Informationen finden Sie unter Integration mit Privileged Identity Management (Vorschau).

  1. Wählen Sie auf der Seite Zugriffssteuerung (IAM) die Registerkarte Rollenzuweisungen aus, um die Rollenzuweisungen in diesem Bereich anzuzeigen.

  2. Suchen Sie die Rollenzuweisung, die Sie bearbeiten möchten.

  3. Wählen Sie in der Spalte Status einen Link aus, z. B. Zeitgebunden berechtigt oder Dauerhaft aktiv.

    Der Bereich Zuweisung bearbeiten wird angezeigt, in dem Sie die Einstellungen des Rollenzuweisungstyps ändern können. Das Öffnen dieses Bereichs kann einige Zeit dauern.

    Screenshot des Bereichs „Zuweisung bearbeiten“ mit Optionen für den Zuweisungstyp

  4. Klicken Sie abschließend auf Speichern.

    Es kann einige Zeit dauern, bis Ihre Änderungen im Portal verarbeitet wurden und angezeigt werden.