Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Die rollenbasierte Zugriffssteuerung (Azure Role Based Access Control, RBAC) definiert, wer auf Azure-Ressourcen zugreifen kann, welche Aktionen ausgeführt werden können und wo sie sie ausführen können. Diese Struktur verbessert Governance, Sicherheit und betriebliche Klarheit in Ihrer Cloudumgebung.
Prerequisite:Create an Azure account. Startups sehen, ob Sie sich für Azure-Gutschriften qualifizieren.
Anwenden der geringsten Berechtigungen auf alle Zugriffszuweisungen
Das Prinzip der geringsten Berechtigungen stellt sicher, dass Benutzer nur die Berechtigungen erhalten, die zum Ausführen ihrer Aufgaben erforderlich sind. Dieser Ansatz reduziert Risiken und verbessert die Auditierbarkeit.
Beginnen Sie mit integrierten Rollen. Azure RBAC verfügt über integrierte Rollen mit Berechtigungen, die an gängige Szenarien ausgerichtet sind. Beginnen Sie mit den integrierten Rollen, und erstellen Sie bei Bedarf nur benutzerdefinierte Rollen. Beginnen Sie mit Auftragsfunktionsrollen , und verwenden Sie nur privilegierte Administratorrollen (Besitzer, Mitwirkender, Leser, Rollenbasierter Zugriffssteuerungsadministrator und Benutzerzugriffsadministrator), wenn Auftragsfunktionsrollen nicht ausreichen.
Rollen mit minimalen Berechtigungen zuweisen. Jede Rolle enthält einen Satz von Berechtigungen, die in der Rollendefinition definiert sind. Wählen Sie Rollen aus, die nur die Berechtigungen erteilen, die für die Verantwortlichkeiten des Benutzers erforderlich sind. Vermeiden Sie den Überbereitstellungszugriff.
Weisen Sie Rollen im kleinstmöglichen Umfang zu. Der Rollenbereich bestimmt, wo Berechtigungen gelten. Weisen Sie Rollen in dem Ausmaß zu, das erforderlich ist, um wesentliche Aufgaben auszuführen.
Rollenbereich Description Verwaltungsgruppe Rollenberechtigungen gelten für alle Abonnements und Ressourcen innerhalb der Verwaltungsgruppe. Subscription Rollenberechtigungen gelten für alle Ressourcengruppen und Ressourcen innerhalb des Abonnements. Ressourcengruppe Rollenberechtigungen gelten für alle Ressourcen innerhalb dieser Ressourcengruppe. Resource Rollenberechtigungen gelten nur für die spezifische Ressource (z. B. eine Foundry-Instanz).
Ausführliche Schritte finden Sie unter Anwenden von Azure RBAC-Rollen.
Verwenden von Gruppen zum Verwalten des Ressourcenzugriffs
Statt einzelnen Benutzern Rollen zuzuweisen, weisen Sie sie Microsoft Entra-ID-Gruppen zu. Diese Struktur verbessert Skalierbarkeit, Auditierbarkeit und Governance durch die Zentrale von Rollenzuweisungen.
Erstellen Sie Sicherheitsgruppen basierend auf dem Zugriffsbereich. Definieren Sie Sicherheitsgruppen, die den Zugriffsbereich widerspiegeln, z. B. auf Ressourcen-, Ressourcengruppen- oder Abonnementebene. Erstellen Sie beispielsweise separate Gruppen für Entwicklungs-, Test- und Produktionsumgebungen, z. B. AI-Developer-Dev, AI-Developer-Test, AI-Developer-Prod. Diese Struktur erzwingt die geringste Berechtigungs- und Umgebungsisolation. Schritte zum Erstellen einer Sicherheitsgruppe finden Sie unter Verwalten von Microsoft Entra ID-Gruppen.
Weisen Sie Gruppen Rollen auf der niedrigsten erforderlichen Ebene zu. Wenden Sie das Prinzip der geringsten Berechtigungen an, wenn Sie Gruppen Rollen zuweisen. Vermeiden Sie das Zuweisen von Rollen in höheren Bereichen, es sei denn, sie sind erforderlich. Dieser Ansatz reduziert Risiken und vereinfacht Audits.
Verfeinern Sie die Gruppenstruktur, während sich Ihre Umgebung weiterentwickelt. Passen Sie Gruppendefinitionen an, um Änderungen an Arbeitslasten, Teams oder Zuständigkeiten widerzuspiegeln. Diese Verfeinerung sorgt für kontinuierliche Klarheit und Kontrolle über den Zugriff. Beispiel:
Geschäftsrolle Geschäftlicher Bedarf Gruppenname Azure RBAC Rolle Berechtigungsbereich Abonnementbesitzer Verwalten von Zugriffssteuerung, Governance und Abrechnung im gesamten Abonnement Abonnement-Besitzer Besitzer Abonnementebene KI-Entwickler Erstellen und Bereitstellen von Modellen in Foundry KI-Foundry-Dev Beitragender Ressourcengruppenebene Finanzieren Überprüfen von Abrechnungs-, Nutzungs- und Kostenberichten Finanz-Leser Leser Abonnementebene Owner-Rollenzuweisungen einschränken. Die Rolle "Besitzer" gewährt vollzugriff, um alle Ressourcen zu verwalten und Rollen in Azure RBAC zuzuweisen. Beschränken Sie diese Rolle auf drei oder weniger Benutzer pro Abonnement. Überprüfen Sie und passen Sie die standardmäßige Besitzerzuweisung für Abonnementsersteller nach Bedarf an.
Zugriff regelmäßig überprüfen
Zugriffsüberprüfungen stellen sicher, dass Berechtigungen angemessen bleiben, wenn Benutzer Rollen oder Projekte ändern.
Planen Sie monatliche oder vierteljährliche Zugriffsüberprüfungen. Überprüfen Sie sowohl Microsoft Entra-ID-Rollen als auch Azure RBAC-Zuweisungen. Entfernen Sie unnötige Rollen umgehend, um die Sicherheit aufrechtzuerhalten.
Verwenden Sie automatisierte Tools, um Rezensionen zu optimieren. Verwenden Sie Tools wie Access Review (Microsoft Entra ID Premium P2) oder Exportieren von Rollenzuweisungen für manuelle Überprüfungen. Behandeln Sie die Zugriffsgovernance als laufende Wartung.