Freigeben über

Zuweisen eines Benutzers als Administrator eines Azure-Abonnements mit Bedingungen

Um einen Benutzer zu einem Administrator eines Azure-Abonnements zu machen, weisen Sie ihm die Rolle " Besitzer " im Abonnementbereich zu. Die Rolle "Besitzer" gewährt dem Benutzer vollzugriff auf alle Ressourcen im Abonnement, einschließlich der Berechtigung, anderen Zugriff zu gewähren. Da die Rolle "Besitzer" eine Rolle mit hoher Berechtigung ist, empfiehlt Microsoft, eine Bedingung hinzuzufügen, um die Rollenzuweisung einzuschränken. Sie können beispielsweise festlegen, dass ein Benutzer nur die Rolle „Mitwirkender für virtuelle Computer“ Dienstprinzipalen zuweist.

In diesem Artikel wird beschrieben, wie Sie einen Benutzer als Administrator eines Azure-Abonnements mit Bedingungen zuweisen. Diese Schritte sind identisch mit allen anderen Rollenzuweisungen.

Voraussetzungen

Zum Zuweisen von Azure-Rollen müssen Sie über Folgendes verfügen:

Schritt 1: Öffnen des Abonnements

  1. Melden Sie sich beim Azure-Portal an.

  2. Suchen Sie im Suchfeld oben nach Abonnements.

  3. Klicken Sie auf das Abonnement, das Sie verwenden möchten.

    Im Folgenden sehen Sie ein Beispielabonnement.

    Screenshot der Übersicht über Abonnements.

Schritt 2: Öffnen der Seite „Rollenzuweisung hinzufügen“

Die Zuweisung von Rollen zum Gewähren von Zugriff auf Azure-Ressourcen erfolgt in der Regel über die Seite Zugriffssteuerung (IAM). Diese wird auch als Identity & Access Management (IAM) bezeichnet und wird an mehreren Stellen im Azure-Portal angezeigt.

  1. Klicken Sie auf Zugriffssteuerung (IAM).

    Im Folgenden finden Sie ein Beispiel für die Seite "Access Control (IAM)" für ein Abonnement.

    Screenshot der Seite „Zugriffskontrolle (IAM)“ für ein Abonnement.

  2. Klicken Sie auf die Registerkarte Rollenzuweisungen, um die Rollenzuweisungen für diesen Bereich anzuzeigen.

  3. Klicken Sie auf Add>Rollenzuweisung hinzufügen.

    Wenn Sie keine Berechtigungen zum Zuweisen von Rollen haben, ist die Option „Rollenzuweisung hinzufügen“ deaktiviert.

    Screenshot: Menü „Hinzufügen“ > „Rollenzuweisung hinzufügen“

    Die Seite „Rollenzuweisung hinzufügen“ wird geöffnet.

Schritt 3: Auswählen der Rolle "Besitzer"

Die Rolle "Besitzer " gewährt vollzugriff auf die Verwaltung aller Ressourcen, einschließlich der Möglichkeit, Rollen in Azure RBAC zuzuweisen. Sie sollten höchstens 3 Abonnementbesitzer haben, um die Möglichkeit einer Sicherheitsverletzung durch einen kompromittierten Besitzer zu verringern.

  1. Wählen Sie auf der Registerkarte " Rolle " die Registerkarte "Privilegierte Administratorrollen " aus.

    Screenshot der Seite

  2. Wählen Sie die Rolle "Besitzer" aus.

  3. Klicke auf Weiter.

Schritt 4: Auswählen zugriffsberechtigter Benutzer

  1. Wählen Sie auf der Registerkarte " Mitglieder " die Option "Benutzer", "Gruppe" oder "Dienstprinzipal" aus.

    Screenshot der Seite

  2. Klicken Sie auf "Mitglieder auswählen".

  3. Suchen Sie den Benutzer, und wählen Sie ihn aus.

    Sie können im Feld Auswählen einen Begriff eingeben, um das Verzeichnis nach Anzeigename oder E-Mail-Adresse zu durchsuchen.

    Screenshot des Bereichs

  4. Klicken Sie auf " Speichern ", um den Benutzer zur Mitgliederliste hinzuzufügen.

  5. Geben Sie im Feld Beschreibung eine optionale Beschreibung für diese Rollenzuweisung ein.

    Sie können diese Beschreibung später in der Liste der Rollenzuweisungen anzeigen.

  6. Klicke auf Weiter.

Schritt 5: Hinzufügen einer Bedingung

Da die Rolle "Besitzer" eine Rolle mit hoher Berechtigung ist, empfiehlt Microsoft, eine Bedingung hinzuzufügen, um die Rollenzuweisung einzuschränken.

  1. Wählen Sie auf der Registerkarte "Bedingungen " unter " Was der Benutzer tun kann" die Option "Benutzer zulassen", ausgewählte Rollen nur ausgewählten Prinzipale (weniger Berechtigungen) zuzuweisen .

    Screenshot der Option

  2. Wählen Sie Rollen und Prinzipale auswählen aus.

    Die Seite "Rollenzuweisungsbedingung hinzufügen" wird mit einer Liste von Bedingungsvorlagen angezeigt.

    Screenshot of Add role assignment condition with a list of condition templates.Screenshot der Seite „Rollenzuweisung hinzufügen“ mit einer Liste von Bedingungsvorlagen.

  3. Wählen Sie eine Bedingungsvorlage und dann "Konfigurieren" aus.

    Bedingungsvorlage Wählen Sie diese Vorlage aus, um
    Rollen einschränken Benutzern nur das Zuweisen von Rollen erlauben, die Sie auswählen
    Einschränken von Rollen und Prinzipaltypen Benutzern nur das Zuweisen von Rollen erlauben, die Sie auswählen
    Zulassen, dass Benutzer Rollen nur den Prinzipaltypen zuweisen können, die Sie auswählen (Benutzer, Gruppen oder Dienstprinzipale)
    Einschränken von Rollen und Prinzipale Benutzern nur das Zuweisen von Rollen erlauben, die Sie auswählen
    Benutzern erlauben, diese Rollen nur den Prinzipalen zuzuweisen, die sie auswählen

    Tipp

    Wenn Sie die meisten Rollenzuweisungen zulassen möchten, aber keine bestimmten Rollenzuweisungen zulassen möchten, können Sie den erweiterten Bedingungs-Editor verwenden und eine Bedingung manuell hinzufügen. Ein Beispiel finden Sie unter Beispiel: Erlauben Sie den meisten Rollen, aber erlauben Sie nicht, dass andere Rollen zugewiesen werden.

  4. Fügen Sie im Konfigurationsbereich die erforderlichen Konfigurationen hinzu.

    Screenshot des Bereichs

  5. Wählen Sie "Speichern" aus, um der Rollenzuweisung die Bedingung hinzuzufügen.

Schritt 6: Rollen zuweisen

  1. Überprüfen Sie auf der Registerkarte Überprüfen und zuweisen die Einstellungen für die Rollenzuweisung.

  2. Klicken Sie auf "Überprüfen" und "Zuweisen ", um die Rolle zuzuweisen.

    Nach ein paar Augenblicken wird dem Benutzer die Rolle "Besitzer" für das Abonnement zugewiesen.

    Screenshot der Rollenzuweisungsliste nach dem Zuweisen der Rolle.

Verwandte Inhalte

  • Last updated on