Entfernen von Azure-Rollenzuweisungen

Azure role-based access control (Azure RBAC) ist das Autorisierungssystem, das Sie zum Verwalten des Zugriffs auf Azure-Ressourcen verwenden. Um den Zugriff aus einer Azure-Ressource zu entfernen, entfernen Sie eine Rollenzuweisung. In diesem Artikel wird beschrieben, wie Rollenzuweisungen mithilfe des Azure-Portals, Azure PowerShell, Azure CLI und REST-API entfernt werden.

Voraussetzungen

Um Rollenzuweisungen zu entfernen, müssen Sie folgendes haben:

• Microsoft.Authorization/roleAssignments/delete Berechtigungen, z. B. Rollenbasierter Zugriffskontrolladministrator

Für die REST-API müssen Sie die folgende Version verwenden:

• 2015-07-01 oder höher

Weitere Informationen finden Sie unter API-Versionen von Azure RBAC REST-APIs.

Azure-Portal

1. Öffnen Sie Access Control (IAM) in einem bestimmten Bereich, z. B. einer Verwaltungsgruppe, einem Abonnement, einer Ressourcengruppe oder einer Ressource, in dem Sie den Zugriff entfernen möchten.

2. Klicken Sie auf die Registerkarte "Rollenzuweisungen ", um alle Rollenzuweisungen in diesem Bereich anzuzeigen.

3. Fügen Sie in der Liste der Rollenzuweisungen ein Häkchen neben dem Sicherheitsprinzipal mit der Rollenzuweisung hinzu, die Sie entfernen möchten.

   

   Wenn Sie eine Besitzerrollenzuweisung entfernen möchten und diese Rollenzuweisung die folgende Beschreibung aufweist, sollten Sie auch überprüfen, ob der Benutzer auch über eine klassische Administratorrollenzuweisung auf der Registerkarte "Klassische Administratoren " verfügt. Wenn der Benutzer über eine klassische Administratorrollenzuweisung verfügt, sollten Sie diese Rollenzuweisung auch entfernen. Weitere Informationen finden Sie unter "Automatische Zuweisung zur Besitzerrolle".

   • Beschreibung: The Classic Admin role was converted to an Azure Owner role on behalf of the user due to Classic Admin retirement

4. Klicken Sie auf Entfernen.

   

5. Klicken Sie in der angezeigten Meldung "Rollenzuweisung entfernen" auf "Ja".

   Wenn eine Meldung angezeigt wird, dass geerbte Rollenzuweisungen nicht entfernt werden können, versuchen Sie, eine Rollenzuweisung in einem untergeordneten Bereich zu entfernen. Öffnen Sie die Zugriffssteuerung (IAM) im Bereich, in dem die Rolle zugewiesen wurde, und versuchen Sie es erneut. Eine schnelle Möglichkeit, Access Control (IAM) im richtigen Geltungsbereich zu öffnen, besteht darin, die Geltungsbereichs-Spalte zu betrachten und auf den Link neben (Inherited) zu klicken.

   

Azure PowerShell

In Azure PowerShell entfernen Sie eine Rollenzuweisung mithilfe von Remove-AzRoleAssignment.

Im folgenden Beispiel wird die Zuweisung der Rolle Virtual Machine Contributor (Mitwirkender für virtuelle Computer) von patlong@contoso.com Benutzer für die Ressourcengruppe pharma-sales entfernt:

PS C:\> Remove-AzRoleAssignment -SignInName patlong@contoso.com `
-RoleDefinitionName "Virtual Machine Contributor" `
-ResourceGroupName pharma-sales

Entfernt die Rolle Leser von der Gruppe Ann Mack Team mit der ID „22222222-2222-2222-2222-222222222222“ im Abonnementbereich.

PS C:\> Remove-AzRoleAssignment -ObjectId 22222222-2222-2222-2222-222222222222 `
-RoleDefinitionName "Reader" `
-Scope "/subscriptions/00000000-0000-0000-0000-000000000000"

Entfernt die Rolle "Abrechnungsleser " aus dem alain@example.com Benutzer im Verwaltungsgruppenbereich.

PS C:\> Remove-AzRoleAssignment -SignInName alain@example.com `
-RoleDefinitionName "Billing Reader" `
-Scope "/providers/Microsoft.Management/managementGroups/marketing-group"

Entfernt die Rolle Benutzerzugriffsadmin mit ID 18d7d88d-d35e-4fb5-a5c3-7773c20a72d9 vom Prinzipal mit ID 33333333-3333-3333-3333-333333333333 im Abonnementbereich mit ID 00000000-0000-0000-0000-000000000000.

PS C:\> Remove-AzRoleAssignment -ObjectId 33333333-3333-3333-3333-333333333333 `
-RoleDefinitionId 18d7d88d-d35e-4fb5-a5c3-7773c20a72d9 `
-Scope /subscriptions/00000000-0000-0000-0000-000000000000

Wenn Sie die Fehlermeldung erhalten: "Die bereitgestellten Informationen sind keiner Rollenzuweisung zugeordnet", stellen Sie sicher, dass Sie auch die Parameter -Scope oder -ResourceGroupName angeben. Weitere Informationen finden Sie unter Behandeln von Problemen bei Azure RBAC.

Azure-Befehlszeilenschnittstelle (Azure CLI)

In Azure CLI entfernen Sie eine Rollenzuweisung mithilfe der Az-Rollenzuweisungslöschung.

Im folgenden Beispiel wird die Zuweisung der Rolle Virtual Machine Contributor (Mitwirkender für virtuelle Computer) von patlong@contoso.com Benutzer für die Ressourcengruppe pharma-sales entfernt:

az role assignment delete --assignee "patlong@contoso.com" \
--role "Virtual Machine Contributor" \
--resource-group "pharma-sales"

Entfernt die Rolle Leser von der Gruppe Ann Mack Team mit der ID „22222222-2222-2222-2222-222222222222“ im Abonnementbereich.

az role assignment delete --assignee "22222222-2222-2222-2222-222222222222" \
--role "Reader" \
--scope "/subscriptions/00000000-0000-0000-0000-000000000000"

Entfernt die Rolle "Abrechnungsleser " aus dem alain@example.com Benutzer im Verwaltungsgruppenbereich.

az role assignment delete --assignee "alain@example.com" \
--role "Billing Reader" \
--scope "/providers/Microsoft.Management/managementGroups/marketing-group"

REST API

In der REST-API entfernen Sie eine Rollenzuweisung mithilfe von Rollenzuweisungen – Löschen.

1. Rufen Sie die Rollenzuweisungskennung (GUID) ab. Dieser Bezeichner wird zurückgegeben, wenn Sie die Rollenzuweisung zum ersten Mal erstellen oder sie abrufen können, indem Sie die Rollenzuweisungen auflisten.

2. Beginnen Sie mit der folgenden Anforderung:

   DELETE https://management.azure.com/{scope}/providers/Microsoft.Authorization/roleAssignments/{roleAssignmentId}?api-version=2022-04-01
   

3. Ersetzen Sie innerhalb des URIs {scope} durch den Bereich, um die Rollenzuweisung zu entfernen.

   Geltungsbereich	Typ
   providers/Microsoft.Management/managementGroups/{groupId1}	Verwaltungsgruppe
   subscriptions/{subscriptionId1}	Subscription
   subscriptions/{subscriptionId1}/resourceGroups/myresourcegroup1	Ressourcengruppe
   subscriptions/{subscriptionId1}/resourceGroups/myresourcegroup1/providers/microsoft.web/sites/mysite1	Resource

4. Ersetzen Sie {roleAssignmentId} durch den GUID-Bezeichner der Rollenzuweisung.

   Mit der folgenden Anforderung wird die angegebene Rollenzuweisung im Abonnementbereich entfernt:

   DELETE https://management.azure.com/subscriptions/{subscriptionId1}/providers/microsoft.authorization/roleassignments/{roleAssignmentId1}?api-version=2022-04-01
   

   Im Folgenden sehen Sie ein Beispiel für die Ausgabe:

   {
       "properties": {
           "roleDefinitionId": "/subscriptions/{subscriptionId1}/providers/Microsoft.Authorization/roleDefinitions/a795c7a0-d4a2-40c1-ae25-d81f01202912",
           "principalId": "{objectId1}",
           "principalType": "User",
           "scope": "/subscriptions/{subscriptionId1}",
           "condition": null,
           "conditionVersion": null,
           "createdOn": "2022-05-06T23:55:24.5379478Z",
           "updatedOn": "2022-05-06T23:55:24.5379478Z",
           "createdBy": "{createdByObjectId1}",
           "updatedBy": "{updatedByObjectId1}",
           "delegatedManagedIdentityResourceId": null,
           "description": null
       },
       "id": "/subscriptions/{subscriptionId1}/providers/Microsoft.Authorization/roleAssignments/{roleAssignmentId1}",
       "type": "Microsoft.Authorization/roleAssignments",
       "name": "{roleAssignmentId1}"
   }
   

ARM template

Es gibt keine Möglichkeit, eine Rollenzuweisung mithilfe einer Azure Resource Manager-Vorlage (ARM-Vorlage) zu entfernen. Um eine Rollenzuweisung zu entfernen, müssen Sie andere Tools wie das Azure-Portal, Azure PowerShell, Azure CLI oder REST-API verwenden.

Verwandte Inhalte

• Auflisten von Azure-Rollenzuweisungen über das Azure-Portal
• Auflisten von Azure-Rollenzuweisungen mit Azure PowerShell
• Probleme mit Azure RBAC beheben