Zuweisen von Azure-Rollen zu externen Gastbenutzern über das Azure-Portal

Die rollenbasierte Zugriffssteuerung von Azure (Azure RBAC) ermöglicht eine bessere Sicherheitsverwaltung für große Organisationen sowie für kleine und mittelständische Unternehmen, die mit externen Projektmitarbeitern, Lieferanten oder Freiberuflern zusammenarbeiten und für diese Zugriff auf bestimmte Ressourcen in der Umgebung benötigen, nicht aber auf die gesamte Infrastruktur oder abrechnungsrelevante Bereiche. Mithilfe der Funktionen in Azure Active Directory B2B können Sie mit externen Gastbenutzern zusammenarbeiten, und Sie können mithilfe von Azure RBAC nur die Berechtigungen erteilen, die Gastbenutzer in Ihrer Umgebung benötigen.

Voraussetzungen

Sie benötigen Folgendes, um Azure-Rollen zuzuweisen oder zu entfernen:

Wann würden Sie Gastbenutzer einladen?

Einige Beispielszenarios, in denen Sie möglicherweise Gastbenutzer in Ihre Organisation einladen und Berechtigungen erteilen:

  • Zugriff für einen externen selbstständigen Anbieter, der nur über ein E-Mail-Konto verfügt, auf Ihre Azure-Ressourcen für ein Projekt
  • Zugriff für einen externen Partner zum Verwalten bestimmter Ressourcen oder eines ganzen Abonnements
  • Temporärer Zugriff für Supporttechniker außerhalb Ihrer Organisation (z.B. Microsoft-Support) auf Ihre Azure-Ressource zur Behebung von Problemen

Berechtigungsunterschiede zwischen Mitgliedsbenutzern und Gastbenutzern

Native Mitglieder eines Verzeichnisses (Mitgliedsbenutzer) verfügen über andere Berechtigungen als Benutzer, die als B2B-Zusammenarbeitsgast (Gastbenutzer) aus einem anderen Verzeichnis eingeladen wurden. Ein Mitgliedsbenutzer kann z. B. fast alle Verzeichnisinformationen lesen, während Gastbenutzer über eingeschränkte Verzeichnisberechtigungen verfügen. Weitere Informationen zu Mitglieds- und Gastbenutzern finden Sie unter Welche Standardbenutzerberechtigungen gibt es in Azure Active Directory?.

Hinzufügen eines Gastbenutzers zu Ihrem Verzeichnis

Führen Sie diese Schritte aus, um einen Gastbenutzer über die Azure Active Directory-Seite zu Ihrem Verzeichnis hinzuzufügen.

  1. Melden Sie sich beim Azure-Portal an.

  2. Stellen Sie sicher, dass die Einstellungen für externe Zusammenarbeit Ihrer Organisation so konfiguriert sind, dass Sie Gäste einladen dürfen. Weitere Informationen finden Sie unter Konfigurieren von Einstellungen für die externe Zusammenarbeit.

  3. Klicken Sie auf Azure Active Directory>Benutzer>Neuer Gastbenutzer.

    Screenshot of New guest user feature in Azure portal.

  4. Befolgen Sie die Schritte, um einen neuen Gastbenutzer hinzuzufügen. Weitere Informationen finden Sie unter Hinzufügen von Azure Active Directory B2B-Zusammenarbeitsbenutzern über das Azure-Portal.

Nachdem Sie dem Verzeichnis einen Gastbenutzer hinzugefügt haben, können Sie dem Gastbenutzer einen direkten Link zu einer freigegebenen App senden, oder der Gastbenutzer kann auf den Link „Einladung annehmen“ in der Einladungs-E-Mail klicken.

Screenshot of guest user invite email.

Damit der Gastbenutzer auf Ihr Verzeichnis zugreifen kann, muss er den Einladungsprozess abschließen.

Screenshot of guest user invite review permissions.

Weitere Informationen zum Einladungsprozess finden Sie unter Azure Active Directory B2B-Zusammenarbeit: Einlösen von Einladungen.

Zuweisen einer Rolle zu einem Gastbenutzer

In Azure RBAC weisen Sie zum Gewähren des Zugriffs eine Rolle zu. Um einem Gastbenutzer eine Rolle zuzuweisen, befolgen Sie dieselben Schritte wie für einen Mitgliedsbenutzer, eine Gruppe, einen Dienstprinzipal oder eine verwaltete Identität. Gehen Sie wie folgt vor, um einem Gastbenutzer eine Rolle mit verschiedenen Gültigkeitsbereichen zuzuweisen.

  1. Melden Sie sich beim Azure-Portal an.

  2. Suchen Sie im oberen Suchfeld nach dem Bereich, für den Sie Zugriff gewähren möchten. Suchen Sie beispielsweise nach Verwaltungsgruppen, Abonnements, Ressourcengruppen oder eine bestimmten Ressource.

  3. Klicken Sie auf die gewünschte Ressource für diesen Bereich.

  4. Klicken Sie auf Zugriffssteuerung (IAM) .

    Die folgende Abbildung zeigt ein Beispiel der Seite „Zugriffssteuerung (IAM)“ für eine Ressourcengruppe.

    Screenshot of Access control (IAM) page for a resource group.

  5. Klicken Sie auf die Registerkarte Rollenzuweisungen, um die Rollenzuweisungen für diesen Bereich anzuzeigen.

  6. Klicken Sie auf Hinzufügen>Rollenzuweisung hinzufügen.

    Wenn Sie keine Berechtigungen zum Zuweisen von Rollen haben, ist die Option „Rollenzuweisung hinzufügen“ deaktiviert.

    Screenshot of Add > Add role assignment menu.

    Die Seite „Rollenzuweisung hinzufügen“ wird geöffnet.

  7. Wählen Sie auf der Registerkarte Rolle eine Rolle aus, etwa Mitwirkender für virtuelle Computer.

    Screenshot of Add role assignment page with Roles tab.

  8. Wählen Sie auf der Registerkarte Mitglieder die Option Benutzer, Gruppe oder Dienstprinzipal aus.

    Screenshot of Add role assignment page with Members tab.

  9. Klicken Sie auf Mitglieder auswählen.

  10. Suchen Sie den Gastbenutzer, und wählen Sie ihn aus. Wird der Benutzer in der Liste nicht angezeigt, können Sie im Feld Auswählen einen Suchbegriff eingeben, um das Verzeichnis nach Anzeigename oder E-Mail-Adresse zu durchsuchen.

    Sie können im Feld Auswählen einen Begriff eingeben, um das Verzeichnis nach Anzeigename oder E-Mail-Adresse zu durchsuchen.

    Screenshot of Select members pane.

  11. Klicken Sie auf Auswählen, um den Gastbenutzer der Mitgliederliste hinzuzufügen.

  12. Klicken Sie auf der Registerkarte Überprüfen und zuweisen auf Überprüfen und zuweisen.

    Nach einigen Augenblicken wird dem Gastbenutzer die Rolle für den ausgewählten Bereich zugewiesen.

    Screenshot of role assignment for Virtual Machine Contributor.

Zuweisen einer Rolle zu einem Gastbenutzer, der sich noch nicht in Ihrem Verzeichnis befindet

Um einem Gastbenutzer eine Rolle zuzuweisen, befolgen Sie dieselben Schritte wie für einen Mitgliedsbenutzer, eine Gruppe, einen Dienstprinzipal oder eine verwaltete Identität.

Wenn sich der Gastbenutzer noch nicht in Ihrem Verzeichnis befindet, können Sie den Benutzer direkt über den Bereich „Mitglieder auswählen“ einladen.

  1. Melden Sie sich beim Azure-Portal an.

  2. Suchen Sie im oberen Suchfeld nach dem Bereich, für den Sie Zugriff gewähren möchten. Suchen Sie beispielsweise nach Verwaltungsgruppen, Abonnements, Ressourcengruppen oder eine bestimmten Ressource.

  3. Klicken Sie auf die gewünschte Ressource für diesen Bereich.

  4. Klicken Sie auf Zugriffssteuerung (IAM) .

  5. Klicken Sie auf Hinzufügen>Rollenzuweisung hinzufügen.

    Wenn Sie keine Berechtigungen zum Zuweisen von Rollen haben, ist die Option „Rollenzuweisung hinzufügen“ deaktiviert.

    Screenshot of Add > Add role assignment menu.

    Die Seite „Rollenzuweisung hinzufügen“ wird geöffnet.

  6. Wählen Sie auf der Registerkarte Rolle eine Rolle aus, etwa Mitwirkender für virtuelle Computer.

  7. Wählen Sie auf der Registerkarte Mitglieder die Option Benutzer, Gruppe oder Dienstprinzipal aus.

    Screenshot of Add role assignment page with Members tab.

  8. Klicken Sie auf Mitglieder auswählen.

  9. Geben Sie im Feld Auswählen die E-Mail-Adresse der einzuladenden Person ein, und wählen Sie diese Person dann aus.

    Screenshot of Invite guest user in Select members pane.

  10. Klicken Sie auf Auswählen, um den Gastbenutzer der Mitgliederliste hinzuzufügen.

  11. Klicken Sie auf der Registerkarte Überprüfen und zuweisen auf Überprüfen und zuweisen, um den Gastbenutzer zu Ihrem Verzeichnis hinzuzufügen, die Rolle zuzuweisen und eine Einladung zu senden.

    Nach einigen Momenten werden eine Benachrichtigung über die Rollenzuweisung sowie Informationen zur Einladung angezeigt.

    Screenshot of role assignment and invited user notification.

  12. Um den Gastbenutzer manuell einzuladen, klicken Sie mit der rechten Maustaste und kopieren den Link der Einladung in der Benachrichtigung. Klicken Sie nicht auf den Link zur Einladung, da dadurch der Einladungsprozess gestartet wird.

    Der Link zur Einladung hat das folgende Format:

    https://login.microsoftonline.com/redeem?rd=https%3a%2f%2finvitations.microsoft.com%2fredeem%2f%3ftenant%3d0000...

  13. Senden Sie den Einladungslink an den Gastbenutzer, um den Einladungsprozess abzuschließen.

    Weitere Informationen zum Einladungsprozess finden Sie unter Azure Active Directory B2B-Zusammenarbeit: Einlösen von Einladungen.

Entfernen eines Gastbenutzers aus Ihrem Verzeichnis

Bevor Sie einen Gastbenutzer aus einem Verzeichnis entfernen, sollten Sie zunächst alle Rollenzuweisungen für diesen Gastbenutzer entfernen. Führen Sie die folgenden Schritte aus, um einen Gastbenutzer aus einem Verzeichnis zu entfernen.

  1. Öffnen Sie das Blatt Zugriffssteuerung (IAM) für einen Bereich, z. B. für eine Verwaltungsgruppe, ein Abonnement, eine Ressourcengruppe oder eine Ressource, für den der Gastbenutzer über eine Rollenzuweisung verfügt.

  2. Klicken Sie auf die Registerkarte Rollenzuweisungen, um alle Rollenzuweisungen anzuzeigen.

  3. Aktivieren Sie in der Liste der Rollenzuweisungen den Gastbenutzer mit der zu entfernenden Rollenzuweisung.

    Screenshot of selected role assignment to remove.

  4. Klicken Sie auf Entfernen.

    Screenshot of Remove role assignment message.

  5. Klicken Sie in der angezeigten Meldung zum Entfernen der Rollenzuweisung auf Ja.

  6. Klicken Sie auf der linken Navigationsleiste auf Azure Active Directory>Benutzer.

  7. Klicken Sie auf den zu entfernenden Gastbenutzer.

  8. Klicken Sie auf Löschen.

    Screenshot of deleting guest user.

  9. Klicken Sie im angezeigten Meldungsfeld auf Ja.

Problembehandlung

Gastbenutzer können das Verzeichnis nicht durchsuchen.

Gastbenutzer erhalten eingeschränkte Verzeichnisberechtigungen. Gastbenutzer können z. B. das Verzeichnis nicht durchsuchen und nicht nach Gruppen oder Anwendungen suchen. Weitere Informationen finden Sie unter Welche Standardbenutzerberechtigungen gibt es in Azure Active Directory?.

Screenshot of guest user cannot browse users in a directory.

Wenn ein Gastbenutzer zusätzliche Berechtigungen im Verzeichnis benötigt, können Sie dem Gastbenutzer eine Azure AD-Rolle zuweisen. Wenn Sie einem Gastbenutzer tatsächlich uneingeschränkten Lesezugriff auf Ihr Verzeichnis gestatten möchten, können Sie den Gastbenutzer der Rolle Verzeichnisleseberechtigte in Azure AD hinzufügen. Weitere Informationen finden Sie unter Hinzufügen von Azure Active Directory B2B-Zusammenarbeitsbenutzern über das Azure-Portal.

Screenshot of assigning Directory Readers role.

Gastbenutzer können keine Benutzer, Gruppen oder Dienstprinzipale durchsuchen, um Rollen zuzuweisen.

Gastbenutzer erhalten eingeschränkte Verzeichnisberechtigungen. Selbst wenn ein Gastbenutzer ein Besitzer in einem Bereich ist, kann er die Liste der Benutzer, Gruppen oder Dienstprinzipale nicht durchsuchen, wenn er versucht, einer anderen Person Zugriff zu erteilen.

Screenshot of guest user cannot browse security principals to assign roles.

Wenn der Gastbenutzer den genauen Anmeldenamen einer Person im Verzeichnis kennt, kann er Zugriff gewähren. Wenn Sie einem Gastbenutzer tatsächlich uneingeschränkten Lesezugriff auf Ihr Verzeichnis gestatten möchten, können Sie den Gastbenutzer der Rolle Verzeichnisleseberechtigte in Azure AD hinzufügen. Weitere Informationen finden Sie unter Hinzufügen von Azure Active Directory B2B-Zusammenarbeitsbenutzern über das Azure-Portal.

Gastbenutzer können keine Anwendungen registrieren oder Dienstprinzipale erstellen.

Gastbenutzer erhalten eingeschränkte Verzeichnisberechtigungen. Wenn ein Gastbenutzer Anwendungen registrieren oder Dienstprinzipale erstellen können muss, können Sie den Gastbenutzer der Rolle Anwendungsentwickler in Azure AD hinzufügen. Weitere Informationen finden Sie unter Hinzufügen von Azure Active Directory B2B-Zusammenarbeitsbenutzern über das Azure-Portal.

Screenshot of guest user cannot register applications.

Gastbenutzern wird das neue Verzeichnis nicht angezeigt.

Wenn ein Gastbenutzer Zugriff auf ein Verzeichnis hat, aber das neue Verzeichnis nicht im Azure-Portal angezeigt wird, wenn er versucht, auf der Seite Verzeichnisse dorthin zu wechseln, stellen Sie sicher, dass der Gastbenutzer den Einladungprozess abgeschlossen hat. Weitere Informationen zum Einladungsprozess finden Sie unter Azure Active Directory B2B-Zusammenarbeit: Einlösen von Einladungen.

Gastbenutzern werden keine Ressourcen angezeigt.

Wenn einem Gastbenutzer der Zugriff auf ein Verzeichnis gewährt wurde, er aber die Ressourcen, auf die er im Azure-Portal Zugriff erhalten hat, nicht sieht, stellen Sie sicher, dass der Gastbenutzer das richtige Verzeichnis ausgewählt hat. Ein Gastbenutzer kann Zugriff auf mehrere Verzeichnisse erhalten. Klicken Sie zum Wechseln des Verzeichnisses oben links auf Einstellungen>Verzeichnisse, und klicken Sie dann auf das entsprechende Verzeichnis.

Screenshot of Poral setting Directories section in Azure portal.

Nächste Schritte