Benutzerdefinierte Administratorrollen in Azure Active Directory (Vorschau)Custom administrator roles in Azure Active Directory (preview)

In diesem Artikel werden die Grundlagen der benutzerdefinierten Azure AD-Rollen in Azure Active Directory (Azure AD) mit rollenbasierter Zugriffssteuerung und Ressourcenbereichen beschrieben.This article describes how to understand Azure AD custom roles in Azure Active Directory (Azure AD) with roles-based access control and resource scopes. Durch benutzerdefinierte Azure AD-Rollen werden die zugrunde liegenden Berechtigungen der integrierten Rollen angezeigt, sodass Sie eigene benutzerdefinierte Rollen erstellen und organisieren können.Custom Azure AD roles surface the underlying permissions of the built-in roles, so that you can create and organize your own custom roles. Dadurch können Sie den Zugriff bei Bedarf differenzierter gewähren als mit integrierten Rollen.This approach allows you to grant access in a more granular way than built-in roles, whenever they're needed. Dieses erste Release der benutzerdefinierten Azure AD-Rollen umfasst die Funktion, eine Rolle zum Zuweisen von Berechtigungen zum Verwalten von App-Registrierungen zu erstellen.This first release of Azure AD custom roles includes the ability to create a role to assign permissions for managing app registrations. Im Laufe der Zeit werden weitere Berechtigungen für Organisationsressourcen wie Unternehmensanwendungen, Benutzer und Geräte hinzugefügt.Over time, additional permissions for organization resources like enterprise applications, users, and devices will be added.

Darüber hinaus unterstützen benutzerdefinierte Azure AD-Rollen zusätzlich zu den eher herkömmlichen organisationsweiten Zuweisungen auch Zuweisungen auf Ressourcenbasis.Additionally, Azure AD custom roles support assignments on a per-resource basis, in addition to the more traditional organization-wide assignments. Dieser Ansatz bietet Ihnen die Möglichkeit, Zugriff zum Verwalten einiger Ressourcen (z. B. einer App-Registrierung) zu erteilen, ohne Zugriff auf alle Ressourcen (alle App-Registrierungen) zu gewähren.This approach gives you the ability to grant access to manage some resources (for example, one app registration) without giving access to all resources (all app registrations).

Die rollenbasierte Zugriffssteuerung ist eine öffentliche Previewfunktion von Azure AD und mit jedem kostenpflichtigen Azure AD-Lizenzplan verfügbar.Azure AD role-based access control is a public preview feature of Azure AD and is available with any paid Azure AD license plan. Weitere Informationen zu Vorschauversionen finden Sie unter Zusätzliche Nutzungsbestimmungen für Microsoft Azure-Vorschauen.For more information about previews, see Supplemental Terms of Use for Microsoft Azure Previews.

Grundlegendes zur rollenbasierten Zugriffssteuerung von Azure ADUnderstand Azure AD role-based access control

Das Erteilen von Berechtigungen mithilfe benutzerdefinierter Azure AD-Rollen ist ein zweistufiger Prozess, bei dem eine benutzerdefinierte Rollendefinition erstellt und dann mithilfe einer Rollenzuweisung zugewiesen wird.Granting permission using custom Azure AD roles is a two-step process that involves creating a custom role definition and then assigning it using a role assignment. Eine benutzerdefinierte Rollendefinition ist eine Sammlung von Berechtigungen, die Sie aus einer vordefinierten Liste hinzufügen.A custom role definition is a collection of permissions that you add from a preset list. Bei diesen Berechtigungen handelt es sich um die gleichen Berechtigungen, die in den integrierten Rollen verwendet werden.These permissions are the same permissions used in the built-in roles.

Nachdem Sie Ihre Rollendefinition erstellt haben, können Sie diese durch Erstellen einer Rollenzuweisung einem Benutzer zuweisen.Once you’ve created your role definition, you can assign it to a user by creating a role assignment. Eine Rollenzuweisung erteilt einem Benutzer die Berechtigungen in einer Rollendefinition für einen bestimmten Bereich.A role assignment grants the user the permissions in a role definition at a specified scope. Durch diesen zweistufigen Prozess können Sie eine einzelne Rollendefinition erstellen und dann für verschiedene Bereiche mehrmals zuweisen.This two-step process allows you to create a single role definition and assign it many times at different scopes. Ein Bereich definiert die Gruppe von Azure AD-Ressourcen, auf die das Rollenmitglied Zugriff hat.A scope defines the set of Azure AD resources the role member has access to. Der gängigste Bereich ist der organisationsweite Bereich.The most common scope is organization-wide (org-wide) scope. Eine benutzerdefinierte Rolle kann für den organisationsweiten Bereich zugewiesen werden. Dies bedeutet, dass das Rollenmitglied über die Rollenberechtigungen für alle Ressourcen in der Organisation verfügt.A custom role can be assigned at org-wide scope, meaning the role member has the role permissions over all resources in the organization. Eine benutzerdefinierte Rolle kann auch für einen Objektbereich zugewiesen werden.A custom role can also be assigned at an object scope. Ein Beispiel für einen Objektbereich ist eine einzelne Anwendung.An example of an object scope would be a single application. Die gleiche Rolle kann einem Benutzer für alle Anwendungen in der Organisation und dann einem anderen Benutzer nur für die App der Contoso-Spesenabrechnungen zugewiesen werden.The same role can be assigned to one user over all applications in the organization and then to another user with a scope of only the Contoso Expense Reports app.

Die integrierten und benutzerdefinierten Rollen in Azure AD funktionieren auf ähnliche Weise wie die rollenbasierte Zugriffssteuerung in Azure.Azure AD built-in and custom roles operate on concepts similar to Azure role-based access control. Der Unterschied zwischen diesen beiden rollenbasierten Zugriffssteuerungssystemen besteht darin, dass die Azure-RBAC den Zugriff auf Azure-Ressourcen wie virtuelle Computer oder Speicher mithilfe der Azure-Ressourcenverwaltung steuert und benutzerdefinierte Azure AD-Rollen den Zugriff auf Azure AD-Ressourcen mithilfe der Graph-API steuern.The difference between these two role-based access control systems is that Azure RBAC controls access to Azure resources such as virtual machines or storage using Azure Resource Management, and Azure AD custom roles control access to Azure AD resources using Graph API. Beide Systeme nutzen das Konzept von Rollendefinitionen und Rollenzuweisungen.Both systems leverage the concept of role definitions and role assignments.

So ermittelt Azure AD, ob ein Benutzer Zugriff auf eine Ressource hatHow Azure AD determines if a user has access to a resource

Im Folgenden finden Sie die allgemeinen Schritte, anhand derer Azure AD ermittelt, ob Sie Zugriff auf eine Verwaltungsressource haben.The following are the high-level steps that Azure AD uses to determine if you have access to a management resource. Verwenden Sie diese Informationen, um Zugriffsprobleme zu beheben.Use this information to troubleshoot access issues.

  1. Ein Benutzer (oder Dienstprinzipal) ruft ein Token für den Microsoft Graph- oder Azure AD Graph-Endpunkt ab.A user (or service principal) acquires a token to the Microsoft Graph or Azure AD Graph endpoint.

  2. Der Benutzer sendet mithilfe des ausgestellten Tokens über Microsoft Graph oder Azure AD Graph einen API-Aufruf an Azure Active Directory (Azure AD).The user makes an API call to Azure Active Directory (Azure AD) via Microsoft Graph or Azure AD Graph using the issued token.

  3. Abhängig von der jeweiligen Situation führt Azure AD eine der folgenden Aktionen aus:Depending on the circumstance, Azure AD takes one of the following actions:

    • Wertet die Rollenmitgliedschaften des Benutzers basierend auf dem wids-Anspruch im Zugriffstoken des Benutzers aus.Evaluates the user’s role memberships based on the wids claim in the user’s access token.
    • Ruft alle für den Benutzer entweder direkt oder über eine Gruppenmitgliedschaft geltenden Rollenzuweisungen für die Ressource ab, für die die Aktion ausgeführt wird.Retrieves all the role assignments that apply for the user, either directly or via group membership, to the resource on which the action is being taken.
  4. Azure AD ermittelt, ob die Aktion im API-Aufruf in den Rollen enthalten ist, die dem Benutzer für diese Ressource zugewiesen sind.Azure AD determines if the action in the API call is included in the roles the user has for this resource.

  5. Wenn der Benutzer keine Rolle mit der Aktion als angefordertem Bereich besitzt, wird kein Zugriff gewährt.If the user doesn't have a role with the action at the requested scope, access is not granted. Andernfalls wird der Zugriff gewährt.Otherwise access is granted.

RollenzuweisungenRole assignments

Eine Rollenzuweisung ist das Objekt, das einem Benutzer eine Rollendefinition in einem bestimmten Bereich anfügt, um Zugriff auf Azure AD-Ressourcen zu gewähren.A role assignment is the object that attaches a role definition to a user at a particular scope to grant Azure AD resource access. Der Zugriff wird durch Erstellen einer Rollenzuweisung erteilt und durch Entfernen einer Rollenzuweisung widerrufen.Access is granted by creating a role assignment, and access is revoked by removing a role assignment. Eine Rollenzuweisung besteht im Kern aus drei Elementen:At its core, a role assignment consists of three elements:

  • Benutzer (eine Person, die über ein Benutzerprofil in Azure Active Directory verfügt)User (an individual who has a user profile in Azure Active Directory)
  • RollendefinitionRole definition
  • RessourcenumfangResource scope

Zum Erstellen von Rollenzuweisungen können Sie das Azure-Portal, Azure AD PowerShell oder die Graph-API verwenden.You can create role assignments using the Azure portal, Azure AD PowerShell, or Graph API. Sie können auch die Zuweisungen für eine benutzerdefinierte Rolle anzeigen.You can also view the assignments for a custom role.

Das folgende Diagramm zeigt ein Beispiel für eine Rollenzuweisung.The following diagram shows an example of a role assignment. In diesem Beispiel wurde Chris Green die benutzerdefinierte Rolle „App-Registrierungsadministrator“ für den Bereich der Contoso Widget Builder-App-Registrierung zugewiesen.In this example, Chris Green has been assigned the App registration administrator custom role at the scope of the Contoso Widget Builder app registration. Diese Zuweisung erteilt Chris nur für diese spezifische App-Registrierung die Berechtigungen der Rolle „App-Registrierungsadministrator“.The assignment grants Chris the permissions of the App registration administrator role for only this specific app registration.

Die Rollenzuweisung definiert, wie Berechtigungen erzwungen werden. Sie besteht aus drei Teilen.

SicherheitsprinzipalSecurity principal

Ein Sicherheitsprinzipal stellt den Benutzer dar, dem Zugriff auf Azure AD-Ressourcen zugewiesen werden soll.A security principal represents the user that is to be assigned access to Azure AD resources. Ein Benutzer ist eine Person, die über ein Benutzerprofil in Azure Active Directory verfügt.A user is an individual who has a user profile in Azure Active Directory.

RoleRole

Eine Rollendefinition oder Rolle ist eine Sammlung von Berechtigungen.A role definition, or role, is a collection of permissions. Eine Rollendefinition listet die Vorgänge auf, die für Azure AD-Ressourcen ausgeführt werden können, z. B. Lesen, Schreiben, Aktualisieren und Löschen.A role definition lists the operations that can be performed on Azure AD resources, such as create, read, update, and delete. Azure AD umfasst zwei Arten von Rollen:There are two types of roles in Azure AD:

  • Von Microsoft erstellte integrierte Rollen, die nicht geändert werden können.Built-in roles created by Microsoft that can't be changed.
  • Von Ihrer Organisation erstellte und verwaltete benutzerdefinierte RollenCustom roles created and managed by your organization.

ScopeScope

Ein Bereich ist die Beschränkung zulässiger Aktionen auf eine bestimmte Azure AD-Ressource im Rahmen einer Rollenzuweisung.A scope is the restriction of permitted actions to a particular Azure AD resource as part of a role assignment. Beim Zuweisen einer Rolle können Sie einen Bereich angeben, der den Zugriff des Administrators auf eine bestimmte Ressource beschränkt.When you assign a role, you can specify a scope that limits the administrator's access to a specific resource. Wenn Sie z. B. einem Entwickler eine benutzerdefinierte Rolle – jedoch nur zum Verwalten einer bestimmten Anwendungsregistrierung – zuweisen möchten, können Sie die entsprechende Anwendungsregistrierung als Bereich in die Rollenzuweisung einschließen.For example, if you want to grant a developer a custom role, but only to manage a specific application registration, you can include the specific application registration as a scope in the role assignment.

Hinweis

Benutzerdefinierte Rollen können im Verzeichnisbereich und im Ressourcenbereich zugewiesen werden.Custom roles can be assigned at directory scope and resource scoped. Noch können sie nicht im Bereich von Verwaltungseinheiten zugewiesen werden.They cannot yet be assigned at Administrative Unit scope. Integrierte Rollen können im Verzeichnisbereich und in einigen Fällen im Bereich von Verwaltungseinheiten zugewiesen werden.Built-in roles can can be assigned at directory scope, and in some cases, Administrative Unit scope. Sie können noch nicht im Azure AD-Ressourcenbereich zugewiesen werden.They cannot yet be assigned at Azure AD resource scope.

Erforderlicher LizenzplanRequired license plan

Für die Verwendung dieses Features ist eine Azure AD Premium P1-Lizenz erforderlich.Using this feature requires an Azure AD Premium P1 license. Um die richtige Lizenz für Ihre Anforderungen zu ermitteln, lesen Sie  Vergleich: Allgemein verfügbare Features der Editionen Free, Basic und Premium.To find the right license for your requirements, see Comparing generally available features of the Free, Basic, and Premium editions.

Nächste SchritteNext steps