Ressourcen, Rollen und Zugriffssteuerung in Application Insights
Anhand der rollenbasierten Zugriffssteuerung in Azure (Azure RBAC) können Sie steuern, wer in Application Insights über Lese- und Aktualisierungszugriff auf Ihre Daten verfügen soll.
Wichtig
Weisen Sie Benutzern den Zugriff in der Ressourcengruppe oder dem Abonnement zu, der bzw. dem Ihre Anwendungsressource angehört – nicht in der Ressource selbst. Weisen Sie der Application Insights-Komponente die Rolle „Mitwirkender“ zu. Diese Rolle gewährleistet eine einheitliche Steuerung des Zugriffs auf Webtests und Warnungen zusammen mit Ihrer Anwendungsressource. Weitere Informationen.
Hinweis
Es wird empfohlen, das Azure Az PowerShell-Modul für die Interaktion mit Azure zu verwenden. Informationen zu den ersten Schritten finden Sie unter Installieren des Azure Az PowerShell-Moduls. Informationen zum Migrieren zum Az PowerShell-Modul finden Sie unter Migrieren von Azure PowerShell von AzureRM zum Az-Modul.
Ressourcen, Gruppen und Abonnements
Zunächst definieren wir einige Begriffe:
Ressource: Eine Instanz eines Azure-Diensts. Die Application Insights-Ressource erfasst, analysiert und zeigt die Telemetriedaten an, die von der Anwendung gesendet werden. Andere Arten von Azure-Ressourcen sind Web-Apps, Datenbanken und virtuelle Computer.
Um Ihre Ressourcen anzuzeigen, öffnen Sie das Azure-Portal, melden sich an und wählen Alle Ressourcen aus. Um eine Ressource zu suchen, geben Sie einen Teil des Namens im Feld „Filter“ ein.
- Ressourcengruppe: Jede Ressource gehört zu einer Gruppe. Eine Gruppe ist eine bequeme Möglichkeit, verwandte Ressourcen insbesondere für die Zugriffssteuerung zu verwalten. Beispielsweise könnten Sie eine Web-App, eine Application Insights-Ressource zur Überwachung der App sowie eine Azure Storage-Ressource zur Speicherung exportierter Daten in eine Ressourcengruppe aufnehmen.
- Abonnement: Um Application Insights oder sonstige Azure-Ressourcen zu verwenden, müssen Sie ein Azure-Abonnement abschließen. Jede Ressourcengruppe gehört zu einem Azure-Abonnement, für das Sie Ihr Preispaket auswählen. Bei einem Organisationsabonnement kann der Besitzer die Mitglieder und deren Zugriffsberechtigungen auswählen.
- Microsoft-Konto: Der Benutzername und das Kennwort für Ihre Anmeldung bei Azure-Abonnements, Xbox Live, „Outlook.com“ und sonstigen Microsoft-Diensten.
Steuern des Zugriffs in der Ressourcengruppe
Zusätzlich zu der Ressource, die Sie für Ihre Anwendung erstellt haben, gibt es auch separate, ausgeblendete Ressourcen für Warnungen und Webtests. Sie sind derselben Ressourcengruppe zugeordnet wie Ihre Application Insights-Ressource. Möglicherweise haben Sie auch andere Azure-Dienste dort aufgenommen, z. B. Websites oder Speicher.
So gewähren Sie einem anderen Benutzer Zugriff
Sie benötigen Eigentümerrechte für das Abonnement oder die Ressourcengruppe.
Der Benutzer muss über ein Microsoft-Konto oder über Zugriff auf sein Microsoft-Organisationskonto verfügen. Sie können sowohl Einzelpersonen als auch Benutzergruppen, die in Microsoft Entra ID definiert sind, Zugriff gewähren.
Navigieren zu einer Ressourcengruppe oder direkt zur Ressource
Weisen Sie Azure RBAC die Rolle „Mitwirkender“ zu.
Ausführliche Informationen finden Sie unter Zuweisen von Azure-Rollen über das Azure-Portal.
Auswählen einer Rolle
Falls zutreffend, verweist der Link auf die zugehörige offizielle Referenzdokumentation.
| Role | In der Ressourcengruppe |
|---|---|
| Besitzer | Kann alle Elemente ändern, einschließlich des Benutzerzugriffs. |
| Mitwirkender | Kann alle Elemente bearbeiten, einschließlich aller Ressourcen. |
| Mitwirkender der Application Insights-Komponente | Kann Application Insights-Ressourcen bearbeiten. |
| Leser | Kann Inhalte anzeigen, aber nicht ändern. |
| Application Insights-Momentaufnahmedebugger | Erteilt dem Benutzer die Berechtigung zum Verwenden von Features des Application Insights-Momentaufnahmedebuggers. Diese Rolle ist nicht in der Rolle „Besitzer“ oder „Mitwirkender“ enthalten. |
| Mitwirkender der Releaseverwaltung für Azure App Service-Bereitstellung | Rolle „Mitwirkender“ für Dienste, die über Azure App Service-Bereitstellung bereitgestellt werden. |
| Datenpurger | Besondere Rolle für das Löschen von personenbezogenen Daten. Weitere Informationen finden Sie unter Verwalten personenbezogener Daten in Log Analytics und Application Insights. |
| Azure ExpressRoute-Administrator | Kann Expressrouten erstellen, löschen und verwalten. |
| Log Analytics-Mitwirkender | Ein Log Analytics-Mitwirkender kann alle Überwachungsdaten lesen und Überwachungseinstellungen bearbeiten. Das Bearbeiten von Überwachungseinstellungen schließt folgende Aufgaben ein: Hinzufügen der VM-Erweiterung zu VMs, Lesen von Speicherkontoschlüsseln zum Konfigurieren von Protokollsammlungen aus Azure Storage, Erstellen und Konfigurieren von Automation-Konten, Hinzufügen von Lösungen, Konfigurieren der Azure-Diagnose für alle Azure-Ressourcen. Wenn Sie Probleme beim Einrichten der Azure-Diagnose haben, lesen Sie unter Azure-Diagnose nach. |
| Log Analytics-Leser | Ein Log Analytics-Leser kann alle Überwachungsdaten anzeigen und durchsuchen sowie Überwachungseinstellungen anzeigen. Hierzu zählt auch die Anzeige der Konfiguration von Azure-Diagnosen für alle Azure-Ressourcen. Wenn Sie Probleme beim Einrichten der Azure-Diagnose haben, lesen Sie unter Azure-Diagnose nach. |
| masterreader | Ermöglicht einem Benutzer, alle Inhalte anzuzeigen, aber keine Änderungen vorzunehmen. |
| Überwachungsmitwirkender | Kann alle Überwachungsdaten lesen und Überwachungseinstellungen aktualisieren. |
| Herausgeber von Überwachungsmetriken | Ermöglicht die Veröffentlichung von Metriken für Azure-Ressourcen. |
| Überwachungsleser | Kann alle Überwachungsdaten lesen. |
| Mitwirkender an Ressourcenrichtlinien (Vorschau) | Über Enterprise Agreements abgeglichene Benutzer mit Rechten zum Erstellen/Ändern der Ressourcenrichtlinie, zum Erstellen eines Supporttickets und zum Lesen von Ressourcen/der Hierarchie. |
| Benutzerzugriffsadministrator | Ermöglicht einem Benutzer, den Zugriff für andere Benutzer auf Azure-Ressourcen zu verwalten. |
| Mitwirkender von Website | Ermöglicht Ihnen das Verwalten von Websites (nicht von Webplänen), aber nicht den Zugriff darauf. |
Die Bearbeitung umfasst das Erstellen, Löschen und Aktualisieren von:
- Ressourcen
- Webtests
- Alerts
- Fortlaufendem Export
Auswählen des Benutzers
Wenn der gewünschte Benutzer nicht im Verzeichnis enthalten ist, können Sie jeden Benutzer mit einem Microsoft-Konto einladen. Wenn Benutzer Dienste wie „Outlook.com“, OneDrive, Windows Phone oder Xbox Live verwenden, besitzen sie ein Microsoft-Konto.
Verwandte Inhalte
Siehe Artikel Rollenbasierte Zugriffssteuerung von Azure (Azure RBAC).
PowerShell-Abfrage zum Bestimmen der Rollenmitgliedschaft
Da bestimmte Rollen mit Benachrichtigungen und E-Mail-Warnungen verknüpft sein können, kann es hilfreich sein, eine Liste von Benutzern zu generieren, die einer bestimmten Rolle angehören. Zur Unterstützung beim Generieren dieser Listen können die folgenden Beispielabfragen an Ihre speziellen Anforderungen angepasst werden.
Abfrage des gesamten Abonnements nach den Rollen „Administrator“ und „Mitwirkender“
(Get-AzRoleAssignment -IncludeClassicAdministrators | Where-Object {$_.RoleDefinitionName -in @('ServiceAdministrator', 'CoAdministrator', 'Owner', 'Contributor') } | Select -ExpandProperty SignInName | Sort-Object -Unique) -Join ", "
Abfrage innerhalb des Kontexts einer bestimmten Application Insights-Ressource für Besitzer und Mitwirkende
$resourceGroup = "RGNAME"
$resourceName = "AppInsightsName"
$resourceType = "microsoft.insights/components"
(Get-AzRoleAssignment -ResourceGroup $resourceGroup -ResourceType $resourceType -ResourceName $resourceName | Where-Object {$_.RoleDefinitionName -in @('Owner', 'Contributor') } | Select -ExpandProperty SignInName | Sort-Object -Unique) -Join ", "
Abfrage innerhalb des Kontexts einer bestimmten Ressourcengruppe für Besitzer und Mitwirkende
$resourceGroup = "RGNAME"
(Get-AzRoleAssignment -ResourceGroup $resourceGroup | Where-Object {$_.RoleDefinitionName -in @('Owner', 'Contributor') } | Select -ExpandProperty SignInName | Sort-Object -Unique) -Join ", "