Delegieren der Azure-Rollenzuweisungsverwaltung an andere Personen mit Bedingungen

Als Administrator erhalten Sie möglicherweise mehrere Anforderungen zum Gewähren des Zugriffs auf Azure-Ressourcen, die Sie an eine andere Person delegieren möchten. Sie können einem Benutzer die Rollen "Besitzer" oder "Benutzerzugriffsadministrator " zuweisen, dies sind jedoch hoch privilegierte Rollen. In diesem Artikel wird eine sicherere Methode beschrieben, um die Rollenzuweisungsverwaltung an andere Benutzer in Ihrer Organisation zu delegieren, aber Einschränkungen für diese Rollenzuweisungen hinzuzufügen. Sie können beispielsweise die Rollen einschränken, denen die Rollen zugewiesen werden können, oder die Prinzipale einschränken, denen die Rollen zugewiesen werden können.

Das folgende Diagramm zeigt, wie eine Stellvertretung mit Bedingungen nur den Rollen "Mitwirkender sichern" oder "Sicherungsleser" nur den Marketing- oder Vertriebsgruppen zuweisen kann.

Voraussetzungen

Zum Zuweisen von Azure-Rollen müssen Sie über Folgendes verfügen:

• Microsoft.Authorization/roleAssignments/write Berechtigungen, z. B. Rollenbasierte Zugriffssteuerungsadministrator oder Benutzerzugriffsadministrator

Schritt 1: Ermitteln der Berechtigungen, die die Stellvertretung benötigt

Um die Berechtigungen zu ermitteln, die die Stellvertretung benötigt, beantworten Sie die folgenden Fragen:

• Welche Rollen kann der Delegate zuweisen?
• Welchen Prinzipaltypen kann der Delegate Rollen zuweisen?
• Welchen Prinzipalen kann der Delegate Rollen zuweisen?
• Kann der Delegate Rollenzuweisungen löschen?

Sobald Sie die Berechtigungen kennen, die Stellvertretung benötigt, führen Sie die folgenden Schritte aus, um der Rollenzuweisung der Stellvertretung eine Bedingung hinzuzufügen. Beispielbedingungen finden Sie unter "Beispiele zum Delegieren der Azure-Rollenzuweisungsverwaltung mit Bedingungen".

Schritt 2: Starten einer neuen Rollenzuweisung

1. Melden Sie sich beim Azure-Portal an.

2. Führen Sie die Schritte aus, um die Seite "Rollenzuweisung hinzufügen" zu öffnen.

3. Wählen Sie auf der Registerkarte "Rollen " die Registerkarte "Privilegierte Administratorrollen" aus .

4. Wählen Sie die Rollenbasierte Zugriffssteuerungsadministratorrolle aus.

   Die Registerkarte "Bedingungen " wird angezeigt.

   Sie können eine beliebige Rolle auswählen, die die Microsoft.Authorization/roleAssignments/write oder Microsoft.Authorization/roleAssignments/delete Aktionen enthält, z . B. Benutzerzugriffsadministrator, aber rollenbasierte Zugriffssteuerungsadministrator verfügt über weniger Berechtigungen.

5. Suchen Sie auf der Registerkarte "Mitglieder" die Stellvertretung, und wählen Sie sie aus.

Schritt 3: Hinzufügen einer Bedingung

Es gibt zwei Möglichkeiten, um eine Bedingung hinzuzufügen. Sie können eine Bedingungsvorlage verwenden oder einen erweiterten Bedingungs-Editor verwenden.

Vorlage

1. Wählen Sie auf der Registerkarte "Bedingungen " unter "Was der Benutzer tun kann" die Option "Benutzer zulassen", ausgewählte Rollen nur ausgewählten Prinzipale (weniger Berechtigungen) zuzuweisen.

   

2. Wählen Sie "Rollen und Prinzipale auswählen " aus.

   Die Seite "Rollenzuweisungsbedingung hinzufügen" wird mit einer Liste von Bedingungsvorlagen angezeigt.

   

3. Wählen Sie eine Bedingungsvorlage und dann "Konfigurieren" aus.

   Bedingungsvorlage	Wählen Sie diese Vorlage aus, um
   Rollen einschränken	Benutzern das Zuweisen von Rollen erlauben, die Sie auswählen
   Einschränken von Rollen und Prinzipaltypen	Benutzern das Zuweisen von Rollen erlauben, die Sie auswählen Zulassen, dass Benutzer diese Rollen nur prinzipaltypen zuweisen können , die Sie auswählen (Benutzer, Gruppen oder Dienstprinzipale)
   Einschränken von Rollen und Prinzipale	Benutzern das Zuweisen von Rollen erlauben, die Sie auswählen Zulassen, dass Benutzer diese Rollen nur prinzipale zuweisen, die Sie auswählen

4. Fügen Sie im Konfigurationsbereich die erforderlichen Konfigurationen hinzu.

   

5. Wählen Sie " Speichern" aus, um der Rollenzuweisung die Bedingung hinzuzufügen.

Bedingungs-Editor

Wenn die Bedingungsvorlagen für Ihr Szenario nicht funktionieren oder wenn Sie mehr Kontrolle wünschen, können Sie den Bedingungs-Editor verwenden.

Öffnen des Bedingungs-Editors

1. Wählen Sie auf der Registerkarte "Bedingungen " unter "Was der Benutzer tun kann" die Option "Benutzer zulassen", ausgewählte Rollen nur ausgewählten Prinzipale (weniger Berechtigungen) zuzuweisen.

   

2. Wählen Sie "Rollen und Prinzipale auswählen " aus.

   Die Seite "Rollenzuweisungsbedingung hinzufügen" wird mit einer Liste von Bedingungsvorlagen angezeigt.

   

3. Wählen Sie "Erweiterten Bedingungs-Editor öffnen" aus.

   Die Seite „Bedingung für Rollenzuweisung hinzufügen“ wird angezeigt.

4. Übernehmen Sie für die Option Editor-Typ die Standardeinstellung Visuelles Element.

Hinzufügen einer Aktion

1. Wählen Sie im Abschnitt "Aktion hinzufügen" die Option "Aktion hinzufügen" aus.

   Die Seite „Aktion auswählen“ wird angezeigt. Dieser Bereich ist eine gefilterte Liste von Aktionen basierend auf der Rollenzuweisung, die das Ziel Ihrer Bedingung ist.

   

2. Wählen Sie die Aktion zum Erstellen oder Aktualisieren von Rollenzuweisungen aus, die Sie zulassen möchten, wenn die Bedingung "true" ist.

   Tipp

   Wenn Sie sowohl Rollenzuweisungen erstellen oder aktualisieren als auch Rollenzuweisungen löschen auswählen, können Sie keinen Bedingungsausdruck hinzufügen. Wenn Sie beide Aktionen als Ziel festlegen möchten, müssen Sie zwei Bedingungen hinzufügen. Weitere Informationen finden Sie unter Beispiel: Einschränken von Rollen.

Erstellen von Ausdrücken

1. Wählen Sie im Abschnitt "Buildausdruck" die Option "Ausdruck hinzufügen" aus.

   Hier erstellen Sie den Ausdruck, um Rollenzuweisungen einzuschränken, die der Delegat hinzufügen kann.

2. Wählen Sie in der Attributquellliste "Anforderung" aus.

3. Wählen Sie in der Attributliste eines der folgenden Attribute für die linke Seite des Ausdrucks aus.

   • Die Rollendefinitions-ID wird verwendet, um die Rollen einzuschränken, die der Stellvertreter zuweisen kann.
   • Die Prinzipal-ID wird verwendet, um die spezifischen Prinzipale einzuschränken, der die Stellvertretung Rollen zuweisen kann.
   • Der Prinzipaltyp wird verwendet, um die Typen von Prinzipalen (Benutzer, Gruppen oder Dienstprinzipale) einzuschränken, denen der Delegat Rollen zuweisen kann.

4. Wählen Sie in der Liste Operator einen Operator aus.

   Abhängig vom Attribut und dem Ausdruck, den Sie erstellen möchten, wählen Sie in der Regel diese Operatoren aus, mit denen Sie einen oder mehrere Werte für die rechte Seite des Ausdrucks auswählen können.

   attribute	Allgemeiner Operator
   Rollendefinitions-ID	ForAnyOfAnyValues:GuidEquals
   Prinzipal-ID	ForAnyOfAnyValues:GuidEquals
   Prinzipaltyp	ForAnyOfAnyValues:StringEqualsIgnoreCase

5. Geben Sie im Feld "Wert " einen oder mehrere Werte für die rechte Seite des Ausdrucks ein.

   

6. Fügen Sie bei Bedarf zusätzliche Ausdrücke hinzu.

   Tipp

   Wenn Sie mehrere Ausdrücke hinzufügen, um die Rollenzuweisungsverwaltung mit Bedingungen zu delegieren, verwenden Sie in der Regel den Operator "And " anstelle des Standardoperators "Or ".

7. Wählen Sie " Speichern" aus, um der Rollenzuweisung die Bedingung hinzuzufügen.

Schritt 4: Zuweisen einer Rolle mit Bedingung zum Delegieren

1. Überprüfen Sie auf der Registerkarte Überprüfen und zuweisen die Einstellungen für die Rollenzuweisung.

2. Wählen Sie Überprüfen und zuweisen aus, um die Rolle zuzuweisen.

   Nach ein paar Momenten wird der Delegat der Rolle "Rollenbasierter Zugriffssteuerungsadministrator" mit den Rollenzuweisungsbedingungen zugewiesen.

Schritt 5: Stellvertretung weist Rollen mit Bedingungen zu

• Stellvertretung kann jetzt Die Schritte zum Zuweisen von Rollen ausführen.

  

  Wenn die Stellvertretung versucht, Rollen im Azure-Portal zuzuweisen, wird die Liste der Rollen gefiltert, um nur die Rollen anzuzeigen, die sie zuweisen können.

  

  Wenn es eine Bedingung für Prinzipale gibt, werden auch die Liste der für die Zuordnung verfügbaren Prinzipale gefiltert.

  

  Wenn der Delegat versucht, eine Rolle außerhalb der Bedingungen mithilfe einer API zuzuweisen, schlägt die Rollenzuweisung mit einem Fehler fehl. Weitere Informationen finden Sie unter Symptom – Eine Rolle kann nicht zugewiesen werden.

Nächste Schritte

• Delegieren der Azure-Zugriffsverwaltung an andere Personen
• Autorisierungsaktionen und Attribute