Erhöhen der Zugriffsrechte zum Verwalten aller Azure-Abonnements und VerwaltungsgruppenElevate access to manage all Azure subscriptions and management groups

Als globaler Administrator in Azure Active Directory (Azure AD) haben Sie möglicherweise keinen Zugriff auf alle Abonnements und Verwaltungsgruppen in Ihrem Verzeichnis.As a Global Administrator in Azure Active Directory (Azure AD), you might not have access to all subscriptions and management groups in your directory. In diesem Artikel erfahren Sie, wie Sie Ihren Zugriff auf alle Abonnements und Verwaltungsgruppen erhöhen.This article describes the ways that you can elevate your access to all subscriptions and management groups.

Hinweis

Informationen über Anzeigen oder Löschen von personenbezogenen Daten finden Sie unter Anträge betroffener Personen für Azure im Rahmen der DSGVO.For information about viewing or deleting personal data, see Azure Data Subject Requests for the GDPR. Allgemeine Informationen zur DSGVO finden Sie im Abschnitt über DSGVO für Service Trust Portal.For more information about GDPR, see the GDPR section of the Service Trust portal.

In welchen Fällen müssen Sie Ihren Zugriff erhöhen?Why would you need to elevate your access?

Wenn Sie globaler Administrator sind, müssen Sie unter Umständen folgende Aktionen ausführen:If you are a Global Administrator, there might be times when you want to do the following actions:

  • Wiedererlangen des Zugriffs auf ein Azure-Abonnement oder eine Verwaltungsgruppe, wenn ein Benutzer keinen Zugriff mehr hatRegain access to an Azure subscription or management group when a user has lost access
  • Gewähren des Zugriffs auf ein Azure-Abonnement oder eine Verwaltungsgruppe für einen anderen Benutzer oder Sie selbstGrant another user or yourself access to an Azure subscription or management group
  • Anzeigen aller Azure-Abonnements oder Verwaltungsgruppen in einer OrganisationSee all Azure subscriptions or management groups in an organization
  • Zulassen des Zugriffs auf alle Azure-Abonnements oder Verwaltungsgruppen für eine Automation-App (etwa eine App für die Rechnungsstellung oder Überwachung)Allow an automation app (such as an invoicing or auditing app) to access all Azure subscriptions or management groups

Wie erhöhe ich den Zugriff?How does elevated access work?

Azure AD und Azure-Ressourcen werden unabhängig voneinander geschützt.Azure AD and Azure resources are secured independently from one another. Das bedeutet, dass Azure AD-Rollenzuweisungen keinen Zugriff auf Azure-Ressourcen gewähren und Azure-Rollenzuweisungen keinen Zugriff auf Azure AD.That is, Azure AD role assignments do not grant access to Azure resources, and Azure role assignments do not grant access to Azure AD. Wenn Sie jedoch globaler Administrator in Azure AD sind, können Sie sich selbst Zugriff auf alle Azure-Abonnements und Verwaltungsgruppen in Ihrem Verzeichnis zuweisen.However, if you are a Global Administrator in Azure AD, you can assign yourself access to all Azure subscriptions and management groups in your directory. Verwenden Sie diese Funktion, wenn Sie keinen Zugriff auf Azure-Abonnementressourcen wie virtuelle Computer oder Speicherkonten haben und Sie Ihre globalen Administratorrechte verwenden möchten, um Zugriff auf diese Ressourcen zu erhalten.Use this capability if you don't have access to Azure subscription resources, such as virtual machines or storage accounts, and you want to use your Global Administrator privilege to gain access to those resources.

Wenn Sie Ihre Zugriffsrechte erhöhen, wird Ihnen die Rolle Benutzerzugriffsadministrator in Azure für den Stammbereich (/) zugewiesen.When you elevate your access, you will be assigned the User Access Administrator role in Azure at root scope (/). Auf diese Weise können Sie alle Ressourcen anzeigen und den Zugriff in jeder Abonnement- oder Verwaltungsgruppe im Verzeichnis zuweisen. This allows you to view all resources and assign access in any subscription or management group in the directory. Die Rollenzuweisung „Benutzerzugriffsadministrator“ kann mit Azure PowerShell, der Azure-Befehlszeilenschnittstelle oder der REST-API entfernt werden.User Access Administrator role assignments can be removed using Azure PowerShell, Azure CLI, or the REST API.

Sie sollten dieses erhöhte Zugriffsrecht entfernen, sobald Sie die Änderungen vorgenommen haben, die im Stammbereich erforderlich sind.You should remove this elevated access once you have made the changes you need to make at root scope.

Erhöhen von Zugriffsrechten

Azure-PortalAzure portal

Erhöhen der Zugriffsrechte für einen globalen AdministratorElevate access for a Global Administrator

Führen Sie diese Schritte aus, um die Zugriffsrechte für einen globalen Administrator mit dem Azure-Portal zu erhöhen.Follow these steps to elevate access for a Global Administrator using the Azure portal.

  1. Melden Sie sich beim Azure-Portal oder Azure Active Directory Admin Center als globaler Administrator an.Sign in to the Azure portal or the Azure Active Directory admin center as a Global Administrator.

    Wenn Sie Azure AD Privileged Identity Management verwenden, aktivieren Sie Ihre Rollenzuweisung „Globaler Administrator“.If you are using Azure AD Privileged Identity Management, activate your Global Administrator role assignment.

  2. Öffnen Sie Azure Active Directory .Open Azure Active Directory .

  3. Wählen Sie unter Verwalten die Option Eigenschaften aus.Under Manage , select Properties .

    Auswählen des Azure Active Directory-Fensters „Eigenschaften“ (Screenshot)

  4. Wählen Sie unter Zugriffsverwaltung für Azure-Ressourcen die Option Ja .Under Access management for Azure resources , set the toggle to Yes .

    Zugriffsverwaltung für Azure-Ressourcen – Screenshot

    Wenn Sie Ja auswählen, wird Ihnen in Azure RBAC im Stammbereich (/) die Rolle „Benutzerzugriffsadministrator“ zugewiesen.When you set the toggle to Yes , you are assigned the User Access Administrator role in Azure RBAC at root scope (/). Dadurch erhalten Sie die Berechtigung, Rollen in allen Azure-Abonnements und Verwaltungsgruppen zuzuweisen, die diesem Azure AD-Verzeichnis zugeordnet sind.This grants you permission to assign roles in all Azure subscriptions and management groups associated with this Azure AD directory. Diese Option ist nur für Benutzer verfügbar, denen in Azure AD die Rolle des globalen Administrators zugewiesen wurde.This toggle is only available to users who are assigned the Global Administrator role in Azure AD.

    Wenn Sie Nein festlegen, wird die Rolle „Benutzerzugriffsadministrator“ in Azure RBAC aus Ihrem Benutzerkonto entfernt.When you set the toggle to No , the User Access Administrator role in Azure RBAC is removed from your user account. Sie können dann keine Rollen mehr in allen Azure-Abonnements und Verwaltungsgruppen zuweisen, die diesem Azure AD-Verzeichnis zugeordnet sind.You can no longer assign roles in all Azure subscriptions and management groups that are associated with this Azure AD directory. Sie können nur die Azure-Abonnements und Verwaltungsgruppen anzeigen und verwalten, für die Ihnen der Zugriff gewährt wurde.You can view and manage only the Azure subscriptions and management groups to which you have been granted access.

    Hinweis

    Wenn Sie Privileged Identity Management verwenden, ändert die Deaktivierung Ihrer Rollenzuweisung den Umschalter Zugriffsverwaltung für Azure-Ressourcen nicht in Nein .If you're using Privileged Identity Management, deactivating your role assignment does not change the Access management for Azure resources toggle to No . Um den Zugriff mit den geringsten Rechten zu gewähren, empfehlen wir Ihnen das Festlegen dieses Umschalters auf Nein , bevor Sie Ihre Rollenzuweisung deaktivieren.To maintain least privileged access, we recommend that you set this toggle to No before you deactivate your role assignment.

  5. Klicken Sie auf Speichern , um Ihre Einstellung zu speichern.Click Save to save your setting.

    Diese Einstellung ist keine globale Eigenschaft und gilt nur für den aktuell angemeldeten Benutzer.This setting is not a global property and applies only to the currently signed in user. Sie können den Zugriff nicht für alle Mitglieder der globalen Administratorrolle erhöhen.You can't elevate access for all members of the Global Administrator role.

  6. Melden Sie sich ab und wieder an, um den Zugriff zu aktualisieren.Sign out and sign back in to refresh your access.

    Sie sollten jetzt auf alle Azure-Abonnements und Verwaltungsgruppen in Ihrem Verzeichnis zugreifen können.You should now have access to all subscriptions and management groups in your directory. Wenn Sie den Bereich „Zugriffssteuerung (IAM)“ anzeigen, werden Sie feststellen, dass Ihnen die Rolle „Benutzerzugriffsadministrator“ im Stammbereich zugewiesen wurde.When you view the Access control (IAM) pane, you'll notice that you have been assigned the User Access Administrator role at root scope.

    Screenshot: Zuweisen von Abonnementrollen im Stammbereich

  7. Führen Sie die erforderlichen Änderungen für erhöhte Zugriffsrechte durch.Make the changes you need to make at elevated access.

    Weitere Informationen zum Zuweisen von Rollen finden Sie unter Hinzufügen oder Entfernen von Rollenzuweisungen mithilfe von Azure RBAC und dem Azure-Portal.For information about assigning roles, see Add or remove Azure role assignments using the Azure portal. Wenn Sie Privileged Identity Management verwenden, lesen Sie Ermitteln von Azure-Ressourcen zur Verwaltung oder Zuweisen von Azure-Ressourcenrollen.If you are using Privileged Identity Management, see Discover Azure resources to manage or Assign Azure resource roles.

  8. Führen Sie die Schritte im folgenden Abschnitt aus, um die erhöhten Zugriffsrechte zu entfernen.Perform the steps in the following section to remove your elevated access.

Entfernen der erhöhten ZugriffsrechteRemove elevated access

Führen Sie die folgenden Schritte aus, um die Zuweisung der Rolle „Benutzerzugriffsadministrator“ im Stammbereich (/) zu entfernen.To remove the User Access Administrator role assignment at root scope (/), follow these steps.

  1. Melden Sie sich als derselbe Benutzer an, mit dem der Zugriff erhöht wurde.Sign in as the same user that was used to elevate access.

  2. Klicken Sie in der Navigationsliste auf Azure Active Directory und dann auf Eigenschaften .In the navigation list, click Azure Active Directory and then click Properties .

  3. Ändern Sie die Option Zugriffsverwaltung für Azure-Ressourcen wieder in Nein .Set the Access management for Azure resources toggle back to No . Da es sich um eine benutzerspezifische Einstellung handelt, müssen Sie als der Benutzer angemeldet sein, der den Zugriff erhöht hat.Since this is a per-user setting, you must be signed in as the same user as was used to elevate access.

    Wenn Sie versuchen, die Rollenzuweisung „Benutzerzugriffsadministrator“ im Bereich „Zugriffssteuerung (IAM)“ zu entfernen, wird die folgende Meldung angezeigt.If you try to remove the User Access Administrator role assignment on the Access control (IAM) pane, you'll see the following message. Um die Rollenzuweisung zu entfernen, müssen Sie den Umschalter wieder auf Nein festlegen oder Azure PowerShell, die Azure-Befehlszeilenschnittstelle oder die REST-API verwenden.To remove the role assignment, you must set the toggle back to No or use Azure PowerShell, Azure CLI, or the REST API.

    Entfernen von Rollenzuweisungen im Stammbereich

  4. Melden Sie sich als „Globaler Administrator“ ab.Sign out as Global Administrator.

    Wenn Sie Privileged Identity Management verwenden, aktivieren Sie Ihre Rollenzuweisung „Globaler Administrator“.If you are using Privileged Identity Management, deactivate your Global Administrator role assignment.

    Hinweis

    Wenn Sie Privileged Identity Management verwenden, ändert die Deaktivierung Ihrer Rollenzuweisung den Umschalter Zugriffsverwaltung für Azure-Ressourcen nicht in Nein .If you're using Privileged Identity Management, deactivating your role assignment does not change the Access management for Azure resources toggle to No . Um den Zugriff mit den geringsten Rechten zu gewähren, empfehlen wir Ihnen das Festlegen dieses Umschalters auf Nein , bevor Sie Ihre Rollenzuweisung deaktivieren.To maintain least privileged access, we recommend that you set this toggle to No before you deactivate your role assignment.

Azure PowerShellAzure PowerShell

Hinweis

Dieser Artikel wurde aktualisiert und beinhaltet jetzt das neue Az-Modul von Azure PowerShell.This article has been updated to use the new Azure PowerShell Az module. Sie können das AzureRM-Modul weiterhin verwenden, das bis mindestens Dezember 2020 weiterhin Fehlerbehebungen erhält.You can still use the AzureRM module, which will continue to receive bug fixes until at least December 2020. Weitere Informationen zum neuen Az-Modul und zur Kompatibilität mit AzureRM finden Sie unter Introducing the new Azure PowerShell Az module (Einführung in das neue Az-Modul von Azure PowerShell).To learn more about the new Az module and AzureRM compatibility, see Introducing the new Azure PowerShell Az module. Anweisungen zur Installation des Az-Moduls finden Sie unter Install Azure PowerShell (Installieren von Azure PowerShell).For Az module installation instructions, see Install Azure PowerShell.

Auflisten der Rollenzuweisung im Stammbereich (/)List role assignment at root scope (/)

Verwenden Sie den Befehl Get-AzRoleAssignment, um die Zuweisung der Rolle „Benutzerzugriffsadministrator“ für einen Benutzer im Stammbereich (/) aufzulisten.To list the User Access Administrator role assignment for a user at root scope (/), use the Get-AzRoleAssignment command.

Get-AzRoleAssignment | where {$_.RoleDefinitionName -eq "User Access Administrator" `
  -and $_.SignInName -eq "<username@example.com>" -and $_.Scope -eq "/"}
RoleAssignmentId   : /providers/Microsoft.Authorization/roleAssignments/11111111-1111-1111-1111-111111111111
Scope              : /
DisplayName        : username
SignInName         : username@example.com
RoleDefinitionName : User Access Administrator
RoleDefinitionId   : 18d7d88d-d35e-4fb5-a5c3-7773c20a72d9
ObjectId           : 22222222-2222-2222-2222-222222222222
ObjectType         : User
CanDelegate        : False

Entfernen der erhöhten ZugriffsrechteRemove elevated access

Führen Sie die folgenden Schritte aus, um die Zuweisung der Rolle „Benutzerzugriffsadministrator“ für Sie selbst oder einen anderen Benutzer im Stammbereich (/) zu entfernen.To remove the User Access Administrator role assignment for yourself or another user at root scope (/), follow these steps.

  1. Melden Sie sich als Benutzer an, der erhöhte Zugriffsrechte entfernen kann.Sign in as a user that can remove elevated access. Hierbei kann es sich um den Benutzer, der den Zugriff erhöht hat, oder einen anderen globalen Administrator handeln, der über erhöhte Zugriffsrechte im Stammbereich verfügt.This can be the same user that was used to elevate access or another Global Administrator with elevated access at root scope.

  2. Verwenden Sie den Befehl Remove-AzRoleAssignment, um die Zuweisung der Rolle „Benutzerzugriffsadministrator“ zu entfernen.Use the Remove-AzRoleAssignment command to remove the User Access Administrator role assignment.

    Remove-AzRoleAssignment -SignInName <username@example.com> `
      -RoleDefinitionName "User Access Administrator" -Scope "/"
    

Azure CLIAzure CLI

Erhöhen der Zugriffsrechte für einen globalen AdministratorElevate access for a Global Administrator

Führen Sie die folgenden grundlegenden Schritte aus, um die Zugriffsrechte für einen globalen Administrator über die Azure CLI zu erhöhen.Use the following basic steps to elevate access for a Global Administrator using the Azure CLI.

  1. Rufen Sie mit dem Befehl az rest den Endpunkt elevateAccess auf. Dadurch wird Ihnen die Rolle „Benutzerzugriffsadministrator“ im Stammbereich (/) zugewiesen.Use the az rest command to call the elevateAccess endpoint, which grants you the User Access Administrator role at root scope (/).

    az rest --method post --url "/providers/Microsoft.Authorization/elevateAccess?api-version=2016-07-01"
    
  2. Führen Sie die erforderlichen Änderungen für erhöhte Zugriffsrechte durch.Make the changes you need to make at elevated access.

    Informationen zum Zuweisen von Rollen finden Sie unter Hinzufügen oder Entfernen von Azure-Rollenzuweisungen mithilfe der Azure CLI.For information about assigning roles, see Add or remove Azure role assignments using the Azure CLI.

  3. Führen Sie die Schritte in einem späteren Abschnitt aus, um die erhöhten Zugriffsrechte zu entfernen.Perform the steps in a later section to remove your elevated access.

Auflisten der Rollenzuweisung im Stammbereich (/)List role assignment at root scope (/)

Verwenden Sie den Befehl az role assignment list, um die Zuweisung der Rolle „Benutzerzugriffsadministrator“ für einen Benutzer im Stammbereich (/) aufzulisten.To list the User Access Administrator role assignment for a user at root scope (/), use the az role assignment list command.

az role assignment list --role "User Access Administrator" --scope "/"
[
  {
    "canDelegate": null,
    "id": "/providers/Microsoft.Authorization/roleAssignments/11111111-1111-1111-1111-111111111111",
    "name": "11111111-1111-1111-1111-111111111111",
    "principalId": "22222222-2222-2222-2222-222222222222",
    "principalName": "username@example.com",
    "principalType": "User",
    "roleDefinitionId": "/providers/Microsoft.Authorization/roleDefinitions/18d7d88d-d35e-4fb5-a5c3-7773c20a72d9",
    "roleDefinitionName": "User Access Administrator",
    "scope": "/",
    "type": "Microsoft.Authorization/roleAssignments"
  }
]

Entfernen der erhöhten ZugriffsrechteRemove elevated access

Führen Sie die folgenden Schritte aus, um die Zuweisung der Rolle „Benutzerzugriffsadministrator“ für Sie selbst oder einen anderen Benutzer im Stammbereich (/) zu entfernen.To remove the User Access Administrator role assignment for yourself or another user at root scope (/), follow these steps.

  1. Melden Sie sich als Benutzer an, der erhöhte Zugriffsrechte entfernen kann.Sign in as a user that can remove elevated access. Hierbei kann es sich um den Benutzer, der den Zugriff erhöht hat, oder einen anderen globalen Administrator handeln, der über erhöhte Zugriffsrechte im Stammbereich verfügt.This can be the same user that was used to elevate access or another Global Administrator with elevated access at root scope.

  2. Verwenden Sie den Befehl az role assignment delete, um die Zuweisung der Rolle „Benutzerzugriffsadministrator“ zu entfernen.Use the az role assignment delete command to remove the User Access Administrator role assignment.

    az role assignment delete --assignee username@example.com --role "User Access Administrator" --scope "/"
    

REST-APIREST API

Erhöhen der Zugriffsrechte für einen globalen AdministratorElevate access for a Global Administrator

Führen Sie die folgenden grundlegenden Schritte aus, um mithilfe der REST-API die Zugriffsrechte für einen globalen Administrator zu erhöhen.Use the following basic steps to elevate access for a Global Administrator using the REST API.

  1. Rufen Sie mithilfe von REST elevateAccess auf. So erhalten Sie die Rolle „Benutzerzugriffsadministrator“ im Stammbereich (/).Using REST, call elevateAccess, which grants you the User Access Administrator role at root scope (/).

    POST https://management.azure.com/providers/Microsoft.Authorization/elevateAccess?api-version=2016-07-01
    
  2. Führen Sie die erforderlichen Änderungen für erhöhte Zugriffsrechte durch.Make the changes you need to make at elevated access.

    Weitere Informationen zum Zuweisen von Rollen finden Sie unter Hinzufügen oder Entfernen von Rollenzuweisungen mithilfe der REST-API.For information about assigning roles, see Add or remove Azure role assignments using the REST API.

  3. Führen Sie die Schritte in einem späteren Abschnitt aus, um die erhöhten Zugriffsrechte zu entfernen.Perform the steps in a later section to remove your elevated access.

Auflisten der Rollenzuweisungen im Stammbereich (/)List role assignments at root scope (/)

Sie können alle Rollenzuweisungen für einen Benutzer im Stammbereich (/) auflisten.You can list all of the role assignments for a user at root scope (/).

  • Rufen Sie GET roleAssignments auf. Dabei entspricht {objectIdOfUser} der Objekt-ID des Benutzers, dessen Rollenzuweisungen Sie abrufen möchten.Call GET roleAssignments where {objectIdOfUser} is the object ID of the user whose role assignments you want to retrieve.

    GET https://management.azure.com/providers/Microsoft.Authorization/roleAssignments?api-version=2015-07-01&$filter=principalId+eq+'{objectIdOfUser}'
    

Auflisten der Ablehnungszuweisungen im Stammbereich (/)List deny assignments at root scope (/)

Sie können alle Ablehnungszuweisungen für einen Benutzer im Stammbereich (/) auflisten.You can list all of the deny assignments for a user at root scope (/).

  • Rufen Sie „GET denyAssignments“ auf. Hierbei entspricht {objectIdOfUser} der Objekt-ID des Benutzers, dessen Ablehnungszuweisungen Sie abrufen möchten.Call GET denyAssignments where {objectIdOfUser} is the object ID of the user whose deny assignments you want to retrieve.

    GET https://management.azure.com/providers/Microsoft.Authorization/denyAssignments?api-version=2018-07-01-preview&$filter=gdprExportPrincipalId+eq+'{objectIdOfUser}'
    

Entfernen der erhöhten ZugriffsrechteRemove elevated access

Beim Aufruf von elevateAccess erstellen Sie eine Rollenzuweisung für sich selbst. Um diese Berechtigungen zu widerrufen, müssen Sie die Rollenzuweisung „Benutzerzugriffsadministrator“ für sich selbst im Stammbereich (/) entfernen.When you call elevateAccess, you create a role assignment for yourself, so to revoke those privileges you need to remove the User Access Administrator role assignment for yourself at root scope (/).

  1. Rufen Sie GET roleDefinitions mit „User Access Administrator“ für roleName auf, um die Namens-ID der Rolle des Benutzerzugriffsadministrators abzurufen.Call GET roleDefinitions where roleName equals User Access Administrator to determine the name ID of the User Access Administrator role.

    GET https://management.azure.com/providers/Microsoft.Authorization/roleDefinitions?api-version=2015-07-01&$filter=roleName+eq+'User Access Administrator'
    
    {
      "value": [
        {
          "properties": {
      "roleName": "User Access Administrator",
      "type": "BuiltInRole",
      "description": "Lets you manage user access to Azure resources.",
      "assignableScopes": [
        "/"
      ],
      "permissions": [
        {
          "actions": [
            "*/read",
            "Microsoft.Authorization/*",
            "Microsoft.Support/*"
          ],
          "notActions": []
        }
      ],
      "createdOn": "0001-01-01T08:00:00.0000000Z",
      "updatedOn": "2016-05-31T23:14:04.6964687Z",
      "createdBy": null,
      "updatedBy": null
          },
          "id": "/providers/Microsoft.Authorization/roleDefinitions/18d7d88d-d35e-4fb5-a5c3-7773c20a72d9",
          "type": "Microsoft.Authorization/roleDefinitions",
          "name": "18d7d88d-d35e-4fb5-a5c3-7773c20a72d9"
        }
      ],
      "nextLink": null
    }
    

    Speichern Sie die ID aus dem name-Parameter (in diesem Fall 18d7d88d-d35e-4fb5-a5c3-7773c20a72d9).Save the ID from the name parameter, in this case 18d7d88d-d35e-4fb5-a5c3-7773c20a72d9.

  2. Außerdem müssen Sie die Rollenzuweisung für den Verzeichnisadministrator im Verzeichnisbereich auflisten.You also need to list the role assignment for the directory administrator at directory scope. Listen Sie alle Zuweisungen im Verzeichnisbereich für principalId des Verzeichnisadministrators auf, der den Aufruf mit erhöhten Zugriffsrechten vorgenommen hat.List all assignments at directory scope for the principalId of the directory administrator who made the elevate access call. Dadurch werden alle Zuweisungen im Verzeichnis für „objectid“ aufgelistet.This will list all assignments in the directory for the objectid.

    GET https://management.azure.com/providers/Microsoft.Authorization/roleAssignments?api-version=2015-07-01&$filter=principalId+eq+'{objectid}'
    

    Hinweis

    Ein Verzeichnisadministrator sollte nicht über zu viele Zuweisungen verfügen. Wenn die obige Abfrage zu viele Zuweisungen zurückgibt, können Sie auch Abfragen für alle Zuweisungen auf der Verzeichnisbereichsebene durchführen und dann die Ergebnisse filtern: GET https://management.azure.com/providers/Microsoft.Authorization/roleAssignments?api-version=2015-07-01&$filter=atScope()A directory administrator should not have many assignments, if the previous query returns too many assignments, you can also query for all assignments just at directory scope level, then filter the results: GET https://management.azure.com/providers/Microsoft.Authorization/roleAssignments?api-version=2015-07-01&$filter=atScope()

  3. Mit den oben aufgeführten Aufrufe wird eine Liste von Rollenzuweisungen zurückgegeben.The previous calls return a list of role assignments. Suchen Sie die Rollenzuweisung, bei der der Bereich "/" lautet und roleDefinitionId mit der Rollennamen-ID endet, die Sie in Schritt 1 ermittelt haben, und principalId der Objekt-ID des Verzeichnisadministrators entspricht.Find the role assignment where the scope is "/" and the roleDefinitionId ends with the role name ID you found in step 1 and principalId matches the objectId of the directory administrator.

    Beispielrollenzuweisung:Sample role assignment:

    {
      "value": [
        {
          "properties": {
            "roleDefinitionId": "/providers/Microsoft.Authorization/roleDefinitions/18d7d88d-d35e-4fb5-a5c3-7773c20a72d9",
            "principalId": "{objectID}",
            "scope": "/",
            "createdOn": "2016-08-17T19:21:16.3422480Z",
            "updatedOn": "2016-08-17T19:21:16.3422480Z",
            "createdBy": "22222222-2222-2222-2222-222222222222",
            "updatedBy": "22222222-2222-2222-2222-222222222222"
          },
          "id": "/providers/Microsoft.Authorization/roleAssignments/11111111-1111-1111-1111-111111111111",
          "type": "Microsoft.Authorization/roleAssignments",
          "name": "11111111-1111-1111-1111-111111111111"
        }
      ],
      "nextLink": null
    }
    

    Speichern Sie erneut die ID aus dem name-Parameter (in diesem Fall „11111111-1111-1111-1111-111111111111“).Again, save the ID from the name parameter, in this case 11111111-1111-1111-1111-111111111111.

  4. Verwenden Sie abschließend die Rollenzuweisungs-ID, um die durch elevateAccess hinzugefügte Zuweisung zu entfernen:Finally, Use the role assignment ID to remove the assignment added by elevateAccess:

    DELETE https://management.azure.com/providers/Microsoft.Authorization/roleAssignments/11111111-1111-1111-1111-111111111111?api-version=2015-07-01
    

Nächste SchritteNext steps