Erhöhen der Zugriffsrechte zum Verwalten aller Azure-Abonnements und Verwaltungsgruppen

Als globaler Administrator in Azure Active Directory (Azure AD) haben Sie möglicherweise keinen Zugriff auf alle Abonnements und Verwaltungsgruppen in Ihrem Verzeichnis. In diesem Artikel erfahren Sie, wie Sie Ihren Zugriff auf alle Abonnements und Verwaltungsgruppen erhöhen.

Hinweis

Informationen über Anzeigen oder Löschen von personenbezogenen Daten finden Sie unter Anträge betroffener Personen für Azure im Rahmen der DSGVO. Weitere Informationen zur DSGVO finden Sie im Abschnitt zur DSGVO im Microsoft Trust Center und im Abschnitt zur DSGVO im Service Trust Portal.

In welchen Fällen müssen Sie Ihren Zugriff erhöhen?

Wenn Sie globaler Administrator sind, müssen Sie unter Umständen folgende Aktionen ausführen:

  • Wiedererlangen des Zugriffs auf ein Azure-Abonnement oder eine Verwaltungsgruppe, wenn ein Benutzer keinen Zugriff mehr hat
  • Gewähren des Zugriffs auf ein Azure-Abonnement oder eine Verwaltungsgruppe für einen anderen Benutzer oder Sie selbst
  • Anzeigen aller Azure-Abonnements oder Verwaltungsgruppen in einer Organisation
  • Zulassen des Zugriffs auf alle Azure-Abonnements oder Verwaltungsgruppen für eine Automation-App (etwa eine App für die Rechnungsstellung oder Überwachung)

Wie erhöhe ich den Zugriff?

Azure AD und Azure-Ressourcen werden unabhängig voneinander geschützt. Das bedeutet, dass Azure AD-Rollenzuweisungen keinen Zugriff auf Azure-Ressourcen gewähren und Azure-Rollenzuweisungen keinen Zugriff auf Azure AD. Wenn Sie jedoch globaler Administrator in Azure AD sind, können Sie sich selbst Zugriff auf alle Azure-Abonnements und Verwaltungsgruppen in Ihrem Verzeichnis zuweisen. Verwenden Sie diese Funktion, wenn Sie keinen Zugriff auf Azure-Abonnementressourcen wie virtuelle Computer oder Speicherkonten haben und Sie Ihre globalen Administratorrechte verwenden möchten, um Zugriff auf diese Ressourcen zu erhalten.

Wenn Sie Ihre Zugriffsrechte erhöhen, wird Ihnen die Rolle Benutzerzugriffsadministrator in Azure für den Stammbereich (/) zugewiesen. Auf diese Weise können Sie alle Ressourcen anzeigen und den Zugriff in jeder Abonnement- oder Verwaltungsgruppe im Verzeichnis zuweisen. Die Rollenzuweisung „Benutzerzugriffsadministrator“ kann mit Azure PowerShell, der Azure-Befehlszeilenschnittstelle oder der REST-API entfernt werden.

Sie sollten dieses erhöhte Zugriffsrecht entfernen, sobald Sie die Änderungen vorgenommen haben, die im Stammbereich erforderlich sind.

Erhöhen von Zugriffsrechten

Azure-Portal

Erhöhen der Zugriffsrechte für einen globalen Administrator

Führen Sie diese Schritte aus, um die Zugriffsrechte für einen globalen Administrator mit dem Azure-Portal zu erhöhen.

  1. Melden Sie sich beim Azure-Portal oder Azure Active Directory Admin Center als globaler Administrator an.

    Wenn Sie Azure AD Privileged Identity Management verwenden, aktivieren Sie Ihre Rollenzuweisung „Globaler Administrator“.

  2. Öffnen Sie Azure Active Directory.

  3. Wählen Sie unter Verwalten die Option Eigenschaften aus.

    Auswählen des Azure Active Directory-Fensters „Eigenschaften“ (Screenshot)

  4. Wählen Sie unter Zugriffsverwaltung für Azure-Ressourcen die Option Ja.

    Zugriffsverwaltung für Azure-Ressourcen – Screenshot

    Wenn Sie Ja auswählen, wird Ihnen in Azure RBAC im Stammbereich (/) die Rolle „Benutzerzugriffsadministrator“ zugewiesen. Dadurch erhalten Sie die Berechtigung, Rollen in allen Azure-Abonnements und Verwaltungsgruppen zuzuweisen, die diesem Azure AD-Verzeichnis zugeordnet sind. Diese Option ist nur für Benutzer verfügbar, denen in Azure AD die Rolle des globalen Administrators zugewiesen wurde.

    Wenn Sie Nein festlegen, wird die Rolle „Benutzerzugriffsadministrator“ in Azure RBAC aus Ihrem Benutzerkonto entfernt. Sie können dann keine Rollen mehr in allen Azure-Abonnements und Verwaltungsgruppen zuweisen, die diesem Azure AD-Verzeichnis zugeordnet sind. Sie können nur die Azure-Abonnements und Verwaltungsgruppen anzeigen und verwalten, für die Ihnen der Zugriff gewährt wurde.

    Hinweis

    Wenn Sie Privileged Identity Management verwenden, ändert die Deaktivierung Ihrer Rollenzuweisung den Umschalter Zugriffsverwaltung für Azure-Ressourcen nicht in Nein. Um den Zugriff mit den geringsten Rechten zu gewähren, empfehlen wir Ihnen das Festlegen dieses Umschalters auf Nein, bevor Sie Ihre Rollenzuweisung deaktivieren.

  5. Klicken Sie auf Speichern, um Ihre Einstellung zu speichern.

    Diese Einstellung ist keine globale Eigenschaft und gilt nur für den aktuell angemeldeten Benutzer. Sie können den Zugriff nicht für alle Mitglieder der globalen Administratorrolle erhöhen.

  6. Melden Sie sich ab und wieder an, um den Zugriff zu aktualisieren.

    Sie sollten jetzt auf alle Azure-Abonnements und Verwaltungsgruppen in Ihrem Verzeichnis zugreifen können. Wenn Sie den Bereich „Zugriffssteuerung (IAM)“ anzeigen, werden Sie feststellen, dass Ihnen die Rolle „Benutzerzugriffsadministrator“ im Stammbereich zugewiesen wurde.

    Screenshot: Zuweisen von Abonnementrollen im Stammbereich

  7. Führen Sie die erforderlichen Änderungen für erhöhte Zugriffsrechte durch.

    Weitere Informationen zum Zuweisen von Rollen finden Sie unter Zuweisen von Azure-Rollen mit dem Azure-Portal. Wenn Sie Privileged Identity Management verwenden, lesen Sie Ermitteln von Azure-Ressourcen zur Verwaltung oder Zuweisen von Azure-Ressourcenrollen.

  8. Führen Sie die Schritte im folgenden Abschnitt aus, um die erhöhten Zugriffsrechte zu entfernen.

Entfernen der erhöhten Zugriffsrechte

Führen Sie die folgenden Schritte aus, um die Zuweisung der Rolle „Benutzerzugriffsadministrator“ im Stammbereich (/) zu entfernen.

  1. Melden Sie sich als derselbe Benutzer an, mit dem der Zugriff erhöht wurde.

  2. Klicken Sie in der Navigationsliste auf Azure Active Directory und dann auf Eigenschaften.

  3. Ändern Sie die Option Zugriffsverwaltung für Azure-Ressourcen wieder in Nein. Da es sich um eine benutzerspezifische Einstellung handelt, müssen Sie als der Benutzer angemeldet sein, der den Zugriff erhöht hat.

    Wenn Sie versuchen, die Rollenzuweisung „Benutzerzugriffsadministrator“ im Bereich „Zugriffssteuerung (IAM)“ zu entfernen, wird die folgende Meldung angezeigt. Um die Rollenzuweisung zu entfernen, müssen Sie den Umschalter wieder auf Nein festlegen oder Azure PowerShell, die Azure-Befehlszeilenschnittstelle oder die REST-API verwenden.

    Entfernen von Rollenzuweisungen im Stammbereich

  4. Melden Sie sich als „Globaler Administrator“ ab.

    Wenn Sie Privileged Identity Management verwenden, aktivieren Sie Ihre Rollenzuweisung „Globaler Administrator“.

    Hinweis

    Wenn Sie Privileged Identity Management verwenden, ändert die Deaktivierung Ihrer Rollenzuweisung den Umschalter Zugriffsverwaltung für Azure-Ressourcen nicht in Nein. Um den Zugriff mit den geringsten Rechten zu gewähren, empfehlen wir Ihnen das Festlegen dieses Umschalters auf Nein, bevor Sie Ihre Rollenzuweisung deaktivieren.

Azure PowerShell

Hinweis

Dieser Artikel wurde mit der Verwendung des Azure Az PowerShell-Moduls aktualisiert. Das Azure Az PowerShell-Modul wird für die Interaktion mit Azure empfohlen. Informationen zu den ersten Schritten mit dem Az PowerShell-Modul finden Sie unter Installieren von Azure PowerShell. Informationen zum Migrieren zum Az PowerShell-Modul finden Sie unter Migrieren von Azure PowerShell von AzureRM zum Az-Modul.

Auflisten der Rollenzuweisung im Stammbereich (/)

Verwenden Sie den Befehl Get-AzRoleAssignment, um die Zuweisung der Rolle „Benutzerzugriffsadministrator“ für einen Benutzer im Stammbereich (/) aufzulisten.

Get-AzRoleAssignment | where {$_.RoleDefinitionName -eq "User Access Administrator" `
  -and $_.SignInName -eq "<username@example.com>" -and $_.Scope -eq "/"}
RoleAssignmentId   : /providers/Microsoft.Authorization/roleAssignments/11111111-1111-1111-1111-111111111111
Scope              : /
DisplayName        : username
SignInName         : username@example.com
RoleDefinitionName : User Access Administrator
RoleDefinitionId   : 18d7d88d-d35e-4fb5-a5c3-7773c20a72d9
ObjectId           : 22222222-2222-2222-2222-222222222222
ObjectType         : User
CanDelegate        : False

Entfernen der erhöhten Zugriffsrechte

Führen Sie die folgenden Schritte aus, um die Zuweisung der Rolle „Benutzerzugriffsadministrator“ für Sie selbst oder einen anderen Benutzer im Stammbereich (/) zu entfernen.

  1. Melden Sie sich als Benutzer an, der erhöhte Zugriffsrechte entfernen kann. Hierbei kann es sich um den Benutzer, der den Zugriff erhöht hat, oder einen anderen globalen Administrator handeln, der über erhöhte Zugriffsrechte im Stammbereich verfügt.

  2. Verwenden Sie den Befehl Remove-AzRoleAssignment, um die Zuweisung der Rolle „Benutzerzugriffsadministrator“ zu entfernen.

    Remove-AzRoleAssignment -SignInName <username@example.com> `
      -RoleDefinitionName "User Access Administrator" -Scope "/"
    

Azure CLI

Erhöhen der Zugriffsrechte für einen globalen Administrator

Führen Sie die folgenden grundlegenden Schritte aus, um die Zugriffsrechte für einen globalen Administrator über die Azure CLI zu erhöhen.

  1. Rufen Sie mit dem Befehl az rest den Endpunkt elevateAccess auf. Dadurch wird Ihnen die Rolle „Benutzerzugriffsadministrator“ im Stammbereich (/) zugewiesen.

    az rest --method post --url "/providers/Microsoft.Authorization/elevateAccess?api-version=2016-07-01"
    
  2. Führen Sie die erforderlichen Änderungen für erhöhte Zugriffsrechte durch.

    Informationen zum Zuweisen von Rollen finden Sie unter Zuweisen von Azure-Rollen mithilfe der Azure CLI.

  3. Führen Sie die Schritte in einem späteren Abschnitt aus, um die erhöhten Zugriffsrechte zu entfernen.

Auflisten der Rollenzuweisung im Stammbereich (/)

Verwenden Sie den Befehl az role assignment list, um die Zuweisung der Rolle „Benutzerzugriffsadministrator“ für einen Benutzer im Stammbereich (/) aufzulisten.

az role assignment list --role "User Access Administrator" --scope "/"
[
  {
    "canDelegate": null,
    "id": "/providers/Microsoft.Authorization/roleAssignments/11111111-1111-1111-1111-111111111111",
    "name": "11111111-1111-1111-1111-111111111111",
    "principalId": "22222222-2222-2222-2222-222222222222",
    "principalName": "username@example.com",
    "principalType": "User",
    "roleDefinitionId": "/providers/Microsoft.Authorization/roleDefinitions/18d7d88d-d35e-4fb5-a5c3-7773c20a72d9",
    "roleDefinitionName": "User Access Administrator",
    "scope": "/",
    "type": "Microsoft.Authorization/roleAssignments"
  }
]

Entfernen der erhöhten Zugriffsrechte

Führen Sie die folgenden Schritte aus, um die Zuweisung der Rolle „Benutzerzugriffsadministrator“ für Sie selbst oder einen anderen Benutzer im Stammbereich (/) zu entfernen.

  1. Melden Sie sich als Benutzer an, der erhöhte Zugriffsrechte entfernen kann. Hierbei kann es sich um den Benutzer, der den Zugriff erhöht hat, oder einen anderen globalen Administrator handeln, der über erhöhte Zugriffsrechte im Stammbereich verfügt.

  2. Verwenden Sie den Befehl az role assignment delete, um die Zuweisung der Rolle „Benutzerzugriffsadministrator“ zu entfernen.

    az role assignment delete --assignee username@example.com --role "User Access Administrator" --scope "/"
    

REST-API

Erhöhen der Zugriffsrechte für einen globalen Administrator

Führen Sie die folgenden grundlegenden Schritte aus, um mithilfe der REST-API die Zugriffsrechte für einen globalen Administrator zu erhöhen.

  1. Rufen Sie mithilfe von REST elevateAccess auf. So erhalten Sie die Rolle „Benutzerzugriffsadministrator“ im Stammbereich (/).

    POST https://management.azure.com/providers/Microsoft.Authorization/elevateAccess?api-version=2016-07-01
    
  2. Führen Sie die erforderlichen Änderungen für erhöhte Zugriffsrechte durch.

    Weitere Informationen zum Zuweisen von Rollen finden Sie unter Zuweisen von Azure-Rollen mit der REST-API.

  3. Führen Sie die Schritte in einem späteren Abschnitt aus, um die erhöhten Zugriffsrechte zu entfernen.

Auflisten der Rollenzuweisungen im Stammbereich (/)

Sie können alle Rollenzuweisungen für einen Benutzer im Stammbereich (/) auflisten.

  • Rufen Sie GET roleAssignments auf. Dabei entspricht {objectIdOfUser} der Objekt-ID des Benutzers, dessen Rollenzuweisungen Sie abrufen möchten.

    GET https://management.azure.com/providers/Microsoft.Authorization/roleAssignments?api-version=2015-07-01&$filter=principalId+eq+'{objectIdOfUser}'
    

Auflisten der Ablehnungszuweisungen im Stammbereich (/)

Sie können alle Ablehnungszuweisungen für einen Benutzer im Stammbereich (/) auflisten.

  • Rufen Sie „GET denyAssignments“ auf. Hierbei entspricht {objectIdOfUser} der Objekt-ID des Benutzers, dessen Ablehnungszuweisungen Sie abrufen möchten.

    GET https://management.azure.com/providers/Microsoft.Authorization/denyAssignments?api-version=2018-07-01-preview&$filter=gdprExportPrincipalId+eq+'{objectIdOfUser}'
    

Entfernen der erhöhten Zugriffsrechte

Beim Aufruf von elevateAccess erstellen Sie eine Rollenzuweisung für sich selbst. Um diese Berechtigungen zu widerrufen, müssen Sie die Rollenzuweisung „Benutzerzugriffsadministrator“ für sich selbst im Stammbereich (/) entfernen.

  1. Rufen Sie GET roleDefinitions mit „User Access Administrator“ für roleName auf, um die Namens-ID der Rolle des Benutzerzugriffsadministrators abzurufen.

    GET https://management.azure.com/providers/Microsoft.Authorization/roleDefinitions?api-version=2015-07-01&$filter=roleName+eq+'User Access Administrator'
    
    {
      "value": [
        {
          "properties": {
      "roleName": "User Access Administrator",
      "type": "BuiltInRole",
      "description": "Lets you manage user access to Azure resources.",
      "assignableScopes": [
        "/"
      ],
      "permissions": [
        {
          "actions": [
            "*/read",
            "Microsoft.Authorization/*",
            "Microsoft.Support/*"
          ],
          "notActions": []
        }
      ],
      "createdOn": "0001-01-01T08:00:00.0000000Z",
      "updatedOn": "2016-05-31T23:14:04.6964687Z",
      "createdBy": null,
      "updatedBy": null
          },
          "id": "/providers/Microsoft.Authorization/roleDefinitions/18d7d88d-d35e-4fb5-a5c3-7773c20a72d9",
          "type": "Microsoft.Authorization/roleDefinitions",
          "name": "18d7d88d-d35e-4fb5-a5c3-7773c20a72d9"
        }
      ],
      "nextLink": null
    }
    

    Speichern Sie die ID aus dem name-Parameter (in diesem Fall 18d7d88d-d35e-4fb5-a5c3-7773c20a72d9).

  2. Außerdem müssen Sie die Rollenzuweisung für den Verzeichnisadministrator im Verzeichnisbereich auflisten. Listen Sie alle Zuweisungen im Verzeichnisbereich für principalId des Verzeichnisadministrators auf, der den Aufruf mit erhöhten Zugriffsrechten vorgenommen hat. Dadurch werden alle Zuweisungen im Verzeichnis für „objectid“ aufgelistet.

    GET https://management.azure.com/providers/Microsoft.Authorization/roleAssignments?api-version=2015-07-01&$filter=principalId+eq+'{objectid}'
    

    Hinweis

    Ein Verzeichnisadministrator sollte nicht über zu viele Zuweisungen verfügen. Wenn die obige Abfrage zu viele Zuweisungen zurückgibt, können Sie auch Abfragen für alle Zuweisungen auf der Verzeichnisbereichsebene durchführen und dann die Ergebnisse filtern: GET https://management.azure.com/providers/Microsoft.Authorization/roleAssignments?api-version=2015-07-01&$filter=atScope()

  3. Mit den oben aufgeführten Aufrufe wird eine Liste von Rollenzuweisungen zurückgegeben. Suchen Sie die Rollenzuweisung, bei der der Bereich "/" lautet und roleDefinitionId mit der Rollennamen-ID endet, die Sie in Schritt 1 ermittelt haben, und principalId der Objekt-ID des Verzeichnisadministrators entspricht.

    Beispielrollenzuweisung:

    {
      "value": [
        {
          "properties": {
            "roleDefinitionId": "/providers/Microsoft.Authorization/roleDefinitions/18d7d88d-d35e-4fb5-a5c3-7773c20a72d9",
            "principalId": "{objectID}",
            "scope": "/",
            "createdOn": "2016-08-17T19:21:16.3422480Z",
            "updatedOn": "2016-08-17T19:21:16.3422480Z",
            "createdBy": "22222222-2222-2222-2222-222222222222",
            "updatedBy": "22222222-2222-2222-2222-222222222222"
          },
          "id": "/providers/Microsoft.Authorization/roleAssignments/11111111-1111-1111-1111-111111111111",
          "type": "Microsoft.Authorization/roleAssignments",
          "name": "11111111-1111-1111-1111-111111111111"
        }
      ],
      "nextLink": null
    }
    

    Speichern Sie erneut die ID aus dem name-Parameter (in diesem Fall „11111111-1111-1111-1111-111111111111“).

  4. Verwenden Sie abschließend die Rollenzuweisungs-ID, um die durch elevateAccess hinzugefügte Zuweisung zu entfernen:

    DELETE https://management.azure.com/providers/Microsoft.Authorization/roleAssignments/11111111-1111-1111-1111-111111111111?api-version=2015-07-01
    

Nächste Schritte