Hinzufügen oder Entfernen von Rollenzuweisungen mithilfe von Azure RBAC und dem Azure-PortalAdd or remove role assignments using Azure RBAC and the Azure portal

Azure role-based access control (RBAC) (rollenbasierte Zugriffssteuerung) ist das Autorisierungssystem für die Verwaltung des Zugriffs auf Azure-Ressourcen.Azure role-based access control (RBAC) is the authorization system you use to manage access to Azure resources. Sie weisen Benutzern, Gruppen, Dienstprinzipalen oder verwalteten Identitäten für einen bestimmten Bereich Rollen zu, um diesen Zugriff zu gewähren.To grant access, you assign roles to users, groups, service principals, or managed identities at a particular scope. In diesem Artikel wird die Zuweisung von Rollen über das Azure-Portal beschrieben.Azure role-based access control (RBAC) (rollenbasierte Zugriffssteuerung) ist das Autorisierungssystem für die Verwaltung des Zugriffs auf Azure-Ressourcen.Azure role-based access control (RBAC) is the authorization system you use to manage access to Azure resources. Sie weisen Benutzern, Gruppen, Dienstprinzipalen oder verwalteten Identitäten für einen bestimmten Bereich Rollen zu, um diesen Zugriff zu gewähren.To grant access, you assign roles to users, groups, service principals, or managed identities at a particular scope. This article describes how to assign roles using the Azure portal.

Anweisungen zum Zuweisen von Administratorrollen zu einem Benutzer in Azure Active Directory finden Sie unter Anzeigen und Zuweisen von Administratorrollen in Azure Active Directory.If you need to assign administrator roles in Azure Active Directory, see View and assign administrator roles in Azure Active Directory.

VoraussetzungenPrerequisites

Um Rollenzuweisungen hinzufügen oder entfernen zu können, benötigen Sie Folgendes:To add or remove role assignments, you must have:

Übersicht der Zugriffssteuerung (IAM)Overview of Access control (IAM)

Auf dem Blatt Zugriffssteuerung (IAM) weisen Sie Rollen zu.Access control (IAM) is the blade that you use to assign roles. Es wird auch als Identitäts- und Zugriffsverwaltung bezeichnet und erscheint an mehreren Stellen im Azure-Portal.It's also known as identity and access management and appears in several locations in the Azure portal. Nachfolgend wird ein Beispiel für das Blatt „Zugriffssteuerung (IAM)“ für ein Abonnement gezeigt.The following shows an example of the Access control (IAM) blade for a subscription.

Blatt „Zugriffssteuerung (IAM)“ für ein Abonnement

Um das Blatt „Zugriffssteuerung (IAM)“ am effektivsten zu verwenden, ist es nützlich, beim Versuch, eine Rolle zuzuweisen, die folgenden drei Fragen zu beantworten:To be the most effective with the Access control (IAM) blade, it helps if you can answer the following three questions when you are trying to assign a role:

  1. Wer benötigt Zugriff?Who needs access?

    „Wer“ bezieht sich auf einen Benutzer, eine Gruppe, einen Dienstprinzipal oder eine verwaltete Identität.Who refers to a user, group, service principal, or managed identity. Dies wird auch als Sicherheitsprinzipal bezeichnet.This is also called a security principal.

  2. Welche Rolle benötigen die Personen?What role do they need?

    Berechtigungen sind in Rollen zusammengefasst.Permissions are grouped together into roles. Sie können in einer Liste von verschiedenen integrierten Rollen auswählen oder eigene benutzerdefinierte Rollen verwenden.You can select from a list of several built-in roles or you use your own custom roles.

  3. Wo wird der Zugriff benötigt?Where do they need access?

    „Wo“ bezieht sich auf einen Ressourcensatz, für den der Zugriff gilt.Where refers to the set of resources that the access applies to. „Wo“ kann eine Verwaltungsgruppe, ein Abonnement, eine Ressourcengruppe oder eine einzelne Ressource, z.B. ein Speicherkonto, sein.Where can be a management group, subscription, resource group, or a single resource such as a storage account. Dies wird als der Bereich bezeichnet.This is called the scope.

Hinzufügen einer RollenzuweisungAdd a role assignment

Gehen Sie wie folgt vor, um eine Rolle für verschiedene Bereiche zuzuweisen.Follow these steps to assign a role at different scopes.

  1. Klicken Sie im Azure-Portal auf Alle Dienste, und wählen Sie anschließend den Bereich aus.In the Azure portal, click All services and then select the scope. Sie können beispielsweise Verwaltungsgruppen, Abonnements, Ressourcengruppen oder eine Ressource auswählen.For example, you can select Management groups, Subscriptions, Resource groups, or a resource.

  2. Klicken Sie auf die gewünschte Ressource.Click the specific resource.

  3. Klicken Sie auf Zugriffssteuerung (IAM) .Click Access control (IAM).

  4. Klicken Sie auf die Registerkarte Rollenzuweisungen, um alle Rollenzuweisungen für diesen Bereich anzuzeigen.Click the Role assignments tab to view all the role assignments at this scope.

  5. Klicken Sie auf Hinzufügen > Rollenzuweisung hinzufügen, um den Bereich „Rollenzuweisung hinzufügen“ zu öffnen.Click Add > Add role assignment to open the Add role assignment pane.

    Wenn Sie keine Berechtigungen zum Zuweisen von Rollen haben, ist die Option „Rollenzuweisung hinzufügen“ deaktiviert.If you don't have permissions to assign roles, the Add role assignment option will be disabled.

    Menü „Hinzufügen“

    Bereich „Rollenzuweisung hinzufügen“

  6. Wählen Sie in der Dropdownliste Rolle eine Rolle aus, etwa Mitwirkender für virtuelle Computer.In the Role drop-down list, select a role such as Virtual Machine Contributor.

  7. Wählen Sie in der Liste Auswählen einen Benutzer, eine Gruppe, einen Dienstprinzipal oder eine verwaltete Identität aus.In the Select list, select a user, group, service principal, or managed identity. Wird der Sicherheitsprinzipal in der Liste nicht angezeigt, können Sie im Feld Auswählen einen Begriff eingeben, um das Verzeichnis nach Anzeigenamen, E-Mail-Adressen und Objektbezeichner zu durchsuchen.If you don't see the security principal in the list, you can type in the Select box to search the directory for display names, email addresses, and object identifiers.

  8. Klicken Sie auf Speichern, um die Rolle zuzuweisen.Click Save to assign the role.

    Nach einigen Augenblicken wird dem Sicherheitsprinzipal die Rolle für den Bereich zugewiesen.After a few moments, the security principal is assigned the role at the selected scope.

Zuweisen eines Benutzers als Administrator eines AbonnementsAssign a user as an administrator of a subscription

Um einen Benutzer zum Administrator eines Azure-Abonnements zu machen, weisen Sie ihm die Rolle Besitzer im Abonnementbereich zu.To make a user an administrator of an Azure subscription, assign them the Owner role at the subscription scope. Durch die Rolle „Besitzer“ erhält der Benutzer Vollzugriff auf alle Ressourcen im Abonnement, einschließlich der Berechtigung, anderen Personen den Zugriff zu gewähren.The Owner role gives the user full access to all resources in the subscription, including the permission to grant access to others. Diese Schritte sind identisch mit allen anderen Rollenzuweisungen.These steps are the same as any other role assignment.

  1. Klicken Sie im Azure-Portal auf Alle Dienste und anschließend auf Abonnements.In the Azure portal, click All services and then Subscriptions.

  2. Klicken Sie auf das Abonnement, in dem Sie eine Rollenzuweisung hinzufügen möchten.Click the subscription where you want to add a role assignment.

  3. Klicken Sie auf Zugriffssteuerung (IAM) .Click Access control (IAM).

  4. Klicken Sie auf die Registerkarte Rollenzuweisungen, um alle Rollenzuweisungen für dieses Abonnement anzuzeigen.Click the Role assignments tab to view all the role assignments for this subscription.

  5. Klicken Sie auf Hinzufügen > Rollenzuweisung hinzufügen, um den Bereich „Rollenzuweisung hinzufügen“ zu öffnen.Click Add > Add role assignment to open the Add role assignment pane.

    Wenn Sie keine Berechtigungen zum Zuweisen von Rollen haben, ist die Option „Rollenzuweisung hinzufügen“ deaktiviert.If you don't have permissions to assign roles, the Add role assignment option will be disabled.

    Menü „Hinzufügen“

    Bereich „Rollenzuweisung hinzufügen“

  6. Wählen Sie in der Dropdownliste Rolle die Option Besitzer aus.In the Role drop-down list, select the Owner role.

  7. Wählen Sie in der Liste Auswählen einen Benutzer aus.In the Select list, select a user. Wird der Benutzer in der Liste nicht angezeigt, können Sie im Feld Auswählen einen Suchbegriff eingeben, um das Verzeichnis nach Anzeigenamen und E-Mail-Adressen zu durchsuchen.If you don't see the user in the list, you can type in the Select box to search the directory for display names and email addresses.

  8. Klicken Sie auf Speichern, um die Rolle zuzuweisen.Click Save to assign the role.

    Nach einigen Augenblicken wird dem Benutzer im Abonnementbereich die Rolle „Besitzer“ zugewiesen.After a few moments, the user is assigned the Owner role at the subscription scope.

Entfernen einer RollenzuweisungRemove a role assignment

In RBAC entfernen Sie eine Rollenzuweisung, um den Zugriff zu entfernen.In RBAC, to remove access, you remove a role assignment. Führen Sie die folgenden Schritte aus, um eine Rollenzuweisung zu entfernen.Follow these steps to remove a role assignment.

  1. Öffnen Sie das Blatt Zugriffssteuerung (IAM) für einen Bereich, z.B. für eine Verwaltungsgruppe, ein Abonnement, eine Ressourcengruppe oder eine Ressource, für das bzw. die Sie den Zugriff entfernen möchten.Open Access control (IAM) at a scope, such as management group, subscription, resource group, or resource, where you want to remove access.

  2. Klicken Sie auf die Registerkarte Rollenzuweisungen, um alle Rollenzuweisungen für dieses Abonnement anzuzeigen.Click the Role assignments tab to view all the role assignments for this subscription.

  3. Aktivieren Sie in der Liste der Rollenzuweisungen den Sicherheitsprinzipal mit der zu entfernenden Rollenzuweisung.In the list of role assignments, add a checkmark next to the security principal with the role assignment you want to remove.

    Nachricht zum Entfernen der Rollenzuweisung

  4. Klicken Sie auf Entfernen.Click Remove.

    Nachricht zum Entfernen der Rollenzuweisung

  5. Klicken Sie in der angezeigten Meldung zum Entfernen der Rollenzuweisung auf Ja.In the remove role assignment message that appears, click Yes.

    Geerbte Rollenzuweisungen können nicht entfernt werden.Inherited role assignments cannot be removed. Wenn Sie eine geerbte Rollenzuweisung entfernen möchten, müssen Sie dies für den Bereich durchführen, in dem die Rollenzuweisung erstellt wurde.If you need to remove an inherited role assignment, you must do it at the scope where the role assignment was created. Die Spalte Bereich neben (Geerbt) enthält einen Link, mit dem Sie zum Bereich gelangen, in dem diese Rolle zugewiesen wurde.In the Scope column, next to (Inherited) there is a link that takes you to the scope where this role was assigned. Sie können die Rollenzuweisung entfernen, indem Sie zu dem dort aufgelisteten Bereich gehen.Go to the scope listed there to remove the role assignment.

    Nachricht zum Entfernen der Rollenzuweisung

Nächste SchritteNext steps