Organisieren von Abonnements in Verwaltungsgruppen und Zuweisen von Rollen zu Benutzern

Verwalten Sie den Sicherheitsstatus Ihrer Organisation im großen Stil, indem Sie Sicherheitsrichtlinien auf alle Azure-Abonnements anwenden, die mit Ihrem Microsoft Entra-Mandanten verknüpft sind.

Für eine Sichtbarkeit des Sicherheitsstatus aller Abonnements, die mit einem Microsoft Entra-Mandanten verknüpft sind, benötigen Sie eine Azure-Rolle mit ausreichenden Leseberechtigungen, die in der Stammverwaltungsgruppe zugewiesen wurde.

Organisieren von Abonnements in Verwaltungsgruppen

Übersicht über Verwaltungsgruppen

Verwenden Sie Verwaltungsgruppen für das effiziente Verwalten von Zugriff, Richtlinien und Berichterstellung für Gruppen von Abonnements sowie das effektive Verwalten der gesamten Azure-Umgebung, indem Aktionen für die Stammverwaltungsgruppe durchgeführt werden. Sie können Abonnements in Verwaltungsgruppen organisieren und Ihre Governancerichtlinien auf die Verwaltungsgruppen anwenden. Alle Abonnements in einer Verwaltungsgruppe erben automatisch die auf die Verwaltungsgruppe angewendeten Richtlinien.

Jeder Microsoft Entra-Mandant wird einer einzelnen Verwaltungsgruppe der obersten Ebene zugewiesen, die als Stammverwaltungsgruppe bezeichnet wird. Die Stammverwaltungsgruppe ist in die Hierarchie integriert, sodass ihr alle Verwaltungsgruppen und Abonnements untergeordnet sind. Diese Gruppe ermöglicht das Anwenden von globalen Richtlinien und Azure-Rollenzuweisungen auf Verzeichnisebene.

Die Stammverwaltungsgruppe wird automatisch erstellt, wenn Sie die folgenden Aktionen durchführen:

• Wählen Sie im Azure-Portal die Option Verwaltungsgruppen aus.
• Erstellen Sie per API-Aufruf eine Verwaltungsgruppe.
• Erstellen Sie eine Verwaltungsgruppe mit PowerShell. Eine Anleitung für PowerShell finden Sie unter Erstellen von Verwaltungsgruppen zum Organisieren und Verwalten von Ressourcen.

Für das Defender für Cloud-Onboarding sind Verwaltungsgruppen zwar nicht erforderlich, aber es wird empfohlen, mindestens eine Verwaltungsgruppe zu erstellen, damit die Stammverwaltungsgruppe erstellt wird. Nachdem die Gruppe erstellt wurde, werden alle Abonnements unter Ihrem Microsoft Entra-Mandanten damit verknüpft.

Eine ausführliche Übersicht über Verwaltungsgruppen finden Sie im Artikel Organisieren Ihrer Ressourcen mit Azure-Verwaltungsgruppen.

Anzeigen und Erstellen von Verwaltungsgruppen im Azure-Portal

1. Melden Sie sich beim Azure-Portal an.

2. Suchen Sie nach Verwaltungsgruppen, und wählen Sie diese aus.

3. Zum Erstellen einer Verwaltungsgruppe wählen Sie Erstellen aus, geben die erforderlichen Informationen ein und wählen dann Senden aus.

   

   • Die ID der Verwaltungsgruppe ist der eindeutige Bezeichner des Verzeichnisses, der zum Übermitteln von Befehlen für diese Verwaltungsgruppe verwendet wird. Dieser Bezeichner kann nach der Erstellung nicht bearbeitet werden, da er im gesamten Azure-System zum Identifizieren dieser Gruppe verwendet wird.

   • Im Feld für den Anzeigenamen wird der Name angegeben, der im Azure-Portal angezeigt wird. Beim Erstellen der Verwaltungsgruppe gibt es ein optionales Feld für einen separaten Anzeigenamen, der jederzeit geändert werden kann.

Hinzufügen von Abonnements zu einer Verwaltungsgruppe

Sie können Abonnements der von Ihnen erstellten Verwaltungsgruppe hinzufügen.

1. Melden Sie sich beim Azure-Portal an.

2. Suchen Sie nach Verwaltungsgruppen, und wählen Sie diese aus.

3. Wählen Sie die Verwaltungsgruppe für Ihr Abonnement aus.

4. Wenn die Seite der Gruppe geöffnet wird, wählen Sie Abonnements aus.

5. Wählen Sie auf der Abonnementseite die Option Hinzufügen aus, wählen Sie Ihre Abonnements aus und wählen Sie dann Speichern aus. Wiederholen Sie diese Schritte, bis Sie alle betreffenden Abonnements hinzugefügt haben.

   

   Wichtig

   Verwaltungsgruppen können sowohl Abonnements als auch untergeordnete Verwaltungsgruppen enthalten. Wenn Sie einem Benutzer eine Azure-Rolle für die übergeordnete Verwaltungsgruppe zuweisen, wird der Zugriff von den Abonnements der untergeordneten Verwaltungsgruppe geerbt. Richtlinien, die für die übergeordnete Verwaltungsgruppe festgelegt werden, werden ebenfalls von den untergeordneten Elementen geerbt.

Zuweisen von Azure-Rollen zu anderen Benutzern

Zuweisen von Azure-Rollen für Benutzer*innen über das Azure-Portal

1. Melden Sie sich beim Azure-Portal an.

2. Suchen Sie nach Verwaltungsgruppen, und wählen Sie diese aus.

3. Wählen Sie die entsprechende Verwaltungsgruppe aus.

4. Wählen Sie Zugriffssteuerung (IAM) aus, öffnen Sie die Registerkarte Rollenzuweisungen und wählen Sie Hinzufügen>Rollenzuweisung hinzufügen aus.

   

5. Wählen Sie auf der Seite Rollenzuweisung hinzufügen die entsprechende Rolle aus.

   

6. Wählen Sie auf der Registerkarte Mitglieder die Option + Mitglieder auswählen aus und weisen Sie die Rolle den entsprechenden Mitgliedern zu.

7. Wählen Sie auf der Registerkarte Überprüfen und zuweisen die Option Überprüfen und zuweisen aus, um die Rolle zuzuweisen.

Zuweisen von Azure-Rollen für Benutzer*innen mit PowerShell

1. Installieren Sie Azure PowerShell.

2. Führen Sie die folgenden Befehle aus:

   # Login to Azure as a Global Administrator user
   Connect-AzAccount
   

3. Melden Sie sich mit den Anmeldeinformationen des globalen Administrators an, wenn Sie dazu aufgefordert werden.

   

4. Gewähren Sie die Berechtigungen der Rolle „Leser“, indem Sie den folgenden Befehl ausführen:

   # Add Reader role to the required user on the Root Management Group
   # Replace "user@domian.com” with the user to grant access to
   New-AzRoleAssignment -SignInName "user@domain.com" -RoleDefinitionName "Reader" -Scope "/"
   

5. Verwenden Sie zum Entfernen der Rolle den folgenden Befehl:

   Remove-AzRoleAssignment -SignInName "user@domain.com" -RoleDefinitionName "Reader" -Scope "/" 
   

Entfernen der erhöhten Zugriffsrechte

Nachdem den Benutzern die Azure-Rollen zugewiesen wurden, sollte der Mandantenadministrator für sich selbst die Rolle „Benutzerzugriffsadministrator“ entfernen.

1. Melden Sie sich beim Azure-Portal an.

2. Wählen Sie in der Navigationsliste Microsoft Entra ID aus, und klicken Sie dann auf Eigenschaften.

3. Legen Sie unter Zugriffsverwaltung für Azure-Ressourcen den Schalter auf Nein fest.

4. Wählen Sie Speichern aus, um Ihre Einstellungen zu speichern.

Nächste Schritte

Auf dieser Seite haben Sie gelernt, wie Sie Abonnements in Verwaltungsgruppen organisieren und Benutzern Rollen zuweisen. Verwandte Informationen

• Berechtigungen in Microsoft Defender für Cloud