Erstellen, Ändern oder Löschen einer NetzwerksicherheitsgruppeCreate, change, or delete a network security group

Mit Sicherheitsregeln in Netzwerksicherheitsgruppen können Sie den Typ des ein- und ausgehenden Netzwerkdatenverkehrs von Subnetzen virtueller Netzwerke und Netzwerkschnittstellen filtern.Security rules in network security groups enable you to filter the type of network traffic that can flow in and out of virtual network subnets and network interfaces. Weitere Informationen zu Netzwerksicherheitsgruppen finden Sie unter Netzwerksicherheitsgruppen – Übersicht.To learn more about network security groups, see Network security group overview. Absolvieren Sie als Nächstes das Tutorial Filtern von Netzwerkdatenverkehr, um sich mit Netzwerksicherheitsgruppen vertraut zu machen.Next, complete the Filter network traffic tutorial to gain some experience with network security groups.

VoraussetzungenBefore you begin

Hinweis

Dieser Artikel wurde aktualisiert und beinhaltet jetzt das neue Az-Modul von Azure PowerShell.This article has been updated to use the new Azure PowerShell Az module. Sie können das AzureRM-Modul weiterhin verwenden, das bis mindestens Dezember 2020 weiterhin Fehlerbehebungen erhält.You can still use the AzureRM module, which will continue to receive bug fixes until at least December 2020. Weitere Informationen zum neuen Az-Modul und zur Kompatibilität mit AzureRM finden Sie unter Introducing the new Azure PowerShell Az module (Einführung in das neue Az-Modul von Azure PowerShell).To learn more about the new Az module and AzureRM compatibility, see Introducing the new Azure PowerShell Az module. Anweisungen zur Installation des Az-Moduls finden Sie unter Install Azure PowerShell (Installieren von Azure PowerShell).For Az module installation instructions, see Install Azure PowerShell.

Falls Sie noch nicht über ein Azure-Konto verfügen, richten Sie ein Azure-Konto mit einem aktiven Abonnement ein.If you don't have one, set up an Azure account with an active subscription. Sie können kostenlos ein Konto erstellen.Create an account for free. Führen Sie eine dieser Aufgaben aus, bevor Sie mit dem Rest dieses Artikels starten:Complete one of these tasks before starting the remainder of this article:

  • Portalbenutzer: Melden Sie sich mit Ihrem Azure-Konto beim Azure-Portal an.Portal users: Sign in to the Azure portal with your Azure account.

  • PowerShell-Benutzer: Führen Sie die Befehle entweder in Azure Cloud Shell oder in PowerShell auf Ihrem Computer aus.PowerShell users: Either run the commands in the Azure Cloud Shell, or run PowerShell from your computer. Azure Cloud Shell ist eine kostenlose interaktive Shell, mit der Sie die Schritte in diesem Artikel ausführen können.The Azure Cloud Shell is a free interactive shell that you can use to run the steps in this article. Sie verfügt über allgemeine vorinstallierte Tools und ist für die Verwendung mit Ihrem Konto konfiguriert.It has common Azure tools preinstalled and configured to use with your account. Wechseln Sie auf der Browserregisterkarte „Azure Cloud Shell“ zur Dropdownliste Umgebung auswählen, und wählen Sie dann PowerShell aus, falls nicht bereits ausgewählt.In the Azure Cloud Shell browser tab, find the Select environment dropdown list, then pick PowerShell if it isn't already selected.

    Wenn Sie PowerShell lokal ausführen, müssen Sie mindestens Version 1.0.0 des Azure PowerShell-Moduls verwenden.If you're running PowerShell locally, use Azure PowerShell module version 1.0.0 or later. Führen Sie Get-Module -ListAvailable Az.Network aus, um die installierte Version zu ermitteln.Run Get-Module -ListAvailable Az.Network to find the installed version. Wenn Sie ein Upgrade ausführen müssen, finden Sie unter Installieren des Azure PowerShell-Moduls Informationen dazu.If you need to upgrade, see Install Azure PowerShell module. Führen Sie zum Starten Connect-AzAccount aus, um eine Verbindung mit Azure herzustellen.Run Connect-AzAccount to create a connection with Azure.

  • Azure CLI-Benutzer: Führen Sie die Befehle in Azure Cloud Shell oder über die CLI auf Ihrem Computer aus.Azure Command-line interface (CLI) users: Either run the commands in the Azure Cloud Shell, or run the CLI from your computer. Verwenden Sie bei lokaler Ausführung der Azure CLI mindestens die Version 2.0.28.Use Azure CLI version 2.0.28 or later if you're running the Azure CLI locally. Führen Sie az --version aus, um die installierte Version zu ermitteln.Run az --version to find the installed version. Informationen zum Durchführen einer Installation oder eines Upgrades finden Sie bei Bedarf unter Installieren der Azure CLI.If you need to install or upgrade, see Install Azure CLI. Führen Sie zum Starten az login aus, um eine Verbindung mit Azure herzustellen.Run az login to create a connection with Azure.

Das Konto, bei dem Sie sich anmelden oder das Sie zum Herstellen einer Verbindung mit Azure verwenden, muss der Rolle Netzwerkmitwirkender oder einer benutzerdefinierten Rolle zugewiesen sein, der die entsprechenden, unter Berechtigungen aufgeführten Aktionen zugewiesen wurden.The account you log into, or connect to Azure with must be assigned to the Network contributor role or to a Custom role that's assigned the appropriate actions listed in Permissions.

Arbeiten mit NetzwerksicherheitsgruppenWork with network security groups

Sie können eine Netzwerksicherheitsgruppe erstellen, komplett anzeigen, Details von ihr anzeigen, sie ändern und löschen.You can create, view all, view details of, change, and delete a network security group. Sie können eine Netzwerksicherheitsgruppe auch einer Netzwerkschnittstelle oder einem Subnetz zuordnen bzw. davon trennen.You can also associate or dissociate a network security group from a network interface or subnet.

Erstellen einer NetzwerksicherheitsgruppeCreate a network security group

Die Anzahl der Netzwerksicherheitsgruppen, die Sie pro Azure-Standort und -Abonnement erstellen können, ist begrenzt.There's a limit to how many network security groups you can create for each Azure location and subscription. Weitere Informationen finden Sie unter Grenzwerte für Azure-Abonnements und Dienste, Kontingente und Einschränkungen.To learn more, see Azure subscription and service limits, quotas, and constraints.

  1. Wählen Sie im Menü des Azure-Portals oder auf der Startseite die Option Ressource erstellen aus.On the Azure portal menu or from the Home page, select Create a resource.

  2. Wählen Sie die Option Netzwerk und dann Netzwerksicherheitsgruppe aus.Select Networking, then select Network security group.

  3. Legen Sie auf der Seite Netzwerksicherheitsgruppe erstellen auf der Registerkarte Grundlagen Werte für die folgenden Einstellungen fest:In the Create network security group page, under the Basics tab, set values for the following settings:

    EinstellungSetting AktionAction
    AbonnementSubscription Wählen Sie Ihr Abonnement aus.Choose your subscription.
    RessourcengruppeResource group Wählen Sie eine vorhandene Ressourcengruppe oder Neu erstellen, um eine neue Ressourcengruppe zu erstellen.Choose an existing resource group, or select Create new to create a new resource group.
    NameName Geben Sie eine eindeutige Textzeichenfolge für die Ressourcengruppe ein.Enter a unique text string within a resource group.
    RegionRegion Wählen Sie den gewünschten Standort.Choose the location you want.
  4. Klicken Sie auf Überprüfen + erstellen.Select Review + create.

  5. Wenn die Meldung Überprüfung erfolgreich angezeigt wird, wählen Sie Erstellen aus.After you see the Validation passed message, select Create.

BefehleCommands

ToolTool Get-HelpCommand
Azure CLIAzure CLI az network nsg createaz network nsg create
PowerShellPowerShell New-AzNetworkSecurityGroupNew-AzNetworkSecurityGroup

Anzeigen aller NetzwerksicherheitsgruppenView all network security groups

Wechseln Sie zum Azure-Portal, um Ihre Netzwerksicherheitsgruppen anzuzeigen.Go to the Azure portal to view your network security groups. Navigieren Sie zum Eintrag Netzwerksicherheitsgruppen, und wählen Sie ihn aus.Search for and select Network security groups. Die Liste der Netzwerksicherheitsgruppen für Ihr Abonnement wird angezeigt.The list of network security groups appears for your subscription.

BefehleCommands

ToolTool Get-HelpCommand
Azure CLIAzure CLI az network nsg listaz network nsg list
PowerShellPowerShell Get-AzNetworkSecurityGroupGet-AzNetworkSecurityGroup

Anzeigen von Details einer NetzwerksicherheitsgruppeView details of a network security group

  1. Wechseln Sie zum Azure-Portal, um Ihre Netzwerksicherheitsgruppen anzuzeigen.Go to the Azure portal to view your network security groups. Navigieren Sie zum Eintrag Netzwerksicherheitsgruppen, und wählen Sie ihn aus.Search for and select Network security groups.

  2. Wählen Sie den Namen der Netzwerksicherheitsgruppe aus.Select the name of your network security group.

Auf der Menüleiste der Netzwerksicherheitsgruppe sehen Sie unter Einstellungen die Eingangssicherheitsregeln und Ausgangssicherheitsregeln, Netzwerkschnittstellen und Subnetze, denen die Netzwerksicherheitsgruppe zugeordnet ist.In the menu bar of the network security group, under Settings, you can view the Inbound security rules, Outbound security rules, Network interfaces, and Subnets that the network security group is associated to.

Unter Überwachung können Sie Diagnoseeinstellungen aktivieren oder deaktivieren.Under Monitoring, you can enable or disable Diagnostic settings. Unter Support + Problembehandlung können Sie Effektive Sicherheitsregeln einsehen.Under Support + troubleshooting, you can view Effective security rules. Weitere Informationen finden Sie unter Diagnoseprotokollierung für eine Netzwerksicherheitsgruppe und Diagnostizieren von Problemen mit dem Filter für Netzwerkdatenverkehr.To learn more, see Diagnostic logging for a network security group and Diagnose a VM network traffic filter problem.

Weitere Informationen zu allgemeinen aufgelisteten Azure-Einstellungen finden Sie in den folgenden Artikeln:To learn more about the common Azure settings listed, see the following articles:

BefehleCommands

ToolTool Get-HelpCommand
Azure CLIAzure CLI az network nsg showaz network nsg show
PowerShellPowerShell Get-AzNetworkSecurityGroupGet-AzNetworkSecurityGroup

Ändern einer NetzwerksicherheitsgruppeChange a network security group

  1. Wechseln Sie zum Azure-Portal, um Ihre Netzwerksicherheitsgruppen anzuzeigen.Go to the Azure portal to view your network security groups. Navigieren Sie zum Eintrag Netzwerksicherheitsgruppen, und wählen Sie ihn aus.Search for and select Network security groups.

  2. Wählen Sie den Namen der Netzwerksicherheitsgruppe aus, die Sie ändern möchten.Select the name of the network security group you want to change.

Die gängigsten Änderungen sind das Hinzufügen einer Sicherheitsregel, Entfernen einer Regel und Zuordnen einer Netzwerksicherheitsgruppe zu einem Subnetz oder einer Netzwerkschnittstelle bzw. das Aufheben dieser Zuordnung.The most common changes are to add a security rule, remove a rule, and associate or dissociate a network security group to or from a subnet or network interface.

BefehleCommands

ToolTool Get-HelpCommand
Azure CLIAzure CLI az network nsg updateaz network nsg update
PowerShellPowerShell Set-AzNetworkSecurityGroupSet-AzNetworkSecurityGroup

Zuordnen einer Netzwerksicherheitsgruppe zu einer Netzwerkschnittstelle oder einem Subnetz bzw. deren Trennung davonAssociate or dissociate a network security group to or from a subnet or network interface

Wie Sie eine Netzwerksicherheitsgruppe einer Netzwerkschnittstelle zuordnen bzw. davon trennen, erfahren Sie unter Zuordnen einer Netzwerksicherheitsgruppe zu einer Netzwerkschnittstelle bzw. Trennen davon.To associate a network security group to, or dissociate a network security group from a network interface, see Associate a network security group to, or dissociate a network security group from a network interface. Wie Sie eine Netzwerksicherheitsgruppe einem Subnetz zuordnen bzw. davon trennen, erfahren Sie unter Ändern von Subnetzeinstellungen.To associate a network security group to, or dissociate a network security group from a subnet, see Change subnet settings.

Löschen einer NetzwerksicherheitsgruppeDelete a network security group

Wenn eine Netzwerksicherheitsgruppe Subnetzen bzw. Netzwerkschnittstellen zugeordnet ist, kann sie nicht gelöscht werden.If a network security group is associated to any subnets or network interfaces, it can't be deleted. Trennen Sie eine Netzwerksicherheitsgruppe von allen Subnetzen und Netzwerkschnittstellen, bevor Sie versuchen, sie zu löschen.Dissociate a network security group from all subnets and network interfaces before attempting to delete it.

  1. Wechseln Sie zum Azure-Portal, um Ihre Netzwerksicherheitsgruppen anzuzeigen.Go to the Azure portal to view your network security groups. Navigieren Sie zum Eintrag Netzwerksicherheitsgruppen, und wählen Sie ihn aus.Search for and select Network security groups.

  2. Wählen Sie den Namen der Netzwerksicherheitsgruppe aus, die Sie löschen möchten.Select the name of the network security group you want to delete.

  3. Wählen Sie auf der Symbolleiste der Netzwerksicherheitsgruppe Löschen aus.In the network security group's toolbar, select Delete. Wählen Sie anschließend im Bestätigungsdialogfeld die Option Ja.Then select Yes in the confirmation dialog box.

BefehleCommands

ToolTool Get-HelpCommand
Azure CLIAzure CLI az network nsg deleteaz network nsg delete
PowerShellPowerShell Remove-AzNetworkSecurityGroupRemove-AzNetworkSecurityGroup

Arbeiten mit SicherheitsregelnWork with security rules

Eine Netzwerksicherheitsgruppe muss keine Sicherheitsregeln enthalten, kann aber Sicherheitsregeln enthalten.A network security group contains zero or more security rules. Sie können eine Sicherheitsregel erstellen, komplett anzeigen, Details von ihr anzeigen, sie ändern und löschen.You can create, view all, view details of, change, and delete a security rule.

Erstellen einer SicherheitsregelCreate a security rule

Die Anzahl der Regeln pro Netzwerksicherheitsgruppe, die Sie für Azure-Standorte und -Abonnements erstellen können, ist begrenzt.There's a limit to how many rules per network security group you can create for each Azure location and subscription. Weitere Informationen finden Sie unter Grenzwerte für Azure-Abonnements und Dienste, Kontingente und Einschränkungen.To learn more, see Azure subscription and service limits, quotas, and constraints.

  1. Wechseln Sie zum Azure-Portal, um Ihre Netzwerksicherheitsgruppen anzuzeigen.Go to the Azure portal to view your network security groups. Navigieren Sie zum Eintrag Netzwerksicherheitsgruppen, und wählen Sie ihn aus.Search for and select Network security groups.

  2. Wählen Sie den Namen der Netzwerksicherheitsgruppe aus, der Sie eine Sicherheitsregel hinzufügen möchten.Select the name of the network security group you want to add a security rule to.

  3. Wählen Sie auf der Menüleiste der Netzwerksicherheitsgruppe Eingangssicherheitsregeln oder Ausgangssicherheitsregeln aus.In the network security group's menu bar, choose Inbound security rules or Outbound security rules.

    Es sind mehrere bestehende Regeln aufgeführt, darunter auch einige, die Sie möglicherweise nicht hinzugefügt haben.Several existing rules are listed, including some you may not have added. Wenn Sie eine Netzwerksicherheitsgruppe erstellen, werden mehrere Standardsicherheitsregeln darin erstellt.When you create a network security group, several default security rules are created in it. Weitere Informationen finden Sie unter Standardsicherheitsregeln.To learn more, see default security rules. Sie können Standardsicherheitsregeln nicht löschen, können jedoch mit Regeln mit höherer Priorität überschreiben.You can't delete default security rules, but you can override them with rules that have a higher priority.

  4. Wählen Sie Hinzufügen aus.Select Add. Wählen oder ergänzen Sie Werte für die folgenden Einstellungen, und wählen Sie dann OK aus:Select or add values for the following settings, and then select OK:

    EinstellungSetting WertValue DetailsDetails
    QuelleSource Enthält einen der folgenden Werte:One of:
    • AlleAny
    • IP-AdressenIP Addresses
    • Diensttag (Eingangssicherheitsregel) oder VirtualNetwork (Ausgangssicherheitsregel)Service Tag (inbound security rule) or VirtualNetwork (outbound security rule)
    • Anwendungs sicherheits gruppeApplication security group

    Bei Wahl von IP-Adressen müssen Sie auch Quell-IP-Adressen/CIDR-Bereiche angeben.If you choose IP Addresses, you must also specify Source IP addresses/CIDR ranges.

    Wenn Sie Diensttag wählen, können Sie auch ein Quelldiensttag wählen.If you choose Service Tag, you may also pick a Source service tag.

    Wenn Sie Anwendungssicherheitsgruppe wählen, müssen Sie auch eine vorhandene Anwendungssicherheitsgruppe wählen.If you choose Application security group, you must also pick an existing application security group. Wenn Sie sowohl für Quelle als auch für Ziel die Option Anwendungssicherheitsgruppe wählen, müssen sich die Netzwerkschnittstellen beider Anwendungssicherheitsgruppen im selben virtuellen Netzwerk befinden.If you choose Application security group for both Source and Destination, the network interfaces within both application security groups must be in the same virtual network.

    IP-Quelladressen/CIDR-BereicheSource IP addresses/CIDR ranges Eine durch Trennzeichen getrennte Liste von IP-Adressen und CIDR-Bereichen (Classless Interdomain Routing)A comma-delimited list of IP addresses and Classless Interdomain Routing (CIDR) ranges

    Diese Einstellung wird angezeigt, wenn Sie Quelle in IP-Adressen ändern.This setting appears if you change Source to IP Addresses. Sie müssen einen einzelnen Wert oder eine durch Trennzeichen getrennte Liste mit mehreren Werten angeben.You must specify a single value or comma-separated list of multiple values. Ein Beispiel mehrerer Werte ist 10.0.0.0/16, 192.188.1.1.An example of multiple values is 10.0.0.0/16, 192.188.1.1. Es gibt Grenzen für die Anzahl der Werte, die Sie angeben können.There are limits to the number of values you can specify. Ausführliche Informationen finden Sie unter Einschränkungen für Azure-Abonnements.For more details, see Azure limits.

    Wenn die von Ihnen angegebene IP-Adresse einer Azure-VM zugewiesen ist, geben Sie deren private IP-Adresse und nicht deren öffentliche IP-Adresse an.If the IP address you specify is assigned to an Azure VM, specify its private IP address, not its public IP address. Azure verarbeitet Sicherheitsregeln, nachdem die öffentliche IP-Adresse von Azure in eine private IP-Adresse für Eingangssicherheitsregeln und bevor eine private IP-Adresse in eine öffentliche IP-Adresse für Ausgangsregeln übersetzt wurde.Azure processes security rules after it translates the public IP address to a private IP address for inbound security rules, but before it translates a private IP address to a public IP address for outbound rules. Weitere Informationen zu öffentlichen und privaten IP-Adressen in Azure finden Sie unter IP-Adresstypen und Zuordnungsmethoden in Azure.To learn more about public and private IP addresses in Azure, see IP address types.

    QuelldiensttagSource service tag Ein Diensttag in der DropdownlisteA service tag from the dropdown list Diese optionale Einstellung wird angezeigt, wenn Sie Quelle für eine Eingangssicherheitsregel auf Diensttag festlegen.This optional setting appears if you set Source to Service Tag for an inbound security rule. Ein Diensttag ist ein vordefinierter Bezeichner für eine Kategorie von IP-Adressen.A service tag is a predefined identifier for a category of IP addresses. Weitere Informationen zu verfügbaren Diensttags und dazu, was die einzelnen Tag darstellen, finden Sie unter Diensttags.To learn more about available service tags, and what each tag represents, see Service tags.
    Quell-AnwendungssicherheitsgruppeSource application security group Eine vorhandene AnwendungssicherheitsgruppeAn existing application security group Diese Einstellung wird angezeigt, wenn Sie Quelle auf Anwendungssicherheitsgruppe festlegen.This setting appears if you set Source to Application security group. Wählen Sie eine Anwendungssicherheitsgruppe aus, die in derselben Region wie die Netzwerkschnittstelle vorhanden ist.Select an application security group that exists in the same region as the network interface. Informieren Sie sich über das Erstellen einer Anwendungssicherheitsgruppe.Learn how to create an application security group.
    QuellportbereicheSource port ranges Enthält einen der folgenden Werte:One of:
    • Ein einzelner Port, z. B. 80A single port, such as 80
    • Ein Portbereich, z. B. 1024-65535A range of ports, such as 1024-65535
    • Eine durch Trennzeichen getrennte Liste mit einzelnen Ports und/oder Portbereichen wie z. B. 80, 1024-65535A comma-separated list of single ports and/or port ranges, such as 80, 1024-65535
    • Ein Sternchen (*), um Datenverkehr an jedem beliebigen Port zuzulassenAn asterisk (*) to allow traffic on any port
    Diese Einstellung gibt die Ports an, an denen die Regel Datenverkehr zulässt oder verweigert.This setting specifies the ports on which the rule allows or denies traffic. Es gibt Grenzen für die Anzahl der Ports, die Sie angeben können.There are limits to the number of ports you can specify. Ausführliche Informationen finden Sie unter Einschränkungen für Azure-Abonnements.For more details, see Azure limits.
    ZielDestination Enthält einen der folgenden Werte:One of:
    • AlleAny
    • IP-AdressenIP Addresses
    • Diensttag (Ausgangssicherheitsregel) oder VirtualNetwork (Eingangssicherheitsregel)Service Tag (outbound security rule) or VirtualNetwork (inbound security rule)
    • Anwendungs sicherheits gruppeApplication security group

    Bei Wahl von IP-Adressen müssen Sie Ziel-IP-Adressen/CIDR-Bereiche angeben.If you choose IP addresses, then also specify Destination IP addresses/CIDR ranges.

    Bei Wahl von VirtualNetwork wird Datenverkehr zu allen IP-Adressen innerhalb des Adressraums des virtuellen Netzwerks zugelassen.If you choose VirtualNetwork, traffic is allowed to all IP addresses within the virtual network's address space. VirtualNetwork ist ein Diensttag.VirtualNetwork is a service tag.

    Wenn Sie Anwendungssicherheitsgruppe auswählen, müssen Sie eine vorhandene Anwendungssicherheitsgruppe auswählen.If you select Application security group, you must then select an existing application security group. Informieren Sie sich über das Erstellen einer Anwendungssicherheitsgruppe.Learn how to create an application security group.

    Ziel-IP-Adressen/CIDR-BereicheDestination IP addresses/CIDR ranges Eine durch Trennzeichen getrennte Liste von IP-Adressen und CIDR-BereichenA comma-delimited list of IP addresses and CIDR ranges

    Diese Einstellung wird angezeigt, wenn Sie Ziel in IP-Adressen ändern.This setting appears if you change Destination to IP Addresses. Ähnlich wie bei Quelle und Quell-IP-Adressen/CIDR-Bereiche können Sie eine einzelne oder mehrere Adressen bzw. Bereiche angeben.Similar to Source and Source IP addresses/CIDR ranges, you can specify single or multiple addresses or ranges. Die Anzahl, die Sie angeben können, ist begrenzt.There are limits to the number you can specify. Ausführliche Informationen finden Sie unter Einschränkungen für Azure-Abonnements.For more details, see Azure limits.

    Wenn die von Ihnen angegebene IP-Adresse einer Azure-VM zugewiesen ist, geben Sie unbedingt deren private IP-Adresse und nicht deren öffentliche IP-Adresse an.If the IP address you specify is assigned to an Azure VM, ensure that you specify its private IP, not its public IP address. Azure verarbeitet Sicherheitsregeln, nachdem die öffentliche IP-Adresse von Azure in eine private IP-Adresse für Eingangssicherheitsregeln und bevor eine private IP-Adresse in eine öffentliche IP-Adresse für Ausgangsregeln übersetzt wurde.Azure processes security rules after it translates the public IP address to a private IP address for inbound security rules, but before Azure translates a private IP address to a public IP address for outbound rules. Weitere Informationen zu öffentlichen und privaten IP-Adressen in Azure finden Sie unter IP-Adresstypen und Zuordnungsmethoden in Azure.To learn more about public and private IP addresses in Azure, see IP address types.

    ZieldiensttagDestination service tag Ein Diensttag in der DropdownlisteA service tag from the dropdown list Diese optionale Einstellung wird angezeigt, wenn Sie Ziel für eine Ausgangssicherheitsregel in Diensttag ändern.This optional setting appears if you change Destination to Service Tag for an outbound security rule. Ein Diensttag ist ein vordefinierter Bezeichner für eine Kategorie von IP-Adressen.A service tag is a predefined identifier for a category of IP addresses. Weitere Informationen zu verfügbaren Diensttags und dazu, was die einzelnen Tag darstellen, finden Sie unter Diensttags.To learn more about available service tags, and what each tag represents, see Service tags.
    Ziel-AnwendungssicherheitsgruppeDestination application security group Eine vorhandene AnwendungssicherheitsgruppeAn existing application security group Diese Einstellung wird angezeigt, wenn Sie Ziel auf Anwendungssicherheitsgruppe festlegen.This setting appears if you set Destination to Application security group. Wählen Sie eine Anwendungssicherheitsgruppe aus, die in derselben Region wie die Netzwerkschnittstelle vorhanden ist.Select an application security group that exists in the same region as the network interface. Informieren Sie sich über das Erstellen einer Anwendungssicherheitsgruppe.Learn how to create an application security group.
    ZielportbereicheDestination port ranges Enthält einen der folgenden Werte:One of:
    • Ein einzelner Port, z. B. 80A single port, such as 80
    • Ein Portbereich, z. B. 1024-65535A range of ports, such as 1024-65535
    • Eine durch Trennzeichen getrennte Liste mit einzelnen Ports und/oder Portbereichen wie z. B. 80, 1024-65535A comma-separated list of single ports and/or port ranges, such as 80, 1024-65535
    • Ein Sternchen (*), um Datenverkehr an jedem beliebigen Port zuzulassenAn asterisk (*) to allow traffic on any port
    Wie bei Quellportbereichen können Sie einzelne oder mehrere Ports und Bereiche angeben.As with Source port ranges, you can specify single or multiple ports and ranges. Die Anzahl, die Sie angeben können, ist begrenzt.There are limits to the number you can specify. Ausführliche Informationen finden Sie unter Einschränkungen für Azure-Abonnements.For more details, see Azure limits.
    ProtokollProtocol Alle, TCP, UDP oder ICMPAny, TCP, UDP, or ICMP Sie können die Regel auf Transmission Control Protocol (TCP), User Datagram Protocol (UDP) oder Internet Control Message Protocol (ICMP) beschränken.You may restrict the rule to the Transmission Control Protocol (TCP), User Datagram Protocol (UDP), or Internet Control Message Protocol (ICMP). Standardmäßig gilt die Regel für alle Protokolle.The default is for the rule to apply to all protocols.
    AktionAction Zulassen oder VerweigernAllow or Deny Diese Einstellung gibt an, ob diese Regel den Zugriff für die bereitgestellte Quell- und Zielkonfiguration zulässt oder verweigert.This setting specifies whether this rule allows or denies access for the supplied source and destination configuration.
    PriorityPriority Ein Wert von 100 bis 4.096, der für alle Sicherheitsregeln innerhalb der Netzwerksicherheitsgruppe eindeutig istA value between 100 and 4096 that's unique for all security rules within the network security group Azure verarbeitet Sicherheitsregeln in der Reihenfolge ihrer Priorität.Azure processes security rules in priority order. Je niedriger die Zahl, desto höher die Priorität.The lower the number, the higher the priority. Sie sollten beim Erstellen von Regeln eine Lücke zwischen Prioritätswerten lassen, z. B. 100, 200 und 300.We recommend that you leave a gap between priority numbers when you create rules, such as 100, 200, and 300. Wenn Sie Lücken lassen, ist es einfacher, in Zukunft Regeln so hinzuzufügen, dass Sie ihnen eine höhere oder niedrigere Priorität als bestehenden Regeln geben können.Leaving gaps makes it easier to add rules in the future, so that you can give them higher or lower priority than existing rules.
    NameName Ein eindeutiger Name für die Regel in der NetzwerksicherheitsgruppeA unique name for the rule within the network security group Der Name kann bis zu 80 Zeichen umfassen.The name can be up to 80 characters. Der Name muss mit einem Buchstaben oder einer Zahl beginnen und mit einem Buchstaben, einer Zahl oder einem Unterstrich enden.It must begin with a letter or number, and it must end with a letter, number, or underscore. Der Name darf nur Buchstaben, Ziffern, Unterstriche, Punkte und Bindestriche enthalten.The name may contain only letters, numbers, underscores, periods, or hyphens.
    BeschreibungDescription Eine TextbeschreibungA text description Sie können optional eine Textbeschreibung für die Sicherheitsregel angeben.You may optionally specify a text description for the security rule. Die Beschreibung darf nicht mehr als 140 Zeichen enthalten.The description cannot be longer than 140 characters.

BefehleCommands

ToolTool Get-HelpCommand
Azure CLIAzure CLI az network nsg rule createaz network nsg rule create
PowerShellPowerShell New-AzNetworkSecurityRuleConfigNew-AzNetworkSecurityRuleConfig

Anzeigen aller SicherheitsregelnView all security rules

Eine Netzwerksicherheitsgruppe muss keine Regeln enthalten, kann aber Regeln enthalten.A network security group contains zero or more rules. Weitere Informationen zu den Details, die beim Anzeigen von Regeln aufgeführt werden, finden Sie unter Netzwerksicherheit.To learn more about the information listed when viewing rules, see Network security group overview.

  1. Wechseln Sie zum Azure-Portal, um die Regeln einer Netzwerksicherheitsgruppe anzuzeigen.Go to the Azure portal to view the rules of a network security group. Navigieren Sie zum Eintrag Netzwerksicherheitsgruppen, und wählen Sie ihn aus.Search for and select Network security groups.

  2. Wählen Sie den Namen der Netzwerksicherheitsgruppe aus, deren Regeln Sie anzeigen möchten.Select the name of the network security group that you want to view the rules for.

  3. Wählen Sie auf der Menüleiste der Netzwerksicherheitsgruppe Eingangssicherheitsregeln oder Ausgangssicherheitsregeln aus.In the network security group's menu bar, choose Inbound security rules or Outbound security rules.

Die Liste enthält alle Regeln, die Sie erstellt haben, und die Standardsicherheitsregeln der Netzwerksicherheitsgruppe.The list contains any rules you've created and the network security group's default security rules.

BefehleCommands

ToolTool Get-HelpCommand
Azure CLIAzure CLI az network nsg rule listaz network nsg rule list
PowerShellPowerShell Get-AzNetworkSecurityRuleConfigGet-AzNetworkSecurityRuleConfig

Anzeigen von Details einer SicherheitsregelView details of a security rule

  1. Wechseln Sie zum Azure-Portal, um die Regeln einer Netzwerksicherheitsgruppe anzuzeigen.Go to the Azure portal to view the rules of a network security group. Navigieren Sie zum Eintrag Netzwerksicherheitsgruppen, und wählen Sie ihn aus.Search for and select Network security groups.

  2. Wählen Sie den Namen der Netzwerksicherheitsgruppe aus, für die Sie die Details einer Regel anzeigen möchten.Select the name of the network security group that you want to view the details of a rule for.

  3. Wählen Sie auf der Menüleiste der Netzwerksicherheitsgruppe Eingangssicherheitsregeln oder Ausgangssicherheitsregeln aus.In the network security group's menu bar, choose Inbound security rules or Outbound security rules.

  4. Wählen Sie die Regel aus, für die Sie Details anzeigen möchten.Select the rule you want to view details for. Eine Erläuterung aller Einstellungen finden Sie unter Sicherheitsregeleinstellungen.For an explanation of all settings, see Security rule settings.

    Hinweis

    Dieses Verfahren gilt nur für eine benutzerdefinierte Sicherheitsregel.This procedure only applies to a custom security rule. Es funktioniert nicht, wenn Sie eine Standardsicherheitsregel wählen.It doesn't work if you choose a default security rule.

BefehleCommands

ToolTool Get-HelpCommand
Azure CLIAzure CLI az network nsg rule showaz network nsg rule show
PowerShellPowerShell Get-AzNetworkSecurityRuleConfigGet-AzNetworkSecurityRuleConfig

Ändern einer SicherheitsregelChange a security rule

  1. Führen Sie die Schritte in Anzeigen von Details einer Sicherheitsregel aus.Complete the steps in View details of a security rule.

  2. Ändern Sie die Einstellungen nach Bedarf, und wählen Sie dann Speichern aus.Change the settings as needed, and then select Save. Eine Erläuterung aller Einstellungen finden Sie unter Sicherheitsregeleinstellungen.For an explanation of all settings, see Security rule settings.

    Hinweis

    Dieses Verfahren gilt nur für eine benutzerdefinierte Sicherheitsregel.This procedure only applies to a custom security rule. Sie dürfen eine Standardsicherheitsregel nicht ändern.You aren't allowed to change a default security rule.

BefehleCommands

ToolTool Get-HelpCommand
Azure CLIAzure CLI az network nsg rule updateaz network nsg rule update
PowerShellPowerShell Set-AzNetworkSecurityRuleConfigSet-AzNetworkSecurityRuleConfig

Löschen einer SicherheitsregelDelete a security rule

  1. Führen Sie die Schritte in Anzeigen von Details einer Sicherheitsregel aus.Complete the steps in View details of a security rule.

  2. Wählen Sie Löschen und dann Ja.Select Delete, and then select Yes.

    Hinweis

    Dieses Verfahren gilt nur für eine benutzerdefinierte Sicherheitsregel.This procedure only applies to a custom security rule. Sie dürfen eine Standardsicherheitsregel nicht löschen.You aren't allowed to delete a default security rule.

BefehleCommands

ToolTool Get-HelpCommand
Azure CLIAzure CLI az network nsg rule deleteaz network nsg rule delete
PowerShellPowerShell Remove-AzNetworkSecurityRuleConfigRemove-AzNetworkSecurityRuleConfig

Arbeiten mit AnwendungssicherheitsgruppenWork with application security groups

Eine Anwendungssicherheitsgruppe muss keine Netzwerkschnittstellen enthalten, kann aber Netzwerkschnittstellen enthalten.An application security group contains zero or more network interfaces. Weitere Informationen finden Sie unter Anwendungssicherheitsgruppen.To learn more, see application security groups. Alle Netzwerkschnittstellen innerhalb einer Anwendungssicherheitsgruppe müssen sich im gleichen virtuellen Netzwerk befinden.All network interfaces in an application security group must exist in the same virtual network. Wie Sie eine Netzwerkschnittstelle einer Anwendungssicherheitsgruppe hinzufügen, erfahren Sie unter Erstellen, Ändern oder Löschen von Netzwerkschnittstellen.To learn how to add a network interface to an application security group, see Add a network interface to an application security group.

Erstellen einer AnwendungssicherheitsgruppeCreate an application security group

  1. Wählen Sie im Menü des Azure-Portals oder auf der Startseite die Option Ressource erstellen aus.On the Azure portal menu or from the Home page, select Create a resource.

  2. Geben Sie in das Suchfeld Anwendungssicherheitsgruppe ein.In the search box, enter Application security group.

  3. Wählen Sie auf der Seite Anwendungssicherheitsgruppe die Option Erstellen aus.In the Application security group page, select Create.

  4. Legen Sie auf der Seite Anwendungssicherheitsgruppe erstellen auf der Registerkarte Grundlagen Werte für die folgenden Einstellungen fest:In the Create an application security group page, under the Basics tab, set values for the following settings:

    EinstellungSetting AktionAction
    AbonnementSubscription Wählen Sie Ihr Abonnement aus.Choose your subscription.
    RessourcengruppeResource group Wählen Sie eine vorhandene Ressourcengruppe oder Neu erstellen, um eine neue Ressourcengruppe zu erstellen.Choose an existing resource group, or select Create new to create a new resource group.
    NameName Geben Sie eine eindeutige Textzeichenfolge für die Ressourcengruppe ein.Enter a unique text string within a resource group.
    RegionRegion Wählen Sie den gewünschten Standort.Choose the location you want.
  5. Klicken Sie auf Überprüfen + erstellen.Select Review + create.

  6. Wählen Sie auf der Registerkarte Überprüfen und erstellen, nachdem die Meldung Überprüfung erfolgreich angezeigt wurde, Erstellen aus.Under the Review + create tab, after you see the Validation passed message, select Create.

BefehleCommands

ToolTool Get-HelpCommand
Azure CLIAzure CLI az network asg createaz network asg create
PowerShellPowerShell New-AzApplicationSecurityGroupNew-AzApplicationSecurityGroup

Anzeigen aller AnwendungssicherheitsgruppenView all application security groups

Wechseln Sie zum Azure-Portal, um Ihre Anwendungssicherheitsgruppe anzuzeigen.Go to the Azure portal to view your application security groups. Suchen Sie nach Anwendungssicherheitsgruppen, und wählen Sie die Option aus.Search for and select Application security groups. Im Azure-Portal wird eine Liste Ihrer Anwendungssicherheitsgruppen angezeigt.The Azure portal displays a list of your application security groups.

BefehleCommands

ToolTool Get-HelpCommand
Azure CLIAzure CLI az network asg listaz network asg list
PowerShellPowerShell Get-AzApplicationSecurityGroupGet-AzApplicationSecurityGroup

Anzeigen von Details einer bestimmten AnwendungssicherheitsgruppeView details of a specific application security group

  1. Wechseln Sie zum Azure-Portal, um eine Anwendungssicherheitsgruppe anzuzeigen.Go to the Azure portal to view an application security group. Suchen Sie nach Anwendungssicherheitsgruppen, und wählen Sie die Option aus.Search for and select Application security groups.

  2. Wählen Sie den Namen der Anwendungssicherheitsgruppe aus, deren Details Sie anzeigen möchten.Select the name of the application security group that you want to view the details of.

BefehleCommands

ToolTool Get-HelpCommand
Azure CLIAzure CLI az network asg showaz network asg show
PowerShellPowerShell Get-AzApplicationSecurityGroupGet-AzApplicationSecurityGroup

Ändern einer AnwendungssicherheitsgruppeChange an application security group

  1. Wechseln Sie zum Azure-Portal, um eine Anwendungssicherheitsgruppe anzuzeigen.Go to the Azure portal to view an application security group. Suchen Sie nach Anwendungssicherheitsgruppen, und wählen Sie die Option aus.Search for and select Application security groups.

  2. Wählen Sie den Namen der Anwendungssicherheitsgruppe aus, die Sie ändern möchten.Select the name of the application security group that you want to change.

  3. Wählen Sie neben der Einstellung, die Sie ändern möchten, Ändern aus.Select change next to the setting that you want to modify. Sie können z. B. Tags hinzufügen oder entfernen oder die Ressourcengruppe oder das Abonnement ändern.For example, you can add or remove Tags, or you can change the Resource group or Subscription.

    Hinweis

    Der Standort kann nicht geändert werden.You can't change the location.

    Auf der Menüleiste können Sie auch Zugriffssteuerung (IAM) auswählen.In the menu bar, you can also select Access control (IAM). Auf der Seite Zugriffssteuerung (IAM) können Sie der Anwendungssicherheitsgruppe Berechtigungen zuweisen oder diese entfernen.In the Access control (IAM) page, you can assign or remove permissions to the application security group.

BefehleCommands

ToolTool Get-HelpCommand
Azure CLIAzure CLI az network asg updateaz network asg update
PowerShellPowerShell Kein PowerShell-CmdletNo PowerShell cmdlet

Löschen einer AnwendungssicherheitsgruppeDelete an application security group

Sie können eine Anwendungssicherheitsgruppe nicht löschen, wenn sie Netzwerkschnittstellen enthält.You can't delete an application security group if it contains any network interfaces. Um alle Netzwerkschnittstellen aus der Anwendungssicherheitsgruppe zu entfernen, ändern Sie entweder die Einstellungen der Netzwerkschnittstelle, oder löschen Sie die Netzwerkschnittstellen.To remove all network interfaces from the application security group, either change the network interface settings or delete the network interfaces. Weitere Informationen finden Sie unter Hinzufügen einer Netzwerkschnittstelle zu einer Anwendungssicherheitsgruppe bzw. deren Entfernen daraus oder Löschen einer Netzwerkschnittstelle.To learn more, see Add to or remove from application security groups or Delete a network interface.

  1. Wechseln Sie zum Azure-Portal, um Ihre Anwendungssicherheitsgruppe zu verwalten.Go to the Azure portal to manage your application security groups. Suchen Sie nach Anwendungssicherheitsgruppen, und wählen Sie die Option aus.Search for and select Application security groups.

  2. Wählen Sie den Namen der Anwendungssicherheitsgruppe aus, die Sie löschen möchten.Select the name of the application security group that you want to delete.

  3. Wählen Sie Löschen und dann Ja, um die Anwendungssicherheitsgruppe zu löschen.Select Delete, and then select Yes to delete the application security group.

BefehleCommands

ToolTool Get-HelpCommand
Azure CLIAzure CLI az network asg deleteaz network asg delete
PowerShellPowerShell Remove-AzApplicationSecurityGroupRemove-AzApplicationSecurityGroup

BerechtigungenPermissions

Zum Durchführen von Aufgaben für Netzwerksicherheitsgruppen, Sicherheitsregeln und Anwendungssicherheitsgruppen muss Ihr Konto der Rolle Netzwerkmitwirkender oder einer benutzerdefinierten Rolle zugewiesen sein, der die entsprechenden in den folgenden Tabellen aufgeführten Berechtigungen zugewiesen sind:To do tasks on network security groups, security rules, and application security groups, your account must be assigned to the Network contributor role or to a Custom role that's assigned the appropriate permissions as listed in the following tables:

NetzwerksicherheitsgruppeNetwork security group

AktionAction NameName
Microsoft.Network/networkSecurityGroups/readMicrosoft.Network/networkSecurityGroups/read Netzwerksicherheitsgruppe abrufenGet network security group
Microsoft.Network/networkSecurityGroups/writeMicrosoft.Network/networkSecurityGroups/write Netzwerksicherheitsgruppe erstellen oder aktualisierenCreate or update network security group
Microsoft.Network/networkSecurityGroups/deleteMicrosoft.Network/networkSecurityGroups/delete Netzwerksicherheitsgruppe löschenDelete network security group
Microsoft.Network/networkSecurityGroups/join/actionMicrosoft.Network/networkSecurityGroups/join/action Netzwerksicherheitsgruppe einem Subnetz oder einer Netzwerkschnittstelle zuordnenAssociate a network security group to a subnet or network interface

Netzwerksicherheitsgruppen-RegelNetwork security group rule

AktionAction NameName
Microsoft.Network/networkSecurityGroups/securityRules/readMicrosoft.Network/networkSecurityGroups/securityRules/read Regel abrufenGet rule
Microsoft.Network/networkSecurityGroups/securityRules/writeMicrosoft.Network/networkSecurityGroups/securityRules/write Regel erstellen oder aktualisierenCreate or update rule
Microsoft.Network/networkSecurityGroups/securityRules/deleteMicrosoft.Network/networkSecurityGroups/securityRules/delete Regel löschenDelete rule

AnwendungssicherheitsgruppeApplication security group

AktionAction NameName
Microsoft.Network/applicationSecurityGroups/joinIpConfiguration/actionMicrosoft.Network/applicationSecurityGroups/joinIpConfiguration/action IP-Konfiguration mit einer Anwendungssicherheitsgruppe verknüpfenJoin an IP configuration to an application security group
Microsoft.Network/applicationSecurityGroups/joinNetworkSecurityRule/actionMicrosoft.Network/applicationSecurityGroups/joinNetworkSecurityRule/action Sicherheitsregel mit einer Anwendungssicherheitsgruppe verknüpfenJoin a security rule to an application security group
Microsoft.Network/applicationSecurityGroups/readMicrosoft.Network/applicationSecurityGroups/read Anwendungssicherheitsgruppe abrufenGet an application security group
Microsoft.Network/applicationSecurityGroups/writeMicrosoft.Network/applicationSecurityGroups/write Anwendungssicherheitsgruppe erstellen oder aktualisierenCreate or update an application security group
Microsoft.Network/applicationSecurityGroups/deleteMicrosoft.Network/applicationSecurityGroups/delete Löschen einer AnwendungssicherheitsgruppeDelete an application security group

Nächste SchritteNext steps