Toegang tot Azure-resources beheren met RBAC en de Azure PortalManage access to Azure resources using RBAC and the Azure portal

Op rollen gebaseerd toegangsbeheer (RBAC) is de manier waarop u de toegang tot Azure-resources beheert.Role-based access control (RBAC) is the way that you manage access to Azure resources. In dit artikel wordt beschreven hoe u toegang beheert met behulp van de Azure Portal.This article describes how you manage access using the Azure portal. Zie beheerders rollen weer geven en toewijzen in azure Active Directoryals u de toegang tot Azure Active Directory wilt beheren.If you need to manage access to Azure Active Directory, see View and assign administrator roles in Azure Active Directory.

VereistenPrerequisites

Als u roltoewijzingen wilt toevoegen en verwijderen, hebt u het volgende nodig:To add and remove role assignments, you must have:

  • Microsoft.Authorization/roleAssignments/write en Microsoft.Authorization/roleAssignments/delete machtigingen, zoals beheerder of eigenaar van gebruikers toegangMicrosoft.Authorization/roleAssignments/write and Microsoft.Authorization/roleAssignments/delete permissions, such as User Access Administrator or Owner

Overzicht van toegangs beheer (IAM)Overview of Access control (IAM)

Toegangs beheer (IAM) is de Blade die u gebruikt om de toegang tot Azure-resources te beheren.Access control (IAM) is the blade that you use to manage access to Azure resources. Het is ook bekend als identiteits-en toegangs beheer en wordt weer gegeven op verschillende locaties in de Azure Portal.It's also known as identity and access management and appears in several locations in the Azure portal. Hieronder ziet u een voor beeld van de Blade toegangs beheer (IAM) voor een abonnement.The following shows an example of the Access control (IAM) blade for a subscription.

Blade toegangs beheer (IAM) voor een abonnement

In de volgende tabel wordt beschreven waarvoor sommige elementen worden gebruikt voor:The following table describes what some of the elements are use for:

# ElementElement Wat u gebruikt voorWhat you use it for
11 Resource waar toegangs beheer (IAM) is geopendResource where Access control (IAM) is opened Bereik identificeren (abonnement in dit voor beeld)Identify scope (subscription in this example)
22 Knop toevoegenAdd button Roltoewijzingen toevoegenAdd role assignments
33 Tabblad toegang controlerenCheck access tab De roltoewijzingen voor één gebruiker weer gevenView the role assignments for a single user
44 Tabblad roltoewijzingenRole assignments tab De roltoewijzingen in het huidige bereik weer gevenView the role assignments at the current scope
55 Tabblad rollenRoles tab Alle rollen en machtigingen weer gevenView all roles and permissions

Als u de Blade toegangs beheer (IAM) het meest effectief wilt maken, is het handig als u de volgende drie vragen kunt beantwoorden wanneer u toegang probeert te beheren:To be the most effective with the Access control (IAM) blade, it helps if you can answer the following three questions when you are trying to manage access:

  1. Wie moet er toegang toe hebben?Who needs access?

    Wie verwijst naar een gebruiker, groep, Service-Principal of beheerde identiteit.Who refers to a user, group, service principal, or managed identity. Dit wordt ook wel een beveiligingsprincipalgenoemd.This is also called a security principal.

  2. Welke machtigingen moeten er worden toegewezen?What permissions do they need?

    Machtigingen worden samen in rollen gegroepeerd.Permissions are grouped together into roles. U kunt kiezen uit een lijst met verschillende ingebouwde rollen.You can select from a list of several built-in roles.

  3. Waar hebben ze toegang nodig?Where do they need access?

    Waar verwijst naar de set resources waarop de toegang van toepassing is.Where refers to the set of resources that the access applies to. Waar kan een beheer groep, een abonnement, een resource groep of een enkele resource, zoals een opslag account, zijn.Where can be a management group, subscription, resource group, or a single resource such as a storage account. Dit wordt het bereikgenoemd.This is called the scope.

Toegangs beheer openen (IAM)Open Access control (IAM)

Het eerste wat u moet beslissen, is waar u de Blade toegangs beheer (IAM) kunt openen.The first thing you need to decide is where to open the Access control (IAM) blade. Dit is afhankelijk van de resources waarvoor u de toegang wilt beheren.It depends on what resources you want to manage access for. Wilt u de toegang beheren voor alles in een beheer groep, alles in een abonnement, alles in een resource groep of een enkele resource?Do you want to manage access for everything in a management group, everything in a subscription, everything in a resource group, or a single resource?

  1. Klik in de Azure Portal op alle services en selecteer vervolgens het bereik.In the Azure portal, click All services and then select the scope. U kunt bijvoorbeeld beheer groepen, abonnementen, resource groepenof een resource selecteren.For example, you can select Management groups, Subscriptions, Resource groups, or a resource.

  2. Klik op de specifieke resource.Click the specific resource.

  3. Klik op toegangsbeheer (IAM) .Click Access control (IAM).

    Hieronder ziet u een voor beeld van de Blade toegangs beheer (IAM) voor een abonnement.The following shows an example of the Access control (IAM) blade for a subscription. Als u hier wijzigingen voor toegangs beheer aanbrengt, worden deze toegepast op het hele abonnement.If you make any access control changes here, they would apply to the entire subscription.

    Blade toegangs beheer (IAM) voor een abonnement

Rollen en machtigingen weergevenView roles and permissions

Een roldefinitie is een verzameling machtigingen die u gebruikt voor roltoewijzingen.A role definition is a collection of permissions that you use for role assignments. Azure heeft meer dan 70 ingebouwde rollen voor Azure-resources.Azure has over 70 built-in roles for Azure resources. Volg deze stappen om de beschik bare rollen en machtigingen weer te geven.Follow these steps to view the available roles and permissions.

  1. Open toegangs beheer (IAM) in elk bereik.Open Access control (IAM) at any scope.

  2. Klik op het tabblad rollen om een lijst met alle ingebouwde en aangepaste rollen weer te geven.Click the Roles tab to see a list of all the built-in and custom roles.

    U kunt het aantal gebruikers en groepen zien dat is toegewezen aan elke rol in het huidige bereik.You can see the number of users and groups that are assigned to each role at the current scope.

    Lijst met rollen

  3. Klik op een afzonderlijke rol om te zien wie deze rol heeft toegewezen en Bekijk ook de machtigingen voor de rol.Click an individual role to see who has been assigned this role and also view the permissions for the role.

    Rollen toewijzingen

Roltoewijzingen weergevenView role assignments

Bij het beheren van de toegang wilt u weten wie er toegang heeft, wat zijn de machtigingen en wat het bereik is.When managing access, you want to know who has access, what are their permissions, and at what scope. Als u de toegang voor een gebruiker, groep, Service-Principal of beheerde identiteit wilt weer geven, bekijkt u de roltoewijzingen.To list access for a user, group, service principal, or managed identity, you view their role assignments.

Roltoewijzingen voor één gebruiker weer gevenView role assignments for a single user

Volg deze stappen om de toegang voor één gebruiker, groep, Service-Principal of beheerde identiteit voor een bepaald bereik weer te geven.Follow these steps to view the access for a single user, group, service principal, or managed identity at a particular scope.

  1. Open toegangs beheer (IAM) in een bereik, zoals beheer groep, abonnement, resource groep of resource, waar u de toegang wilt weer geven.Open Access control (IAM) at a scope, such as management group, subscription, resource group, or resource, where you want to view access.

  2. Klik op het tabblad Toegang controleren.Click the Check access tab.

    Toegangsbeheer - Tabblad Toegang controleren

  3. Selecteer in de lijst Zoeken het type beveiligings-principal waarvoor u de toegang wilt controleren.In the Find list, select the type of security principal you want to check access for.

  4. Voer in het zoekvak een tekenreeks in om de map te doorzoeken op weergavenamen, e-mailadressen of object-id's.In the search box, enter a string to search the directory for display names, email addresses, or object identifiers.

    De toegangsselectielijst controleren

  5. Klik op de beveiligings-principal om het deelvenster Toewijzingen te openen.Click the security principal to open the assignments pane.

    Deelvenster Toewijzingen

    In dit deelvenster ziet u de rollen die zijn toegewezen aan de geselecteerde beveiligings-principal en het bereik.On this pane, you can see the roles assigned to the selected security principal and the scope. Als er een in dit bereik toewijzingen zijn geweigerd of zijn overgenomen, worden deze weergegeven.If there are any deny assignments at this scope or inherited to this scope, they will be listed.

Alle roltoewijzingen in een bereik weer gevenView all role assignments at a scope

  1. Open toegangs beheer (IAM) in een bereik, zoals beheer groep, abonnement, resource groep of resource, waar u de toegang wilt weer geven.Open Access control (IAM) at a scope, such as management group, subscription, resource group, or resource, where you want to view access.

  2. Klik op het tabblad roltoewijzingen om alle roltoewijzingen in dit bereik weer te geven.Click the Role assignments tab to view all the role assignments at this scope.

    Toegangs beheer-tabblad roltoewijzingen

    Op het tabblad roltoewijzingen kunt u zien wie toegang heeft tot dit bereik.On the Role assignments tab, you can see who has access at this scope. U ziet dat voor sommige rollen het bereik is ingesteld op Deze resource, terwijl andere zijn (Overgenomen) uit een ander bereik.Notice that some roles are scoped to This resource while others are (Inherited) from another scope. De toegang wordt specifiek aan deze resource toegewezen of overgenomen van een toewijzing aan het bovenliggende bereik.Access is either assigned specifically to this resource or inherited from an assignment to the parent scope.

Een roltoewijzing toevoegenAdd a role assignment

Als u in RBAC toegang wilt verlenen, wijst u een rol toe aan een gebruiker, groep, Service-Principal of beheerde identiteit.In RBAC, to grant access, you assign a role to a user, group, service principal, or managed identity. Volg deze stappen om toegang te verlenen aan verschillende bereiken.Follow these steps to grant access at different scopes.

Een rol aan een bereik toewijzenAssign a role at a scope

  1. Open toegangs beheer (IAM) in een bereik, zoals de beheer groep, het abonnement, de resource groep of de resource, waar u toegang wilt verlenen.Open Access control (IAM) at a scope, such as management group, subscription, resource group, or resource, where you want to grant access.

  2. Klik op het tabblad roltoewijzingen om alle roltoewijzingen in dit bereik weer te geven.Click the Role assignments tab to view all the role assignments at this scope.

  3. Klik op Toevoegen > Roltoewijzing toevoegen om het deelvenster Roltoewijzing toevoegen te openen.Click Add > Add role assignment to open the Add role assignment pane.

    Als u niet bent gemachtigd voor het toewijzen van rollen, is de optie Roltoewijzing toevoegen uitgeschakeld.If you don't have permissions to assign roles, the Add role assignment option will be disabled.

    Menu Toevoegen

    Deelvenster Roltoewijzing toevoegen

  4. Selecteer in de vervolgkeuzelijst Rol een rol, zoals Inzender voor virtuele machines.In the Role drop-down list, select a role such as Virtual Machine Contributor.

  5. Selecteer een gebruiker, groep, Service-Principal of beheerde identiteit in de selectie lijst.In the Select list, select a user, group, service principal, or managed identity. Als u de beveiligings-principal niet in de lijst ziet staan, kunt u tekst typen in het vak Selecteren om te zoeken naar weergavenamen, e-mailadressen en object-id's.If you don't see the security principal in the list, you can type in the Select box to search the directory for display names, email addresses, and object identifiers.

  6. Klik op Opslaan om de rol toe te wijzen.Click Save to assign the role.

    Na enkele ogen blikken wordt de rol bij de geselecteerde scope toegewezen aan de beveiligingsprincipal.After a few moments, the security principal is assigned the role at the selected scope.

Een gebruiker toewijzen als beheerder van een abonnementAssign a user as an administrator of a subscription

Als u een gebruiker beheerder van een Azure-abonnement wilt maken, wijst u deze toe aan de rol van eigenaar op het abonnements bereik.To make a user an administrator of an Azure subscription, assign them the Owner role at the subscription scope. De rol van eigenaar geeft de gebruiker volledige toegang tot alle resources in het abonnement, waaronder het recht om toegang aan anderen te delegeren.The Owner role gives the user full access to all resources in the subscription, including the right to delegate access to others. Deze stappen zijn hetzelfde als die voor elke andere functietoewijzing.These steps are the same as any other role assignment.

  1. Klik in de Azure-portal op de optie Alle services en vervolgens op Abonnementen.In the Azure portal, click All services and then Subscriptions.

  2. Klik op het abonnement waartoe u toegang wilt verlenen.Click the subscription where you want to grant access.

  3. Klik op toegangsbeheer (IAM) .Click Access control (IAM).

  4. Klik op het tabblad Roltoewijzingen om alle roltoewijzingen voor dit abonnement weer te geven.Click the Role assignments tab to view all the role assignments for this subscription.

  5. Klik op Toevoegen > Roltoewijzing toevoegen om het deelvenster Roltoewijzing toevoegen te openen.Click Add > Add role assignment to open the Add role assignment pane.

    Als u niet bent gemachtigd voor het toewijzen van rollen, is de optie Roltoewijzing toevoegen uitgeschakeld.If you don't have permissions to assign roles, the Add role assignment option will be disabled.

    Menu Toevoegen

    Deelvenster Roltoewijzing toevoegen

  6. Selecteer in de vervolgkeuzelijst Rol de rol Eigenaar.In the Role drop-down list, select the Owner role.

  7. Selecteer een gebruiker in de lijst Selecteren.In the Select list, select a user. Als u de gebruiker niet in de lijst ziet staan, kunt u tekst typen in het vak Selecteren om in de map te zoeken naar weergavenamen en e-mailadressen.If you don't see the user in the list, you can type in the Select box to search the directory for display names and email addresses.

  8. Klik op Opslaan om de rol toe te wijzen.Click Save to assign the role.

    Na enkele ogenblikken wordt de rol van eigenaar op abonnementsniveau toegewezen aan de gebruiker.After a few moments, the user is assigned the Owner role at the subscription scope.

Roltoewijzingen verwijderenRemove role assignments

Als u in RBAC de toegang wilt intrekken voor een rol, verwijdert u de roltoewijzing.In RBAC, to remove access, you remove a role assignment. Volg deze stappen om de toegang te verwijderen.Follow these steps to remove access.

  1. Open toegangs beheer (IAM) in een bereik, zoals de beheer groep, het abonnement, de resource groep of de resource, waar u de toegang wilt verwijderen.Open Access control (IAM) at a scope, such as management group, subscription, resource group, or resource, where you want to remove access.

  2. Klik op het tabblad Roltoewijzingen om alle roltoewijzingen voor dit abonnement weer te geven.Click the Role assignments tab to view all the role assignments for this subscription.

  3. Schakel in de lijst met roltoewijzingen het selectievakje in naast de beveiligings-principal met de roltoewijzing die u wilt verwijderen.In the list of role assignments, add a checkmark next to the security principal with the role assignment you want to remove.

    Bericht bij verwijderen van roltoewijzing

  4. Klik op Verwijderen.Click Remove.

    Bericht bij verwijderen van roltoewijzing

  5. Klik op Ja om te bevestigen dat u de roltoewijzing inderdaad wilt verwijderen.In the remove role assignment message that appears, click Yes.

    Overgenomen toewijzingen kunnen niet worden verwijderd.Inherited role assignments cannot be removed. Als u een overgenomen roltoewijzing wilt verwijderen, moet u dit te doen voor het bereik waarvoor de roltoewijzing is gemaakt.If you need to remove an inherited role assignment, you must do it at the scope where the role assignment was created. In de kolom bereik vindt u naast (overgenomen) een koppeling waarmee u naar het bereik gaat waar deze rol is toegewezen.In the Scope column, next to (Inherited) there is a link that takes you to the scope where this role was assigned. Ga naar het bereik dat hier wordt weergegeven om de roltoewijzing te verwijderen.Go to the scope listed there to remove the role assignment.

    Bericht bij verwijderen van roltoewijzing

Volgende stappenNext steps