Problemen met RBAC voor Azure-resources oplossenTroubleshoot RBAC for Azure resources

In dit artikel vindt u antwoorden op algemene vragen over op rollen gebaseerd toegangs beheer (RBAC) voor Azure-resources, zodat u weet wat u kunt verwachten bij het gebruik van de functies in de Azure Portal en kunt u toegangs problemen oplossen.This article answers common questions about role-based access control (RBAC) for Azure resources, so that you know what to expect when using the roles in the Azure portal and can troubleshoot access problems.

Problemen met RBAC-roltoewijzingenProblems with RBAC role assignments

  • Als u geen roltoewijzing kunt toevoegen in de Azure Portal op toegangs beheer (IAM), omdat de > optietoewijzing van roltoewijzing toevoegen is uitgeschakeld of omdat u de machtigingen fout krijgt, is de client met object-id niet autorisatie voor het uitvoeren van de actie ', Controleer of u momenteel bent aangemeld met een gebruiker aan wie een rol is toegewezen Microsoft.Authorization/roleAssignments/write die de machtiging heeft, zoals eigenaar of gebruikers toegangs beheerder in het bereik dat u probeert toe te wijzen aan de rol.If you are unable to add a role assignment in the Azure portal on Access control (IAM) because the Add > Add role assignment option is disabled or because you get the permissions error "The client with object id does not have authorization to perform action", check that you are currently signed in with a user that is assigned a role that has the Microsoft.Authorization/roleAssignments/write permission such as Owner or User Access Administrator at the scope you are trying to assign the role.
  • Als u het fout bericht ' er kunnen geen roltoewijzingen meer worden gemaakt ' weer gegeven (code: RoleAssignmentLimitExceeded)' optreedt, vermindert u het aantal roltoewijzingen door in plaats hiervan rollen toe te wijzen aan groepen.If you get the error message "No more role assignments can be created (code: RoleAssignmentLimitExceeded)" when you try to assign a role, try to reduce the number of role assignments by assigning roles to groups instead. Azure ondersteunt maximaal 2000 roltoewijzingen per abonnement.Azure supports up to 2000 role assignments per subscription.

Problemen met aangepaste rollenProblems with custom roles

  • Als u stappen nodig hebt voor het maken van een aangepaste rol, raadpleegt u de zelf studies voor aangepaste rollen met behulp van Azure PowerShell of Azure cli.If you need steps for how to create a custom role, see the custom role tutorials using Azure PowerShell or Azure CLI.
  • Als u een bestaande aangepaste rol niet kunt bijwerken, controleert u of u momenteel bent aangemeld met een gebruiker aan wie een rol is toegewezen die de Microsoft.Authorization/roleDefinition/write machtiging heeft, zoals eigenaar of beheerder van gebruikers toegang.If you are unable to update an existing custom role, check that you are currently signed in with a user that is assigned a role that has the Microsoft.Authorization/roleDefinition/write permission such as Owner or User Access Administrator.
  • Als het u niet lukt om een aangepaste rol te verwijderen en het foutbericht 'There are existing role assignments referencing role (code: RoleDefinitionHasAssignments)' (Er zijn bestaande roltoewijzingen die aan een rol refereren (code: RoleDefinitionHasAssignments)) verschijnt, dan zijn er roltoewijzingen die nog altijd de aangepaste rol gebruiken.If you are unable to delete a custom role and get the error message "There are existing role assignments referencing role (code: RoleDefinitionHasAssignments)", then there are role assignments still using the custom role. Verwijder deze roltoewijzingen en probeer de aangepaste rol opnieuw te verwijderen.Remove those role assignments and try to delete the custom role again.
  • Als tijdens het maken van een nieuwe aangepaste rol het foutbericht 'Role definition limit exceeded. No more role definitions can be created (RoleDefinitionLimitExceeded)'If you get the error message "Role definition limit exceeded. Er kunnen geen roldefinities meer worden gemaakt (code: RoleDefinitionLimitExceeded) "wanneer u probeert een nieuwe aangepaste rol te maken, verwijdert u alle aangepaste rollen die niet worden gebruikt.No more role definitions can be created (code: RoleDefinitionLimitExceeded)" when you try to create a new custom role, delete any custom roles that aren't being used. Azure biedt ondersteuning voor Maxi maal 5000 aangepaste rollen in een Tenant.Azure supports up to 5000 custom roles in a tenant. (Voor speciale clouds, zoals Azure Government, Azure Duitsland en Azure China 21Vianet, is de limiet 2000 aangepaste rollen.)(For specialized clouds, such as Azure Government, Azure Germany, and Azure China 21Vianet, the limit is 2000 custom roles.)
  • Als er een fout bericht wordt weer gegeven dat vergelijkbaar is met de machtiging ' de client is gemachtigd voor het uitvoeren van de actie ' micro soft. Authorization/roleDefinitions/write ' op het bereik '/Subscriptions/{subscriptionid} ', is het gekoppelde abonnement niet gevonden ' wanneer u een aangepaste rol probeert bij te werken, raadpleegt u Hiermee wordt aangegeven of een of meer toewijs bare bereiken zijn verwijderd in de Tenant.If you get an error similar to "The client has permission to perform action 'Microsoft.Authorization/roleDefinitions/write' on scope '/subscriptions/{subscriptionid}', however the linked subscription was not found" when you try to update a custom role, check whether one or more assignable scopes have been deleted in the tenant. Als het bereik is verwijderd, maakt u een ondersteuningsticket, aangezien hiervoor op dit moment geen selfserviceoplossing beschikbaar is.If the scope was deleted, then create a support ticket as there is no self-service solution available at this time.

RBAC herstellen als abonnementen tussen tenants zijn verplaatstRecover RBAC when subscriptions are moved across tenants

  • Zie het eigendom van een Azure-abonnement overdragen aan een ander accountals u stappen nodig hebt voor het overdragen van een abonnement naar een andere Azure AD-Tenant.If you need steps for how to transfer a subscription to a different Azure AD tenant, see Transfer ownership of an Azure subscription to another account.
  • Als u een abonnement verplaatst naar een ander Azure AD-tenant, worden alle roltoewijzingen permanent verwijderd uit de Azure AD-brontenant en worden deze niet gemigreerd naar de Azure AD-doeltenant.If you transfer a subscription to a different Azure AD tenant, all role assignments are permanently deleted from the source Azure AD tenant and are not migrated to the target Azure AD tenant. U moet uw roltoewijzingen opnieuw maken in de doel-tenant.You must re-create your role assignments in the target tenant. U moet ook hand matig beheerde identiteiten voor Azure-resources maken.You also have to manually recreate managed identities for Azure resources. Zie Veelgestelde vragen en bekende problemen met beheerde identiteitenvoor meer informatie.For more information, see FAQs and known issues with managed identities.
  • Als u een globale Azure AD-beheerder bent en u geen toegang hebt tot een abonnement nadat het is verplaatst tussen tenants, gebruikt u de wissel knop voor het toegangs beheer voor Azure om de toegang tot het abonnement tijdelijk te verhogen .If you are an Azure AD Global Administrator and you don't have access to a subscription after it was moved between tenants, use the Access management for Azure resources toggle to temporarily elevate your access to get access to the subscription.

Problemen met servicebeheerders of co-beheerdersIssues with service admins or co-admins

Toegang geweigerd of machtigings foutenAccess denied or permission errors

  • Als de machtigingsfout 'Client met object-id is niet gemachtigd om actie uit te voeren over bereik (code: AuthorizationFailed)' wanneer u een resource wilt maken, controleert u of u momenteel bent aangemeld met een gebruiker die een rol heeft met schrijfrechten voor de resource in het geselecteerde bereik.If you get the permissions error "The client with object id does not have authorization to perform action over scope (code: AuthorizationFailed)" when you try to create a resource, check that you are currently signed in with a user that is assigned a role that has write permission to the resource at the selected scope. Als u bijvoorbeeld virtuele machines in een resourcegroep wilt beheren, moet u de rol Inzender voor virtuele machines toewijzen aan de resourcegroep (of bovenliggend bereik).For example, to manage virtual machines in a resource group, you should have the Virtual Machine Contributor role on the resource group (or parent scope). Voor een lijst met machtigingen voor elke ingebouwde rol, raadpleegt u Ingebouwde rollen voor Azure-resources.For a list of the permissions for each built-in role, see Built-in roles for Azure resources.
  • Als u de machtiging fout ' u bent niet gemachtigd om een ondersteunings aanvraag te maken ' krijgt wanneer u een ondersteunings ticket probeert te maken of bij te werken, controleert u of u momenteel bent aangemeld met een gebruiker aan Microsoft.Support/supportTickets/write wie een rol is toegewezen, zoals Inzender voor ondersteunings aanvragen.If you get the permissions error "You don't have permission to create a support request" when you try to create or update a support ticket, check that you are currently signed in with a user that is assigned a role that has the Microsoft.Support/supportTickets/write permission, such as Support Request Contributor.

Roltoewijzingen zonder beveiligings-principalRole assignments without a security principal

Wanneer u uw roltoewijzingen op basis van Azure PowerShell vermeld, ziet u mogelijk toewijzingen met een DisplayName lege en ObjectType een ingesteld op onbekend.When you list your role assignments using Azure PowerShell, you might see assignments with an empty DisplayName and an ObjectType set to Unknown. Get-AzRoleAssignment retourneert bijvoorbeeld een roltoewijzing die er ongeveer als volgt uitziet:For example, Get-AzRoleAssignment returns a role assignment that is similar to the following:

RoleAssignmentId   : /subscriptions/11111111-1111-1111-1111-111111111111/providers/Microsoft.Authorization/roleAssignments/22222222-2222-2222-2222-222222222222
Scope              : /subscriptions/11111111-1111-1111-1111-111111111111
DisplayName        :
SignInName         :
RoleDefinitionName : Storage Blob Data Contributor
RoleDefinitionId   : ba92f5b4-2d11-453d-a403-e96b0029c9fe
ObjectId           : 33333333-3333-3333-3333-333333333333
ObjectType         : Unknown
CanDelegate        : False

En wanneer u uw roltoewijzingen met Azure CLI vermeld, ziet u mogelijk toewijzingen met een leeg principalName.Similarly, when you list your role assignments using Azure CLI, you might see assignments with an empty principalName. Bijvoorbeeld, de lijst AZ Role Assignment retourneert een roltoewijzing die er ongeveer als volgt uitziet:For example, az role assignment list returns a role assignment that is similar to the following:

{
    "canDelegate": null,
    "id": "/subscriptions/11111111-1111-1111-1111-111111111111/providers/Microsoft.Authorization/roleAssignments/22222222-2222-2222-2222-222222222222",
    "name": "22222222-2222-2222-2222-222222222222",
    "principalId": "33333333-3333-3333-3333-333333333333",
    "principalName": "",
    "roleDefinitionId": "/subscriptions/11111111-1111-1111-1111-111111111111/providers/Microsoft.Authorization/roleDefinitions/ba92f5b4-2d11-453d-a403-e96b0029c9fe",
    "roleDefinitionName": "Storage Blob Data Contributor",
    "scope": "/subscriptions/11111111-1111-1111-1111-111111111111",
    "type": "Microsoft.Authorization/roleAssignments"
}

Deze roltoewijzingen worden uitgevoerd wanneer u een rol toewijst aan een beveiligingsprincipal (gebruiker, groep, Service-Principal of beheerde identiteit) en u de beveiligings-principal later verwijdert.These role assignments occur when you assign a role to a security principal (user, group, service principal, or managed identity) and you later delete that security principal. Deze roltoewijzingen worden niet weer gegeven in de Azure Portal en het is geen probleem om ze te verlaten.These role assignments aren't displayed in the Azure portal and it isn't a problem to leave them. U kunt deze functie toewijzingen echter wel verwijderen.However, if you like, you can remove these roles assignments.

Als u deze roltoewijzingen wilt verwijderen, gebruikt u de Verwijder opdrachten Remove-AzRoleAssignment of AZ Role Assignment .To remove these role assignments, use the Remove-AzRoleAssignment or az role assignment delete commands.

Als u in Power shell probeert de roltoewijzingen te verwijderen met de naam van de object-ID en roldefinitie en er meer dan één roltoewijzing overeenkomt met de para meters, wordt het volgende fout bericht weer gegeven: "De verstrekte informatie is niet toegewezen aan een roltoewijzing".In PowerShell, if you try to remove the role assignments using the object ID and role definition name, and more than one role assignment matches your parameters, you will get the error message: "The provided information does not map to a role assignment". Hieronder ziet u een voor beeld van het fout bericht:The following shows an example of the error message:

PS C:\> Remove-AzRoleAssignment -ObjectId 33333333-3333-3333-3333-333333333333 -RoleDefinitionName "Storage Blob Data Contributor"

Remove-AzRoleAssignment : The provided information does not map to a role assignment.
At line:1 char:1
+ Remove-AzRoleAssignment -ObjectId 33333333-3333-3333-3333-333333333333 ...
+ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
+ CategoryInfo          : CloseError: (:) [Remove-AzRoleAssignment], KeyNotFoundException
+ FullyQualifiedErrorId : Microsoft.Azure.Commands.Resources.RemoveAzureRoleAssignmentCommand

Als u dit fout bericht ontvangt, moet u ook de -Scope para meters of -ResourceGroupName opgeven.If you get this error message, make sure you also specify the -Scope or -ResourceGroupName parameters.

PS C:\> Remove-AzRoleAssignment -ObjectId 33333333-3333-3333-3333-333333333333 -RoleDefinitionName "Storage Blob Data Contributor" - Scope /subscriptions/11111111-1111-1111-1111-111111111111

RBAC-wijzigingen worden niet gedetecteerdRBAC changes are not being detected

Azure Resource Manager worden soms configuraties en gegevens in de cache opgeslagen om de prestaties te verbeteren.Azure Resource Manager sometimes caches configurations and data to improve performance. Wanneer u roltoewijzingen maakt of verwijdert, kan het tot 30 minuten duren voordat de wijzigingen van kracht worden.When creating or deleting role assignments, it can take up to 30 minutes for changes to take effect. Als u de Azure Portal, Azure PowerShell of Azure CLI gebruikt, kunt u het vernieuwen van uw roltoewijzingen afdwingen door u af te melden en u aan te melden.If you are using the Azure portal, Azure PowerShell, or Azure CLI, you can force a refresh of your role assignment changes by signing out and signing in. Als u wijzigingen aanbrengt in de roltoewijzing met REST API-aanroepen, kunt u een vernieuwing afdwingen door uw toegangs token te vernieuwen.If you are making role assignment changes with REST API calls, you can force a refresh by refreshing your access token.

Functies van web-apps waarvoor schrijf toegang is vereistWeb app features that require write access

Als u een gebruiker alleen-lezen toegang verleent tot één web-app, worden sommige functies uitgeschakeld die u mogelijk niet verwacht.If you grant a user read-only access to a single web app, some features are disabled that you might not expect. De volgende beheer functies vereisen Schrijf toegang tot een web-app (Inzender of eigenaar) en zijn niet beschikbaar in een alleen-lezen scenario.The following management capabilities require write access to a web app (either Contributor or Owner), and aren't available in any read-only scenario.

  • Opdrachten (zoals starten, stoppen, enz.)Commands (like start, stop, etc.)
  • Instellingen wijzigen, zoals algemene configuratie, schaal instellingen, back-upinstellingen en controle-instellingenChanging settings like general configuration, scale settings, backup settings, and monitoring settings
  • Toegang tot publicatie referenties en andere geheimen, zoals app-instellingen en verbindings reeksenAccessing publishing credentials and other secrets like app settings and connection strings
  • StreaminglogboekenStreaming logs
  • Configuratie van Diagnostische logboekenDiagnostic logs configuration
  • Console (opdracht prompt)Console (command prompt)
  • Actieve en recente implementaties (voor lokale Git-continue implementatie)Active and recent deployments (for local git continuous deployment)
  • Geschatte bestedingEstimated spend
  • WebtestsWeb tests
  • Virtueel netwerk (alleen zichtbaar voor een lezer als een virtueel netwerk eerder is geconfigureerd door een gebruiker met schrijf toegang).Virtual network (only visible to a reader if a virtual network has previously been configured by a user with write access).

Als u geen toegang hebt tot deze tegels, moet u de beheerder vragen om de toegang tot de web-app te verlenen.If you can't access any of these tiles, you need to ask your administrator for Contributor access to the web app.

Web-app-resources waarvoor schrijf toegang is vereistWeb app resources that require write access

Web-apps zijn gecompliceerd door de aanwezigheid van een aantal verschillende resources die Interplay.Web apps are complicated by the presence of a few different resources that interplay. Hier volgt een typische resource groep met een aantal websites:Here is a typical resource group with a couple of websites:

Resource groep voor web-app

Als u iemand toegang verleent tot alleen de web-app, is veel van de functionaliteit op de Blade website in de Azure Portal uitgeschakeld.As a result, if you grant someone access to just the web app, much of the functionality on the website blade in the Azure portal is disabled.

Voor deze items is Schrijf toegang vereist voor het app service abonnement dat overeenkomt met uw website:These items require write access to the App Service plan that corresponds to your website:

  • De prijs categorie van de web-app weer geven (gratis of standaard)Viewing the web app's pricing tier (Free or Standard)
  • Configuratie schalen (aantal exemplaren, grootte van de virtuele machine, instellingen voor automatisch schalen)Scale configuration (number of instances, virtual machine size, autoscale settings)
  • Quota (opslag, band breedte, CPU)Quotas (storage, bandwidth, CPU)

Deze items hebben Schrijf toegang tot de hele resource groep die uw website bevat:These items require write access to the whole Resource group that contains your website:

  • SSL-certificaten en-bindingen (SSL-certificaten kunnen worden gedeeld tussen sites in dezelfde resource groep en geografische locatie)SSL Certificates and bindings (SSL certificates can be shared between sites in the same resource group and geo-location)
  • WaarschuwingsregelsAlert rules
  • Instellingen voor automatisch schalenAutoscale settings
  • Application Insights-onderdelenApplication insights components
  • WebtestsWeb tests

Functies van virtuele machines waarvoor schrijf toegang is vereistVirtual machine features that require write access

Net als web apps vereist sommige functies op de Blade van de virtuele machine schrijf toegang tot de virtuele machine of andere resources in de resource groep.Similar to web apps, some features on the virtual machine blade require write access to the virtual machine, or to other resources in the resource group.

Virtuele machines zijn gerelateerd aan domein namen, virtuele netwerken, opslag accounts en waarschuwings regels.Virtual machines are related to Domain names, virtual networks, storage accounts, and alert rules.

Voor deze items is Schrijf toegang tot de virtuele machinevereist:These items require write access to the Virtual machine:

  • EindpuntenEndpoints
  • IP-adressenIP addresses
  • DisksDisks
  • ExtensiesExtensions

Hiervoor is Schrijf toegang vereist voor zowel de virtuele machineals de resource groep (samen met de domein naam) waarin deze zich bevindt:These require write access to both the Virtual machine, and the Resource group (along with the Domain name) that it is in:

  • BeschikbaarheidssetAvailability set
  • Set met gelijke taakverdelingLoad balanced set
  • WaarschuwingsregelsAlert rules

Als u geen toegang hebt tot deze tegels, vraagt u uw beheerder om toegang tot de resource groep te krijgen.If you can't access any of these tiles, ask your administrator for Contributor access to the Resource group.

Azure Functions en schrijf toegangAzure Functions and write access

Voor sommige functies van Azure functions is schrijf toegang vereist.Some features of Azure Functions require write access. Als een gebruiker bijvoorbeeld de rol lezer krijgt toegewezen, kunnen ze de functies in een functie-app niet weer geven.For example, if a user is assigned the Reader role, they will not be able to view the functions within a function app. De portal wordt weer gegeven (geen toegang) .The portal will display (No access).

Functie-apps zonder toegang

Een lezer kan op het tabblad platform functies klikken en vervolgens op alle instellingen klikken om enkele instellingen te bekijken die betrekking hebben op een functie-app (vergelijkbaar met een web-app), maar ze kunnen geen van deze instellingen wijzigen.A reader can click the Platform features tab and then click All settings to view some settings related to a function app (similar to a web app), but they can't modify any of these settings. U hebt de rol Inzender nodig om toegang te krijgen tot deze functies.To access these features, you will need the Contributor role.

Volgende stappenNext steps