Erstellen oder Aktualisieren von benutzerdefinierten Azure-Rollen über das Azure-Portal
Wenn sich die spezifischen Anforderungen Ihrer Organisation mit den integrierten Azure-Rollen nicht erfüllen lassen, können Sie eigene benutzerdefinierte Rollen erstellen. Genauso wie integrierte Rollen können auch benutzerdefinierte Rollen Benutzern, Gruppen und Dienstprinzipalen im Verwaltungsgruppen-, Abonnement- und Ressourcengruppenbereich zugewiesen werden. Benutzerdefinierte Rollen werden in einem Microsoft Entra-Verzeichnis gespeichert und können über Abonnements hinweg gemeinsam genutzt werden. Jedes Verzeichnis kann bis zu 5.000 benutzerdefinierte Rollen enthalten. Benutzerdefinierte Rollen können über das Azure-Portal, mit Azure PowerShell, über die Azure CLI oder mithilfe der REST-API erstellt werden. In diesem Artikel wird das Erstellen benutzerdefinierter Rollen über das Azure-Portal beschrieben.
Voraussetzungen
Zum Erstellen von benutzerdefinierten Rollen benötigen Sie Folgendes:
- Berechtigungen zum Erstellen von benutzerdefinierten Rollen, etwa Besitzer oder Benutzerzugriffsadministrator
Schritt 1: Bestimmen der Berechtigungen, die Sie benötigen
Azure verfügt über Tausende von Berechtigungen, die Sie potenziell zu Ihrer benutzerdefinierten Rolle hinzufügen können. Nachfolgend sind einige Methoden aufgeführt, mit denen Sie die Berechtigungen ermitteln können, die Sie Ihrer benutzerdefinierten Rolle hinzufügen sollten:
- Sehen Sie sich die vorhandenen integrierten Rollen an.
- Listen Sie die Azure-Dienste auf, auf die Sie Zugriff gewähren möchten.
- Bestimmen Sie die Ressourcenanbieter, die den Azure-Diensten zugeordnet sind. Eine Suchmethode wird weiter unten beschrieben in Schritt 4: Berechtigungen.
- Durchsuchen Sie die verfügbaren Berechtigungen, um die gewünschten Berechtigungen zu finden. Eine Suchmethode wird weiter unten beschrieben in Schritt 4: Berechtigungen.
Schritt 2: Auswahl der Vorgehensweise zum Erstellen einer Rolle
Es gibt drei Möglichkeiten, wie Sie eine benutzerdefinierte Rolle erstellen können. Sie können eine vorhandene Rolle klonen, eine Rolle von Grund auf neu erstellen oder den Vorgang mit einer JSON-Datei beginnen. Die einfachste Möglichkeit besteht darin, eine vorhandene Rolle zu ermitteln, die über die meisten benötigten Berechtigungen verfügt, und diese Rolle dann zu klonen und an Ihr Szenario anzupassen.
Rolle klonen
Wenn eine vorhandene Rolle nicht über die erforderlichen Berechtigungen verfügt, können Sie sie klonen und die Berechtigungen anschließend ändern. Führen Sie diese Schritte aus, um mit dem Klonen einer Rolle zu beginnen.
Öffnen Sie im Azure-Portal eine Verwaltungsgruppe oder eine Ressourcengruppe, in dem bzw. in der es möglich sein soll, die benutzerdefinierte Rolle zuzuweisen. Öffnen Sie dann Zugriffssteuerung (IAM).
Der folgende Screenshot zeigt die geöffnete Seite „Zugriffssteuerung (IAM)“ für ein Abonnement.
Klicken Sie auf die Registerkarte Rollen, um eine Liste aller integrierten und benutzerdefinierten Rollen anzuzeigen.
Suchen Sie nach einer Rolle, die Sie klonen möchten, z.B. nach der Rolle „Abrechnungsleser“.
Klicken Sie am Ende der Zeile auf die Auslassungspunkte ( ... ), und klicken Sie dann auf Klonen.
Dadurch wird der Editor für benutzerdefinierte Rollen mit ausgewählter Option Rolle klonen geöffnet.
Fahren Sie mit Schritt 3 fort: Grundlagen.
Von Grund auf neu starten
Führen Sie die folgenden Schritte aus, um eine benutzerdefinierte Rolle von Grund auf neu zu erstellen.
Öffnen Sie im Azure-Portal eine Verwaltungsgruppe oder eine Ressourcengruppe, in dem bzw. in der es möglich sein soll, die benutzerdefinierte Rolle zuzuweisen. Öffnen Sie dann Zugriffssteuerung (IAM).
Klicken Sie auf Hinzufügen und anschließend auf Benutzerdefinierte Rolle hinzufügen.
Dadurch wird der Editor für benutzerdefinierte Rollen mit ausgewählter Option Von Grund auf neu starten geöffnet.
Fahren Sie mit Schritt 3 fort: Grundlagen.
Von JSON aus starten
Sie können die meisten Werte Ihrer benutzerdefinierten Rolle in einer JSON-Datei angeben. Sie können die Datei im Editor für benutzerdefinierte Rollen öffnen, Änderungen vornehmen und dann die benutzerdefinierte Rolle erstellen. Führen Sie diese Schritte aus, um die benutzerdefinierte Rolle anhand einer JSON-Datei zu erstellen.
Erstellen Sie eine JSON-Datei mit folgendem Format:
{ "properties": { "roleName": "", "description": "", "assignableScopes": [], "permissions": [ { "actions": [], "notActions": [], "dataActions": [], "notDataActions": [] } ] } }
Geben Sie in der JSON-Datei Werte für die verschiedenen Eigenschaften an. Im Folgenden finden Sie ein Beispiel mit hinzugefügten Werten. Informationen zu den verschiedenen Eigenschaften finden Sie unter Grundlegendes zu Azure-Rollendefinitionen.
{ "properties": { "roleName": "Billing Reader Plus", "description": "Read billing data and download invoices", "assignableScopes": [ "/subscriptions/11111111-1111-1111-1111-111111111111" ], "permissions": [ { "actions": [ "Microsoft.Authorization/*/read", "Microsoft.Billing/*/read", "Microsoft.Commerce/*/read", "Microsoft.Consumption/*/read", "Microsoft.Management/managementGroups/read", "Microsoft.CostManagement/*/read", "Microsoft.Support/*" ], "notActions": [], "dataActions": [], "notDataActions": [] } ] } }
Öffnen Sie im Azure-Portal die Seite Zugriffssteuerung (IAM).
Klicken Sie auf Hinzufügen und anschließend auf Benutzerdefinierte Rolle hinzufügen.
Dadurch wird der Editor für benutzerdefinierte Rollen geöffnet.
Wählen Sie auf der Registerkarte mit den Grundeinstellungen unter Baselineberechtigungen die Option Von JSON aus starten aus.
Klicken Sie neben dem Feld „Datei auswählen“ auf die Schaltfläche „Ordner“, um das Dialogfeld „Öffnen“ anzuzeigen.
Wählen Sie Ihre JSON-Datei aus, und klicken Sie dann auf Öffnen.
Fahren Sie mit Schritt 3 fort: Grundlagen.
Schritt 3: Grundlagen
Geben Sie auf der Registerkarte Grundeinstellungen den Namen, eine Beschreibung und die Baselineberechtigungen für Ihre benutzerdefinierte Rolle an.
Geben Sie im Feld Name der benutzerdefinierten Rolle einen Namen für die benutzerdefinierte Rolle an. Der Name muss für das Microsoft Entra-Verzeichnis eindeutig sein. Er kann Buchstaben, Ziffern, Leerzeichen und Sonderzeichen enthalten.
Geben Sie im Feld Beschreibung eine optionale Beschreibung für die benutzerdefinierte Rolle an. Dies wird die QuickInfo für die benutzerdefinierte Rolle.
Die Option Baselineberechtigungen sollte basierend auf dem vorherigen Schritt bereits ausgewählt sein. Sie können sie jedoch ändern.
Schritt 4: Berechtigungen
Auf der Registerkarte Berechtigungen können Sie die Berechtigungen für Ihre benutzerdefinierte Rolle angeben. Abhängig davon, ob Sie eine Rolle geklont haben oder den Vorgang anhand einer JSON-Datei durchgeführt haben, werden auf der Registerkarte „Berechtigungen“ möglicherweise bereits einige Berechtigungen aufgeführt.
Hinzufügen oder Entfernen von Berechtigungen
Führen Sie diese Schritte aus, um Berechtigungen für Ihre benutzerdefinierte Rolle hinzuzufügen oder zu entfernen.
Um Berechtigungen hinzuzufügen, klicken Sie auf Berechtigungen hinzufügen. Dadurch wird der Bereich „Berechtigungen hinzufügen“ geöffnet.
In diesem Bereich werden alle verfügbaren Berechtigungen aufgelistet (in einem Kartenformat in verschiedenen Kategorien gruppiert). Jede Kategorie stellt einen Ressourcenanbieter dar. Dabei handelt es sich um einen Dienst, der Azure-Ressourcen bereitstellt.
Geben Sie im Feld Berechtigung suchen eine Zeichenfolge ein, um nach Berechtigungen zu suchen. Suchen Sie z.B. nach Rechnung, um Berechtigungen zu finden, die mit Rechnungen in Zusammenhang stehen.
Basierend auf Ihrer Suchzeichenfolge wird eine Liste mit Ressourcenanbieterkarten angezeigt. Eine Übersicht über die Zuordnung von Ressourcenanbietern und Azure-Diensten finden Sie unter Ressourcenanbieter für Azure-Dienste.
Klicken Sie auf die Karte eines Ressourcenanbieters, der möglicherweise über die Berechtigungen verfügt, die Sie Ihrer benutzerdefinierten Rolle hinzufügen möchten (z.B. Microsoft-Abrechnung).
Basierend auf Ihrer Suchzeichenfolge wird eine Liste mit Verwaltungsberechtigungen für den jeweiligen Ressourcenanbieter angezeigt.
Wenn Sie nach Berechtigungen suchen, die sich auf die Datenebene beziehen, klicken Sie auf Datenaktionen. Anderenfalls behalten Sie die Einstellung Aktionen bei, um Berechtigungen aufzulisten, die sich auf die Steuerungsebene beziehen. Weitere Informationen zu den Unterschieden zwischen der Steuerungsebene und der Datenebene finden Sie unter Steuerungs- und Datenvorgänge.
Aktualisieren Sie bei Bedarf die Suchzeichenfolge, um die Suche weiter einzuschränken.
Sobald Sie mindestens eine Berechtigung gefunden haben, die Sie zu Ihrer benutzerdefinierten Rolle hinzufügen möchten, fügen Sie neben der Berechtigung ein Häkchen hinzu. Fügen Sie beispielsweise ein Häkchen neben Andere: Rechnung herunterladen hinzu, um die Berechtigung zum Herunterladen von Rechnungen hinzuzufügen.
Klicken Sie auf Hinzufügen, um die Berechtigung zu Ihrer Liste hinzuzufügen.
Die Berechtigung wird als
Actions
oderDataActions
hinzugefügt.Um Berechtigungen zu entfernen, klicken Sie auf das Symbol zum Löschen am Ende der Zeile. Da in diesem Beispiel keine Berechtigung zum Erstellen von Supporttickets erforderlich ist, kann die Berechtigung
Microsoft.Support/*
gelöscht werden.
Hinzufügen von Platzhalterberechtigungen
Abhängig davon, wie Sie den Vorgang zum Erstellen von Rollen starten, enthält Ihre Liste mit Berechtigungen möglicherweise Berechtigungen mit Platzhaltern (*
). Ein Platzhalter (*
) erweitert eine Berechtigung auf alles, was der von Ihnen angegebenen Aktionszeichenfolge entspricht. Beispielsweise werden mit der folgenden Platzhalterzeichenfolge alle Berechtigungen für Azure Cost Management und Exporte hinzugefügt. Dies schließt auch alle zukünftigen Exportberechtigungen ein, die möglicherweise hinzugefügt werden.
Microsoft.CostManagement/exports/*
Neue Platzhalterberechtigungen können nicht über den Bereich Berechtigungen hinzufügen hinzugefügt werden. Wenn Sie eine Platzhalterberechtigung hinzufügen möchten, müssen Sie sie manuell auf der Registerkarte JSON hinzufügen. Weitere Informationen finden Sie unter Schritt 6: JSON-.
Hinweis
Es empfiehlt sich, explizit Actions
und DataActions
anzugeben, anstatt das Platzhalterzeichen (*
) zu verwenden. Bei Verwendung des Platzhalters können ggf. ungewollt zusätzlicher Zugriff und zusätzliche Berechtigungen durch zukünftige Aktionen (Actions
) oder Datenaktionen (DataActions
) gewährt werden.
Ausschließen von Berechtigungen
Wenn Ihre Rolle über eine Platzhalterberechtigung (*
) verfügt und Sie bestimmte Berechtigungen von dieser Platzhalterberechtigung ausschließen oder entfernen möchten, können Sie sie ausschließen. Angenommen, Sie haben die folgende Platzhalterberechtigung:
Microsoft.CostManagement/exports/*
Wenn Sie nicht zulassen möchten, dass ein Export gelöscht wird, können Sie die folgende Löschberechtigung ausschließen:
Microsoft.CostManagement/exports/delete
Wenn Sie eine Berechtigung ausschließen, wird sie als NotActions
oder NotDataActions
hinzugefügt. Die geltenden Verwaltungsberechtigungen werden ermittelt, indem alle Actions
hinzugefügt und dann alle NotActions
entfernt werden. Die geltenden Datenberechtigungen werden ermittelt, indem alle DataActions
hinzugefügt und dann alle NotDataActions
entfernt werden.
Hinweis
Das Ausschließen einer Berechtigung ist nicht mit dem Verweigern einer Berechtigung identisch. Das Ausschließen von Berechtigungen dient lediglich dazu, Berechtigungen aus einer Platzhalterberechtigung zu entfernen.
Zum Ausschließen oder Entfernen von Berechtigungen aus einer zulässigen Platzhalterberechtigung klicken Sie auf Berechtigungen ausschließen, um den Bereich „Berechtigungen ausschließen“ zu öffnen.
In diesem Bereich geben Sie die Verwaltungs- oder Datenberechtigungen an, die ausgeschlossen oder entfernt werden.
Sobald Sie mindestens eine Berechtigung gefunden haben, die ausgeschlossen werden soll, fügen Sie neben der Berechtigung ein Häkchen hinzu und klicken auf die Schaltfläche Hinzufügen.
Die Berechtigung wird als
NotActions
oderNotDataActions
hinzugefügt.
Schritt 5: Zuzuweisende Bereiche
Geben Sie auf der Registerkarte Zuweisbare Bereiche an, wo Ihre benutzerdefinierte Rolle für die Zuweisung verfügbar ist, z. B. Verwaltungsgruppe: Abonnements: oder Ressourcengruppen. Je nachdem, wie Sie den Anfang gewählt haben, ist auf dieser Registerkarte möglicherweise bereits der Bereich aufgeführt, in dem Sie die Seite Zugriffssteuerung (IAM) geöffnet haben.
Sie können nur eine Verwaltungsgruppe in zuweisbaren Bereichen definieren. Der zuweisbare Bereich kann nicht auf den Stammbereich ("/") festgelegt werden.
Klicken Sie auf Zuweisbare Bereiche hinzufügen, um den Bereich „Zuweisbare Bereiche hinzufügen“ zu öffnen.
Klicken Sie auf mindestens einen Bereich, den Sie verwenden möchten (üblicherweise Ihr Abonnement).
Klicken Sie auf die Registerkarte Hinzufügen, um Ihren zuweisbaren Bereich hinzuzufügen.
Schritt 6: JSON
Auf der Registerkarte JSON wird Ihre benutzerdefinierte Rolle im JSON-Format angezeigt. Wenn Sie möchten, können Sie den JSON-Code direkt bearbeiten.
Um den JSON-Code zu bearbeiten, klicken Sie auf Bearbeiten.
Nehmen Sie die gewünschten Änderungen am JSON-Code vor.
Wenn der JSON-Code nicht ordnungsgemäß formatiert ist, sehen Sie eine rote Zackenlinie und einen Hinweis im vertikalen Bundsteg.
Klicken Sie auf Speichern, wenn Sie fertig sind.
Schritt 7: Überprüfen und erstellen
Auf der Registerkarte Bewerten + erstellen können Sie die Einstellungen Ihrer benutzerdefinierten Rolle noch einmal überprüfen.
Überprüfen Sie die Einstellungen Ihrer benutzerdefinierten Rolle.
Klicken Sie auf Erstellen, um Ihre benutzerdefinierte Rolle zu erstellen.
Nach einigen Augenblicken wird in einem Meldungsfeld angezeigt, dass Ihre benutzerdefinierte Rolle erfolgreich erstellt wurde.
Falls Fehler ermittelt wurden, wird eine entsprechende Meldung angezeigt.
Überprüfen Sie, ob Ihre neue benutzerdefinierte Rolle in der Liste Rollen aufgeführt wird. Sollte Ihre benutzerdefinierte Rolle nicht angezeigt werden, klicken Sie auf Aktualisieren.
Es kann einige Minuten dauern, bis Ihre benutzerdefinierte Rolle überall angezeigt wird.
Auflisten benutzerdefinierter Rollen
Führen Sie die folgenden Schritte aus, um Ihre benutzerdefinierten Rollen anzuzeigen.
Öffnen Sie eine Verwaltungsgruppe, Abonnement oder eine Ressourcengruppe, und öffnen Sie dann Zugriffssteuerung (IAM).
Klicken Sie auf die Registerkarte Rollen, um eine Liste aller integrierten und benutzerdefinierten Rollen anzuzeigen.
Wählen Sie in der Liste Type die Option CustomRole aus, um Ihre benutzerdefinierten Rollen anzuzeigen.
Wenn Sie die benutzerdefinierte Rolle gerade erst erstellt haben und sie nicht in der Liste aufgeführt ist, klicken Sie auf Aktualisieren.
Aktualisieren einer benutzerdefinierten Rolle
Führen Sie die weiter oben in diesem Artikel beschriebenen Schritte aus, um Ihre Liste mit benutzerdefinierten Rollen zu öffnen.
Klicken Sie auf die Auslassungspunkte (...) für die benutzerdefinierte Rolle, die Sie aktualisieren möchten, und klicken Sie dann auf Bearbeiten. Beachten Sie, dass integrierte Rollen nicht aktualisiert werden können.
Die benutzerdefinierte Rolle wird im Editor geöffnet.
Verwenden Sie die verschiedenen Registerkarten, um die benutzerdefinierte Rolle zu aktualisieren.
Wenn Sie fertig sind, klicken Sie auf die Registerkarte Überprüfen + erstellen, um Ihre Änderungen zu überprüfen.
Klicken Sie auf die Schaltfläche Aktualisieren, um Ihre benutzerdefinierte Rolle zu aktualisieren.
Löschen einer benutzerdefinierten Rolle
Entfernen Sie alle Rollenzuweisungen, welche die benutzerdefinierte Rolle verwenden. Weitere Informationen finden Sie unter Suchen nach Rollenzuweisungen zum Löschen einer benutzerdefinierten Rolle.
Führen Sie die weiter oben in diesem Artikel beschriebenen Schritte aus, um Ihre Liste mit benutzerdefinierten Rollen zu öffnen.
Klicken Sie auf die Auslassungspunkte (...) für die benutzerdefinierte Rolle, die Sie löschen möchten, und klicken Sie dann auf Löschen.
Es kann einige Minuten dauern, bis Ihre benutzerdefinierte Rolle vollständig gelöscht ist.