Empfehlungen für die Verwendung von Abonnements und Verwaltungsgruppen

  • 9 Minuten

Bei einigen Azure Virtual Desktop-Verfahren, z. B. der Installation von Office auf einem VHD-Masterimage, wird davon ausgegangen, dass Sie über erhöhte Zugriffsrechte auf der VM verfügen, und zwar unabhängig davon, ob sie in Azure oder Hyper-V Manager bereitgestellt wird.

Als globaler Administrator in Microsoft Entra ID haben Sie möglicherweise keinen Zugriff auf alle Abonnements und Verwaltungsgruppen in Ihrem Verzeichnis. Im Folgenden finden Sie Methoden zum Erhöhen der Zugriffsrechte auf alle Abonnements und Verwaltungsgruppen.

Diagramm mit der Rolle des globalen Administrators in Microsoft Entra ID.

In welchen Fällen müssen Sie Ihren Zugriff erhöhen?

Globale Administratoren sollten die folgenden Szenarien für das Erhöhen der Zugriffsrechte berücksichtigen.

  • Zurückgewinnen des Zugriffs auf ein Azure-Abonnement oder eine Verwaltungsgruppe, wenn ein Benutzer keinen Zugriff mehr besitzt.
  • Gewähren von Zugriff auf ein Azure-Abonnement oder eine Azure-Verwaltungsgruppe für einen anderen Benutzer oder sich selbst
  • Anzeigen aller Azure-Abonnements oder -Verwaltungsgruppen innerhalb einer Organisation.
  • Zulassen, dass eine Automatisierungs-App (z. B. eine Rechnungsstellungs- oder Überwachungs-App) Zugriff auf alle Azure-Abonnements oder -Verwaltungsgruppen besitzt.

Wie erhöhe ich den Zugriff?

Microsoft Entra ID und Azure-Ressourcen werden unabhängig voneinander geschützt.

Microsoft Entra-Rollenzuweisungen gewähren keinen Zugriff auf Azure-Ressourcen, und Azure-Rollenzuweisungen gewähren keinen Zugriff auf Microsoft Entra ID. Wenn Sie jedoch die globale Administratorrolle in Microsoft Entra ID besitzen, können Sie sich selbst Zugriff auf alle Azure-Abonnements und Verwaltungsgruppen in Ihrem Verzeichnis zuweisen. Verwenden Sie diese Funktion, wenn Sie keinen Zugriff auf Azure-Abonnementressourcen besitzen. Beispielsweise für VMs oder Speicherkonten, wenn Sie Ihre Berechtigung „Globaler Administrator“ verwenden möchten, um Zugriff auf diese Ressourcen zu erhalten.

Wenn Sie Ihre Zugriffsrechte erhöhen, wird Ihnen die Rolle „Benutzerzugriffsadministrator“ in Azure im Stammbereich (/) zugewiesen. Auf diese Weise können Sie alle Ressourcen anzeigen und den Zugriff in jeder Abonnement- oder Verwaltungsgruppe im Verzeichnis zuweisen. Die Rollenzuweisung „Benutzerzugriffsadministrator“ kann mit Azure PowerShell, der Azure-Befehlszeilenschnittstelle oder der REST-API entfernt werden.

Sie sollten dieses erhöhte Zugriffsrecht entfernen, sobald Sie die Änderungen vorgenommen haben, die im Stammbereich erforderlich sind.

Zugriffsrechte erhöhen

Erhöhen der Zugriffsrechte für einen globalen Administrator

Führen Sie diese Schritte aus, um die Zugriffsrechte für einen globalen Administrator mit dem Azure-Portal zu erhöhen.

  1. Melden Sie sich beim Azure-Portal oder beim Microsoft Entra Admin Center als globale*r Administrator*in an.
  2. Öffnen Sie Microsoft Entra ID.
  3. Wählen Sie unter Verwalten die Option Eigenschaften aus.

Wählen Sie „Eigenschaften“ für Microsoft Entra-Eigenschaften aus.

  1. Wählen Sie unter Zugriffsverwaltung für Azure-Ressourcen die Option Ja.

Zugriffsverwaltung für Azure-Ressourcen.

Wenn Sie die Umschaltfunktion auf Ja festlegen, wird Ihnen die Rolle „Benutzerzugriffsadministrator“ in der rollenbasierten Zugriffssteuerung (Role-Based Access Control, RBAC) von Azure im Stammbereich (/) zugewiesen. Dadurch erhalten Sie die Berechtigung, Rollen in allen Azure-Abonnements und Verwaltungsgruppen zuzuweisen, die diesem Microsoft Entra-Verzeichnis zugeordnet sind. Diese Option ist nur für Benutzer*innen verfügbar, denen in Microsoft Entra ID die globale Administratorrolle zugewiesen wurde.

Wenn Sie die Umschaltfunktion auf Nein festlegen, wird die Rolle „Benutzerzugriffsadministrator“ in der rollenbasierten Zugriffssteuerung (Role-Based Access Control, RBAC) von Azure aus Ihrem Benutzerkonto entfernt. Sie können in allen Azure-Abonnements und Verwaltungsgruppen, die diesem Microsoft Entra-Verzeichnis zugeordnet sind, keine Rollen mehr zuweisen. Sie können nur die Azure-Abonnements und Verwaltungsgruppen anzeigen und verwalten, für die Ihnen der Zugriff gewährt wurde.

  1. Klicken Sie auf Speichern, um Ihre Einstellung zu speichern.

Diese Einstellung ist keine globale Eigenschaft und gilt nur für den aktuell angemeldeten Benutzer. Sie können den Zugriff nicht für alle Mitglieder der globalen Administratorrolle erhöhen.

  1. Melden Sie sich ab und wieder an, um den Zugriff zu aktualisieren.

Sie sollten jetzt auf alle Azure-Abonnements und Verwaltungsgruppen in Ihrem Verzeichnis zugreifen können. Wenn Sie den Bereich „Zugriffssteuerung (IAM)“ anzeigen, werden Sie feststellen, dass Ihnen die Rolle „Benutzerzugriffsadministrator“ im Stammbereich zugewiesen wurde.

Abonnementrolleszuweisungen mit Stammbereich.

  1. Führen Sie die erforderlichen Änderungen für erhöhte Zugriffsrechte durch.

Entfernen der erhöhten Zugriffsrechte

Führen Sie die folgenden Schritte aus, um die Zuweisung der Rolle „Benutzerzugriffsadministrator“ im Stammbereich (/) zu entfernen.

  1. Melden Sie sich als derselbe Benutzer an, mit dem der Zugriff erhöht wurde.
  2. Klicken Sie in der Navigationsliste auf Microsoft Entra-ID und dann auf Eigenschaften.
  3. Ändern Sie die Option Zugriffsverwaltung für Azure-Ressourcen wieder in Nein. Da es sich um eine benutzerspezifische Einstellung handelt, müssen Sie als der Benutzer angemeldet sein, der den Zugriff erhöht hat.

Wenn Sie versuchen, die Rollenzuweisung „Benutzerzugriffsadministrator“ im Bereich „Zugriffssteuerung (IAM)“ zu entfernen, wird die folgende Meldung angezeigt. Um die Rollenzuweisung zu entfernen, müssen Sie den Umschalter wieder auf Nein festlegen oder Azure PowerShell, die Azure-Befehlszeilenschnittstelle oder die REST-API verwenden.

Entfernen von Rollenzuweisungen mit Stammbereich.

  1. Melden Sie sich als „Globaler Administrator“ ab.