Die Verwaltung von Azure AD Rollen und Berechtigungen mit PowerShell. Benötigen Sie Hilfe bei der Verwaltung und Automatisierung von Azure AD Rollen und Berechtigungen mit Windows PowerShell? Dieser Artikel erklärt die typischen Szenarien für die Automatisierung der Azure Rollenbasierten Zugriffssteuerung (RBAC) mit PowerShell.
Um das Fundament zu legen und sich auf die Verwaltung von Azure Rollen und Berechtigungen vorzubereiten, beginnen wir mit einem Überblick über die Azure Rollenbasierte Zugriffssteuerung (RBAC). Danach erklären wir die drei Elemente der Rollenzuweisung.
Es gibt auch einen Abschnitt, der die Voraussetzungen für die Verwaltung von Azure AD Rollen und Berechtigungen mit Windows PowerShell erklärt.
Die nächsten Abschnitte widmen sich der Erläuterung der Schritte zur Zuweisung von Azure AD Rollen mit PowerShell.
Zum Schluss erklären wir, wie Sie mit PowerShell die Rollen auflisten, die Benutzern und Gruppen zugewiesen sind.
Was ist Azure Rollenbasierte Zugriffssteuerung (RBAC)
Azure Rollenbasierte Zugriffssteuerung (RBAC) ermöglicht es Administratoren, eine fein abgestimmte Zugriffssteuerung auf Ressourcen durchzuführen. Mit anderen Worten ermöglicht Azure RBAC Admins zu kontrollieren, wer Zugriff auf Ressourcen hat.
Zusätzlich steuert RBAC das Zugriffsniveau auf Ressourcen in Azure.
Im Kern von RBAC stehen Rollenzuweisungen. Azure verfügt über Hunderte von integrierten Rollen mit vordefinierten Berechtigungen, die Benutzern, Gruppen oder Serviceprinzipalen zugeordnet werden.
Die Existenz von integrierten Rollen mit vordefinierten Berechtigungen erleichtert Rollenzuweisungen, da Admins keine Berechtigungen direkt an Objekte vergeben müssen.
Es gibt jedoch Situationen, in denen die integrierten Rollen für die Anforderungen einer Organisation möglicherweise nicht geeignet sind. In solchen Fällen werden benutzerdefinierte Rollen erstellt.
Dieser Artikel behandelt die Schritte zur Zuweisung vorhandener Rollen und zur Erstellung und Zuweisung benutzerdefinierter Azure AD-Rollen.
Azure Rollenzuweisungselemente
Die Zuweisung von Rollenzuweisungen umfasst 3 Elemente – Sicherheitsprinzipal, Rollendefinition und Bereich. Der Sicherheitsprinzipal ist das Azure Active Directory-Objekt, dem die Rolle zugewiesen werden soll.
Andererseits ist die Rollendefinition die integrierte oder benutzerdefinierte Azure AD-Rolle, die zugewiesen wird, während der Bereich das Niveau ist, auf dem die Rolle zugewiesen wird. In Azure gibt es 4 Bereiche, in denen Rollen zugewiesen werden.
Insbesondere werden Azure-Rollen einem Ressourcen-, Ressourcengruppen-, Abonnement- und Verwaltungsgruppenbereich zugewiesen. Um einer Ressource eine Rolle zuzuweisen, benötigen Sie die Ressourcen-ID.
Das Zuweisen einer Rolle auf Ressourcengruppenebene erfordert jedoch den Namen der Ressourcengruppe. Durch Ausführen des Befehls Get-AzResourceGroup werden alle Ressourcengruppen einschließlich ihrer Namen im aktuellen Abonnement zurückgegeben.
Wenn Sie eine Rolle auf Abonnementebene zuweisen, benötigen Sie die Abonnement-ID. Um alle Abonnements im Mandanten aufzulisten, führen Sie den Befehl Get-AzSubscription aus.
Zuletzt wird Rollen eine Verwaltungsgruppenebene zugewiesen, für die der Name der Verwaltungsgruppe erforderlich ist. Um den Namen einer Verwaltungsgruppe zu erhalten, führen Sie den Befehl Get-AzManagementGroup aus.
Das Verständnis dieser Elemente ist wichtig für das Verwalten von Azure AD-Rollen und Berechtigungen mit PowerShell. Im weiteren Teil des Artikels untersuchen wir, wie das Sicherheitsprinzipal, die Rollendefinition und der Bereich verwendet werden, um Rollen in Azure AD mithilfe von PowerShell zuzuweisen und zu verwalten.
Voraussetzungen für das Verwalten von Azure AD-Rollen und Berechtigungen mit PowerShell
Bevor ein Administrator Rollen zuweist, müssen die folgenden Anforderungen erfüllt sein:
- Dem Benutzer müssen die Rollen mit Berechtigungen zum Schreiben von Microsoft.Authorization/roleAssignments/write zugewiesen werden. Die einzigen Rollen mit dieser Berechtigung sind User Access Administrator, Owner oder Global Administrator.
- Zweitens benötigen Sie Zugriff auf Azure Cloud Shell oder Azure PowerShell.
- Das Benutzerkonto, das die PowerShell-Befehle ausführt, muss die Berechtigung Microsoft Graph Directory.Read.All haben.
- Zu guter Letzt benötigt Ihr Konto für einige der Aufgaben in diesem Artikel mindestens eine Azure AD Premium P1 Lizenz.
Im Verlauf dieses Artikels erklären wir die Schritte zur Zuweisung dieser Berechtigungen wie erforderlich.
Außerdem lesen Sie Azure AD Rollen & Privilegien: Azure AD RBAC Modell
Schritte zum Zuweisen von integrierten Azure AD-Rollen mit PowerShell
I’ll be running the PowerShell commands in this and subsequent sections from Azure Cloud Shell, a browser-based shell that allows running Azure CLI or PowerShell commands. However, I’ll be running the commands from my computer.
Wenn Sie auf den oben stehenden Cloud Shell-Link klicken und sich mit Ihrem Azure-Konto anmelden, wird ein Bildschirm angezeigt, der dem in der unten stehenden Screenshot ähnelt. Der Vorteil von Azure Cloud Shell besteht darin, dass keine PowerShell-Module auf Ihrem PC installiert werden müssen.
Schritt 1: Ermitteln der Objekt-ID
Sie müssen die Objekt-ID ermitteln, bevor Sie einer Azure-Ressource eine Rolle zuweisen können. Befolgen Sie diese Schritte, um die Objekt-ID für einen Benutzer, eine Gruppe oder ein Abonnement zu ermitteln.
1. Öffnen Sie die Azure Cloud Shell – shell.azure.com und melden Sie sich mit Ihrem Azure-Konto an.
Wenn Sie die Azure Cloud Shell zum ersten Mal öffnen, müssen Sie ein Speicherkonto erstellen.
2. Führen Sie die unten stehenden Befehle aus, um die ID des Benutzers oder der Gruppe zu erhalten, der/die eine Rolle zugewiesen werden soll. Im ersten Befehl speichere ich die ID eines Benutzers, der mit
beginnt. Der erste Befehl speichert die ID des Benutzers in der Variablen „userid“, während der zweite Befehl die Gruppen-ID in der Variablen „grouped“ speichert. Bevor Sie die Befehle ausführen, denken Sie daran, das „UserPrincipalName“ und den „DisplayName“ zu ändern.
Schritt 2: Die zuzuweisende Rolle erhalten
Der nächste Schritt zur Verwaltung von Azure AD Rollen und Berechtigungen mit PowerShell besteht darin, die zu vergebende Rolle zu bestimmen. Beginnen Sie damit, alle verfügbaren Rollen in Ihrem Azure AD-Mandanten mithilfe des folgenden Befehls aufzulisten.
Der Befehl zeigt den Namen und die Id aller Rollen im Mandanten an. Darüber hinaus gibt er in der Spalte IsCustom True oder False zurück.
Um zu demonstrieren, möchte ich die Rolle Sicherheitsadministrator dem Benutzer und der Gruppe zuweisen, die ich in Schritt 1 bestimmt habe. Um den Namen der Rolle anzuzeigen, leite ich die Ausgabe des Befehls Get-AzRoleDefinition an Where-Object weiter, wie in diesem Befehl gezeigt.
Schritt 3: Bestimmen des Geltungsbereichs der Rolle
Der folgende Befehl gibt die ResourceID eines Speicherkontos (Ressourcengeltungsbereich) zurück und speichert sie in der Variablen ResourceID.
Später weise ich dem Benutzer in Schritt 1 die Rolle „Sicherheitsadministrator“ in dieser Speicherkonto-Ressource zu.
Schritt 4: Die Azure-Rolle zuweisen
Verwenden Sie die Informationen in den Schritten 1 bis 3, um den folgenden Befehl auszuführen, um der Benutzer die Rolle zu zuweisen. Bevor Sie den Befehl ausführen, ist die Rolle diesem Speicherkonto nicht zugewiesen, wie im folgenden Screenshot zu sehen ist.
Der erste Befehl weist dem Benutzer, der im $userid-Variablen gespeichert ist, die Rolle „Sicherheitsadministrator“ zu. Ebenso weist der zweite Befehl der Gruppe, die im $groupid-Variablen gespeichert ist, dieselbe Rolle zu.
Nachdem die obigen Befehle ausgeführt wurden und die Speicherkonten aktualisiert wurden, wird die Sicherheitsadministrator Rolle angezeigt und der Benutzer und die Gruppe, denen die Rolle zugewiesen wurde.
Azure AD-Rollenzuweisung mithilfe von PowerShell anzeigen
Zuvor hatte ich dem Benutzer mit UPN, [email protected], die Rolle „Sicherheitsadministrator“ zugewiesen. Wenn Sie sich erinnern, wurde die UserId für den Benutzer in der $userid-Variablen gespeichert.
Ebenso wurde die Bereichs-ID des Speicherkontos in der $scoperesourceID-Variablen gespeichert. Um die Rollenzuweisung für den Benutzer anzuzeigen, führe ich den folgenden Befehl aus.
Der Befehl zeigt die Rollenzuweisungsdetails, einschließlich der RoleAssignmentName und des Bereichs, an.
Sie zeigen die gleichen Informationen für die Gruppe, indem Sie diesen Befehl ausführen.
Verwaltung von Azure AD Rollen und Berechtigungen mit PowerShell Abschluss
Die Verwaltung von Azure-Rollen erfordert Kenntnisse des rollenbasierten Zugriffssteuerungsmodells. Darüber hinaus ist es wichtig, die Elemente der Azure-Rollenzuweisung zu verstehen – Sicherheitsprinzipal, Rollendefinition und Bereich -, um Rollenzuweisungen mit PowerShell effektiv zu verwalten.
Nicht nur das, sondern ein Konto, das Rollen zuweist, muss einige Voraussetzungen erfüllen, wie z.B. das Konfigurieren von PowerShell mit den erforderlichen Modulen und die Sicherstellung angemessener administrativer Berechtigungen.
Der schrittweise Leitfaden in diesem Artikel bietet einen klaren Fahrplan, dem Sie folgen können, wenn Sie integrierte Azure AD Rollen mit PowerShell zuweisen. Vom Bestimmen der Objekt-ID bis zur Identifizierung des Bereichs für die Rollenzuweisung ist jeder Schritt sorgfältig umrissen und erleichtert einen reibungslosen und kontrollierten Rollenzuweisungsprozess.
Source:
https://infrasos.com/managing-azure-ad-roles-and-permissions-with-powershell/