13
Azure - Konto mit Backup Operator Rolle erstellen
Hi,
ich suche mir gerade nen Wolf ...
Ich will im Azure ein neues Benutzerkonto erstellen und dieses für Backup berechtigen. Es gibt laut Microsoft
Azure built-in roles und Azure AD built-in roles
"Backup Operator" gehört zu "Azure built-in roles"
Die "Azure AD built-in roles" hängen genau vor meiner Nase, aber die "Azure built-in roles" finde ich nirgends. Ich kann sie auch nirgends auswählen.
Kann mir jemand sagen, wie ich da rankomme?
E.
PS:
Habe ich schon erwähnt, dass ich das ganze Geraffel rund um Azure zum Kotzen finde?
ich suche mir gerade nen Wolf ...
Ich will im Azure ein neues Benutzerkonto erstellen und dieses für Backup berechtigen. Es gibt laut Microsoft
Azure built-in roles und Azure AD built-in roles
"Backup Operator" gehört zu "Azure built-in roles"
Die "Azure AD built-in roles" hängen genau vor meiner Nase, aber die "Azure built-in roles" finde ich nirgends. Ich kann sie auch nirgends auswählen.
Kann mir jemand sagen, wie ich da rankomme?
E.
PS:
Habe ich schon erwähnt, dass ich das ganze Geraffel rund um Azure zum Kotzen finde?
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 4677067644
Url: https://administrator.de/contentid/4677067644
Printed on: April 18, 2024 at 20:04 o'clock
13 Comments
Latest comment
https://learn.microsoft.com/en-us/azure/role-based-access-control/role-a ...
https://learn.microsoft.com/en-us/azure/role-based-access-control/role-a ...
Habe ich schon erwähnt, dass ich das ganze Geraffel rund um Azure zum Kotzen finde?
Dito. Grütze, kann man den ganzen Tag drin seine Zeit verschwenden um Dinge zu suchen. Deswegen besser gleich die Powershell für sämtliche Aufgaben nutzen.https://learn.microsoft.com/en-us/azure/role-based-access-control/role-a ...
Moin,
ich finde die Rollen in Azure eigentlich recht verständlich, auch die Auffindbarkeit ist eig. ganz gut. Vielleicht hilft dir das:
Azure AD Rollen vergebe ich via Azure AD, weil es sind Azure AD Rollen (lol :D)
Azure Built-In Rollen sind Rollen, welche NUR für Azure Ressourcen gelten.
Ergo kann ich diese Berechtigungen nur für / innerhalb von Azure Ressourcen vergeben. Heißt, möchte ich, dass ein Konto (überall) eine bestimmte Azure Ressourcenrolle hat, vergibt man die Rolle via der Root Management Group (Hier vorsicht, nur wenn wirklich überall das recht gebraucht wird, least priveledge beachten)
ich finde die Rollen in Azure eigentlich recht verständlich, auch die Auffindbarkeit ist eig. ganz gut. Vielleicht hilft dir das:
Azure AD Rollen vergebe ich via Azure AD, weil es sind Azure AD Rollen (lol :D)
Azure Built-In Rollen sind Rollen, welche NUR für Azure Ressourcen gelten.
Ergo kann ich diese Berechtigungen nur für / innerhalb von Azure Ressourcen vergeben. Heißt, möchte ich, dass ein Konto (überall) eine bestimmte Azure Ressourcenrolle hat, vergibt man die Rolle via der Root Management Group (Hier vorsicht, nur wenn wirklich überall das recht gebraucht wird, least priveledge beachten)
@4400667902
bzgl. PowerShell
Da hast Du sicherlich recht. Doch selbst das geht irgendwie nicht.
liefert mir
funktionieren beide.
Windows Server 2016 mit PowerShell 7.3.0
bzgl. PowerShell
Da hast Du sicherlich recht. Doch selbst das geht irgendwie nicht.
Get-AzRoleDefinitionGet-AzRoleDefinition: Object reference not set to an instance of an object.
Ich habe keine Ahnung, was der von mir will.Get-AzADuser
Get-AzADGroupWindows Server 2016 mit PowerShell 7.3.0
Zitat von @Cloudrakete:
Azure Built-In Rollen sind Rollen, welche NUR für Azure Ressourcen gelten.
Ergo kann ich diese Berechtigungen nur für / innerhalb von Azure Ressourcen vergeben. Heißt, möchte ich, dass ein Konto (überall) eine bestimmte Azure Ressourcenrolle hat, vergibt man die Rolle via der Root Management Group (Hier vorsicht, nur wenn wirklich überall das recht gebraucht wird, least priveledge beachten)
Ja, sowas dachte ich mir schon.Azure Built-In Rollen sind Rollen, welche NUR für Azure Ressourcen gelten.
Ergo kann ich diese Berechtigungen nur für / innerhalb von Azure Ressourcen vergeben. Heißt, möchte ich, dass ein Konto (überall) eine bestimmte Azure Ressourcenrolle hat, vergibt man die Rolle via der Root Management Group (Hier vorsicht, nur wenn wirklich überall das recht gebraucht wird, least priveledge beachten)
Aber wo finde ich das?
Kann das ein Lizenz-Problem sein? Brauche ich eine E5 oder P2, um diese BuiltIn-Rollen vergeben zu können?
Ich finde die Rolle Backup Operator bei uns gar nicht, kann es sein, das es das nur gibt, wenn man einen Backup Vault Dienst oder Storage Blob kauft? Einige Rollen, wie z.B. Exchange Health kann man auch nur über die Verwaltungskonsole der jeweiligen Anwendung, also z.B. Exchange Online vergeben. In deinem Fall wären das wohl Speicherkonten, da kommt aber bei meinem Tenant nur die Meldung, das ich kein Abo habe.
Ihr seid immer noch auf dem falschen Dampfer :D
Management Groups sind Teil der Azure AD P1 Lizenz, die ist in fast allen M365 Suites mit dabei.
Die Built-In Rollen für Azure Ressourcen, sind nicht aus dem Azure AD sichtbar, weil sie dort nicht verwaltet werden.
Das Azure AD verwaltet nur dienstspezifische Rollen wie Exchange, Teams, SharePoint etc.
Die Azure Rollen werden auf Ebene der Azure Ressourcen verwaltet. Hier ist die größte Einheit die Management Gruppe, falls im Einsatz. Ansonsten sind es die Azure Subscriptions. Ab diesen Einheiten gelten Azure Ressourcenrollen und nicht mehr Azure AD Rollen.
Aus diesem Umstand heraus, kann z.B. ein Globaler Admin in Azure ohne weiteres nicht viel tun (über Umwege schon, aber nicht per default)
Diese Grafik zeigt, wie RBAC (Role based access control) in Azure funktioniert.
Die ersten 3 Ebenen (Management Group, Subscription, Ressource Group) können vergebene Berechtigungen auf alle darunterliegenden Instanzen / Ressourcen vererben.
Sämtliche Zuweisungen müssen auf einer dieser Ebenen stattfinden, alternativ auf der Zielressource in der jeweiligen Ressourcengruppe.
Will ich ein Recht "überall" haben, dann vergebe ich das Recht auf der Root Managementgruppe. Diese gibt es immer (Wenn das Feature aktiviert wurde) und umfasst alle Managementgroups & Subscriptions.
Allerdings würde ich mich mit solchen Zuweisungen zurückhalten und diese nur im Einzelfall verwenden.
Erfahrungsgemäß sind Berechtigungen auf Ebene der Ressourcengruppe am besten in der Handhabung.
Soviel zur Theorie. Du musst für dein Problem nun folgendes rausfinden:
Wenn Du keine Managementgruppen nutzt, lässt Du den Schritt entsprechend weg, diese sind nur nice-to-have für die Verwaltung, aber kein Muss aus funktionaler Sicht.
Befindet sich die Zielressource/n in einer einzelnen Ressourcengruppe, vergibst Du das Recht auf die jeweiligen Gruppen.
Sollten es sehr viele Gruppen sein (10 oder mehr) empfiehlt es sich, dass Recht eine Ebene höher auf der Subscription zu vergeben, ab hier an wird es nach Unten (Siehe Bild oben) vererbt.
Management Groups sind Teil der Azure AD P1 Lizenz, die ist in fast allen M365 Suites mit dabei.
Die Built-In Rollen für Azure Ressourcen, sind nicht aus dem Azure AD sichtbar, weil sie dort nicht verwaltet werden.
Das Azure AD verwaltet nur dienstspezifische Rollen wie Exchange, Teams, SharePoint etc.
Die Azure Rollen werden auf Ebene der Azure Ressourcen verwaltet. Hier ist die größte Einheit die Management Gruppe, falls im Einsatz. Ansonsten sind es die Azure Subscriptions. Ab diesen Einheiten gelten Azure Ressourcenrollen und nicht mehr Azure AD Rollen.
Aus diesem Umstand heraus, kann z.B. ein Globaler Admin in Azure ohne weiteres nicht viel tun (über Umwege schon, aber nicht per default)
Diese Grafik zeigt, wie RBAC (Role based access control) in Azure funktioniert.
Die ersten 3 Ebenen (Management Group, Subscription, Ressource Group) können vergebene Berechtigungen auf alle darunterliegenden Instanzen / Ressourcen vererben.
Sämtliche Zuweisungen müssen auf einer dieser Ebenen stattfinden, alternativ auf der Zielressource in der jeweiligen Ressourcengruppe.
Will ich ein Recht "überall" haben, dann vergebe ich das Recht auf der Root Managementgruppe. Diese gibt es immer (Wenn das Feature aktiviert wurde) und umfasst alle Managementgroups & Subscriptions.
Allerdings würde ich mich mit solchen Zuweisungen zurückhalten und diese nur im Einzelfall verwenden.
Erfahrungsgemäß sind Berechtigungen auf Ebene der Ressourcengruppe am besten in der Handhabung.
Soviel zur Theorie. Du musst für dein Problem nun folgendes rausfinden:
- Für welche Ressource/n benötigst Du dieses Recht.
- In welcher Ressourcengruppe/n befindet sich die Ressource/n
- In welcher Subscription befindet sich die Ressource/n
- In welcher Managementgruppe/n befindet sich die Subscription/s
Wenn Du keine Managementgruppen nutzt, lässt Du den Schritt entsprechend weg, diese sind nur nice-to-have für die Verwaltung, aber kein Muss aus funktionaler Sicht.
Befindet sich die Zielressource/n in einer einzelnen Ressourcengruppe, vergibst Du das Recht auf die jeweiligen Gruppen.
Sollten es sehr viele Gruppen sein (10 oder mehr) empfiehlt es sich, dass Recht eine Ebene höher auf der Subscription zu vergeben, ab hier an wird es nach Unten (Siehe Bild oben) vererbt.
1
@Cloudrakete
Dein Name ist Programm?
Dein Kommentar dekt sich mit meiner bisherigen Recherche. Jetzt muss ich nur noch herausfinden, wie ich das umsetzen muss.
Subscription sehe ich bei mir keine.
Konkret geht darum, dass wir das Backup über VEEAM testen wollen. Dafür will ich unseren Backup-Admins ein Benutzerkonto bereitstellen, welches Backup Operator Rechte hat.
Dein Name ist Programm?
Dein Kommentar dekt sich mit meiner bisherigen Recherche. Jetzt muss ich nur noch herausfinden, wie ich das umsetzen muss.
Subscription sehe ich bei mir keine.
Your current access does not include permissions to view any subscriptions.
Unter "Eligible Subscriptions" kommt der nette Hinweis:To use Azure AD Privileged Identity Management, your organization needs EMS E5 or Azure AD Premium P2.
Wir haben E3/P1 (Microsoft 365 E3).Konkret geht darum, dass wir das Backup über VEEAM testen wollen. Dafür will ich unseren Backup-Admins ein Benutzerkonto bereitstellen, welches Backup Operator Rechte hat.
Zugegeben, ich "mache" praktisch nur noch Cloud ...
Eligible Subscriptions stammt tatsächlich aus Azure PIM. PIM ist allerdings optional wird hier nicht benötigt.
Du kannst kein Konto erstellen welches Backup Operatorrechte hat. Du kannst Du Konten erstellen, welche Backup Opertatorrechte auf eine bestimmte Ressource oder einen bestimmen Scope haben.
Veeam wird irgendwo entsprechende Ressourcen angelegt haben (Nicht irgendwo, sondern an der Stelle, welche im Setup angegeben wurde)
Die Benutzer / Gruppe benötigen hier die entsprechende Zuweisung (Direkt, oder via Vererbung)
Wenn Du aktuell keinen Zugriff auf die Subscriptions hast, aber Global Admin bist, gehe wie folgt vor:
-> portal.azure.com aufrufen
-> Mit Global Admin anmelden
-> Azure Active Directory (AAD) aufrufen
-> Properties
-> Access management for Azure resources (Slider auf "Yes" stellen)
-> Zu "Subscriptions" wechseln
-> Den Filter "Subscriptions == global filter" Filter aufrufen
-> Haken bei "Show only subscriptions selected in the global subscriptions filter" rausnehmen.
Durch den User Access Admin siehst Du jetzt alle Subscriptions und kannst dich von oben nach unten durcharbeiten.
Berechtigungstechnisch stehst Du jetzt über einem Owner und kannst schalten und walten.
Wenn du den Typ, sowie den Namen der Ressource kennst, welche du suchst, kannst Du nun über die Suche die Ressource wie folgt finden (Beispiel Anhand von Storage Accounts)
-> Suchleiste ganz oben im Azure Portal
-> Nach Ressourcentyp (In dem fall "Storage Account") suchen
-> Ergebniss "Storage Accounts" auswählen.
-> Nun siehst Du alle existierenden Storage Account, aus allen Subscriptions
-> ggf. über dortigen Filter nach dem Namen suchen.
Wichtig ist zu verstehen, dass diese Suchen nach bestimmen Ressourcen nur die Ressourcen anzeigen, welche sich in Subscriptions befinden, welche im Scope des "Global Subscriptions" Filters angegeben sind. Nimmst Du den Haken, wie oben beschrieben raus, kannst Du dieses Verhalten temporär abstellen.
Storage Accounts bilden hier tatsächlich zwar eine Ausnahme.
Eligible Subscriptions stammt tatsächlich aus Azure PIM. PIM ist allerdings optional wird hier nicht benötigt.
Du kannst kein Konto erstellen welches Backup Operatorrechte hat. Du kannst Du Konten erstellen, welche Backup Opertatorrechte auf eine bestimmte Ressource oder einen bestimmen Scope haben.
Veeam wird irgendwo entsprechende Ressourcen angelegt haben (Nicht irgendwo, sondern an der Stelle, welche im Setup angegeben wurde)
Die Benutzer / Gruppe benötigen hier die entsprechende Zuweisung (Direkt, oder via Vererbung)
Wenn Du aktuell keinen Zugriff auf die Subscriptions hast, aber Global Admin bist, gehe wie folgt vor:
-> portal.azure.com aufrufen
-> Mit Global Admin anmelden
-> Azure Active Directory (AAD) aufrufen
-> Properties
-> Access management for Azure resources (Slider auf "Yes" stellen)
-> Zu "Subscriptions" wechseln
-> Den Filter "Subscriptions == global filter" Filter aufrufen
-> Haken bei "Show only subscriptions selected in the global subscriptions filter" rausnehmen.
Durch den User Access Admin siehst Du jetzt alle Subscriptions und kannst dich von oben nach unten durcharbeiten.
Berechtigungstechnisch stehst Du jetzt über einem Owner und kannst schalten und walten.
Wenn du den Typ, sowie den Namen der Ressource kennst, welche du suchst, kannst Du nun über die Suche die Ressource wie folgt finden (Beispiel Anhand von Storage Accounts)
-> Suchleiste ganz oben im Azure Portal
-> Nach Ressourcentyp (In dem fall "Storage Account") suchen
-> Ergebniss "Storage Accounts" auswählen.
-> Nun siehst Du alle existierenden Storage Account, aus allen Subscriptions
-> ggf. über dortigen Filter nach dem Namen suchen.
Wichtig ist zu verstehen, dass diese Suchen nach bestimmen Ressourcen nur die Ressourcen anzeigen, welche sich in Subscriptions befinden, welche im Scope des "Global Subscriptions" Filters angegeben sind. Nimmst Du den Haken, wie oben beschrieben raus, kannst Du dieses Verhalten temporär abstellen.
Storage Accounts bilden hier tatsächlich zwar eine Ausnahme.
Danke für Deine Geduld!
Danach neu ab- und neu angemeldet
Aber ich sehe immer noch keine Subscriptions
Auch wenn ich z.B. nach "resource groups" suche und darauf klicke kommt diese Ansicht.
Der Tenant wurde ursprünglich von einem Kollegen eingerichtet. Dieser hat damals für mich ein Konto erstellt und dieses der Rolle "Global Administrator" hinzugefügt. Könnte da jetzt noch irgendwas fehlen?
-> Mit Global Admin anmelden
Check!-> Access management for Azure resources (Slider auf "Yes" stellen)
Check! (hatte ich schon)Danach neu ab- und neu angemeldet
-> Zu "Subscriptions" wechseln
-> Den Filter "Subscriptions == global filter" Filter aufrufen
-> Haken bei "Show only subscriptions selected in the global subscriptions filter" rausnehmen.
Check!-> Den Filter "Subscriptions == global filter" Filter aufrufen
-> Haken bei "Show only subscriptions selected in the global subscriptions filter" rausnehmen.
Aber ich sehe immer noch keine Subscriptions
Your current access does not include permissions to view any subscriptions.
Durch den User Access Admin
Durch den bitte was?siehst Du jetzt alle Subscriptions und kannst dich von oben nach unten durcharbeiten.
Nee, leider. Oder ich finde es nicht.-> Nach Ressourcentyp (In dem fall "Storage Account") suchen
-> Ergebniss "Storage Accounts" auswählen.
Danach kommt das:-> Ergebniss "Storage Accounts" auswählen.
Auch wenn ich z.B. nach "resource groups" suche und darauf klicke kommt diese Ansicht.
Der Tenant wurde ursprünglich von einem Kollegen eingerichtet. Dieser hat damals für mich ein Konto erstellt und dieses der Rolle "Global Administrator" hinzugefügt. Könnte da jetzt noch irgendwas fehlen?
Bist Du dir sicher, dass ihr überhaupt mal etwas in diesem Tenant provisioniert habt?
Für mich schaut das nach einem nackigen Tenant aus.
Der User Access Admin ist das Recht, was auf allen Subscriptions gewährt wird, wenn du den Slider auf Yes stellst
Für mich schaut das nach einem nackigen Tenant aus.
Der User Access Admin ist das Recht, was auf allen Subscriptions gewährt wird, wenn du den Slider auf Yes stellst
Zitat von @Cloudrakete:
Bist Du dir sicher, dass ihr überhaupt mal etwas in diesem Tenant provisioniert habt?
Für mich schaut das nach einem nackigen Tenant aus.
Wir nutzen diesen für MS Teams.Bist Du dir sicher, dass ihr überhaupt mal etwas in diesem Tenant provisioniert habt?
Für mich schaut das nach einem nackigen Tenant aus.
Konten werden per AADC von On Premise ins Azure synchronisiert.
Die Exchange-Anbindung eingerichtet (HCW).
Dann Teams und Channels erstellt.
Joa. Das wars.
Sorry, meine Frage war zu allgemein ..
Jemals in Azure provisioniert war gemeint :D
Die restlichen von dir genannten Services laufen im Backend und erzeugen keine (sichtbaren) Azure Ressourcen.
Hast du vielleicht eine öffentliche Doku von Veeam, wo der Schritt beschrieben ist, den du durchführen möchtest?
Die Frage grundsätzlich ist ja, was Veeam beschreibt, wozu das Recht an welcher Stelle genutzt werden soll.
Jemals in Azure provisioniert war gemeint :D
Die restlichen von dir genannten Services laufen im Backend und erzeugen keine (sichtbaren) Azure Ressourcen.
Hast du vielleicht eine öffentliche Doku von Veeam, wo der Schritt beschrieben ist, den du durchführen möchtest?
Die Frage grundsätzlich ist ja, was Veeam beschreibt, wozu das Recht an welcher Stelle genutzt werden soll.
