Zelfstudie: Een groep toegang verlenen tot Azure-resources met behulp van Azure PowerShell

2025-10-09

Met op rollen gebaseerd toegangsbeheer van Azure (Azure RBAC) kunt u de toegang tot Azure-resources beheren. In deze zelfstudie verleent u een groep toegang om alles in een abonnement weer te geven en alles in een resourcegroep te beheren met behulp van Azure PowerShell.

In deze zelfstudie leert u het volgende:

Geef toegang aan een groep op verschillende niveaus
Toegang tot lijst
Toegang verwijderen

Als u nog geen abonnement op Azure hebt, maak dan een gratis account aan voordat u begint.

Opmerking

U wordt aangeraden de Azure Az PowerShell-module te gebruiken om te communiceren met Azure. Zie Azure PowerShell installeren om aan de slag te gaan. Raadpleeg Azure PowerShell migreren van AzureRM naar Az om te leren hoe u naar de Azure PowerShell-module migreert.

Vereiste voorwaarden

Voor het voltooien van deze zelfstudie hebt u het volgende nodig:

Machtigingen voor het maken van groepen in Microsoft Entra-id (of een bestaande groep hebben)
Azure Cloud Shell
Microsoft Graph PowerShell SDK

Roltoewijzingen

Als u in Azure RBAC toegang wilt verlenen, maakt u een roltoewijzing. Een roltoewijzing bestaat uit drie elementen: beveiligingsprincipal, roldefinitie en reikwijdte. Dit zijn de twee roltoewijzingen die je in deze handleiding gaat uitvoeren.

Beveiligingsprincipe	Roldefinitie	Omvang
Groep (RBAC-zelfstudiegroep)	Reader	Abonnement
Groep (RBAC-zelfstudiegroep)	Inzender	Resourcegroep (rbac-tutorial-resource-group)

Roltoewijzingen voor een groep

Een groep maken

Als u een rol wilt toewijzen, hebt u een gebruiker, groep of service-principal nodig. Als u nog geen groep hebt, kunt u er een maken.

Maak in Azure Cloud Shell een nieuwe groep met behulp van de opdracht New-MgGroup .

New-MgGroup -DisplayName "RBAC Tutorial Group" -MailEnabled:$false `
    -SecurityEnabled:$true -MailNickName "NotSet"

DisplayName         Id                                   MailNickname Description GroupTypes
-----------         --                                   ------------ ----------- ----------
RBAC Tutorial Group aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb NotSet                   {}

Als u geen machtigingen hebt om groepen te maken, kunt u de zelfstudie proberen: een gebruiker toegang verlenen tot Azure-resources met behulp van Azure PowerShell .

Een brongroep maken

U gebruikt een resourcegroep om te laten zien hoe u een rol toewijst op het niveau van een resourcegroep.

Haal een lijst met regiolocaties op met behulp van de opdracht Get-AzLocation .
```
Get-AzLocation | select Location
```
Selecteer een locatie bij u in de buurt en wijs deze toe aan een variabele.
```
$location = "westus"
```

Maak een nieuwe resourcegroep met behulp van de opdracht New-AzResourceGroup .

New-AzResourceGroup -Name "rbac-tutorial-resource-group" -Location $location

ResourceGroupName : rbac-tutorial-resource-group
Location          : westus
ProvisioningState : Succeeded
Tags              :
ResourceId        : /subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/rbac-tutorial-resource-group

Toegang verlenen

Als u toegang wilt verlenen voor de groep, gebruikt u de opdracht New-AzRoleAssignment om een rol toe te wijzen. U moet de beveiligingsprincipaal, roldefinitie en het bereik opgeven.

Haal de object-id van de groep op met behulp van de opdracht Get-MgGroup .

Get-MgGroup -Filter "DisplayName eq 'RBAC Tutorial Group'"

DisplayName         Id                                   MailNickname Description GroupTypes
-----------         --                                   ------------ ----------- ----------
RBAC Tutorial Group aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb NotSet                   {}

Sla de groepsobject-id op in een variabele.

$groupId = "aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb"

Vraag de id van uw abonnement op met de opdracht Get-AzSubscription.

Get-AzSubscription

Name     : Pay-As-You-Go
Id       : 00000000-0000-0000-0000-000000000000
TenantId : aaaabbbb-0000-cccc-1111-dddd2222eeee
State    : Enabled

Sla het abonnementsbereik op in een variabele.

$subScope = "/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e"

Wijs de rol Lezer toe aan de groep op subscriptieniveau.

New-AzRoleAssignment -ObjectId $groupId `
  -RoleDefinitionName "Reader" `
  -Scope $subScope

RoleAssignmentId   : /subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/providers/Microsoft.Authorization/roleAssignments/00000000-0000-0000-0000-000000000000
Scope              : /subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e
DisplayName        : RBAC Tutorial Group
SignInName         :
RoleDefinitionName : Reader
RoleDefinitionId   : acdd72a7-3385-48ef-bd42-f606fba81ae7
ObjectId           : aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb
ObjectType         : Group
CanDelegate        : False

Wijs de rol Inzender toe aan de groep binnen het bereik van de resourcegroep.

New-AzRoleAssignment -ObjectId $groupId `
  -RoleDefinitionName "Contributor" `
  -ResourceGroupName "rbac-tutorial-resource-group"

RoleAssignmentId   : /subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/rbac-tutorial-resource-group/providers/Microsoft.Authorization/roleAssignments/00000000-0000-0000-0000-000000000000
Scope              : /subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/rbac-tutorial-resource-group
DisplayName        : RBAC Tutorial Group
SignInName         :
RoleDefinitionName : Contributor
RoleDefinitionId   : b24988ac-6180-42a0-ab88-20f7382dd24c
ObjectId           : aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb
ObjectType         : Group
CanDelegate        : False

Toegang tot lijst

Als u de toegang voor het abonnement wilt controleren, gebruikt u de opdracht Get-AzRoleAssignment om de roltoewijzingen weer te geven.

Get-AzRoleAssignment -ObjectId $groupId -Scope $subScope

RoleAssignmentId   : /subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/providers/Microsoft.Authorization/roleAssignments/ffffffff-eeee-dddd-cccc-bbbbbbbbbbb0
Scope              : /subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e
DisplayName        : RBAC Tutorial Group
SignInName         :
RoleDefinitionName : Reader
RoleDefinitionId   : acdd72a7-3385-48ef-bd42-f606fba81ae7
ObjectId           : aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb
ObjectType         : Group
CanDelegate        : False

In de uitvoer ziet u dat de rol Lezer is toegewezen aan de RBAC-zelfstudiegroep binnen het abonnementsbereik.

Als u de toegang voor de resourcegroep wilt controleren, gebruikt u de opdracht Get-AzRoleAssignment om de roltoewijzingen weer te geven.

Get-AzRoleAssignment -ObjectId $groupId -ResourceGroupName "rbac-tutorial-resource-group"

RoleAssignmentId   : /subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/rbac-tutorial-resource-group/providers/Microsoft.Authorization/roleAssignments/00000000-0000-0000-0000-000000000000
Scope              : /subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/rbac-tutorial-resource-group
DisplayName        : RBAC Tutorial Group
SignInName         :
RoleDefinitionName : Contributor
RoleDefinitionId   : b24988ac-6180-42a0-ab88-20f7382dd24c
ObjectId           : aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb
ObjectType         : Group
CanDelegate        : False

RoleAssignmentId   : /subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/providers/Microsoft.Authorization/roleAssignments/ffffffff-eeee-dddd-cccc-bbbbbbbbbbb0
Scope              : /subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e
DisplayName        : RBAC Tutorial Group
SignInName         :
RoleDefinitionName : Reader
RoleDefinitionId   : acdd72a7-3385-48ef-bd42-f606fba81ae7
ObjectId           : aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb
ObjectType         : Group
CanDelegate        : False

In de uitvoer kunt u zien dat de rollen Bijdrager en Lezer beide zijn toegewezen aan de RBAC-tutorialgroep. De rol Inzender bevindt zich in het bereik rbac-tutorial-resource-group en de rol Lezer wordt overgenomen in het abonnementsbereik.

(Optioneel) Toegang weergeven met behulp van Azure Portal

Als u wilt zien hoe de roltoewijzingen eruitzien in de Azure-portal, bekijkt u de Toegangsbeheer (IAM) blade voor het abonnement.
Bekijk de blade Toegangsbeheer (IAM) voor de resourcegroep.

Toegang verwijderen

Als u de toegang voor gebruikers, groepen en toepassingen wilt verwijderen, gebruikt u Remove-AzRoleAssignment om een roltoewijzing te verwijderen.

Gebruik de volgende commando om de roltoewijzing Contributor voor de groep in het bereik van de resourcegroep te verwijderen.

Remove-AzRoleAssignment -ObjectId $groupId `
  -RoleDefinitionName "Contributor" `
  -ResourceGroupName "rbac-tutorial-resource-group"

Gebruik de volgende opdracht om de roltoewijzing Lezer voor de groep in het abonnementsbereik te verwijderen.
```
Remove-AzRoleAssignment -ObjectId $groupId `
  -RoleDefinitionName "Reader" `
  -Scope $subScope
```

De hulpbronnen opschonen

Als u de resources wilt opschonen die in deze zelfstudie zijn gemaakt, verwijdert u de resourcegroep en de groep.

Verwijder de resourcegroep met behulp van de opdracht Remove-AzResourceGroup .

Remove-AzResourceGroup -Name "rbac-tutorial-resource-group"

Confirm
Are you sure you want to remove resource group 'rbac-tutorial-resource-group'
[Y] Yes  [N] No  [S] Suspend  [?] Help (default is "Y"):

Wanneer u wordt gevraagd om te bevestigen, typt u Y. Het duurt enkele seconden om te verwijderen.
Verwijder de groep met de opdracht Remove-MgGroup .
```
Remove-MgGroup -GroupID $groupId
```
Als u een foutmelding krijgt wanneer u de groep probeert te verwijderen, kunt u de groep ook verwijderen in de portal.

Volgende stappen

Azure-rollen toewijzen met behulp van Azure PowerShell

Feedback

Is deze pagina nuttig?