Was ist Azure AD Privileged Identity Management?

Privileged Identity Management (PIM) ist ein Dienst in Azure Active Directory (Azure AD), mit dem Sie den Zugriff auf wichtige Ressourcen innerhalb Ihrer Organisation verwalten, steuern und überwachen können. Diese Ressourcen umfassen Ressourcen in Azure AD, Azure und anderen Microsoft-Onlinediensten wie Microsoft 365 oder Microsoft Intune. Im folgenden Video werden wichtige PIM-Konzepte und -Features erläutert.

Argumente für die Verwendung

Unternehmen möchten die Anzahl der Personen minimieren, die auf sichere Informationen oder Ressourcen zugreifen können. Dadurch wird Risiko reduziert, dass

  • ein böswilliger Akteur Zugriff erlangt
  • ein autorisierter Benutzer, der versehentlich eine sensible Ressource beeinträchtigt

Benutzer müssen jedoch in Azure AD, Azure, Microsoft 365 oder SaaS-Apps weiterhin privilegierte Vorgänge ausführen. Unternehmen können Benutzern Just-in-Time privilegierten Zugriff auf Azure und Azure AD gewähren und überwachen, was diese Benutzer mit ihrem privilegierten Zugriff tun.

Lizenzanforderungen

Für die Verwendung dieses Features sind Azure AD Premium P2-Lizenzen erforderlich. Informationen zur Ermittlung der richtigen Lizenz für Ihre Anforderungen finden Sie im Vergleich der allgemein verfügbaren Features von Azure AD.

Weitere Informationen zu Lizenzen für Benutzer finden Sie unter Lizenzanforderungen für die Verwendung von PIM.

Behandelte Themen

Privileged Identity Management bietet eine zeit- und genehmigungsbasierte Rollenaktivierung, um die Risiken durch übermäßige, unnötige oder missbrauchte Zugriffsberechtigungen für wichtige Ressourcen zu verringern. Im Anschluss folgen einige der wichtigsten Features von Privileged Identity Management:

  • Gewähren von privilegiertem Just-In-Time-Zugriff auf Azure AD- und Azure-Ressourcen
  • Zuweisen von zeitgebundenem Zugriff auf Ressourcen (mit Start- und Enddatum)
  • Anfordern einer Genehmigung bei der Aktivierung privilegierter Rollen
  • Erzwingen der mehrstufigen Authentifizierung für alle Rollenaktivierungen
  • Anfordern einer Begründung, um nachvollziehen zu können, warum Benutzer eine Aktivierung vornehmen
  • Erhalten von Benachrichtigungen, wenn privilegierte Rollen aktiviert werden
  • Durchführen von Zugriffsüberprüfungen, um zu prüfen, ob Benutzer die Rollen weiterhin benötigen
  • Herunterladen eines Überwachungsverlaufs zur internen oder externen Überwachung
  • Verhindert das Entfernen der letzten aktiven Rollenzuweisungen Globaler Administrator und Administrator für privilegierte Rollen.

Verwendungsmöglichkeiten

Nachdem Sie Privileged Identity Management eingerichtet haben, werden im linken Navigationsmenü die Optionen Aufgaben, Verwalten und Aktivität angezeigt. Als Administrator wählen Sie zwischen verschiedenen Optionen, etwa zum Verwalten von Azure AD-Rollen, Verwalten von Rollen für Azure-Ressourcen oder Gruppen mit privilegiertem Zugriff. Bei Auswahl der zu verwaltenden Elementen werden die entsprechenden Optionen angezeigt.

Screenshot: Privileged Identity Management im Azure-Portal.

Berechtigungen und Rollen

Für Azure AD-Rollen in Privileged Identity Management gilt: Nur die Benutzer mit der Rolle „Administrator für privilegierte Rollen“ oder der Rolle „Globaler Administrator“ können Zuweisungen für andere Administratoren verwalten. Globale Administratoren, Sicherheitsadministratoren, globale Leser und Benutzer mit Leseberechtigung für die Sicherheitsfunktionen können auch die Azure AD-Rollen in Privileged Identity Management anzeigen.

Bei Azure-Ressourcenrollen in Privileged Identity Management können nur Abonnementadministratoren, Ressourcenbesitzer und Ressourcen-Benutzerzugriffsadministratoren Zuweisungen für andere Administratoren verwalten. Administratoren für privilegierte Rollen, Sicherheitsadministratoren und Benutzer mit Leseberechtigung für Sicherheitsfunktionen haben standardmäßig keinen Zugriff auf Azure-Ressourcenrollenzuweisungen in Privileged Identity Management.

Begriff

Machen Sie sich zum besseren Verständnis von Privileged Identity Management und der zugehörigen Dokumentation mit den folgenden Begriffen vertraut:

Begriff oder Konzept Rollenzuweisungskategorie BESCHREIBUNG
Berechtigt type Eine Rollenzuweisung, bei der ein Benutzer mindestens eine Aktion ausführen muss, um die Rolle nutzen zu können. Wenn ein Benutzer zu einer Rolle berechtigt ist, kann er die Rolle aktivieren, wenn er privilegierte Aufgaben ausführen muss. Es gibt keinen Unterschied hinsichtlich des Zugriffs zwischen einer permanenten und einer berechtigten Rollenzuweisung. Der einzige Unterschied ist, dass einige Benutzer den Zugriff nicht jederzeit benötigen.
aktiv type Eine Rollenzuweisung, bei der ein Benutzer keine Aktion ausführen muss, um die Rolle nutzen zu können. Bei als aktiv zugewiesenen Benutzern sind die Berechtigungen der Rolle zugewiesen.
aktivieren Das Ausführen mindestens einer Aktion zum Verwenden einer Rolle, zu der der Benutzer berechtigt ist. Beispiele für Aktionen sind eine erfolgreiche Multi-Factor Authentication-Überprüfung (MFA), die Angabe einer geschäftlichen Begründung oder das Anfordern einer Genehmigung von den angegebenen genehmigenden Personen.
zugewiesen State Ein Benutzer mit einer Rollenzuweisung vom Typ „aktiv“.
aktiviert State Ein Benutzer mit einer Rollenzuweisung vom Typ „berechtigt“, der die Aktionen zum Aktivieren der Rolle ausgeführt hat und nun aktiv ist. Nach der Aktivierung kann der Benutzer die Rolle für einen vorkonfigurierten Zeitraum nutzen. Danach muss sie erneut aktiviert werden.
dauerhaft berechtigt Duration Eine Rollenzuweisung, bei der ein Benutzer immer zum Aktivieren der Rolle berechtigt ist.
dauerhaft aktiv Duration Eine Rollenzuweisung, bei der ein Benutzer die Rolle jederzeit ohne vorherige Aktion verwenden kann.
zeitgebunden berechtigt Duration Eine Rollenzuweisung, bei der ein Benutzer nur innerhalb eines Zeitraums (Start- und Enddatum) zum Aktivieren der Rolle berechtigt ist.
zeitgebunden aktiv Duration Eine Rollenzuweisung, bei der ein Benutzer die Rolle nur innerhalb eines Zeitraums (Start- und Enddatum) verwenden kann
Just-in-Time-Zugriff (JIT) Ein Modell, bei dem Benutzer temporäre Berechtigungen zum Ausführen privilegierter Aufgaben erhalten. Dieses Modell verhindert, dass böswillige oder nicht autorisierte Benutzer nach dem Ablauf der Berechtigungen Zugriff erhalten. Der Zugriff wird nur gewährt, wenn Benutzer ihn benötigen.
Prinzip des Zugriffs mit den geringsten Rechten Eine empfohlene Sicherheitsmethode, bei der alle Benutzer nur die zum Ausführen der Aufgaben, für die sie autorisiert sind, mindestens erforderlichen Berechtigungen erhalten. Diese Methode minimiert die Anzahl von globalen Administratoren, indem stattdessen spezifische Administratorrollen für bestimmte Szenarien verwendet werden.

Übersicht über die Rollenzuweisung

Die PIM-Rollenzuweisungen bieten Ihnen eine sichere Möglichkeit, Zugriff auf Ressourcen in Ihrer Organisation zu gewähren. In diesem Abschnitt wird der Zuweisungsvorgang beschrieben. Dazu gehört das Zuweisen von Rollen zu Mitgliedern, das Aktivieren von Zuweisungen, das Genehmigen oder Ablehnen von Anforderungen und das Erweitern und Verlängern von Zuweisungen.

Von PIM werden E-Mail-Benachrichtigungen an Sie und andere Teilnehmer gesendet. Diese E-Mail-Benachrichtigungen können auch Links zu relevanten Aufgaben, z. B. Aktivieren, Genehmigen oder Verweigern einer Anforderung, enthalten.

Der folgende Screenshot zeigt eine von PIM gesendete E-Mail-Nachricht. Die E-Mail informiert Patti, dass Alex eine Rollenzuweisung für Emily aktualisiert hat.

Screenshot einer von Privileged Identity Management gesendeten E-Mail-Nachricht.

Zuweisen

Der Prozess der Zuweisung beginnt mit der Zuweisung von Rollen zu Mitgliedern. Um Zugriff auf eine Ressource zu gewähren, weist der Administrator Benutzern, Gruppen, Dienstprinzipalen oder verwalteten Identitäten Rollen zu. Die Zuweisung enthält die folgenden Daten:

  • Die Mitglieder oder Besitzer, denen die Rolle zugewiesen werden soll.
  • Den Bereich der Zuweisung. Der Bereich beschränkt die zugewiesene Rolle auf eine bestimmte Gruppe von Ressourcen.
  • Den Typ der Zuweisung.
    • Für berechtigte Zuweisungen muss das Mitglied der Rolle eine Aktion durchführen, um die Rolle verwenden zu können. Zu den Aktionen gehören z. B. das Aktivieren oder Anfordern der Genehmigung durch eine bestimmte genehmigende Person.
    • Für aktive Zuweisungen ist es nicht erforderlich, dass das Mitglied eine Aktion durchführt, um die Rolle nutzen zu können. Als aktiv zugewiesene Mitglieder haben die der Rolle zugewiesenen Berechtigungen.
  • Die Dauer der Zuweisung, entweder mit Start- und Enddatum oder permanent. Für in Frage kommende Zuweisungen können die Mitglieder die Genehmigung innerhalb des Start- und Enddatums aktivieren oder anfordern. Bei aktiven Zuweisungen können die Mitglieder während dieses Zeitraums die Rolle zuweisen.

Der folgende Screenshot zeigt, wie der Administrator Mitgliedern eine Rolle zuweist.

Screenshot der Rollenzuweisung in Privileged Identity Management.

Weitere Informationen finden Sie in den folgenden Artikeln: Zuweisen von Azure AD-Rollen, Zuweisen von Azure-Ressourcenrollen, und Zuweisen der Berechtigung für eine privilegierte Zugriffsgruppe

Aktivieren

Wenn Benutzer für eine Rolle zugelassen wurden, müssen sie die Rollenzuweisung aktivieren, ehe sie die Rolle verwenden. Um die Rolle zu aktivieren, wählen die Benutzer eine bestimmte Aktivierungsdauer innerhalb der (von Administratoren konfigurierten) Höchstdauer und den Grund für die Aktivierungsanforderung aus.

Der folgende Screenshot zeigt, wie Mitglieder ihre Rolle für eine begrenzte Zeit aktivieren.

Screenshot der Rollenaktivierung in Privileged Identity Management.

Wenn für die Aktivierung der Rolle eine Genehmigung erforderlich ist, wird der Benutzer über eine Benachrichtigung rechts oben im Browser darüber informiert, dass die Genehmigung der Anforderung aussteht. Wenn keine Genehmigung erforderlich ist, kann das Mitglied die Rolle nutzen.

Weitere Informationen finden Sie in den folgenden Artikeln: Aktivieren von Azure AD-Rollen, Aktivieren meiner Azure-Ressourcenrollen und Aktivieren von „Meine privilegierten Zugriffsgruppenrollen“

Genehmigen oder ablehnen

Delegierte genehmigende Personen erhalten E-Mail-Benachrichtigungen, wenn für eine Rollenanforderung ihre Genehmigung aussteht. Genehmigende Personen können diese ausstehenden Anforderungen in PIM anzeigen, genehmigen oder ablehnen. Nachdem die Anforderung genehmigt wurde, kann das Mitglied mit der Nutzung der Rolle beginnen. Wenn beispielsweise ein Benutzer oder eine Gruppe mit der Rolle „Mitwirkender“ einer Ressourcengruppe zugewiesen wurde, kann er/sie diese bestimmte Ressourcengruppe verwalten.

Weitere Informationen finden Sie in den folgenden Artikeln: Genehmigen oder Ablehnen von Anforderungen für Azure AD-Rollen, Genehmigen oder Ablehnen von Anforderungen für Azure-Ressourcenrollen und Genehmigen von Aktivierungsanforderungen für privilegierte Zugriffsgruppen

Verlängern und Erneuern von Zuweisungen

Nach Einrichtung zeitgebundener Besitzer- oder Mitgliederzuweisungen durch Administratoren stellt sich vielleicht die Frage, was passiert, wenn eine Zuweisung abläuft. In dieser neuen Version bieten wir zwei Optionen für dieses Szenario:

  • Verlängern: Wenn eine Rollenzuweisung demnächst abläuft, kann der Benutzer über Privileged Identity Management eine Verlängerung für die Rollenzuweisung anfordern.
  • Erneuern : Wenn eine Rollenzuweisung bereits abgelaufen ist, kann der über Privileged Identity Management eine Erneuerung der Rollenzuweisung anfordern.

Diese beiden vom Benutzer initiierten Aktionen erfordern eine Genehmigung von einem globalen Administrator oder einem Administrator für privilegierte Rollen. Administratoren müssen sich nicht mit der Verwaltung von ablaufenden Zuweisungen befassen. Sie können einfach warten, bis die Erweiterungs- oder Verlängerungsanforderungen für eine einfache Genehmigung oder Verweigerung eintreffen.

Weitere Informationen finden Sie in den folgenden Artikeln: Verlängern oder Erneuern von Zuweisungen von Azure-Ressourcenrollen, Verlängern oder Erneuern von Zuweisungen von Azure-Ressourcenrollen und Verlängern oder Erneuern von Zuweisungen von Gruppen mit privilegiertem Zugriff

Szenarien

Privileged Identity Management unterstützt folgende Szenarien:

Berechtigungen von Administratoren für privilegierte Rollen

  • Aktivieren der Genehmigung für bestimmte Rollen
  • Angeben von Genehmigungsbenutzern oder -gruppen für die Genehmigung von Anforderungen
  • Anzeigen des Anforderungs- und Genehmigungsverlaufs für alle privilegierten Rollen

Berechtigungen von genehmigenden Personen

  • Anzeigen ausstehender Genehmigungen (Anforderungen)
  • Genehmigen oder Ablehnen (einzelner oder mehrerer) Anforderungen zur Rechteerweiterung für Rollen
  • Angeben einer Begründung für die Genehmigung/Ablehnung

Berechtigungen von Benutzern mit berechtigter Rolle

  • Anfordern der Aktivierung einer Rolle, die genehmigt werden muss
  • Anzeigen des Status Ihrer Aktivierungsanforderung
  • Fertigstellen Ihrer Aufgabe in Azure AD, wenn die Aktivierung genehmigt wurde

Verwalten für privilegierte Azure AD-Zugriffsgruppen (Vorschau)

In Privileged Identity Management (PIM) kann nun die Berechtigung zur Mitgliedschaft in privilegierten Zugriffsgruppen oder zum Besitz privilegierter Zugriffsgruppen zugewiesen werden. Ab dieser Vorschauversion können Sie Cloudgruppen integrierte Azure AD-Rollen (Azure Active Directory) zuweisen und die Berechtigung und Aktivierung von Gruppenmitgliedern und -besitzern mithilfe von PIM verwalten. Weitere Informationen zu Gruppen, die in Azure AD Rollen zugewiesen werden können, finden Sie unter Verwenden von Azure AD-Gruppen zum Verwalten von Rollenzuweisungen.

Wichtig

Verwenden Sie zum Zuweisen einer Gruppe mit privilegiertem Zugriff zu einer Rolle für den Administratorzugriff auf Exchange, Security & Compliance Center oder SharePoint die Funktion Rollen und Administratoren im Azure AD-Portal und nicht die Funktion für Gruppen mit privilegiertem Zugriff, um den Benutzer oder die Gruppe als berechtigt für die Aktivierung in der Gruppe festzulegen.

Unterschiedliche Just-in-Time-Richtlinien für jede Gruppe

Einige Organisationen verwenden Tools wie Azure AD B2B-Zusammenarbeit (Business-to-Business), um ihre Partner als Gäste in Ihre Azure AD-Organisation einzuladen. Anstelle einer einzelnen Just-In-Time-Richtlinie für alle Zuweisungen zu einer privilegierten Rolle können Sie zwei unterschiedliche privilegierte Zugriffsgruppen mit jeweils eigenen Richtlinien erstellen. So können Sie weniger strenge Anforderungen für Ihre vertrauenswürdigen Mitarbeiter und strengere Anforderungen wie etwa einen Genehmigungsworkflow für Ihre Partner erzwingen, wenn diese eine Aktivierung in der zugewiesenen Gruppe anfordern.

Aktivieren mehrerer Rollenzuweisungen in einer Anforderung

Mit der Vorschauversion privilegierter Zugriffsgruppen können Sie workloadspezifischen Administratoren mit einer einzelnen Just-In-Time-Anforderung schnell Zugriff auf mehrere Rollen gewähren. Ein Beispiel: Ihre Office-Administratoren der Ebene 3 benötigen ggf. täglich Just-In-Time-Zugriff auf die Rollen „Exchange-Administrator“, „Administrator für Office-Apps“, „Teams-Administrator“ und „Suchadministrator“, um Vorfälle sorgfältig untersuchen zu können. Früher war dies mit einem gewissen Zeitaufwand verbunden, da hierzu vier aufeinanderfolgende Anforderungen erforderlich waren. Nun können Sie stattdessen eine Gruppe namens „Office-Administratoren der Ebene 3“ erstellen, die Rollen zugewiesen werden kann. Diese Gruppe können Sie dann jeder der vier zuvor genannten Rollen (oder anderen integrierten Azure AD-Rollen) zuweisen und im Aktivitätsabschnitt der Gruppe für privilegierten Zugriff aktivieren. Nach der Aktivierung für privilegierten Zugriff können Sie die Just-In-Time-Einstellungen für Mitglieder der Gruppe konfigurieren und ihre Administratoren und Besitzer als berechtigt zuweisen. Wenn die Administratoren in die Gruppe aufsteigen, werden Sie zu Mitgliedern aller vier Azure AD-Rollen.

Laden Sie Gastbenutzer ein, und weisen Sie ihnen Azure-Ressourcenrollen in Privileged Identity Management zu.

Azure Active Directory (Azure AD)-Gastbenutzer sind Teil der Business-to-Business (B2B)-Zusammenarbeitsfunktionen innerhalb von Azure AD, sodass Sie externe Gastbenutzer und Anbieter als Gäste in Azure AD verwalten können. Beispielsweise können Sie diese Privileged Identity Management-Funktionen für Azure-Identitätsaufgaben mit Gästen verwenden. Das gilt z. B. für das Zuweisen des Zugriffs auf bestimmte Azure-Ressourcen, das Angeben der Zuweisungsdauer und des Enddatums oder das Erfordern einer zweistufigen Überprüfung bei aktiver Zuweisung oder Aktivierung. Weitere Informationen zum Einladen eines Gasts in Ihr Unternehmen und zum Verwalten des Zugriffs finden Sie unter Hinzufügen von B2B-Zusammenarbeitsbenutzern im Azure AD-Portal.

Wann laden Sie Gäste ein?

Einige Beispiele für Situationen, in denen Sie möglicherweise Gäste in Ihre Organisation einladen:

  • Zugriff für einen externen selbstständigen Anbieter, der nur über ein E-Mail-Konto verfügt, auf Ihre Azure-Ressourcen für ein Projekt
  • Zugriff für einen externen Partner in einer großen Organisation, die lokale Active Directory-Verbunddienste (AD FS) verwendet, auf Ihre Kostenmanagementanwendung
  • Temporärer Zugriff für Supporttechniker außerhalb Ihrer Organisation (z.B. Microsoft-Support) auf Ihre Azure-Ressource zur Behebung von Problemen

Wie funktioniert Kollaboration mit B2B-Gästen?

Wenn Sie B2B Collaboration verwenden, können Sie einen externen Benutzer als Gast in Ihre Organisation einladen. Der Gast kann als Benutzer in Ihrer Organisation verwaltet werden, aber ein Gast muss in seiner eigenen Organisation authentifiziert sein, und nicht in Ihrer Azure AD-Organisation. Dies bedeutet, dass ein Gast, der keinen Zugriff mehr auf seine eigene Organisation hat, auch den Zugriff auf Ihre Organisation verlieren wird. Wenn der Gast beispielsweise seine Organisation verlässt, verliert er automatisch den Zugriff auf alle Ressourcen, die Sie in Azure AD für ihn freigegeben haben, ohne dass Sie etwas tun müssen. Weitere Informationen zur B2B-Zusammenarbeit finden Sie unter Was ist der Gastbenutzerzugriff in Azure Active Directory-B2B?.

Diagramm, das zeigt, wie ein Gastbenutzer in seinem eigenen Heimatverzeichnis authentifiziert wird

Nächste Schritte