Aktivieren einer Azure AD-Rolle in PIM

Azure Active Directory (Azure AD) Privileged Identity Management (PIM) vereinfacht die Art und Weise, in der Unternehmen den privilegierten Zugriff auf Ressourcen in Azure AD und anderen Microsoft-Onlinediensten wie Microsoft 365 oder Microsoft Intune verwalten.

Falls Sie zu einer Administratorrolle berechtigt sind, müssen Sie die Rollenzuweisung aktivieren, wenn Sie privilegierte Aufgaben ausführen möchten. Wenn Sie beispielsweise gelegentlich Microsoft 365-Funktionen verwalten, werden Sie von den Administratoren für privilegierte Rollen Ihrer Organisation möglicherweise nicht als permanenter globaler Administrator festgelegt, da sich diese Rolle auch auf andere Dienste auswirkt. Stattdessen erteilen sie Ihnen Berechtigungen für Azure AD-Rollen (beispielsweise Exchange Online-Administrator). Sie können eine Aktivierung dieser Rolle anfordern, wenn Sie diese Berechtigungen benötigen, und verfügen damit für einen bestimmten Zeitraum über Administratorkontrolle.

Dieser Artikel richtet sich an Administratoren, die ihre Azure AD-Rolle in Privileged Identity Management aktivieren müssen.

Aktivieren einer Rolle

Wenn Sie eine Azure AD-Rolle annehmen müssen, können Sie in Privileged Identity Management die Aktivierung anfordern, indem Sie die Option Meine Rollen öffnen.

  1. Melden Sie sich beim Azure-Portal an.

  2. Öffnen Sie Azure AD Privileged Identity Management. Informationen zum Hinzufügen der Privileged Identity Management-Kachel zu Ihrem Dashboard finden Sie unter Einstieg in die Verwendung von PIM.

  3. Wählen Sie Meine Rollen aus, und wählen Sie dann Azure AD-Rollen aus, um eine Liste der Azure AD-Rollen anzuzeigen, für die Sie berechtigt sind.

    Seite „Meine Rollen“ mit den Rollen, die aktiviert werden können

  4. Suchen Sie in der Liste Azure AD-Rollen die zu aktivierende Rolle.

    Azure AD-Rollen: Liste meiner berechtigten Rollen

  5. Wählen Sie Aktivieren aus, um den Bereich „Aktivieren“ zu öffnen.

    Azure AD Rollen: Aktivierungsseite mit Dauer und Bereich

  6. Wählen Sie Zusätzliche Überprüfung erforderlich aus, und gehen Sie gemäß den Anweisungen vor, um die Sicherheitsüberprüfung zu durchlaufen. Sie müssen sich nur einmal pro Sitzung authentifizieren.

    Anzeige, die eine Sicherheitsüberprüfung wie z. B. einen PIN-Code verlangt

  7. Wählen Sie nach der Multi-Faktor-Authentifizierung Aktivieren aus, bevor Sie den Vorgang fortsetzen.

    Bestätigen meiner Identität mit MFA vor der Rollenaktivierung

  8. Wenn Sie einen reduzierten Bereich angeben möchten, wählen Sie Bereich aus, um den Filterbereich zu öffnen. Im Filterbereich können Sie die Azure AD-Ressourcen angeben, auf die Sie Zugriff benötigen. Es empfiehlt sich, Zugriff auf möglichst wenige benötigte Ressourcen anzufordern.

  9. Falls erforderlich, geben Sie einen Startzeitpunkt für die Aktivierung an. Die Azure AD-Rolle wird dann nach dem ausgewählten Zeitpunkt aktiviert.

  10. Geben Sie im Feld Grund den Grund für die Aktivierungsanforderung ein.

  11. Wählen Sie Aktivierenaus.

    Wenn für die Aktivierung der Rolle eine Genehmigung erforderlich ist, werden Sie über eine Benachrichtigung in der oberen rechten Ecke des Browsers darüber informiert, dass die Genehmigung der Anforderung aussteht.

    Ausstehende Genehmigung für die Aktivierungsanforderung

Aktivieren einer Rolle mithilfe der Microsoft Graph-API

Weitere Informationen zu Microsoft Graph-APIs für PIM finden Sie unter Übersicht über die Rollenverwaltung über die API für Privileged Identity Management (PIM).

Abrufen aller berechtigten Rollen, die Sie aktivieren können

Wenn ein Benutzer seine Rollenberechtigung über Gruppenmitgliedschaft erhält, gibt diese Microsoft Graph-Anforderung seine Berechtigung nicht zurück.

HTTP-Anforderung

GET https://graph.microsoft.com/v1.0/roleManagement/directory/roleEligibilityScheduleRequests/filterByCurrentUser(on='principal')  

HTTP-Antwort

Um Speicherplatz zu sparen, zeigen wir nur die Antwort für eine Rolle an. Aber alle in Frage kommenden Rollenzuweisungen, die Sie aktivieren können, werden aufgelistet.

{
    "@odata.context": "https://graph.microsoft.com/v1.0/$metadata#Collection(unifiedRoleEligibilityScheduleRequest)",
    "value": [
        {
            "@odata.type": "#microsoft.graph.unifiedRoleEligibilityScheduleRequest",
            "id": "50d34326-f243-4540-8bb5-2af6692aafd0",
            "status": "Provisioned",
            "createdDateTime": "2022-04-12T18:26:08.843Z",
            "completedDateTime": "2022-04-12T18:26:08.89Z",
            "approvalId": null,
            "customData": null,
            "action": "adminAssign",
            "principalId": "3fbd929d-8c56-4462-851e-0eb9a7b3a2a5",
            "roleDefinitionId": "8424c6f0-a189-499e-bbd0-26c1753c96d4",
            "directoryScopeId": "/",
            "appScopeId": null,
            "isValidationOnly": false,
            "targetScheduleId": "50d34326-f243-4540-8bb5-2af6692aafd0",
            "justification": "Assign Attribute Assignment Admin eligibility to myself",
            "createdBy": {
                "application": null,
                "device": null,
                "user": {
                    "displayName": null,
                    "id": "3fbd929d-8c56-4462-851e-0eb9a7b3a2a5"
                }
            },
            "scheduleInfo": {
                "startDateTime": "2022-04-12T18:26:08.8911834Z",
                "recurrence": null,
                "expiration": {
                    "type": "afterDateTime",
                    "endDateTime": "2024-04-10T00:00:00Z",
                    "duration": null
                }
            },
            "ticketInfo": {
                "ticketNumber": null,
                "ticketSystem": null
            }
        }
    ]
}

Selbstaktivieren eine Rollenberechtigung mit Begründung

HTTP-Anforderung

POST https://graph.microsoft.com/v1.0/roleManagement/directory/roleAssignmentScheduleRequests 

{
    "action": "selfActivate",
    "principalId": "071cc716-8147-4397-a5ba-b2105951cc0b",
    "roleDefinitionId": "8424c6f0-a189-499e-bbd0-26c1753c96d4",
    "directoryScopeId": "/",
    "justification": "I need access to the Attribute Administrator role to manage attributes to be assigned to restricted AUs",
    "scheduleInfo": {
        "startDateTime": "2022-04-14T00:00:00.000Z",
        "expiration": {
            "type": "AfterDuration",
            "duration": "PT5H"
        }
    },
    "ticketInfo": {
        "ticketNumber": "CONTOSO:Normal-67890",
        "ticketSystem": "MS Project"
    }
}

HTTP-Antwort

HTTP/1.1 201 Created
Content-Type: application/json

{
    "@odata.context": "https://graph.microsoft.com/v1.0/$metadata#roleManagement/directory/roleAssignmentScheduleRequests/$entity",
    "id": "911bab8a-6912-4de2-9dc0-2648ede7dd6d",
    "status": "Granted",
    "createdDateTime": "2022-04-13T08:52:32.6485851Z",
    "completedDateTime": "2022-04-14T00:00:00Z",
    "approvalId": null,
    "customData": null,
    "action": "selfActivate",
    "principalId": "071cc716-8147-4397-a5ba-b2105951cc0b",
    "roleDefinitionId": "8424c6f0-a189-499e-bbd0-26c1753c96d4",
    "directoryScopeId": "/",
    "appScopeId": null,
    "isValidationOnly": false,
    "targetScheduleId": "911bab8a-6912-4de2-9dc0-2648ede7dd6d",
    "justification": "I need access to the Attribute Administrator role to manage attributes to be assigned to restricted AUs",
    "createdBy": {
        "application": null,
        "device": null,
        "user": {
            "displayName": null,
            "id": "071cc716-8147-4397-a5ba-b2105951cc0b"
        }
    },
    "scheduleInfo": {
        "startDateTime": "2022-04-14T00:00:00Z",
        "recurrence": null,
        "expiration": {
            "type": "afterDuration",
            "endDateTime": null,
            "duration": "PT5H"
        }
    },
    "ticketInfo": {
        "ticketNumber": "CONTOSO:Normal-67890",
        "ticketSystem": "MS Project"
    }
}

Anzeigen des Status von Aktivierungsanforderungen

Sie können den Status Ihrer ausstehenden Aktivierungsanforderungen anzeigen.

  1. Öffnen Sie Azure AD Privileged Identity Management.

  2. Wählen Sie Meine Anforderungen aus, um eine Liste mit Ihren Anforderungen von Azure AD-Rollen und Azure-Ressourcenrollen anzuzeigen.

    Meine Anforderungen: Azure AD-Seite mit Ihren ausstehenden Anforderungen

  3. Scrollen Sie nach rechts, um die Spalte Anforderungsstatus anzuzeigen.

Abbrechen einer ausstehenden Anforderung für die neue Version

Wenn die Aktivierung einer genehmigungspflichtigen Rolle für Sie nicht erforderlich ist, können Sie eine ausstehende Anforderung jederzeit abbrechen.

  1. Öffnen Sie Azure AD Privileged Identity Management.

  2. Wählen Sie Meine Anforderungen aus.

  3. Wählen Sie für die Rolle, für die Sie eine ausstehende Anforderung abbrechen möchten, den Link Abbrechen aus.

    Durch das Auswählen von „Abbrechen“ wird die Anforderung abgebrochen. Um die Rolle erneut zu aktivieren, müssen Sie eine neue Anforderung zur Aktivierung übermitteln.

    Liste „Meine Anforderungen“ mit hervorgehobener Aktion „Abbrechen“

Deaktivieren einer Rollenzuweisung

Wenn eine Rollenzuweisung aktiviert ist, wird im PIM-Portal die Option Deaktivieren für die Rollenzuweisung angezeigt. Wenn Sie Deaktivieren auswählen, gibt es eine kurze Verzögerung, ehe die Rolle deaktiviert wird. Außerdem können Sie eine Rollenzuweisung nicht innerhalb von fünf Minuten nach Aktivierung deaktivieren.

Problembehandlung bei der Portalverzögerung

Keine Gewährung von Berechtigungen nach der Aktivierung einer Rolle

Wenn Sie in Privileged Identity Management eine Rolle aktivieren, wird die Aktivierung möglicherweise nicht sofort an alle Portale weitergegeben, für die diese privilegierte Rolle benötigt wird. Selbst wenn die Änderung weitergegeben wird, kann die Webzwischenspeicherung in einem Portal mitunter eine Verzögerung verursachen, ehe die Änderung wirksam wird. Wenn Ihre Aktivierung verzögert ist, melden Sie sich vom Portal ab, in dem Sie die Aktion durchführen möchten, und melden Sie sich anschließend wieder an. Im Azure-Portal werden Sie automatisch von PIM (Privileged Identity Management) abgemeldet und wieder angemeldet.

Nächste Schritte