Zuweisen der Berechtigung für eine Gruppe mit privilegiertem Zugriff (Vorschau) in Privileged Identity Management

Privileged Identity Management (PIM) in Azure Active Directory (Azure AD), Teil der Microsoft Entra-Familie, kann Sie bei der Verwaltung der Berechtigung und Aktivierung von Zuweisungen zu Gruppen mit privilegiertem Zugriff in Azure AD unterstützen. Sie können Mitgliedern oder Besitzern der Gruppe die Berechtigung zuweisen.

Wenn eine Rolle zugewiesen wird, gilt Folgendes für die Zuweisung:

  • Sie kann für eine Dauer von weniger als fünf Minuten nicht zugewiesen werden.
  • Sie kann nicht innerhalb von fünf Minuten nach der Zuweisung entfernt werden.

Hinweis

Jeder Benutzer, der berechtigt ist, Mitglied oder Besitzer einer Gruppe mit privilegiertem Zugriff zu sein, muss über eine Azure AD Premium P2-Lizenz verfügen. Weitere Informationen finden Sie unter Lizenzanforderungen für die Verwendung von PIM.

Zuweisen eines Besitzers oder Mitglieds einer Gruppe

Führen Sie die folgenden Schritte aus, um einen Benutzer als berechtigt für die Mitgliedschaft oder den Besitz einer Gruppe mit privilegiertem Zugriff einzurichten.

  1. Melden Sie sich im Azure AD-Administrationszentrum mit einem Benutzer in der Rolle Global Administrator, der Rolle Privileged Role Administrator oder der Rolle Gruppenbesitzer an.

  2. Wählen Sie Gruppen und dann die Gruppe mit Rollenzuweisung aus, die Sie verwalten möchten. Sie können die Liste durchsuchen und filtern.

    Suchen einer Gruppe mit Rollenzuweisung für die Verwaltung in PIM

  3. Öffnen Sie die Gruppe, und wählen Sie Privilegierter Zugriff (Vorschau) aus.

    Öffnen der Privileged Identity Management-Benutzeroberfläche

  4. Wählen Sie Zuweisungen hinzufügen aus.

    Bereich „Neue Zuweisung“

  5. Wählen Sie die Mitglieder oder Besitzer aus, die Sie als berechtigt für die Gruppe mit privilegiertem Zugriff einrichten möchten.

    Der Screenshot zeigt die Seite „Zuweisungen hinzufügen“ mit geöffnetem Bereich „Mitglied oder Gruppe auswählen“ und hervorgehobener Schaltfläche „Auswählen“.

  6. Wählen Sie Weiter aus, um die Dauer von Mitgliedschaft oder Besitz festzulegen.

    Bereich „Mitglied oder Gruppe auswählen“

  7. Wählen Sie in der Liste Zuweisungstyp entweder Berechtigt oder Aktiv aus. Gruppen mit privilegiertem Zugriff bieten zwei verschiedene Zuweisungstypen:

    • Für berechtigte Zuweisungen muss das Mitglied der Rolle eine Aktion durchführen, um die Rolle verwenden zu können. Beispiele für Aktionen sind eine erfolgreiche Multi-Factor Authentication-Überprüfung (MFA), die Angabe einer geschäftlichen Begründung oder das Anfordern einer Genehmigung von den angegebenen genehmigenden Personen.

      Wichtig

      Für Gruppen mit berechtigtem Zugriff, die für die Erhöhung Azure AD Rollen verwendet werden, empfiehlt Microsoft, dass Sie einen Genehmigungsprozess für berechtigte Mitgliedszuweisungen benötigen. Zuweisungen, die ohne Genehmigung aktiviert werden können, können Sie anfällig für ein Sicherheitsrisiko von einem anderen Administrator mit der Berechtigung zum Zurücksetzen der Kennwörter eines berechtigten Benutzers machen.

    • Für aktive Zuweisungen ist es nicht erforderlich, dass das Mitglied eine Aktion durchführt, um die Rolle nutzen zu können. Für Mitglieder, die als „Aktiv“ zugewiesen sind, sind die Berechtigungen immer der Rolle zugewiesen.

  8. Wenn die Zuweisung dauerhaft sein soll (dauerhaft berechtigt oder dauerhaft zugewiesen), aktivieren Sie das Kontrollkästchen Dauerhaft. Je nach Einstellungen Ihrer Organisation wird das Kontrollkästchen möglicherweise nicht angezeigt oder kann nicht bearbeitet werden. Weitere Informationen finden Sie im Artikel Konfigurieren von Gruppeneinstellungen für privilegierten Zugriff.

  9. Klicken Sie abschließend auf Zuweisen.

  10. Wählen Sie Hinzufügen aus, um die neue Rollenzuweisung zu erstellen. Eine Benachrichtigung zum Status wird angezeigt.

    Neue Zuweisung: Benachrichtigung

Aktualisieren oder Entfernen einer vorhandenen Rollenzuweisung

Befolgen Sie diese Anweisungen zum Aktualisieren oder Entfernen einer vorhandenen Rollenzuweisung.

  1. Melden Sie sich bei Azure AD mit den Berechtigungen eines globalen Administrators oder Gruppenbesitzers an.

  2. Wählen Sie Gruppen und dann die Gruppe mit Rollenzuweisung aus, die Sie verwalten möchten. Sie können die Liste durchsuchen und filtern.

    Suchen einer Gruppe mit Rollenzuweisung für die Verwaltung in PIM

  3. Öffnen Sie die Gruppe, und wählen Sie Privilegierter Zugriff (Vorschau) aus.

    Öffnen der Privileged Identity Management-Benutzeroberfläche

  4. Wählen Sie die Rolle aus, die Sie aktualisieren oder entfernen möchten.

  5. Suchen Sie die Rollenzuweisung auf den Registerkarten Berechtigte Rollen oder Aktive Rollen.

    Aktualisieren oder Entfernen der Rollenzuweisung

  6. Wählen Sie Aktualisieren oder Entfernen aus, um die Rollenzuweisung zu aktualisieren oder zu entfernen.

    Informationen zum Erweitern einer Rollenzuweisung finden Sie unter Verlängern oder Erneuern von Azure-Ressourcenrollen in Privileged Identity Management.

Nächste Schritte