Integrieren von Gruppen in Privileged Identity Management

  • Artikel

In Microsoft Entra ID können Sie Privileged Identity Management (PIM) verwenden, um die Just-In-Time-Mitgliedschaft in der Gruppe oder den Just-In-Time-Besitz der Gruppe zu verwalten. Gruppen können verwendet werden, um den Zugriff auf Microsoft Entra-Rollen, Azure-Rollen und verschiedene andere Szenarien zu ermöglichen. Damit Sie eine Microsoft Entra-Gruppe in PIM verwalten können, müssen Sie die Gruppe zur Verwaltung in PIM integrieren.

Festlegen zu verwaltender Gruppen

Tipp

Die Schritte in diesem Artikel können je nach dem Portal, mit dem Sie beginnen, geringfügig variieren.

Bevor Sie beginnen können, benötigen Sie eine Microsoft Entra-Sicherheitsgruppe oder eine Microsoft 365-Gruppe. Weitere Informationen zur Gruppenverwaltung in Microsoft Entra ID finden Sie unter Verwalten von Microsoft Entra-Gruppen und -Gruppenmitgliedschaften.

Dynamische Gruppen und aus lokalen Umgebungen synchronisierte Gruppen können nicht in PIM für Gruppen verwaltet werden.

Sie benötigen geeignete Berechtigungen, um Gruppen in Microsoft Entra PIM zu verwenden. Für Gruppen, denen Rollen zugewiesen werden können, müssen Sie über die Rolle „Globaler Administrator“ oder „Administrator für privilegierte Rollen“ verfügen oder Besitzer*in der Gruppe sein. Für Gruppen, denen keine Rollen zugewiesen werden können, müssen Sie über die Rolle „Globaler Administrator“, „Verzeichnisautor“, „Gruppenadministrator“, „Identity Governance-Administrator“ oder „Benutzeradministrator“ verfügen oder Besitzer*in der Gruppe sein. Rollenzuweisungen für Administrator*innen müssen auf Verzeichnisebene (nicht auf Ebene der Verwaltungseinheit) festgelegt werden.

Hinweis

Andere Rollen mit Berechtigungen zum Verwalten von Gruppen (z. B. Exchange-Administratoren für M365-Gruppen, denen keine Rollen zugewiesen werden können) und Administrator*innen mit Zuweisungen auf Ebene der Verwaltungseinheit können Gruppen über die API/Benutzeroberfläche für Gruppen verwalten und in Microsoft Entra PIM vorgenommene Änderungen außer Kraft setzen.

  1. Melden Sie sich beim Microsoft Entra Admin Center mindestens mit der Rolle Administrator für privilegierte Rollen an.

  2. Navigieren Sie zu Identitätsgovernance>Privileged Identity Management>Gruppen.

  3. Hier können Sie Gruppen anzeigen, die bereits für PIM für Gruppen aktiviert sind.

    Screenshot of where to view groups that are already enabled for PIM for Groups.

  4. Wählen Sie Gruppen ermitteln aus, und wählen Sie dann eine Gruppe aus, die Sie zur Verwaltung in PIM integrieren möchten.

    Screenshot of where to select a group that you want to bring under management with PIM.

  5. Wählen Sie Gruppen verwalten aus, und wählen Sie dann OK aus.

  6. Wählen Sie Gruppen aus, um zur Liste der in PIM für Gruppen aktivierten Gruppen zurückzukehren.

Hinweis

Alternativ dazu können Sie den Bereich „Gruppen“ verwenden, um eine Gruppe in Privileged Identity Management zu integrieren.

Hinweis

Sobald eine Gruppe verwaltet wird, kann sie nicht mehr aus der Verwaltung entfernt werden. Dadurch wird verhindert, dass andere Ressourcenadministratoren PIM-Einstellungen entfernen.

Wichtig

Wenn eine Gruppe aus Microsoft Entra ID gelöscht wird, kann es bis zu 24 Stunden dauern, bis die Gruppe aus den Blättern von PIM für Gruppen entfernt wird.

Nächste Schritte