Abschließen einer Zugriffsüberprüfung für Azure-Ressourcenrollen und Microsoft Entra-Rollen in PIM

  • Artikel

Nachdem eine Zugriffsüberprüfung gestartet wurde, können Administratoren für privilegierte Rollen den privilegierten Zugriff überprüfen. Privileged Identity Management (PIM) in Microsoft Entra ID sendet automatisch eine E-Mail, in der Benutzer zur Überprüfung ihres Zugriffs aufgefordert werden. Wenn ein Benutzer diese E-Mail nicht erhalten hat, können Sie ihm die Anweisungen unter Ausführen einer Zugriffsüberprüfung zusenden.

Führen Sie nach dem Erstellen der Überprüfung die Schritte in diesem Artikel aus, um die Überprüfung abzuschließen und die Ergebnisse anzuzeigen.

Durchführen von Zugriffsüberprüfungen

Tipp

Die Schritte in diesem Artikel können je nach dem Portal, mit dem Sie beginnen, geringfügig variieren.

  1. Melden Sie sich beim Microsoft Entra Admin Center als Benutzer an, der einer der erforderlichen Rollen zugewiesen ist.

  2. Navigieren Sie zu Identity Governance>Privileged Identity Management.

  3. Wählen Sie für Microsoft Entra-RollenMicrosoft Entra-Rollen aus. Wählen Sie für Azure-Ressourcen die Option Azure-Ressourcen aus

  4. Wählen Sie die Zugriffsüberprüfung aus, die Sie verwalten möchten. Nachfolgend sehen Sie einen Beispielscreenshot der Übersicht für Zugriffsüberprüfungen für Azure-Ressourcen und Microsoft Entra-Rollen.

    Screenshot: Liste „Zugriffsüberprüfungen“ mit Rolle, Besitzer, Startdatum, Enddatum und Status

Auf der Detailseite stehen die folgenden Optionen zum Verwalten der Überprüfung von Azure-Ressourcen und Microsoft Entra-Rollen zur Verfügung:

Screenshot: Optionen zum Verwalten einer Überprüfung unter „Azure-Ressourcen“: Beenden, Zurücksetzen, Anwenden, Löschen

Beenden einer Zugriffsüberprüfung

Alle Zugriffsüberprüfungen weisen ein Enddatum auf, Sie können jedoch die Schaltfläche Beenden verwenden, um sie zu einem frühen Zeitpunkt abzuschließen. Die Schaltfläche Beenden kann nur ausgewählt werden, wenn die Überprüfungsinstanz aktiv ist. Eine Überprüfung kann nicht neu gestartet werden, nachdem sie beendet wurde.

Zurücksetzen einer Zugriffsüberprüfung

Wenn die Überprüfungsinstanz aktiv ist und mindestens eine Entscheidung von Prüfern getroffen wurde, können Sie die Zugriffsüberprüfung zurücksetzen, indem Sie die Schaltfläche Zurücksetzen auswählen, um alle dafür getroffenen Entscheidungen zu entfernen. Nachdem Sie eine Zugriffsüberprüfung zurückgesetzt haben, werden alle Benutzer als „Nicht überprüft“ gekennzeichnet.

Anwenden einer Zugriffsüberprüfung

Nachdem eine Überprüfung abgeschlossen wurde, weil das Enddatum erreicht ist oder weil sie manuell beendet wurde, wird mit der Schaltfläche Anwenden der Zugriff auf die Rolle des verweigerten Benutzers entfernt. Wenn der Benutzerzugriff während der Überprüfung verweigert wurde, ist dies der Schritt, mit dem die Rollenzuweisung entfernt wird. Wird beim Erstellen der Überprüfung die Einstellung Automatisch anwenden konfiguriert, ist diese Schaltfläche immer deaktiviert, da die Überprüfung automatisch und nicht manuell angewendet wird.

Löschen einer Zugriffsüberprüfung

Wenn Sie einen solchen Fall nicht weiter untersuchen möchten, löschen Sie ihn. Wenn Sie die Zugriffsüberprüfung aus dem Privileged Identity Management-Dienst entfernen möchten, wählen Sie die Schaltfläche Löschen aus.

Wichtig

Sie müssen diese destruktive Änderung nicht bestätigen, also überprüfen Sie, ob Sie diese Überprüfung löschen möchten.

Ergebnisse

Auf der Seite Ergebnisse können Sie eine Liste mit Ihren Ergebnissen der Überprüfung anzeigen und herunterladen.

Screenshot: Seite „Ergebnisse“ mit „Benutzer“, „Ergebnis“, „Grund“, „Überprüft von“, „Angewendet von“ und „Ergebnis anwenden“ für Microsoft Entra-Rollen.

Hinweis

Microsoft Entra-Rollen verfügen über ein Konzept von Gruppen, denen Rollen zugewiesen werden können, wobei der Rolle eine Gruppe zugewiesen werden kann. In diesem Fall wird die Gruppe in der Überprüfung angezeigt, und es werden nicht die Mitglieder der Gruppe erweitert. Ein Prüfer genehmigt oder verweigert die gesamte Gruppe.

Screenshot: Seite „Ergebnisse“ mit „Benutzer“, „Ergebnis“, „Grund“, „Überprüft von“, „Angewendet von“ und „Ergebnis anwenden“ für Azure-Ressourcenrollen

Hinweis

Wird eine Gruppe Azure-Ressourcenrollen zugewiesen, wird dem Prüfer der Azure-Ressourcenrolle die erweiterte Liste der Benutzer in einer geschachtelten Gruppe angezeigt. Wenn ein Prüfer ein Mitglied einer geschachtelten Gruppe verweigert, wird dieses Verweigerungsergebnis nicht erfolgreich angewendet, da der Benutzer nicht aus der geschachtelten Gruppe entfernt wird.

Reviewer

Auf der Seite Prüfer können Sie Prüfer für Ihre vorhandene Zugriffsüberprüfung anzeigen und hinzufügen. Sie können hier Prüfer auch daran erinnern, ihre Überprüfungen abzuschließen.

Hinweis

Wenn der ausgewählte Prüfertyp ein Benutzer oder eine Gruppe ist, können Sie jederzeit weitere Benutzer oder Gruppen als primäre Prüfer hinzufügen. Sie können primäre Prüfer auch jederzeit entfernen. Wenn der Prüfertyp „Vorgesetzter“ lautet, können Sie Benutzer oder Gruppen als Fallbackprüfer hinzufügen, um Überprüfungen für Benutzer ohne Vorgesetzte durchzuführen. Fallbackprüfer können nicht entfernt werden.

Screenshot: Seite „Prüfer“ mit dem Namen und dem Benutzerprinzipalname für Azure-Ressourcenrollen

Nächste Schritte