Verlängern oder Erneuern von Gruppenzuweisungen in PIM

  • Artikel

Privileged Identity Management (PIM) unter Microsoft Entra ID stellt Steuermechanismen zum Verwalten des Zugriffs- und Zuweisungslebenszyklus für die Gruppenmitgliedschaft und das Eigentum bereit. Administratoren können Eigenschaften für die Start- und Endzeit für die Gruppenmitgliedschaft und den Gruppenbesitz zuweisen. Wenn das Ende der Zuweisung fast erreicht ist, sendet Privileged Identity Management E-Mail-Benachrichtigungen an die betroffenen Benutzer oder Gruppen. Außerdem werden E-Mail-Benachrichtigungen an Administratoren der Ressource gesendet, um einen entsprechenden Zugriff zu gewährleisten. Zuweisungen können auch verlängert werden. Sie bleiben im abgelaufenen Zustand noch 30 Tage lang sichtbar, auch wenn der Zugriff nicht verlängert wird.

Wer kann das Verlängern und Erneuern durchführen?

Nur Benutzer*innen mit Berechtigungen zum Verwalten von Gruppen können zeitgebundene Zuweisungen der Gruppenmitgliedschaft oder des Besitzes erweitern oder verlängern. Der betroffene Benutzer bzw. die betroffene Gruppe kann anfordern, dass in Kürze ablaufende Zuweisungen verlängert und dass bereits abgelaufene Zuweisungen erneuert werden.

Gruppen, denen Rollen zugewiesen werden können, können von Benutzer*innen mit der Rolle „Globaler Administrator“, „Administrator für privilegierte Rollen“ oder „Besitzer“ für die Gruppe verwaltet werden. Gruppen, denen keine Rollen zugewiesen werden können, können von Benutzer*innen mit der Rolle „Globaler Administrator“, „Verzeichnisautor“, „Gruppenadministrator“, „Identity Governance-Administrator“, „Benutzeradministrator“ oder „Besitzer“ für die Gruppe verwaltet werden. Rollenzuweisungen für Administrator*innen müssen auf Verzeichnisebene (nicht auf Ebene der Verwaltungseinheit) festgelegt werden.

Hinweis

Andere Rollen mit Berechtigungen zum Verwalten von Gruppen (z. B. Exchange-Administratoren für M365-Gruppen, denen keine Rollen zugewiesen werden können) und Administrator*innen mit Zuweisungen auf Ebene der Verwaltungseinheit können Gruppen über die API/Benutzeroberfläche für Gruppen verwalten und in Microsoft Entra PIM vorgenommene Änderungen außer Kraft setzen.

Zeitpunkt des Sendens von Benachrichtigungen

Privileged Identity Management sendet Administrator*innen und betroffenen Benutzer*innen E-Mail-Benachrichtigungen über ablaufende Zuweisungen von PIM für Gruppen zu folgenden Zeitpunkten:

  • Innerhalb von 14 Tagen vor Ablauf
  • Einen Tag vor Ablauf
  • Wenn eine Zuweisung abläuft

Administratoren erhalten Benachrichtigungen, wenn ein Benutzer oder eine Gruppe die Verlängerung bzw. Erneuerung einer ablaufenden oder abgelaufenen Zuweisung anfordert. Wenn ein Administrator die Anforderung bearbeitet, werden alle Administratoren und der anfordernde Benutzer über die Genehmigung oder Ablehnung informiert.

Verlängern von Gruppenzuweisungen

In den folgenden Schritten wird der Prozess zum Anfordern, Bearbeiten oder Verwalten einer Verlängerung oder Erneuerung einer Gruppenmitgliedschafts- oder Gruppenbesitzzuweisung beschrieben.

Selbständiges Verlängern von ablaufenden Zuweisungen

Benutzer, denen eine Gruppenmitgliedschaft oder ein Gruppenbesitz zugewiesen wurde, können ablaufende Gruppenzuweisungen direkt über die Registerkarte Berechtigt oder Aktiv auf der Seite Zuweisungen für die Gruppe verlängern. Benutzer oder Gruppen können die Verlängerung von berechtigten und aktiven Zuweisungen anfordern, die innerhalb der nächsten 14 Tage ablaufen.

Screenshot of where to self-extend expiring assignments.

Wenn das Enddatum der Zuweisung innerhalb der nächsten 14 Tagen liegt, ist der Befehl Verlängern verfügbar. Wählen Sie Verlängern aus, um das Anforderungsformular zu öffnen und eine Verlängerung einer Gruppenzuweisung anzufordern.

Screenshot of where to extend group assignment pane with a Reason box and details.

Hinweis

Wir empfehlen Ihnen, die Details zum Grund der Verlängerung einzufügen und außerdem den Verlängerungszeitraum anzugeben (falls bekannt).

Die Administratoren erhalten eine E-Mail-Benachrichtigung mit der Aufforderung, die Verlängerungsanforderung zu überprüfen. Falls bereits eine Verlängerungsanforderung übermittelt wurde, wird im Portal eine Benachrichtigung angezeigt.

Um den Status der Anforderung anzuzeigen oder sie abzubrechen, öffnen Sie die Seite Ausstehende Anforderungen für die Gruppenzuweisung.

Screenshot of the pending requests page showing the link to Cancel.

Vom Administrator genehmigte Verlängerung

Wenn ein Benutzer oder eine Gruppe eine Anforderung zur Verlängerung einer Gruppenzuweisung übermittelt, erhalten die Administratoren eine E-Mail-Benachrichtigung mit den Details der ursprünglichen Zuweisung und dem Grund der Anforderung. Die Benachrichtigung enthält einen direkten Link zu der Anforderung, damit der Administrator diese genehmigen oder ablehnen kann.

Zusätzlich zur Verwendung des Links aus der E-Mail können Administratoren Anforderungen genehmigen oder ablehnen, indem sie zum Privileged Identity Management-Verwaltungsportal wechseln und im linken Bereich die Option Anforderung genehmigen auswählen.

Screenshot of the approve requests page listing requests and links to approve or deny.

Wenn ein Administrator die Option Genehmigen oder Ablehnen wählt, werden die Details der Anforderung zusammen mit einem Feld zum Angeben der geschäftlichen Begründung für die Überwachungsprotokolle angezeigt.

Screenshot of where to approve group assignment request with requestor reason, assignment type, start time, end time, and reason.

Beim Genehmigen einer Anforderung zur Verlängerung einer Gruppenzuweisung können Ressourcenadministratoren einen neuen Start- und Endzeitpunkt und einen neuen Zuweisungstyp wählen. Das Ändern des Zuweisungstyps kann erforderlich sein, wenn der Administrator begrenzten Zugriff gewähren möchte (z.B. nur für einen Tag), damit eine bestimmte Aufgabe erfüllt werden kann. In diesem Beispiel kann der Administrator die Zuweisung von Berechtigt in Aktiv ändern. Das bedeutet, dass sie dem Anfordernden Zugriff gewähren können, ohne dass er aktiviert werden muss.

Vom Administrator initiierte Verlängerung

Wenn ein Benutzer, der einer Gruppe zugewiesen ist, keine Verlängerung für die Gruppenzuweisung anfordert, kann ein Administrator eine Zuweisung auch im Namen des Benutzers verlängern. Für Verlängerungen von Gruppenzuweisungen durch Administratoren sind keine Genehmigungen erforderlich, nach Verlängerung der Zuweisung werden jedoch Benachrichtigungen an alle anderen Administratoren gesendet.

Um eine Gruppenzuweisung zu verlängern, wechseln Sie zu der Zuweisungsansicht in Privileged Identity Management. Suchen Sie die Zuweisung, für die eine Verlängerung erforderlich ist. Wählen Sie dann Verlängern in der Aktionsspalte.

Screenshot of the assignments page listing eligible group assignments with links to extend.

Erneuern von Gruppenzuweisungen

Der Prozess zum Erneuern einer abgelaufenen Gruppenzuweisung ähnelt vom Konzept her zwar dem Prozess zum Anfordern einer Verlängerung, es bestehen jedoch auch Unterschiede. Mit den folgenden Schritten können Zuweisungen und Administratoren den Zugriff auf abgelaufene Zuweisungen bei Bedarf erneuern.

Selbstverlängerung

Benutzer, die nicht mehr auf Ressourcen zugreifen können, können bis zu 30 Tage auf den Verlauf der abgelaufenen Zuweisungen zugreifen. Navigieren Sie dazu im linken Bereich zu Meine Rollen, und wählen Sie dann die Registerkarte Abgelaufene Zuweisungen aus.

In der Liste mit den Zuweisungen werden standardmäßig Berechtigte Zuweisungen angezeigt. Verwenden Sie das Dropdownmenü, um zwischen berechtigten und aktiven Zuweisungen umzuschalten.

Wählen Sie die Aktion Erneuern aus, um für Gruppenzuweisungen in der Liste eine Erneuerung anzufordern. Geben Sie dann einen Grund für Ihre Anforderung an. Es ist hilfreich, zusätzlich zum weiteren Kontext oder einer geschäftlichen Begründung einen Gültigkeitszeitraum anzugeben, um dem Ressourcenadministrator die Entscheidung über die Genehmigung oder Ablehnung zu erleichtern.

Nach dem Übermitteln der Anforderung werden die Ressourcenadministratoren über eine ausstehende Anforderung zur Erneuerung einer Gruppenzuweisung informiert.

Genehmigung durch Administrator

Ressourcenadministrator*innen können über den Link in der E-Mail-Benachrichtigung auf die Erneuerungsanforderung zugreifen, oder sie können im Microsoft Entra Admin Center auf Privileged Identity Management zugreifen und im linken Bereich die Option Anforderungen genehmigen auswählen.

Wenn ein Administrator die Option Genehmigen oder Ablehnen wählt, werden die Details der Anforderung zusammen mit einem Feld zum Angeben der geschäftlichen Begründung für die Überwachungsprotokolle angezeigt.

Beim Genehmigen einer Anforderung zur Erneuerung einer Gruppenzuweisung müssen Ressourcenadministratoren einen neuen Start- und Endzeitpunkt und einen neuen Zuweisungstyp eingeben.

Nächste Schritte