Einstieg in Privileged Identity Management
Verwenden Sie Privileged Identity Management (PIM), um den Zugriff in Ihrer Microsoft Entra-Organisation zu verwalten, zu steuern und zu überwachen. Mit PIM können Sie bedarfsgesteuerten Zugriff und Just-In-Time-Zugriff auf Azure-Ressourcen, Microsoft Entra-Ressourcen und andere Microsoft-Onlinedienste wie Microsoft 365 oder Microsoft Intune bereitstellen.
In diesem Artikel werden das Aktivieren von und die ersten Schritte mit Privileged Identity Management (PIM) beschrieben.
Voraussetzungen
Um Privileged Identity Management zu verwenden, benötigen Sie eine Microsoft Entra ID P2- oder Microsoft Entra ID Governance-Lizenz. Weitere Informationen zur Lizenzierung finden Sie unter Microsoft Entra ID Governance-Lizenzierungsgrundlagen.
Aktivierung von Rollenzuweisungen
Wenn ein Microsoft Entra-Mandant über eine Microsoft Entra ID P2- oder Microsoft Entra ID Governance-Lizenz verfügt, können Benutzende mit aktiven Rollenzuweisungen folgende Aktionen ausführen:
- Öffnen der Seite Rollen und Administrierende in Microsoft Entra ID und Auswählen einer Rolle;
- Öffnen der Seite Privileged Identity Management;
- Tätigen von Aufrufen an PIM mithilfe der Microsoft Entra-Rollen-API.
Microsoft Entra aktiviert PIM für den Mandanten auf folgende Weise:
- Ab sofort können Sie berechtigte oder zeitlich gebundene Aufgaben für Microsoft Entra-Rollen erstellen.
- Globale Administrierende oder privilegierte Rollenadministrierende können mit dem Empfang zusätzlicher E-Mails beginnen, z. B. den wöchentlichen PIM-Digest;
- Der PIM-Dienstprinzipalname (MS–PIM) kann in Überwachungsprotokollereignissen im Zusammenhang mit der Rollenzuweisungsverwaltung erwähnt werden.
Diese Verhaltensweisen werden erwartet und sollten keine Auswirkungen auf Ihre Workflows haben.
Vorbereiten von PIM für Microsoft Entra-Rollen
Folgende Aufgaben werden zur Vorbereitung von Privileged Identity Management für die Verwaltung von Microsoft Entra-Rollen empfohlen:
- Konfigurieren von Microsoft Entra-Rolleneinstellungen
- Gewähren der berechtigten Zuweisungen
- Berechtigten Benutzern eine Just-In-Time-Aktivierung ihrer Microsoft Entra-Rolle erlauben
Vorbereiten von PIM für Azure-Rollen
Folgende Aufgaben werden zur Vorbereitung von Privileged Identity Management für die Verwaltung von Azure-Rollen für ein Abonnement empfohlen:
- Ermitteln von Azure-Ressourcen
- Konfigurieren von Einstellungen für Azure-Rollen
- Gewähren der berechtigten Zuweisungen
- Berechtigten Benutzenden eine Just-In-Time-Aktivierung ihrer Microsoft Entra-Rolle erlauben
Navigieren zu Ihren Aufgaben
Nach der Einrichtung von Privileged Identity Management können Sie sich mit der Verwendung vertraut machen.
| „Aufgaben“ und „Verwalten“ | BESCHREIBUNG |
|---|---|
| Meine Rollen | Zeigt eine Liste mit berechtigten und aktiven Rollen an, die Ihnen zugewiesen sind. Hier können Sie zugewiesene berechtigte Rollen aktivieren. |
| Meine Anforderungen | Zeigt Ihre ausstehenden Anforderungen zum Aktivieren berechtigter Rollenzuweisungen an. |
| Genehmigen von Anforderungen | Zeigt eine Liste mit Anforderungen zum Aktivieren berechtigter Rollen nach Benutzern in Ihrem Verzeichnis an, für deren Genehmigung Sie zuständig sind. |
| Überprüfen des Zugriffs | Zeigt eine Liste mit aktiven Zugriffsüberprüfungen an, die Ihnen zugewiesen sind. Dabei spielt es keine Rolle, ob Sie den Zugriff für sich selbst oder für eine andere Person überprüfen. |
| Microsoft Entra-Rollen | Zeigt für Administratoren privilegierter Rollen ein Dashboard und Einstellungen zum Verwalten von Microsoft Entra-Rollenzuweisungen an. Für Benutzer, die kein Administrator für privilegierte Rollen sind, ist dieses Dashboard deaktiviert. Diese Benutzer haben Zugriff auf ein spezielles Dashboard namens „Meine Ansicht“. Auf dem Dashboard „Meine Ansicht“ werden nur Informationen zu dem Benutzer angezeigt, der auf das Dashboard zugreift (also keine Informationen zur gesamten Organisation). |
| Gruppen | Verwalten Sie die Just-in-Time-Mitgliedschaft in der Gruppe oder das Just-in-Time-Eigentum an der Gruppe. Gruppen können verwendet werden, um den Zugriff auf Microsoft Entra-Rollen, Azure-Rollen und verschiedene andere Szenarien zu ermöglichen. Damit Sie eine Microsoft Entra-Gruppe in PIM verwalten können, müssen Sie die Gruppe zur Verwaltung in PIM integrieren. |
| Azure-Ressourcen | Zeigt für Administratoren privilegierter Rollen ein Dashboard und Einstellungen zum Verwalten von Azure-Ressourcenrollenzuweisungen an. Für Benutzer, die kein Administrator für privilegierte Rollen sind, ist dieses Dashboard deaktiviert. Diese Benutzer haben Zugriff auf ein spezielles Dashboard namens „Meine Ansicht“. Auf dem Dashboard „Meine Ansicht“ werden nur Informationen zu dem Benutzer angezeigt, der auf das Dashboard zugreift (also keine Informationen zur gesamten Organisation). |
| Allgemeine Einstellungen | Wählen Sie Anwendungen aus, die nur App-Aufrufe an die Microsoft Graph-API für PIM tätigen dürfen. |