Lizenzanforderungen für die Verwendung von Privileged Identity Management
Um Privileged Identity Management (PIM) in Azure Active Directory (Azure AD), Teil der Microsoft Entra-Familie, nutzen zu können, muss ein Mandant über eine gültige Lizenz verfügen. Auch Administratoren und relevanten Benutzern müssen Lizenzen zugewiesen werden. In diesem Artikel werden die Lizenzanforderungen für die Verwendung von Privileged Identity Management beschrieben.
Gültige Lizenzen
Sie benötigen eine Azure AD-Lizenz, um PIM und alle zugehörigen Einstellungen zu verwenden. Derzeit können Sie eine Zugriffsüberprüfung auf Dienstprinzipale mit Zugriff auf Azure AD und Azure-Ressourcenrollen (Vorschau) mit einer in Ihrem Anker aktiven Azure Active Directory Premium P2-Edition durchführen. Das Lizenzierungsmodell für Dienstprinzipale wird für die allgemeine Verfügbarkeit dieses Features fertig gestellt, und es sind möglicherweise zusätzliche Lizenzen erforderlich. Für die Verwendung dieses Features sind Azure AD Premium P2-Lizenzen erforderlich. Informationen zur Ermittlung der richtigen Lizenz für Ihre Anforderungen finden Sie im Vergleich der allgemein verfügbaren Features von Azure AD.
Lizenzen, die Sie benötigen
Stellen Sie sicher, dass Ihr Verzeichnis über Azure AD Premium P2-Lizenzen für die folgenden Benutzerkategorien verfügt:
- Benutzer mit berechtigten und/oder zeitgebundenen Zuweisungen zu Azure AD oder Azure-Rollen, die mit PIM verwaltet werden
- Benutzer*innen mit berechtigten und/oder zeitgebundenen Zuweisungen als Mitglieder oder Besitzer*innen von PIM für Gruppen
- Benutzer mit der Berechtigung zum Genehmigen oder Ablehnen von Aktivierungsanforderungen in PIM
- Benutzer mit einer Zugriffsüberprüfung
- Benutzer, die Zugriffsüberprüfungen ausführen
Für die folgenden Aufgaben sind keine Azure AD Premium P2-Lizenzen erforderlich:
- Für Benutzer, die PIM einrichten, Richtlinien konfigurieren, Warnungen erhalten und Zugriffsüberprüfungen einrichten, sind keine Lizenzen erforderlich.
Weitere Informationen zu Lizenzen finden Sie unter Zuweisen oder Entfernen von Lizenzen im Azure-Portal.
Beispielszenarien für Lizenzen
Anhand der folgenden Beispielszenarien für Lizenzen können Sie die Anzahl der benötigten Lizenzen bestimmen.
| Szenario | Berechnung | Anzahl der Lizenzen |
|---|---|---|
| Die Woodgrove Bank hat 10 Administratoren für verschiedene Abteilungen und 2 globale Administratoren, die PIM konfigurieren und verwalten. Fünf Administratoren erhalten eine Berechtigung. | Fünf Lizenzen für die Administratoren, die berechtigt sind | 5 |
| Das Graphic Design Institute hat 25 Administratoren, von denen 14 über PIM verwaltet werden. Für die Rollenaktivierung ist eine Genehmigung erforderlich, und es gibt drei verschiedene Benutzer in der Organisation, die Aktivierungen genehmigen können. | 14 Lizenzen für die berechtigten Rollen + drei genehmigende Personen | 17 |
| Contoso hat 50 Administratoren, von denen 42 über PIM verwaltet werden. Für die Rollenaktivierung ist eine Genehmigung erforderlich, und es gibt fünf verschiedene Benutzer in der Organisation, die Aktivierungen genehmigen können. Außerdem überprüft Contoso monatlich die Benutzer, denen Administratorrollen zugewiesen sind. Bei den Prüfern handelt es sich um die Manager der Benutzer, von denen sechs keine von PIM verwaltete Administratorrolle haben. | 42 Lizenzen für die berechtigten Rollen + fünf genehmigende Personen + sechs Prüfer | 53 |
Wenn eine Lizenz abläuft
Wenn eine Lizenz vom Typ Azure AD Premium P2 oder EMS E5 bzw. eine Testlizenz abläuft, stehen die Funktionen von Privileged Identity Management in Ihrem Verzeichnis nicht mehr zur Verfügung:
- Permanente Rollenzuweisungen für Azure AD-Rollen sind nicht betroffen.
- Der Privileged Identity Management-Dienst im Azure-Portal sowie die Graph-API-Cmdlets und PowerShell-Schnittstellen von Privileged Identity Management sind für Benutzer nicht mehr verfügbar, um privilegierte Rollen zu aktivieren, den privilegierten Zugriff zu verwalten oder Zugriffsüberprüfungen privilegierter Rollen auszuführen.
- Berechtigte Rollenzuweisungen von Azure AD-Rollen werden entfernt, da Benutzer keine privilegierten Rollen mehr aktivieren können.
- Alle laufenden Zugriffsüberprüfungen von Azure AD-Rollen werden beendet, und die Privileged Identity Management-Konfigurationseinstellungen werden entfernt.
- Privileged Identity Management sendet keine E-Mails mehr zu Rollenzuweisungsänderungen.