Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
In Microsoft Entra ID können Sie Privileged Identity Management (PIM) verwenden, um die Just-In-Time-Mitgliedschaft in der Gruppe oder den Just-In-Time-Besitz der Gruppe zu verwalten.
Dieser Artikel richtet sich an berechtigte Mitglieder oder Besitzer, die ihre Gruppenmitgliedschaft oder ihren Gruppenbesitz in PIM aktivieren möchten.
Wichtig
Wenn eine Gruppenmitgliedschaft oder ein Gruppenbesitz aktiviert ist, fügt Microsoft Entra PIM vorübergehend eine aktive Zuweisung hinzu. Microsoft Entra PIM erstellt innerhalb von Sekunden eine aktive Zuweisung (fügt Benutzer*in als Mitglied oder Besitzer*in der Gruppe hinzu). Wenn die Deaktivierung (manuell oder durch den Ablauf der Aktivierungszeit) erfolgt, entfernt Microsoft Entra PIM auch die Gruppenmitgliedschaft oder den Gruppenbesitz der Benutzer*innen innerhalb von Sekunden.
Die Anwendung kann Benutzern basierend auf ihrer Gruppenmitgliedschaft den Zugriff gewähren. In einigen Situationen spiegelt der Anwendungszugriff möglicherweise nicht sofort die Tatsache wider, dass der Benutzer der Gruppe hinzugefügt oder daraus entfernt wurde. Wenn die Anwendung zuvor zwischengespeichert hat, dass der Benutzer kein Mitglied der Gruppe ist – wenn der Benutzer erneut versucht, auf die Anwendung zuzugreifen, wird der Zugriff möglicherweise nicht bereitgestellt. Wenn die Anwendung zuvor die Tatsache zwischengespeichert hat, dass der Benutzer Mitglied der Gruppe ist – wenn die Gruppenmitgliedschaft deaktiviert ist, wird dem Benutzer möglicherweise weiterhin Zugriff gewährt. Die spezifische Situation hängt von der Architektur der Anwendung ab. Bei einigen Anwendungen kann das Abmelden und das erneute Anmelden dazu beitragen, Zugriffsrechte hinzuzufügen oder zu entfernen.
PIM für Gruppen und Deaktivierung der Eigentümerschaft
Mit der Microsoft Entra-ID können Sie den letzten (aktiven) Besitzer einer Gruppe nicht entfernen. Ziehen Sie beispielsweise eine Gruppe mit aktivem Besitzer A und berechtigtem Besitzer B in Betracht. Wenn Der Benutzer B seinen Besitz mit PIM aktiviert und später der Benutzer A aus der Gruppe oder dem Mandanten entfernt wird, ist die Deaktivierung des Besitzes von Benutzer B nicht erfolgreich.
PIM versucht, den Besitz von Benutzer B für bis zu 30 Tage zu deaktivieren. Wenn der Gruppe ein anderer aktiver Besitzer C hinzugefügt wird, wird die Deaktivierung erfolgreich ausgeführt. Wenn die Deaktivierung nach 30 Tagen nicht erfolgreich ist, versucht PIM nicht mehr, den Besitz von Benutzer B zu deaktivieren, und der Benutzer B ist weiterhin ein aktiver Besitzer.
Aktivieren einer Rolle
Wenn Sie eine Gruppenmitgliedschaft oder einen Gruppenbesitz übernehmen müssen, können Sie in PIM mithilfe der Navigationsoption Meine Rollen die Aktivierung anfordern.
Melden Sie sich beim Microsoft Entra Admin Center mindestens mit der Rolle Administrator für privilegierte Rollen an.
Navigieren Sie zu ID Governance>Privileged Identity Management>Meine Rollengruppen>.
Hinweis
Sie können auch diesen Kurzlink verwenden, um die Seite Meine Rollen direkt zu öffnen.
Überprüfen Sie auf dem Blatt Berechtigte Zuweisungen die Liste der Gruppen, für deren Mitgliedschaft oder Besitz Sie berechtigt sind.
Wählen Sie Aktivieren für die zu aktivierende berechtigte Zuweisung aus.
Abhängig von der Einstellung der Gruppe werden Sie möglicherweise aufgefordert, die Multi-Faktor-Authentifizierung durchzuführen oder eine andere Form von Anmeldeinformationen anzugeben.
Falls erforderlich, geben Sie einen Startzeitpunkt für die Aktivierung an. Die Mitgliedschaft oder der Besitz wird dann erst nach dem ausgewählten Zeitpunkt aktiviert.
Abhängig von der Einstellung der Gruppe müssen Sie möglicherweise eine Begründung für die Aktivierung angeben. Geben Sie bei Bedarf im Feld Grund eine Begründung an.
Wählen Sie Aktivierenaus.
Wenn für die Aktivierung der Rolle eine Genehmigung erforderlich ist, wird in der oberen rechten Ecke Ihres Browsers eine Azure-Benachrichtigung angezeigt, in der Sie darüber informiert werden, dass die Genehmigung der Anforderung aussteht.
Anzeigen des Status Ihrer Anforderungen
Sie können den Status Ihrer ausstehenden Aktivierungsanforderungen anzeigen. n Es ist wichtig, wenn Ihre Anfragen der Genehmigung einer anderen Person unterzogen werden.
Melden Sie sich beim Microsoft Entra Admin Center an.
Navigieren Sie zu ID Governance>Privileged Identity Management>MeineAnforderungsgruppen.
Überprüfen Sie die Liste der Anforderungen.
Abbrechen einer ausstehenden Anforderung
Melden Sie sich beim Microsoft Entra Admin Center an.
Navigieren Sie zu ID Governance>Privileged Identity Management>MeineAnforderungsgruppen.
Wählen Sie für die Anforderung, die Sie abbrechen möchten, die Option Abbrechen aus.
Durch Auswählen von Abbrechen wird die Anforderung abgebrochen. Um die Rolle erneut zu aktivieren, müssen Sie eine neue Anforderung zur Aktivierung übermitteln.