Freigeben über


Aktivieren einer Microsoft Entra-Rolle in PIM

Microsoft Entra Privileged Identity Management (PIM) vereinfacht die Art und Weise, in der Unternehmen den privilegierten Zugriff auf Ressourcen in Microsoft Entra ID und anderen Microsoft-Onlinediensten wie Microsoft 365 oder Microsoft Intune verwalten.

Wenn Sie für eine administrative Rolle berechtigt sind, müssen Sie die Rollenzuweisung aktivieren , wenn Sie privilegierte Aktionen ausführen müssen. Wenn Sie beispielsweise gelegentlich Microsoft 365-Funktionen verwalten, werden Sie von den Administratoren und Administratorinnen für privilegierte Rollen Ihrer Organisation möglicherweise nicht als permanenter „Globaler Administrator“ festgelegt, da sich diese Rolle auch auf andere Dienste auswirkt. Stattdessen erteilen sie Ihnen Berechtigungen für Microsoft Entra-Rollen (beispielsweise Exchange Online-Administrator). Sie können eine Aktivierung dieser Rolle anfordern, wenn Sie diese Berechtigungen benötigen, und verfügen damit für einen vordefinierten Zeitraum über Administratorsteuerung.

Dieser Artikel richtet sich an Administrator*innen, die ihre Microsoft Entra-Rolle in Privileged Identity Management aktivieren müssen. Obwohl jeder Benutzer und jede Benutzerin eine Anforderung für die von ihm bzw. ihr benötigte Rolle über PIM senden kann, ohne die Rolle „Privilegierter Rollenadministrator“ (PRA) zu besitzen, ist diese Rolle für die Verwaltung und Zuweisung von Rollen an andere Personen innerhalb der Organisation erforderlich.

Wichtig

Wenn eine Rolle aktiviert wird, fügt Microsoft Entra PIM vorübergehend eine aktive Zuweisung für die Rolle hinzu. Microsoft Entra PIM erstellt innerhalb von Sekunden eine aktive Zuweisung (weist einem Benutzer eine Rolle zu). Wenn die Deaktivierung (manuell oder durch den Ablauf der Aktivierungszeit) erfolgt, entfernt Microsoft Entra PIM auch die aktive Zuweisung innerhalb von Sekunden.

Die Anwendung kann den Zugriff basierend auf der Rolle des Benutzers ermöglichen. In einigen Situationen spiegelt der Anwendungszugriff möglicherweise nicht sofort die Tatsache wider, dass dem Benutzer eine Rolle zugewiesen oder eine Rollenzuweisung aufgehoben wurde. Wenn die Anwendung zuvor die Tatsache zwischengespeichert hat, dass der Benutzer keine Rolle hat – wenn der Benutzer erneut versucht, auf die Anwendung zuzugreifen, wird möglicherweise kein Zugriff gewährt. Wenn die Anwendung zuvor die Tatsache zwischengespeichert hat, dass der Benutzer eine Rolle hat – wenn die Rolle deaktiviert ist, wird dem Benutzer möglicherweise weiterhin Zugriff gewährt. Die spezifische Situation hängt von der Architektur der Anwendung ab. Bei einigen Anwendungen kann das Abmelden und das erneute Anmelden dazu beitragen, Zugriffsrechte hinzuzufügen oder zu entfernen.

Wichtig

Wenn ein Benutzer, der eine Administratorrolle aktiviert, bei Microsoft Teams auf einem mobilen Gerät angemeldet ist, erhält er eine Benachrichtigung von der Teams-App mit dem Hinweis "Teams öffnen, um weiterhin Benachrichtigungen für <E-Mail-Adresse> zu erhalten" oder "<E-Mail-Adresse> muss sich anmelden, um Benachrichtigungen anzuzeigen". Der Benutzer muss die Teams-App öffnen, um weiterhin Benachrichtigungen zu erhalten. Dieses Verhalten ist beabsichtigt.

Voraussetzungen

Keine

Aktivieren einer Rolle

Wenn Sie eine Microsoft Entra-Rolle annehmen müssen, können Sie die Aktivierung anfordern, indem Sie "Meine Rollen " in Privileged Identity Management öffnen.

Hinweis

PIM ist jetzt in der mobilen Azure-App (iOS | Android) für Microsoft Entra ID und Azure-Ressourcenrollen verfügbar. Aktivieren Sie ganz einfach berechtigte Zuweisungen, fordern Sie Verlängerungen für die ablaufenden an, oder überprüfen Sie den Status ausstehender Anforderungen. Weitere Informationen

  1. Melden Sie sich beim Microsoft Entra Admin Center als Benutzer an, der über eine berechtigte Rollenzuweisung verfügt.

  2. Navigieren Sie zu ID Governance>Privileged Identity Management>Meine Rollen. Informationen zum Hinzufügen der Privileged Identity Management-Kachel zu Ihrem Dashboard finden Sie unter "Start using Privileged Identity Management".

  3. Wählen Sie Microsoft Entra-Rollen aus, um eine Liste Ihrer berechtigten Microsoft Entra-Rollen anzuzeigen.

    Seite

  4. Suchen Sie in der Liste der Microsoft Entra-Rollen die Rolle, die Sie aktivieren möchten.

    Microsoft Entra-Rollen – Liste

  5. Wählen Sie "Aktivieren" aus, um den Bereich "Aktivieren" zu öffnen.

    Microsoft Entra-Rollen – Aktivierungsseite enthält Dauer und Umfang

  6. Wählen Sie "Zusätzliche Überprüfung erforderlich " aus, und folgen Sie den Anweisungen, um die Sicherheitsüberprüfung bereitzustellen. Sie müssen sich nur einmal pro Sitzung authentifizieren.

    Bildschirm, um eine Sicherheitsüberprüfung wie z. B. einen PIN-Code bereitzustellen

  7. Wählen Sie nach der mehrstufigen Authentifizierung "Aktivieren" aus, bevor Sie fortfahren.

    Meine Identität mit MFA überprüfen, bevor die Rolle aktiviert wird

  8. Wenn Sie einen reduzierten Bereich angeben möchten, wählen Sie "Bereich " aus, um den Filterbereich zu öffnen. Im Filterbereich können Sie die Microsoft Entra-Ressourcen angeben, auf die Sie Zugriff benötigen. Es empfiehlt sich, Zugriff auf möglichst wenige benötigte Ressourcen anzufordern.

  9. Falls erforderlich, geben Sie einen Startzeitpunkt für die Aktivierung an. Die Microsoft Entra-Rolle wird dann nach dem ausgewählten Zeitpunkt aktiviert.

  10. Geben Sie im Feld "Grund " den Grund für die Aktivierungsanforderung ein.

  11. Wählen Sie "Aktivieren" aus.

    Wenn für die Rolle eine Genehmigung erforderlich ist , wird in der oberen rechten Ecke Des Browsers eine Benachrichtigung angezeigt, in der Sie darüber informiert werden, dass die Anforderung aussteht.

    Aktivierungsanforderung ist ausstehende Genehmigungsbenachrichtigung

    Aktivieren einer Rolle mithilfe der Microsoft Graph-API

    Weitere Informationen zu Microsoft Graph-APIs für PIM finden Sie unter Übersicht über die Rollenverwaltung über die PRIVILEGED Identity Management (PIM)-API.

    Abrufen aller berechtigten Rollen, die Sie aktivieren können

    Wenn ein Benutzer seine Rollenberechtigung über Gruppenmitgliedschaft erhält, gibt diese Microsoft Graph-Anforderung seine Berechtigung nicht zurück.

    HTTP-Anforderung

    GET https://graph.microsoft.com/v1.0/roleManagement/directory/roleEligibilityScheduleRequests/filterByCurrentUser(on='principal')  
    

    HTTP-Antwort

    Um Speicherplatz zu sparen, zeigen wir nur die Antwort für eine Rolle an. Aber alle in Frage kommenden Rollenzuweisungen, die Sie aktivieren können, werden aufgelistet.

    {
        "@odata.context": "https://graph.microsoft.com/v1.0/$metadata#Collection(unifiedRoleEligibilityScheduleRequest)",
        "value": [
            {
                "@odata.type": "#microsoft.graph.unifiedRoleEligibilityScheduleRequest",
                "id": "50d34326-f243-4540-8bb5-2af6692aafd0",
                "status": "Provisioned",
                "createdDateTime": "2022-04-12T18:26:08.843Z",
                "completedDateTime": "2022-04-12T18:26:08.89Z",
                "approvalId": null,
                "customData": null,
                "action": "adminAssign",
                "principalId": "aaaaaaaa-bbbb-cccc-1111-222222222222",
                "roleDefinitionId": "8424c6f0-a189-499e-bbd0-26c1753c96d4",
                "directoryScopeId": "/",
                "appScopeId": null,
                "isValidationOnly": false,
                "targetScheduleId": "50d34326-f243-4540-8bb5-2af6692aafd0",
                "justification": "Assign Attribute Assignment Admin eligibility to myself",
                "createdBy": {
                    "application": null,
                    "device": null,
                    "user": {
                        "displayName": null,
                        "id": "00aa00aa-bb11-cc22-dd33-44ee44ee44ee"
                    }
                },
                "scheduleInfo": {
                    "startDateTime": "2022-04-12T18:26:08.8911834Z",
                    "recurrence": null,
                    "expiration": {
                        "type": "afterDateTime",
                        "endDateTime": "2024-04-10T00:00:00Z",
                        "duration": null
                    }
                },
                "ticketInfo": {
                    "ticketNumber": null,
                    "ticketSystem": null
                }
            }
        ]
    }
    

    Selbstaktivieren eine Rollenberechtigung mit Begründung

    HTTP-Anforderung

    POST https://graph.microsoft.com/v1.0/roleManagement/directory/roleAssignmentScheduleRequests 
    
    {
        "action": "selfActivate",
        "principalId": "aaaaaaaa-bbbb-cccc-1111-222222222222",
        "roleDefinitionId": "8424c6f0-a189-499e-bbd0-26c1753c96d4",
        "directoryScopeId": "/",
        "justification": "I need access to the Attribute Administrator role to manage attributes to be assigned to restricted AUs",
        "scheduleInfo": {
            "startDateTime": "2022-04-14T00:00:00.000Z",
            "expiration": {
                "type": "AfterDuration",
                "duration": "PT5H"
            }
        },
        "ticketInfo": {
            "ticketNumber": "CONTOSO:Normal-67890",
            "ticketSystem": "MS Project"
        }
    }
    

    HTTP-Antwort

    HTTP/1.1 201 Created
    Content-Type: application/json
    
    {
        "@odata.context": "https://graph.microsoft.com/v1.0/$metadata#roleManagement/directory/roleAssignmentScheduleRequests/$entity",
        "id": "911bab8a-6912-4de2-9dc0-2648ede7dd6d",
        "status": "Granted",
        "createdDateTime": "2022-04-13T08:52:32.6485851Z",
        "completedDateTime": "2022-04-14T00:00:00Z",
        "approvalId": null,
        "customData": null,
        "action": "selfActivate",
        "principalId": "aaaaaaaa-bbbb-cccc-1111-222222222222",
        "roleDefinitionId": "8424c6f0-a189-499e-bbd0-26c1753c96d4",
        "directoryScopeId": "/",
        "appScopeId": null,
        "isValidationOnly": false,
        "targetScheduleId": "911bab8a-6912-4de2-9dc0-2648ede7dd6d",
        "justification": "I need access to the Attribute Administrator role to manage attributes to be assigned to restricted AUs",
        "createdBy": {
            "application": null,
            "device": null,
            "user": {
                "displayName": null,
                "id": "071cc716-8147-4397-a5ba-b2105951cc0b"
            }
        },
        "scheduleInfo": {
            "startDateTime": "2022-04-14T00:00:00Z",
            "recurrence": null,
            "expiration": {
                "type": "afterDuration",
                "endDateTime": null,
                "duration": "PT5H"
            }
        },
        "ticketInfo": {
            "ticketNumber": "CONTOSO:Normal-67890",
            "ticketSystem": "MS Project"
        }
    }
    

Anzeigen des Status von Aktivierungsanforderungen

Sie können den Status Ihrer ausstehenden Aktivierungsanforderungen anzeigen.

  1. Melden Sie sich beim Microsoft Entra Admin Center als Administrator mit privilegierter Rolle an.

  2. Navigieren Sie zu ID Governance>Privileged Identity Management>Meine Anforderungen.

  3. Wenn Sie "Meine Anforderungen" auswählen, wird eine Liste Ihrer Microsoft Entra-Rollen- und Azure-Ressourcenrollenanforderungen angezeigt.

    Screenshot der Seite

  4. Scrollen Sie nach rechts, um die Spalte "Anforderungsstatus " anzuzeigen.

Abbrechen einer ausstehenden Anforderung für die neue Version

Wenn die Aktivierung einer genehmigungspflichtigen Rolle für Sie nicht erforderlich ist, können Sie eine ausstehende Anforderung jederzeit abbrechen.

  1. Melden Sie sich beim Microsoft Entra Admin Center als Administrator mit privilegierter Rolle an.

  2. Navigieren Sie zu ID Governance>Privileged Identity Management>Meine Anforderungen.

  3. Wählen Sie für die Rolle, die Sie abbrechen möchten, den Link "Abbrechen" aus .

    Durch Auswählen von Abbrechen wird die Anforderung abgebrochen. Um die Rolle erneut zu aktivieren, müssen Sie eine neue Anforderung zur Aktivierung übermitteln.

    Meine Anforderungsliste mit hervorgehobener Aktion

Deaktivieren einer Rollenzuweisung

Wenn eine Rollenzuweisung aktiviert wird, wird im PIM-Portal eine Option "Deaktivieren " für die Rollenzuweisung angezeigt. Außerdem können Sie eine Rollenzuweisung nicht innerhalb von fünf Minuten nach Aktivierung deaktivieren.

Aktivieren von PIM-Rollen mithilfe der mobilen Azure-App

PIM ist jetzt in den mobilen Apps von Microsoft Entra ID und Azure-Ressourcenrollen sowohl für iOS als auch für Android verfügbar.

Hinweis

Eine aktive Premium P2- oder EMS E5-Lizenz ist erforderlich, damit der angemeldete Benutzer dies innerhalb der App verwenden kann.

  1. Um eine berechtigte Microsoft Entra-Rollenzuweisung zu aktivieren, laden Sie zunächst die mobile Azure-App (iOS | Android) herunter. Sie können die App auch herunterladen, indem Sie „Auf Mobilgerät öffnen“ unter „Privileged Identity Management > Meine Rollen > Microsoft Entra-Rollen“ auswählen.

    Screenshot zeigt, wie Sie die mobile App herunterladen.

  2. Öffnen Sie die mobile Azure-App, und melden Sie sich an. Wählen Sie die Privileged Identity Management-Karte und dann "Meine Microsoft Entra"-Rollen aus, um Ihre berechtigten und aktiven Rollenzuweisungen anzuzeigen.

    Screenshots der mobilen App, die zeigt, wie ein Benutzer verfügbare Rollen anzeigen würde.

  3. Wählen Sie die Rollenzuweisung aus, und klicken Sie unter den Rollenzuweisungsdetails auf "Aktion > aktivieren ". Führen Sie die Schritte zum Aktivieren aus, und geben Sie alle erforderlichen Details ein, bevor Sie unten auf „Aktivieren“ klicken.

    Screenshot der mobilen App, in der ein Benutzer zeigt, wie die erforderlichen Informationen ausgefüllt werden

  4. Zeigen Sie den Status Ihrer Aktivierungsanforderungen und Ihre Rollenzuweisungen unter "Meine Microsoft Entra"-Rollen an.

    Screenshot der mobilen App mit dem Rollenstatus des Benutzers.