Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Microsoft Entra Privileged Identity Management (PIM) vereinfacht die Art und Weise, in der Unternehmen den privilegierten Zugriff auf Ressourcen in Microsoft Entra ID und anderen Microsoft-Onlinediensten wie Microsoft 365 oder Microsoft Intune verwalten.
Wenn Sie für eine administrative Rolle berechtigt sind, müssen Sie die Rollenzuweisung aktivieren , wenn Sie privilegierte Aktionen ausführen müssen. Wenn Sie beispielsweise gelegentlich Microsoft 365-Funktionen verwalten, werden Sie von den Administratoren und Administratorinnen für privilegierte Rollen Ihrer Organisation möglicherweise nicht als permanenter „Globaler Administrator“ festgelegt, da sich diese Rolle auch auf andere Dienste auswirkt. Stattdessen erteilen sie Ihnen Berechtigungen für Microsoft Entra-Rollen (beispielsweise Exchange Online-Administrator). Sie können eine Aktivierung dieser Rolle anfordern, wenn Sie diese Berechtigungen benötigen, und verfügen damit für einen vordefinierten Zeitraum über Administratorsteuerung.
Dieser Artikel richtet sich an Administrator*innen, die ihre Microsoft Entra-Rolle in Privileged Identity Management aktivieren müssen. Obwohl jeder Benutzer und jede Benutzerin eine Anforderung für die von ihm bzw. ihr benötigte Rolle über PIM senden kann, ohne die Rolle „Privilegierter Rollenadministrator“ (PRA) zu besitzen, ist diese Rolle für die Verwaltung und Zuweisung von Rollen an andere Personen innerhalb der Organisation erforderlich.
Wichtig
Wenn eine Rolle aktiviert wird, fügt Microsoft Entra PIM vorübergehend eine aktive Zuweisung für die Rolle hinzu. Microsoft Entra PIM erstellt innerhalb von Sekunden eine aktive Zuweisung (weist einem Benutzer eine Rolle zu). Wenn die Deaktivierung (manuell oder durch den Ablauf der Aktivierungszeit) erfolgt, entfernt Microsoft Entra PIM auch die aktive Zuweisung innerhalb von Sekunden.
Die Anwendung kann den Zugriff basierend auf der Rolle des Benutzers ermöglichen. In einigen Situationen spiegelt der Anwendungszugriff möglicherweise nicht sofort die Tatsache wider, dass dem Benutzer eine Rolle zugewiesen oder eine Rollenzuweisung aufgehoben wurde. Wenn die Anwendung zuvor die Tatsache zwischengespeichert hat, dass der Benutzer keine Rolle hat – wenn der Benutzer erneut versucht, auf die Anwendung zuzugreifen, wird möglicherweise kein Zugriff gewährt. Wenn die Anwendung zuvor die Tatsache zwischengespeichert hat, dass der Benutzer eine Rolle hat – wenn die Rolle deaktiviert ist, wird dem Benutzer möglicherweise weiterhin Zugriff gewährt. Die spezifische Situation hängt von der Architektur der Anwendung ab. Bei einigen Anwendungen kann das Abmelden und das erneute Anmelden dazu beitragen, Zugriffsrechte hinzuzufügen oder zu entfernen.
Wichtig
Wenn ein Benutzer, der eine Administratorrolle aktiviert, bei Microsoft Teams auf einem mobilen Gerät angemeldet ist, erhält er eine Benachrichtigung von der Teams-App mit dem Hinweis "Teams öffnen, um weiterhin Benachrichtigungen für <E-Mail-Adresse> zu erhalten" oder "<E-Mail-Adresse> muss sich anmelden, um Benachrichtigungen anzuzeigen". Der Benutzer muss die Teams-App öffnen, um weiterhin Benachrichtigungen zu erhalten. Dieses Verhalten ist beabsichtigt.
Voraussetzungen
Aktivieren einer Rolle
Wenn Sie eine Microsoft Entra-Rolle annehmen müssen, können Sie die Aktivierung anfordern, indem Sie "Meine Rollen " in Privileged Identity Management öffnen.
Hinweis
PIM ist jetzt in der mobilen Azure-App (iOS | Android) für Microsoft Entra ID und Azure-Ressourcenrollen verfügbar. Aktivieren Sie ganz einfach berechtigte Zuweisungen, fordern Sie Verlängerungen für die ablaufenden an, oder überprüfen Sie den Status ausstehender Anforderungen. Weitere Informationen
Melden Sie sich beim Microsoft Entra Admin Center als Benutzer an, der über eine berechtigte Rollenzuweisung verfügt.
Navigieren Sie zu ID Governance>Privileged Identity Management>Meine Rollen. Informationen zum Hinzufügen der Privileged Identity Management-Kachel zu Ihrem Dashboard finden Sie unter "Start using Privileged Identity Management".
Wählen Sie Microsoft Entra-Rollen aus, um eine Liste Ihrer berechtigten Microsoft Entra-Rollen anzuzeigen.
Suchen Sie in der Liste der Microsoft Entra-Rollen die Rolle, die Sie aktivieren möchten.
Wählen Sie "Aktivieren" aus, um den Bereich "Aktivieren" zu öffnen.
Wählen Sie "Zusätzliche Überprüfung erforderlich " aus, und folgen Sie den Anweisungen, um die Sicherheitsüberprüfung bereitzustellen. Sie müssen sich nur einmal pro Sitzung authentifizieren.
Wählen Sie nach der mehrstufigen Authentifizierung "Aktivieren" aus, bevor Sie fortfahren.
Wenn Sie einen reduzierten Bereich angeben möchten, wählen Sie "Bereich " aus, um den Filterbereich zu öffnen. Im Filterbereich können Sie die Microsoft Entra-Ressourcen angeben, auf die Sie Zugriff benötigen. Es empfiehlt sich, Zugriff auf möglichst wenige benötigte Ressourcen anzufordern.
Falls erforderlich, geben Sie einen Startzeitpunkt für die Aktivierung an. Die Microsoft Entra-Rolle wird dann nach dem ausgewählten Zeitpunkt aktiviert.
Geben Sie im Feld "Grund " den Grund für die Aktivierungsanforderung ein.
Wählen Sie "Aktivieren" aus.
Wenn für die Rolle eine Genehmigung erforderlich ist , wird in der oberen rechten Ecke Des Browsers eine Benachrichtigung angezeigt, in der Sie darüber informiert werden, dass die Anforderung aussteht.
Aktivieren einer Rolle mithilfe der Microsoft Graph-API
Weitere Informationen zu Microsoft Graph-APIs für PIM finden Sie unter Übersicht über die Rollenverwaltung über die PRIVILEGED Identity Management (PIM)-API.
Abrufen aller berechtigten Rollen, die Sie aktivieren können
Wenn ein Benutzer seine Rollenberechtigung über Gruppenmitgliedschaft erhält, gibt diese Microsoft Graph-Anforderung seine Berechtigung nicht zurück.
HTTP-Anforderung
GET https://graph.microsoft.com/v1.0/roleManagement/directory/roleEligibilityScheduleRequests/filterByCurrentUser(on='principal')
HTTP-Antwort
Um Speicherplatz zu sparen, zeigen wir nur die Antwort für eine Rolle an. Aber alle in Frage kommenden Rollenzuweisungen, die Sie aktivieren können, werden aufgelistet.
{ "@odata.context": "https://graph.microsoft.com/v1.0/$metadata#Collection(unifiedRoleEligibilityScheduleRequest)", "value": [ { "@odata.type": "#microsoft.graph.unifiedRoleEligibilityScheduleRequest", "id": "50d34326-f243-4540-8bb5-2af6692aafd0", "status": "Provisioned", "createdDateTime": "2022-04-12T18:26:08.843Z", "completedDateTime": "2022-04-12T18:26:08.89Z", "approvalId": null, "customData": null, "action": "adminAssign", "principalId": "aaaaaaaa-bbbb-cccc-1111-222222222222", "roleDefinitionId": "8424c6f0-a189-499e-bbd0-26c1753c96d4", "directoryScopeId": "/", "appScopeId": null, "isValidationOnly": false, "targetScheduleId": "50d34326-f243-4540-8bb5-2af6692aafd0", "justification": "Assign Attribute Assignment Admin eligibility to myself", "createdBy": { "application": null, "device": null, "user": { "displayName": null, "id": "00aa00aa-bb11-cc22-dd33-44ee44ee44ee" } }, "scheduleInfo": { "startDateTime": "2022-04-12T18:26:08.8911834Z", "recurrence": null, "expiration": { "type": "afterDateTime", "endDateTime": "2024-04-10T00:00:00Z", "duration": null } }, "ticketInfo": { "ticketNumber": null, "ticketSystem": null } } ] }
Selbstaktivieren eine Rollenberechtigung mit Begründung
HTTP-Anforderung
POST https://graph.microsoft.com/v1.0/roleManagement/directory/roleAssignmentScheduleRequests { "action": "selfActivate", "principalId": "aaaaaaaa-bbbb-cccc-1111-222222222222", "roleDefinitionId": "8424c6f0-a189-499e-bbd0-26c1753c96d4", "directoryScopeId": "/", "justification": "I need access to the Attribute Administrator role to manage attributes to be assigned to restricted AUs", "scheduleInfo": { "startDateTime": "2022-04-14T00:00:00.000Z", "expiration": { "type": "AfterDuration", "duration": "PT5H" } }, "ticketInfo": { "ticketNumber": "CONTOSO:Normal-67890", "ticketSystem": "MS Project" } }
HTTP-Antwort
HTTP/1.1 201 Created Content-Type: application/json { "@odata.context": "https://graph.microsoft.com/v1.0/$metadata#roleManagement/directory/roleAssignmentScheduleRequests/$entity", "id": "911bab8a-6912-4de2-9dc0-2648ede7dd6d", "status": "Granted", "createdDateTime": "2022-04-13T08:52:32.6485851Z", "completedDateTime": "2022-04-14T00:00:00Z", "approvalId": null, "customData": null, "action": "selfActivate", "principalId": "aaaaaaaa-bbbb-cccc-1111-222222222222", "roleDefinitionId": "8424c6f0-a189-499e-bbd0-26c1753c96d4", "directoryScopeId": "/", "appScopeId": null, "isValidationOnly": false, "targetScheduleId": "911bab8a-6912-4de2-9dc0-2648ede7dd6d", "justification": "I need access to the Attribute Administrator role to manage attributes to be assigned to restricted AUs", "createdBy": { "application": null, "device": null, "user": { "displayName": null, "id": "071cc716-8147-4397-a5ba-b2105951cc0b" } }, "scheduleInfo": { "startDateTime": "2022-04-14T00:00:00Z", "recurrence": null, "expiration": { "type": "afterDuration", "endDateTime": null, "duration": "PT5H" } }, "ticketInfo": { "ticketNumber": "CONTOSO:Normal-67890", "ticketSystem": "MS Project" } }
Anzeigen des Status von Aktivierungsanforderungen
Sie können den Status Ihrer ausstehenden Aktivierungsanforderungen anzeigen.
Melden Sie sich beim Microsoft Entra Admin Center als Administrator mit privilegierter Rolle an.
Navigieren Sie zu ID Governance>Privileged Identity Management>Meine Anforderungen.
Wenn Sie "Meine Anforderungen" auswählen, wird eine Liste Ihrer Microsoft Entra-Rollen- und Azure-Ressourcenrollenanforderungen angezeigt.
Scrollen Sie nach rechts, um die Spalte "Anforderungsstatus " anzuzeigen.
Abbrechen einer ausstehenden Anforderung für die neue Version
Wenn die Aktivierung einer genehmigungspflichtigen Rolle für Sie nicht erforderlich ist, können Sie eine ausstehende Anforderung jederzeit abbrechen.
Melden Sie sich beim Microsoft Entra Admin Center als Administrator mit privilegierter Rolle an.
Navigieren Sie zu ID Governance>Privileged Identity Management>Meine Anforderungen.
Wählen Sie für die Rolle, die Sie abbrechen möchten, den Link "Abbrechen" aus .
Durch Auswählen von Abbrechen wird die Anforderung abgebrochen. Um die Rolle erneut zu aktivieren, müssen Sie eine neue Anforderung zur Aktivierung übermitteln.
Deaktivieren einer Rollenzuweisung
Wenn eine Rollenzuweisung aktiviert wird, wird im PIM-Portal eine Option "Deaktivieren " für die Rollenzuweisung angezeigt. Außerdem können Sie eine Rollenzuweisung nicht innerhalb von fünf Minuten nach Aktivierung deaktivieren.
Aktivieren von PIM-Rollen mithilfe der mobilen Azure-App
PIM ist jetzt in den mobilen Apps von Microsoft Entra ID und Azure-Ressourcenrollen sowohl für iOS als auch für Android verfügbar.
Hinweis
Eine aktive Premium P2- oder EMS E5-Lizenz ist erforderlich, damit der angemeldete Benutzer dies innerhalb der App verwenden kann.
Um eine berechtigte Microsoft Entra-Rollenzuweisung zu aktivieren, laden Sie zunächst die mobile Azure-App (iOS | Android) herunter. Sie können die App auch herunterladen, indem Sie „Auf Mobilgerät öffnen“ unter „Privileged Identity Management > Meine Rollen > Microsoft Entra-Rollen“ auswählen.
Öffnen Sie die mobile Azure-App, und melden Sie sich an. Wählen Sie die Privileged Identity Management-Karte und dann "Meine Microsoft Entra"-Rollen aus, um Ihre berechtigten und aktiven Rollenzuweisungen anzuzeigen.
Wählen Sie die Rollenzuweisung aus, und klicken Sie unter den Rollenzuweisungsdetails auf "Aktion > aktivieren ". Führen Sie die Schritte zum Aktivieren aus, und geben Sie alle erforderlichen Details ein, bevor Sie unten auf „Aktivieren“ klicken.
Zeigen Sie den Status Ihrer Aktivierungsanforderungen und Ihre Rollenzuweisungen unter "Meine Microsoft Entra"-Rollen an.