Verlängern oder Erneuern von Microsoft Entra-Rollenzuweisungen in Privileged Identity Management
Microsoft Entra Privileged Identity Management (PIM) stellt Steuermechanismen zum Verwalten des Zugriffs- und Zuweisungslebenszyklus für Rollen in Microsoft Entra ID bereit. Administratoren können Rollen zuweisen, indem sie Eigenschaften für die Start- und Endzeit verwenden. Wenn das Ende der Zuweisung fast erreicht ist, sendet Privileged Identity Management E-Mail-Benachrichtigungen an die betroffenen Benutzer oder Gruppen. Außerdem werden E-Mail-Benachrichtigungen an Microsoft Entra-Administratoren gesendet, um einen entsprechenden Zugriff zu gewährleisten. Zuweisungen können auch verlängert werden. Sie bleiben im abgelaufenen Zustand noch 30 Tage lang sichtbar, auch wenn der Zugriff nicht verlängert wird.
Wer kann das Verlängern und Erneuern durchführen?
Nur Benutzern und Benutzerinnen mit der Rolle „Globaler Administrator“ und „Administrator für privilegierte Rollen“ können Microsoft Entra-Rollenzuweisungen verlängern oder erneuern. Der betroffene Benutzer bzw. die betroffene Gruppe kann anfordern, dass in Kürze ablaufende Rollen verlängert und dass bereits abgelaufene Rollen erneuert werden.
Wann werden die Benachrichtigungen gesendet?
Privileged Identity Management sendet E-Mail-Benachrichtigungen an Administratoren und betroffene Benutzer und Gruppen mit Rollen, die innerhalb der nächsten 14 Tage ablaufen. Einen Tag vor dem Ablauf wird eine weitere Benachrichtigung gesendet. Wenn eine Zuweisung offiziell abgelaufen ist, wird eine weitere E-Mail gesendet.
Administratoren erhalten Benachrichtigungen, wenn ein Benutzer oder eine Gruppe mit einer ablaufenden oder abgelaufenen Rolle die Verlängerung bzw. Erneuerung anfordert. Wenn ein Administrator eine Anforderung als „genehmigt“ oder „abgelehnt“ auflöst, werden alle anderen Administratoren über die Entscheidung benachrichtigt. Anschließend wird der anfordernde Benutzer bzw. die Gruppe ebenfalls über die Entscheidung informiert.
Verlängern von Rollenzuweisungen
Die folgenden Schritte beschreiben den Prozess für das Anfordern, Bearbeiten bzw. Verwalten einer Verlängerung oder Erneuerung einer Rollenzuweisung.
Selbständiges Verlängern von ablaufenden Zuweisungen
Benutzer*innen, die einer Rolle zugewiesen sind, können ablaufende Rollenzuweisungen direkt über die Registerkarten Berechtigt oder Aktiv auf der Seite Meine Rollen verlängern, entweder unter Microsoft Entra-Rollen oder über die Seite Meine Rollen der obersten Ebene im Privileged Identity Management-Portal. Im Portal können Benutzer*innen die Verlängerung von berechtigten oder aktiven (zugewiesenen) Rollen anfordern, die in den nächsten 14 Tagen ablaufen.
Wenn Enddatum und -uhrzeit der Zuweisung innerhalb von 14 Tagen liegen, wird die Schaltfläche Verlängern auf der Benutzeroberfläche zu einem aktiven Link. Im folgenden Beispiel wird angenommen, dass der 27. März das aktuelle Datum ist.
Hinweis
Für eine Gruppe, die einer Rolle zugewiesen ist, steht der Link Verlängern nie zur Verfügung, damit Benutzer*innen mit geerbten Zuweisungen nicht die Gruppenzuweisung verlängern können.
Wählen Sie Verlängern, um das Anforderungsformular zu öffnen und eine Verlängerung dieser Rollenzuweisung anzufordern.
Geben Sie einen Grund für die Verlängerungsanforderung an, und wählen Sie Verlängern.
Hinweis
Wir empfehlen Ihnen, die Details zum Grund der Verlängerung einzufügen und außerdem den Verlängerungszeitraum anzugeben (falls bekannt).
Administratoren erhalten eine E-Mail-Benachrichtigung, um die Verlängerungsanforderung zu überprüfen. Falls bereits eine Verlängerungsanforderung übermittelt wurde, wird im Portal eine Benachrichtigung angezeigt.
Navigieren Sie zur Seite Ausstehende Anforderungen, um den Status der Anforderung anzuzeigen oder sie zu stornieren.
Vom Administrator genehmigte Verlängerung
Wenn ein Benutzer oder eine Gruppe eine Anforderung zur Verlängerung einer Rollenzuweisung übermittelt, erhalten die Administratoren eine E-Mail-Benachrichtigung mit den Details der ursprünglichen Zuweisung und dem Grund der Anforderung. Die Benachrichtigung enthält einen direkten Link zu der Anforderung, damit der Administrator diese genehmigen oder ablehnen kann.
Zusätzlich zur Verwendung des Links aus der E-Mail können Administratoren Anforderungen genehmigen oder ablehnen, indem sie zum Privileged Identity Management-Verwaltungsportal wechseln und im linken Bereich die Option Anforderung genehmigen auswählen.
Wenn ein Administrator die Option Genehmigen oder Ablehnen wählt, werden die Details der Anforderung zusammen mit einem Feld zum Angeben der geschäftlichen Begründung für die Überwachungsprotokolle angezeigt.
Beim Genehmigen einer Anforderung zur Verlängerung der Rollenzuweisung können Administratoren einen neuen Start- und Endzeitpunkt und einen neuen Zuweisungstyp wählen. Das Ändern des Zuweisungstyps kann erforderlich sein, wenn der Administrator begrenzten Zugriff gewähren möchte (z.B. nur für einen Tag), damit eine bestimmte Aufgabe erfüllt werden kann. In diesem Beispiel kann der Administrator die Zuweisung von Berechtigt in Aktiv ändern. Das bedeutet, dass sie dem Anfordernden Zugriff gewähren können, ohne dass er aktiviert werden muss.
Vom Administrator initiierte Verlängerung
Wenn ein Benutzer, der einer Rolle zugewiesen ist, keine Verlängerung für die Rollenzuweisung anfordert, kann ein Administrator eine Zuweisung auch im Namen des Benutzers verlängern. Für Verlängerungen von Rollenzuweisungen durch Administratoren sind keine Genehmigungen erforderlich, nach Verlängerung der Rolle werden jedoch Benachrichtigungen an alle anderen Administratoren gesendet.
Um eine Rollenzuweisung zu verlängern, wechseln Sie zu der Rollen- oder Zuweisungsansicht in Privileged Identity Management. Suchen Sie die Zuweisung, für die eine Verlängerung erforderlich ist. Wählen Sie dann Verlängern in der Aktionsspalte.
Erweitern von Rollenzuweisungen mithilfe der Microsoft Graph-API
In der folgenden Anforderung erweitert ein Administrator eine aktive Zuweisung mithilfe der Microsoft Graph-API.
HTTP-Anforderung
POST https://graph.microsoft.com/v1.0/roleManagement/directory/roleAssignmentScheduleRequests
{
"action": "adminExtend",
"justification": "TEST",
"roleDefinitionId": "31392ffb-586c-42d1-9346-e59415a2cc4e",
"directoryScopeId": "/",
"principalId": "aaaaaaaa-bbbb-cccc-1111-222222222222",
"scheduleInfo": {
"startDateTime": "2022-04-10T00:00:00Z",
"expiration": {
"type": "afterDuration",
"duration": "PT3H"
}
}
}
HTTP-Antwort
{
"@odata.context": "https://graph.microsoft.com/v1.0/$metadata#roleManagement/directory/roleAssignmentScheduleRequests/$entity",
"id": "c3a3aa36-22e2-4240-8e4c-ea2a3af7c30f",
"status": "Provisioned",
"createdDateTime": "2022-05-13T16:18:36.3647674Z",
"completedDateTime": "2022-05-13T16:18:40.0835993Z",
"approvalId": null,
"customData": null,
"action": "adminExtend",
"principalId": "aaaaaaaa-bbbb-cccc-1111-222222222222",
"roleDefinitionId": "31392ffb-586c-42d1-9346-e59415a2cc4e",
"directoryScopeId": "/",
"appScopeId": null,
"isValidationOnly": false,
"targetScheduleId": "c3a3aa36-22e2-4240-8e4c-ea2a3af7c30f",
"justification": "TEST",
"createdBy": {
"application": null,
"device": null,
"user": {
"displayName": null,
"id": "aaaaaaaa-bbbb-cccc-1111-222222222222"
}
},
"scheduleInfo": {
"startDateTime": "2022-05-13T16:18:40.0835993Z",
"recurrence": null,
"expiration": {
"type": "afterDuration",
"endDateTime": null,
"duration": "PT3H"
}
},
"ticketInfo": {
"ticketNumber": null,
"ticketSystem": null
}
}
Erneuern von Rollenzuweisungen
Der Prozess zum Erneuern einer abgelaufenen Rollenzuweisung ist vom Konzept her zwar ähnlich dem Prozess zum Anfordern einer Verlängerung, es bestehen jedoch auch Unterschiede. Mit den folgenden Schritten können Zuweisungen und Administratoren den Zugriff auf abgelaufene Rollen bei Bedarf erneuern.
Selbstverlängerung
Benutzer, die nicht mehr auf Ressourcen zugreifen können, können bis zu 30 Tage auf den Verlauf der abgelaufenen Zuweisungen zugreifen. Navigieren Sie dazu im linken Bereich zu Meine Rollen und wählen Sie die Registerkarte Abgelaufene Rollen im Abschnitt der Microsoft Entra-Rollen.
In der Liste der Rollen werden die Standardeinstellungen für Berechtigte Rollen angezeigt. Wählen Sie zugewiesene Rollen mit dem Status Berechtigt oder Aktiv aus.
Wählen Sie die Aktion Erneuern, um für Rollenzuweisungen in der Liste eine Erneuerung anzufordern. Geben Sie dann einen Grund für Ihre Anforderung an. Es ist hilfreich, zusätzlich zum weiteren Kontext oder einer geschäftlichen Begründung einen Gültigkeitszeitraum anzugeben, um dem Administrator die Entscheidung über die Genehmigung oder Ablehnung zu erleichtern.
Nach dem Übermitteln der Anforderung werden die Administratoren über eine ausstehende Anforderung zur Erneuerung einer Rollenzuweisung informiert.
Genehmigung durch Administrator
Microsoft Entra-Administrator*innen können über den Link in der E-Mail-Benachrichtigung auf die Erneuerungsanforderung zugreifen, oder sie können im Microsoft Entra Admin Center auf Privileged Identity Management zugreifen und dort die Option Anforderungen genehmigen auswählen.
Wenn ein Administrator die Option Genehmigen oder Ablehnen wählt, werden die Details der Anforderung zusammen mit einem Feld zum Angeben der geschäftlichen Begründung für die Überwachungsprotokolle angezeigt.
Beim Genehmigen einer Anforderung zur Erneuerung der Rollenzuweisung müssen Administratoren einen neuen Start- und Endzeitpunkt und einen neuen Zuweisungstyp eingeben.
Erneuerung durch Administrator
Sie können darüber hinaus abgelaufene Rollenzuweisungen über die Registerkarte Abgelaufene Rollen einer Microsoft Entra-Rolle erneuern. Um eine Liste mit allen abgelaufenen Rollenzuweisungen anzuzeigen, wählen Sie auf dem Bildschirm Zuweisungen die Option Abgelaufenen Rollen.
