Erstellen oder Genehmigen einer Berechtigungsanforderung
In diesem Artikel wird beschrieben, wie Sie eine Berechtigungsanforderung auf dem Wartungsdashboard in Microsoft Entra Permissions Management erstellen oder genehmigen. Sie können Anforderungen für die Autorisierungssysteme Amazon Web Services (AWS), Microsoft Azure oder Google Cloud Platform (GCP) erstellen und genehmigen.
Auf dem Wartungsdashboard stehen zwei POD-Workflows (Privilege-On-Demand, bedarfsgesteuerte Berechtigungen) zur Verfügung:
- Neue Anforderung: Der von einem Benutzer verwendete Workflow zum Erstellen einer Anforderung für Berechtigungen für eine bestimmte Dauer
- Genehmigende Person: Der von einer genehmigenden Person verwendete Workflow zum Überprüfen und Genehmigen bzw. Ablehnen der Berechtigungsanforderung von Benutzer*innen
Hinweis
Zum Anzeigen des Wartungsdashboards benötigen Sie Berechtigungen vom Typ Anzeigender Benutzer, Controller oder Administrator. Um Änderungen auf dieser Registerkarte vorzunehmen, müssen Sie über Berechtigungen vom Typ Controller oder Administrator verfügen. Wenden Sie sich an Ihren Systemadministrator, falls Sie nicht über diese Berechtigungen verfügen.
Erstellen einer Berechtigungsanforderung
Wählen Sie auf der Willkommensseite von Permissions Management die Registerkarte Wartung und dann die Unterregisterkarte Meine Anforderungen aus.
Auf der Unterregisterkarte Meine Anforderungen werden die folgenden Optionen angezeigt:
- Ausstehend: eine Liste der Anforderungen, die Sie gestellt haben, die aber noch nicht überprüft wurden
- Genehmigt: Eine Liste der Anforderungen, die von der genehmigenden Person überprüft und genehmigt wurden. Diese Anforderungen wurden entweder bereits aktiviert oder werden gerade aktiviert.
- Verarbeitet: eine Zusammenfassung der von Ihnen erstellten Anforderungen, die genehmigt (Fertig), abgelehnt und abgebrochen wurden.
Wählen Sie zum Erstellen einer Berechtigungsanforderung die Option Neue Anforderung aus.
Auf der Seite Roles/Tasks (Rollen/Aufgaben):
Wählen Sie in der Dropdownliste Authorization System Type (Autorisierungssystemtyp) das gewünschte Autorisierungssystem aus: AWS, Azure oder GCP.
Wählen Sie in der Dropdownliste Authorization system (Autorisierungssystem) die Konten aus, auf die Sie zugreifen möchten.
Wählen Sie in der Dropdownliste Identität die Identität aus, in deren Namen Sie Zugriff anfordern.
SAML-Benutzer*innen (Security Assertions Markup Language) greifen durch die Annahme einer Rolle auf das System zu. Wählen Sie daher unter Rolle die Benutzerrolle aus, wenn es sich bei der ausgewählten Identität um einen SAML-Benutzer handelt.
Wenn es sich bei der ausgewählten Identität um einen lokalen Benutzer handelt, wählen Sie die gewünschten Richtlinien aus:
- Wählen Sie Request Policy(s) (Richtlinie(n) anfordern) aus.
- Wählen Sie unter Verfügbare Richtlinien die gewünschten Richtlinien aus.
- Wählen Sie zum Auswählen einer bestimmten Richtlinie das Pluszeichen aus, suchen Sie die gewünschte Richtlinie, und wählen Sie sie aus.
Die ausgewählten Richtlinien werden im Feld Ausgewählte Richtlinien angezeigt.
Wenn es sich bei der ausgewählten Identität um einen lokalen Benutzer handelt, wählen Sie die gewünschten Aufgaben aus:
- Wählen Sie Request Task(s) (Aufgabe(n) anfordern) aus.
- Wählen Sie unter Available Tasks (Verfügbare Aufgaben) die gewünschten Aufgaben aus.
- Wählen Sie zum Auswählen einer bestimmten Aufgabe das Pluszeichen und dann die gewünschte Aufgabe aus.
Die ausgewählten Aufgaben werden im Feld Ausgewählte Aufgaben angezeigt.
Wenn der Benutzer bereits über vorhandene Richtlinien verfügt, werden diese unter Existing Policies (Vorhandene Richtlinien) angezeigt.
Wählen Sie Weiter aus.
Wenn Sie AWS ausgewählt haben, wird die Seite Bereich angezeigt.
- Wählen Sie unter Bereich auswählen Folgendes aus:
- Alle Ressourcen
- Specific Resources (Bestimmte Ressourcen) und dann die gewünschten Ressourcen
- Keine Ressourcen
- Unter Request Conditions (Anforderungsbedingungen):
- Wählen Sie JSON aus, um einen JSON-Codeblock hinzuzufügen.
- Wählen Sie Fertig aus, um den eingegebenen Code zu akzeptieren, oder Löschen, um den eingegebenen Code zu löschen und erneut zu beginnen.
- Wählen Sie unter Auswirkung die Option Zulassen oder Verweigern aus.
- Wählen Sie Weiter aus.
- Wählen Sie unter Bereich auswählen Folgendes aus:
Die Seite Bestätigung wird angezeigt.
Geben Sie unter Anforderungszusammenfassung eine Zusammenfassung für Ihre Anforderung ein.
Optional: Geben Sie unter Hinweis einen Hinweis für die genehmigende Person ein.
Wählen Sie unter Zeitplan aus, wann (wie schnell) Ihre Anforderung verarbeitet werden soll:
- ASAP (Baldmöglichst)
- Einmal
- Wählen Sie unter Zeitplan erstellen die Häufigkeit, das Datum, eine Uhrzeit und unter Für die erforderliche Dauer und dann Zeitplan aus.
- Täglich
- Wöchentlich
- Monatlich
Klicken Sie auf Submit (Senden).
Die folgende Meldung wird angezeigt: Your Request Has Been Successfully Submitted (Ihre Anforderung wurde erfolgreich übermittelt.).
Die von Ihnen übermittelte Anforderung ist jetzt unter Ausstehende Anforderungen aufgeführt.
Im Folgenden sind die Zeitlimits pro Häufigkeitstyp beim Erstellen der Anforderung aufgeführt.
Häufigkeitstyp | Zeitlimit (in Stunden) |
---|---|
ASAP (Baldmöglichst) | 24 |
Einmal | 2160 |
Täglich | 23 |
Wöchentlich | 23 |
Monatlich | 672 |
Genehmigen oder Ablehnen einer Berechtigungsanforderung
Wählen Sie auf der Willkommensseite von Permissions Management die Registerkarte Wartung und dann die Unterregisterkarte Meine Anforderungen aus.
Wenn Sie eine Liste der Anforderungen anzeigen möchten, die noch nicht überprüft wurden, wählen Sie Ausstehende Anforderungen aus.
Wählen Sie in der Liste Anforderungszusammenfassung das Menü mit der Ellipse (…) rechts neben einer Anforderung und dann Folgendes aus:
- Details, um die Details zur Anforderung anzuzeigen
- Genehmigen, um die Anforderung zu genehmigen
- Ablehnen, um die Anforderung abzulehnen
(Optional) Fügen Sie einen Hinweis für den Anforderer hinzu, und wählen Sie dann Bestätigen aus.
Auf der Unterregisterkarte Genehmigt wird eine Liste der Anforderungen angezeigt, die von der genehmigenden Person überprüft und genehmigt wurden. Diese Anforderungen wurden entweder bereits aktiviert oder werden gerade aktiviert. Auf der Unterregisterkarte Verarbeitet werden eine Zusammenfassung der Anforderungen, die genehmigt oder abgelehnt wurden, sowie abgebrochene Anforderungen angezeigt.
Nächste Schritte
- Informationen zum Anfügen und Trennen von Berechtigungen für AWS-Identitäten (Amazon Web Services) finden Sie unter Anfügen und Trennen von Richtlinien für AWS-Identitäten.
- Informationen zum Hinzufügen und Entfernen von Rollen und Aufgaben für Microsoft Azure- und GCP-Identitäten (Google Cloud Platform) finden Sie unter Hinzufügen und Entfernen von Rollen und Aufgaben für Azure- und GCP-Identitäten.
- Informationen zum Widerrufen von Aufgaben mit hohem Risiko und nicht verwendeten Aufgaben oder zum Zuweisen des Status „Schreibgeschützt“ für Microsoft Azure- und GCP-Identitäten (Google Cloud Platform) finden Sie unter Widerrufen von Aufgaben mit hohem Risiko und nicht verwendeten Aufgaben oder Zuweisen des Status „Schreibgeschützt“ für Azure- und GCP-Identitäten.