Steuern der Mitgliedschaft und des Besitzes von Gruppen mithilfe von PIM für Gruppen

Mit Privileged Identity Management für Gruppen (PIM für Gruppen) können Sie steuern, wie Prinzipalen die Mitgliedschaft oder der Besitz von Gruppen zugewiesen wird. Sicherheits- und Microsoft 365-Gruppen sind wichtige Ressourcen, die Sie verwenden können, um Zugriff auf Microsoft-Cloudressourcen wie Microsoft Entra Rollen, Azure-Rollen, Azure SQL, Azure Key Vault, Intune und Anwendungen von Drittanbietern bereitzustellen. PIM für Gruppen bietet Ihnen mehr Kontrolle darüber, wie und wann Prinzipale Mitglieder oder Besitzer von Gruppen sind und daher über Berechtigungen verfügen, die über ihre Gruppenmitgliedschaft oder ihren Besitz gewährt werden.

Die PIM für Gruppen-APIs in Microsoft Graph bieten Ihnen mehr Governance über Sicherheit und Microsoft 365-Gruppen wie die folgenden Funktionen:

• Bereitstellen der Just-In-Time-Mitgliedschaft oder des Besitzes von Gruppen für Prinzipale
• Zuweisen der temporären Mitgliedschaft oder des Besitzes von Gruppen für Prinzipale

In diesem Artikel werden die Governancefunktionen der APIs für PIM für Gruppen in Microsoft Graph vorgestellt.

PIM für Gruppen-APIs zum Verwalten aktiver Zuweisungen von Gruppenbesitzern und Mitgliedern

Mit den PIM für Gruppen-APIs in Microsoft Graph können Sie Prinzipalen permanente oder temporäre und zeitlich begrenzte Mitgliedschaften oder Besitzrechte zu Gruppen zuweisen.

In der folgenden Tabelle sind Szenarien für die Verwendung von PIM für Gruppen-APIs aufgeführt, um aktive Zuweisungen für Prinzipale und die entsprechenden APIs zu verwalten, die aufgerufen werden sollen.

Scenarios	API
Ein Administrator: Weist einer Gruppe eine aktive Mitgliedschaft oder den Besitz eines Prinzipals zu. Verlängert, aktualisiert, erweitert oder entfernt einen Prinzipal aus seiner aktiven Mitgliedschaft oder dem Besitz einer Gruppe. Ein Prinzipal: Führt just-in-time- und zeitgebundene Aktivierung ihrer berechtigten Mitgliedschaft oder Besitzzuweisung für eine Gruppe aus. Deaktiviert ihre berechtigte Mitgliedschaft und Besitzzuweisung, wenn sie keinen Zugriff mehr benötigen Deaktiviert, erweitert oder verlängert die eigene Mitgliedschaft und Besitzzuweisung	Erstellen von assignmentScheduleRequest
Ein Administrator listet alle Anforderungen für aktive Mitgliedschaft und Besitzzuweisungen für eine Gruppe auf.	assignmentScheduleRequests auflisten
Ein Administrator listet alle aktiven Zuweisungen auf und fordert die zukünftige Erstellung von Zuweisungen für Mitgliedschaft und Besitz für eine Gruppe an.	Auflisten von ZuweisungenZeitplane
Ein Administrator listet alle aktiven Mitgliedschafts- und Besitzzuweisungen für eine Gruppe auf.	Auflisten von assignmentScheduleInstances
Ein Administrator fragt ein Mitglied und die Besitzzuweisung für eine Gruppe und deren Details ab.	PrivilegedAccessGroupAssignmentScheduleRequest abrufen
Ein Prinzipal fragt seine Mitgliedschafts- oder Besitzzuweisungsanforderungen und die Details ab. Eine genehmigende Person fragt Mitgliedschafts- oder Besitzanforderungen ab, die auf ihre Genehmigung und Details zu diesen Anforderungen warten.	privilegedAccessGroupAssignmentScheduleRequest: filterByCurrentUser
Ein Prinzipal bricht eine von ihnen erstellte Mitgliedschafts- oder Besitzzuweisungsanforderung ab.	privilegedAccessGroupAssignmentScheduleRequest: cancel
Eine genehmigenden Person erhält Details für die Genehmigungsanforderung, einschließlich Informationen zu Genehmigungsschritten.	Genehmigung anfordern
Eine genehmigende Person genehmigt oder verweigert die Genehmigungsanforderung, indem sie den Genehmigungsschritt genehmigt oder verweigert.	Genehmigungsschritt aktualisieren

PIM für Gruppen-APIs zum Verwalten berechtigter Zuweisungen von Gruppenbesitzern und Mitgliedern

Ihre Prinzipale erfordern möglicherweise keine permanente Mitgliedschaft oder den Besitz von Gruppen, da sie möglicherweise nicht die Berechtigungen benötigen, die durch die Mitgliedschaft oder den Besitz ständig gewährt werden. In diesem Fall ermöglicht IHNEN PIM für Gruppen, die Prinzipale für die Mitgliedschaft oder den Besitz der Gruppen berechtigt zu machen.

Wenn ein Prinzipal über eine berechtigte Zuweisung verfügt, aktiviert er seine Zuweisung, wenn er die über die Gruppen gewährten Berechtigungen benötigt, um privilegierte Aufgaben auszuführen. Eine berechtigte Zuweisung kann dauerhaft oder temporär sein. Die Aktivierung ist immer für maximal acht Stunden zeitgebunden.

In der folgenden Tabelle sind Szenarien für die Verwendung von PIM für Gruppen-APIs aufgeführt, um berechtigte Zuweisungen für Prinzipale und die entsprechenden APIs zu verwalten, die aufgerufen werden sollen.

Scenarios	API
Ein Administrator: Erstellt eine berechtigte Mitgliedschaft oder Besitzzuweisung für die Gruppe. Verlängert, aktualisiert, erweitert oder entfernt eine berechtigte Mitgliedschafts-/Besitzzuweisung für die Gruppe Deaktiviert, erweitert oder erneuert seine eigene Mitgliedschafts-/Besitzberechtigung	Erstellen von berechtigungScheduleRequest
Ein Administrator fragt alle berechtigten Mitgliedschafts- oder Besitzanforderungen und deren Details ab.	Auflisten der BerechtigungScheduleRequests
Ein Administrator fragt eine berechtigte Mitgliedschafts- oder Besitzanforderung und deren Details ab.	Abrufen der BerechtigungScheduleRequest
Ein Administrator bricht eine berechtigte Mitgliedschafts- oder Besitzanforderung ab, die er erstellt hat.	privilegedAccessGroupEligibilityScheduleRequest:cancel
Ein Prinzipal fragt die Details seiner berechtigten Mitgliedschaft oder Besitzanforderung ab.	privilegedAccessGroupEligibilityScheduleRequest: filterByCurrentUser

Richtlinieneinstellungen in PIM für Gruppen

PIM für Gruppen definiert Einstellungen oder Regeln, die steuern, wie Prinzipalen die Mitgliedschaft oder der Besitz von Sicherheits- und Microsoft 365-Gruppen zugewiesen werden können. Diese Regeln umfassen, ob die mehrstufige Authentifizierung (Multi-Factor Authentication, MFA), Begründung oder Genehmigung erforderlich ist, um eine berechtigte Mitgliedschaft oder einen berechtigten Besitz für eine Gruppe zu aktivieren, oder ob Sie dauerhafte Zuweisungen oder Berechtigungen für Prinzipale für die Gruppen erstellen können. Die Regeln werden in Richtlinien definiert, und eine Richtlinie kann auf eine Gruppe angewendet werden.

In Microsoft Graph werden diese Regeln über die Ressourcentypen unifiedRoleManagementPolicy und unifiedRoleManagementPolicyAssignment und die zugehörigen Methoden verwaltet.

Angenommen, PIM für Gruppen lässt standardmäßig keine permanente aktive Mitgliedschaft und Besitzzuweisungen zu und definiert maximal sechs Monate für aktive Zuweisungen. Beim Versuch, ein privilegedAccessGroupAssignmentScheduleRequest-Objekt ohne Ablaufdatum zu erstellen, wird ein Antwortcode für einen 400 Bad Request Verstoß gegen die Ablaufregel zurückgegeben.

MIT PIM für Gruppen können Sie verschiedene Regeln konfigurieren, darunter:

• Ob Prinzipalen permanent berechtigte Zuweisungen zugewiesen werden können
• Die maximal zulässige Dauer für eine Gruppenmitgliedschaft oder Besitzaktivierung und ob eine Begründung oder Genehmigung erforderlich ist, um die berechtigte Mitgliedschaft oder den Besitz zu aktivieren
• Die Benutzer, die Aktivierungsanforderungen für eine Gruppenmitgliedschaft oder einen Gruppenbesitz genehmigen dürfen
• Ob MFA erforderlich ist, um eine Gruppenmitgliedschaft oder Besitzzuweisung zu aktivieren und zu erzwingen
• Die Prinzipale, die über Gruppenmitgliedschafts- oder Besitzaktivierungen benachrichtigt werden

In der folgenden Tabelle sind Szenarien für die Verwendung von PIM für Gruppen zum Verwalten von Regeln und der aufzurufenden APIs aufgeführt.

Szenarien	API
Abrufen von PIM für Gruppenrichtlinien und zugeordneten Regeln oder Einstellungen	UnifiedRoleManagementPolicies auflisten
Abrufen einer PIM für Gruppenrichtlinie und der zugehörigen Regeln oder Einstellungen	UnifiedRoleManagementPolicy abrufen
Aktualisieren einer PIM für Gruppenrichtlinie für die zugeordneten Regeln oder Einstellungen	UnifiedRoleManagementPolicy aktualisieren
Abrufen der für eine PIM für Gruppenrichtlinie definierten Regeln	Auflisten von Regeln
Abrufen einer für eine PIM für Gruppenrichtlinie definierten Regel	UnifiedRoleManagementPolicyRule abrufen
Aktualisieren einer für eine PIM für Gruppenrichtlinie definierten Regel	UnifiedRoleManagementPolicyRule aktualisieren
Abrufen der Details aller PIM für Gruppenrichtlinienzuweisungen, einschließlich der Richtlinien und Regeln, die der Gruppenmitgliedschaft und dem Besitz von Gruppen zugeordnet sind	UnifiedRoleManagementPolicyAssignments auflisten
Abrufen der Details einer PIM für Gruppenrichtlinienzuweisung, einschließlich der Richtlinie und der Regeln, die der Gruppenmitgliedschaft oder dem Gruppenbesitz zugeordnet sind	UnifiedRoleManagementPolicyAssignment abrufen

Weitere Informationen zur Verwendung von Microsoft Graph zum Konfigurieren von Regeln finden Sie unter Übersicht über Regeln in PIM-APIs in Microsoft Graph. Beispiele für das Aktualisieren von Regeln finden Sie unter Verwenden von PIM-APIs in Microsoft Graph zum Aktualisieren von Regeln.

Onboarding von Gruppen in PIM für Gruppen

Sie können eine Gruppe nicht explizit in PIM für Gruppen integrieren. Wenn Sie anfordern, eine Zuweisung zu einer Gruppe mithilfe von Zuordnung erstellenScheduleRequest oder Create eligibilityScheduleRequest hinzuzufügen, oder wenn Sie die PIM-Richtlinie (Rolleneinstellungen) für eine Gruppe mithilfe von Update unifiedRoleManagementPolicy oder Update unifiedRoleManagementPolicyRule aktualisieren, wird die Gruppe automatisch in PIM integriert, wenn sie zuvor noch nicht integriert wurde.

Sie können List assignmentScheduleRequests, List assignmentSchedules, List assignmentScheduleInstances, List eligibilityScheduleRequests, List eligibilitySchedules, and List eligibilityScheduleInstances APIs für beide Gruppen aufrufen, die in PIM integriert sind, und Gruppen, die noch nicht in PIM integriert sind. Wir empfehlen jedoch, dies nur für Gruppen zu tun, die in PIM integriert sind, um die Wahrscheinlichkeit einer Drosselung zu verringern.

Nachdem PIM eine Gruppe integriert hat, ändern sich die IDs der PIM-Richtlinien und Richtlinienzuweisungen der jeweiligen Gruppe. Rufen Sie die API get unifiedRoleManagementPolicy oder Get unifiedRoleManagementPolicyAssignment auf, um die aktualisierten IDs abzurufen.

Nachdem PIM das Onboarding einer Gruppe aufgenommen hat, können Sie sie nicht mehr offboarden, aber Sie können alle berechtigten und zeitgebundenen Zuweisungen nach Bedarf entfernen.

PIM für Gruppen und das Gruppenobjekt

Mitgliedschaft und Besitz von Sicherheits- und Microsoft 365-Gruppen (außer dynamischen Gruppen und gruppen, die lokal synchronisiert werden) können über PIM für Gruppen gesteuert werden. Die Gruppe muss nicht rollenzuweisbar sein, um in PIM für Gruppen aktiviert zu werden.

Wenn Sie einem Prinzipal eine aktive permanente oder temporäre Mitgliedschaft oder den Besitz einer Gruppe zuweisen oder eine Just-in-Time-Aktivierung vornehmen:

• Die Details des Prinzipals werden zurückgegeben, wenn Sie die Beziehungen von Mitgliedern und Besitzern über die APIs Listengruppenmitglieder oder Listengruppenbesitzer abfragen.
• Sie können den Prinzipal mithilfe der APIs Gruppenbesitzer entfernen oder Gruppenmitglied entfernen aus der Gruppe entfernen.
• Wenn Änderungen an der Gruppe mit den Funktionen Delta abrufen und Delta abrufen für Verzeichnisobjekte nachverfolgt werden, enthält eine @odata.nextLink das neue Mitglied oder den neuen Besitzer.
• Die änderungen an Gruppenmitgliedern und Besitzern, die über PIM für Gruppen vorgenommen werden, werden in Microsoft Entra Überwachungsprotokollen protokolliert und können über die API Für Verzeichnisüberwachungen auflisten gelesen werden.

Wenn einem Prinzipal eine berechtigte dauerhafte oder temporäre Mitgliedschaft oder der Besitz einer Gruppe zugewiesen wird, werden die Beziehungen der Mitglieder und Besitzer der Gruppe nicht aktualisiert.

Wenn die vorübergehende aktive Mitgliedschaft oder der Besitz einer Gruppe eines Prinzipals abläuft:

• Die Details des Prinzipals werden automatisch aus den Beziehungen zu Mitgliedern und Besitzern entfernt.
• Wenn Änderungen an der Gruppe mit den Funktionen Delta abrufen und Delta abrufen für Verzeichnisobjekte nachverfolgt werden, gibt ein @odata.nextLink das entfernte Gruppenmitglied oder den entfernten Besitzer an.

Zero Trust

Dieses Feature hilft Organisationen, ihre Identitäten an den drei Leitprinzipien einer Zero Trust-Architektur auszurichten:

• Explizit verifizieren
• Verwenden der geringsten Rechte
• Gehe von einem Verstoß aus

Weitere Informationen zu Zero Trust und anderen Möglichkeiten, Ihre organization an den Leitprinzipien auszurichten, finden Sie im Zero Trust Guidance Center.

Berechtigungen und Berechtigungen

Die folgenden Microsoft Graph-Berechtigungen sind erforderlich, um die PIM für Gruppen-APIs aufzurufen.

Endpunkte	Unterstützte Vorgänge	Berechtigungen
assignmentSchedule assignmentScheduleInstance	LIST, GET	PrivilegedAssignmentSchedule.Read.AzureADGroup PrivilegedAssignmentSchedule.ReadWrite.AzureADGroup
assignmentScheduleRequest	CREATE, LIST, GET, UPDATE, DELELE	PrivilegedAssignmentSchedule.ReadWrite.AzureADGroup
eligibilitySchedule eligibilityScheduleInstance	LIST, GET	PrivilegedEligibilitySchedule.Read.AzureADGroup PrivilegedEligibilitySchedule.ReadWrite.AzureADGroup
eligibilityScheduleRequest	CREATE, LIST, GET, UPDATE, DELELE	PrivilegedEligibilitySchedule.ReadWrite.AzureADGroup
Genehmigung	GET	PrivilegedAssignmentSchedule.Read.AzureADGroup PrivilegedAssignmentSchedule.ReadWrite.AzureADGroup
approvalStep	LIST, GET	PrivilegedAssignmentSchedule.Read.AzureADGroup PrivilegedAssignmentSchedule.ReadWrite.AzureADGroup
approvalStep	UPDATE	PrivilegedAssignmentSchedule.ReadWrite.AzureADGroup
roleManagementPolicy roleManagementPolicyAssignment	LIST, GET	RoleManagementPolicy.Read.AzureADGroup RoleManagementPolicy.ReadWrite.AzureADGroup
roleManagementPolicy	UPDATE	RoleManagementPolicy.ReadWrite.AzureADGroup

Darüber hinaus benötigt der aufrufende Prinzipal für delegierte Szenarien eine der folgenden Rollen (gilt nicht für genehmigungs- und approvalStep-Endpunkte).

Gruppe	Rolle	Unterstützte Vorgänge
Rollenzuweisungsfähig	Administrator für privilegierte Rollen Gruppenbesitzer* Gruppenmitglied*	CREATE, UPDATE, DELELE
Rollenzuweisungsfähig	Globaler Leser Administrator für privilegierte Rollen Gruppenbesitzer* Gruppenmitglied*	LIST, GET
Nicht zuweisbare Rollen	Verzeichnisschreibberechtigter Gruppenadministrator Identity Governance-Administrator Benutzeradministrator Gruppenbesitzer* Gruppenmitglied*	CREATE, UPDATE, DELELE
Nicht zuweisbare Rollen	Globaler Leser Verzeichnisschreibberechtigter Gruppenadministrator Identity Governance-Administrator Benutzeradministrator Gruppenbesitzer* Gruppenmitglied*	LIST, GET

* Berechtigungen für Gruppenmitglieder und Gruppenbesitzer sind auf die Lese- oder Schreibvorgänge beschränkt, die sie ausführen müssen. Beispielsweise kann ein Gruppenmitglied seine assignmentScheduleRequest-Anforderung abbrechen , aber nicht die Anforderung eines anderen Prinzipals.

Nur die genehmigenden Personen der Anforderung können die /approval Endpunkte und /approvalStep aufrufen. Ihnen müssen keine Microsoft Entra Rollen zugewiesen werden.

Verwandte Inhalte

• Was ist Microsoft Entra ID Governance?

• Was ist Microsoft Entra Privileged Identity Management?

• Privileged Identity Management (PIM) für Gruppen