Regeln in PIM – Zuordnungsleitfaden
Privileged Identity Management (PIM) macht Rolleneinstellungen oder Regeln für die Ressourcen verfügbar, die verwaltet werden können. In Microsoft Graph sind diese Ressourcen Microsoft Entra Rollen und Gruppen und werden über PIM für Microsoft Entra Rollen bzw. PIM für Gruppen verwaltet.
Rolleneinstellungen fallen in eine von drei Kategorien: Aktivierungseinstellungen, Zuweisungseinstellungen und Benachrichtigungseinstellungen. Zu diesen Einstellungen gehört, ob die mehrstufige Authentifizierung (Multi-Factor Authentication, MFA) erforderlich ist, um eine berechtigte Rolle, eine Gruppenmitgliedschaft oder einen Gruppenbesitz zu aktivieren, oder ob Sie dauerhafte Rollenzuweisungen oder eine permanente Gruppenmitgliedschaft oder den Besitz erstellen können.
Bei Verwendung der PIM-APIs in Microsoft Graph werden diese Rolleneinstellungen über Richtlinien und Regeln verwaltet.
Richtlinien
In Microsoft Graph werden die Rolleneinstellungen als Regeln bezeichnet. Diese Regeln werden für Microsoft Entra Rollen und Gruppen über Container, die als Richtlinien bezeichnet werden, gruppiert, zugewiesen und verwaltet.
Die Richtlinien werden über den Ressourcentyp unifiedRoleManagementPolicy definiert.
Richtlinienregeln
Jede Richtlinie enthält 17 vordefinierte Regeln, die aktualisiert werden können. Diese Regeln werden über die Regelbeziehung des UnifiedRoleManagementPolicy-Ressourcentyps verwaltet.
Um die Regeln in Aktivierungs-, Zuweisungs- und Benachrichtigungsregeln zu gruppieren, definiert Microsoft Graph den abstrakten Ressourcentyp unifiedRoleManagementPolicyRule . Dieser abstrakte Typ wird von fünf Ressourcen geerbt. Jeder dieser fünf abgeleiteten Typen definiert dann Regelkonfigurationen, die eine oder mehrere von 17 Regeln sein können. Die 17 Regeln werden durch eindeutige und unveränderliche Regel-IDs identifiziert.
Dieser Artikel enthält eine Zuordnung der Einstellungen in PIM auf der Microsoft Entra Admin Center zu den entsprechenden Regeln in Microsoft Graph.
Zuordnung von Regel-IDs zu PIM-Rolleneinstellungen auf dem Microsoft Entra Admin Center
Aktivierungsregeln
Die folgende Abbildung zeigt die Aktivierungsrolleneinstellungen im Microsoft Entra Admin Center, die Regeln und Ressourcentypen in den PIM-APIs in Microsoft Graph zugeordnet sind.
Zahl | Microsoft Entra Admin Center UX-Beschreibung | Microsoft Graph-Regel-ID/Abgeleiteter Ressourcentyp | Für Anrufer erzwungen |
---|---|---|---|
1 | Maximale Aktivierungsdauer (Stunden) | Expiration_EndUser_Assignment / unifiedRoleManagementPolicyExpirationRule |
Endbenutzer |
2 | Bei aktivierung erforderlich: Keine, Azure MFA Anfordern von Ticketinformationen bei der Aktivierung Begründung bei Aktivierung anfordern |
Enablement_Admin_Eligibility / unifiedRoleManagementPolicyEnablementRule |
Administrator |
3 | Bei aktivierung erforderlich: Microsoft Entra Authentifizierungskontext für bedingten Zugriff (Vorschau) | AuthenticationContext_EndUser_Assignment / unifiedRoleManagementPolicyAuthenticationContextRule |
Endbenutzer |
4 | Genehmigung zum Aktivieren erforderlich | Approval_EndUser_Assignment / unifiedRoleManagementPolicyApprovalRule |
Endbenutzer |
Zuweisungsregeln
Die folgende Abbildung zeigt die Zuweisungsrolleneinstellungen im Microsoft Entra Admin Center, die Regeln und Ressourcentypen in der PIM-API in Microsoft Graph zugeordnet sind.
Zahl | Microsoft Entra Admin Center UX-Beschreibung | Microsoft Graph-Regel-ID/Abgeleiteter Ressourcentyp | Für Anrufer erzwungen |
---|---|---|---|
5 | Dauerhafte berechtigte Zuweisung zulassen Berechtigte Zuweisungen nach ablaufen |
Expiration_Admin_Eligibility / unifiedRoleManagementPolicyExpirationRule |
Administrator |
6 | Dauerhafte aktive Zuweisung zulassen Ablauf aktiver Zuweisungen nach |
Expiration_Admin_Assignment / unifiedRoleManagementPolicyExpirationRule |
Administrator |
7 | Anfordern von Azure Multi-Factor Authentication bei aktiver Zuweisung Begründung für aktive Zuweisung anfordern Anfordern von Ticketinformationen bei der Aktivierung |
Enablement_Admin_Assignment / unifiedRoleManagementPolicyExpirationRule |
Administrator |
8 | Anfordern von Azure Multi-Factor Authentication bei aktiver Zuweisung Begründung für aktive Zuweisung anfordern Anfordern von Ticketinformationen bei der Aktivierung |
Enablement_EndUser_Assignment / unifiedRoleManagementPolicyExpirationRule |
Endbenutzer |
Benachrichtigungsregeln
Die folgende Abbildung zeigt die Benachrichtigungsrolleneinstellungen auf dem Microsoft Entra Admin Center, die Regeln und Ressourcentypen in der PIM-API in Microsoft Graph zugeordnet sind.
Zahl | Microsoft Entra Admin Center UX-Beschreibung | Microsoft Graph-Regel-ID/Abgeleiteter Ressourcentyp | Für Anrufer erzwungen |
---|---|---|---|
9 | Senden von Benachrichtigungen, wenn Mitglieder als berechtigt für diese Rolle zugewiesen sind: Warnung zur Rollenzuweisung | Notification_Admin_Admin_Eligibility / unifiedRoleManagementPolicyNotificationRule |
Administrator |
10 | Senden von Benachrichtigungen, wenn Mitglieder als berechtigt für diese Rolle zugewiesen werden: Benachrichtigung an den zugewiesenen Benutzer (Zugewiesener) | Notification_Requestor_Admin_Eligibility / unifiedRoleManagementPolicyNotificationRule |
Zugewiesener/Anforderer |
11 | Senden von Benachrichtigungen, wenn Mitglieder als berechtigt für diese Rolle zugewiesen sind: Anforderung zum Genehmigen einer Verlängerung/Erweiterung einer Rollenzuweisung | Notification_Approver_Admin_Eligibility / unifiedRoleManagementPolicyNotificationRule |
Genehmiger |
12 | Senden von Benachrichtigungen, wenn Mitglieder dieser Rolle als aktiv zugewiesen sind: Warnung zur Rollenzuweisung | Notification_Admin_Admin_Assignment / unifiedRoleManagementPolicyNotificationRule |
Administrator |
13 | Senden von Benachrichtigungen, wenn Mitglieder dieser Rolle als aktiv zugewiesen werden: Benachrichtigung an den zugewiesenen Benutzer (Zugewiesener) | Notification_Requestor_Admin_Assignment / unifiedRoleManagementPolicyNotificationRule |
Zugewiesener/Anforderer |
14 | Senden von Benachrichtigungen, wenn Mitglieder dieser Rolle als aktiv zugewiesen sind: Anfordern der Genehmigung einer Verlängerung/Erweiterung einer Rollenzuweisung | Notification_Approver_Admin_Assignment / unifiedRoleManagementPolicyNotificationRule |
Genehmiger |
15 | Senden von Benachrichtigungen, wenn berechtigte Mitglieder diese Rolle aktivieren: Warnung zur Rollenaktivierung | Notification_Admin_EndUser_Assignment / unifiedRoleManagementPolicyNotificationRule |
Administrator |
16 | Senden von Benachrichtigungen, wenn berechtigte Mitglieder diese Rolle aktivieren: Benachrichtigung an aktivierten Benutzer (Anforderer) | Notification_Requestor_EndUser_Assignment / unifiedRoleManagementPolicyNotificationRule |
Anforderer |
17 | Senden von Benachrichtigungen, wenn berechtigte Mitglieder diese Rolle aktivieren: Anfordern der Genehmigung einer Aktivierung | Notification_Approver_EndUser_Assignment / unifiedRoleManagementPolicyNotificationRule |
Genehmiger |
Verwandte Inhalte
Feedback
https://aka.ms/ContentUserFeedback.
Bald verfügbar: Im Laufe des Jahres 2024 werden wir GitHub-Issues stufenweise als Feedbackmechanismus für Inhalte abbauen und durch ein neues Feedbacksystem ersetzen. Weitere Informationen finden Sie unterFeedback senden und anzeigen für