PIM configureren voor groepen-instellingen

  • Artikel

In Privileged Identity Management (PIM) voor groepen in Microsoft Entra ID definiëren rolinstellingen lidmaatschaps- of eigendomstoewijzingseigenschappen. Deze eigenschappen omvatten meervoudige verificatie- en goedkeuringsvereisten voor activering, maximale duur van toewijzing en instellingen voor meldingen. In dit artikel leest u hoe u rolinstellingen configureert en de goedkeuringswerkstroom instelt om op te geven wie aanvragen kan goedkeuren of weigeren om bevoegdheden te verhogen.

U hebt groepsbeheermachtigingen nodig om instellingen te beheren. Voor groepen die kunnen worden toegewezen aan rollen, moet u de rol Global Beheer istrator of Privileged Role hebben Beheer istrator of eigenaar van de groep zijn. Voor niet-roltoewijzingsbare groepen moet u beschikken over de rol Global Beheer istrator, Directory Writer, Groups Beheer istrator, Identity Governance Beheer istrator of User Beheer istrator, of als eigenaar van de groep. Roltoewijzingen voor beheerders moeten worden toegewezen op directoryniveau (niet op beheereenheidniveau).

Notitie

Andere rollen met machtigingen voor het beheren van groepen (zoals Exchange-beheerders voor niet-roltoewijsbare Microsoft 365-groepen) en beheerders met toewijzingen binnen het niveau van de beheereenheid kunnen groepen beheren via de Groepen-API/UX en wijzigingen negeren die zijn aangebracht in Microsoft Entra Privileged Identity Management.

Rolinstellingen worden per rol per groep gedefinieerd. Alle toewijzingen voor dezelfde rol (lid of eigenaar) voor dezelfde groep volgen dezelfde rolinstellingen. Rolinstellingen van één groep zijn onafhankelijk van de rolinstellingen van een andere groep. Rolinstellingen voor één rol (lid) zijn onafhankelijk van rolinstellingen voor een andere rol (eigenaar).

Rolinstellingen bijwerken

De instellingen voor een groepsrol openen:

  1. Meld u aan bij het Microsoft Entra-beheercentrum.

  2. Blader naar Privileged Identity Management-groepen voor identiteitsbeheer>>.

  3. Selecteer de groep waarvoor u rolinstellingen wilt configureren.

  4. Selecteer Instellingen.

  5. Selecteer de rol waarvoor u rolinstellingen moet configureren. De opties zijn Lid of Eigenaar.

    Screenshot that shows where to select the role for which you need to configure role settings.

  6. Controleer de huidige rolinstellingen.

  7. Selecteer Bewerken om rolinstellingen bij te werken.

    Screenshot that shows where to select Edit to update role settings.

  8. Selecteer Bijwerken.

Rolinstellingen

In deze sectie worden opties voor rolinstellingen besproken.

Maximale activeringsduur

Gebruik de schuifregelaar Maximale activeringsduur om de maximumtijd (in uren in te stellen) dat een activeringsaanvraag voor een roltoewijzing actief blijft voordat deze verloopt. Het bereik van deze waarde ligt tussen 1 en 24 uur.

Bij activering is meervoudige verificatie vereist

U kunt vereisen dat gebruikers die in aanmerking komen voor een rol, bewijzen wie ze zijn met behulp van de functie voor meervoudige verificatie in Microsoft Entra-id voordat ze kunnen activeren. Meervoudige verificatie helpt de toegang tot gegevens en toepassingen te beveiligen. Het biedt een andere beveiligingslaag met behulp van een tweede vorm van verificatie.

Gebruikers worden mogelijk niet gevraagd om meervoudige verificatie als ze zijn geverifieerd met sterke referenties of meervoudige verificatie eerder in deze sessie hebben opgegeven. Als u ervoor wilt zorgen dat gebruikers verificatie moeten opgeven tijdens de activering, kunt u Bij activering de context voor voorwaardelijke toegang van Microsoft Entra vereisen, samen met verificatiesterkten.

Gebruikers moeten zich tijdens de activering verifiëren met behulp van methoden die afwijken van de methode die ze hebben gebruikt om zich aan te melden bij de computer. Als gebruikers zich bijvoorbeeld aanmelden bij de computer met behulp van Windows Hello voor Bedrijven, kunt u Bij activering de context voor voorwaardelijke toegang van Microsoft Entra vereisen en verificatiesterkten om te vereisen dat gebruikers zich zonder wachtwoord aanmelden met Microsoft Authenticator wanneer ze de rol activeren.

Nadat de gebruiker zich eenmaal in dit voorbeeld zonder wachtwoord heeft aangemeld bij Microsoft Authenticator, kunnen ze hun volgende activering uitvoeren in deze sessie zonder een andere verificatie. Aanmelden zonder wachtwoord met Microsoft Authenticator maakt al deel uit van het token.

U wordt aangeraden de functie voor meervoudige verificatie in te schakelen in Microsoft Entra ID voor alle gebruikers. Zie Een implementatie van Microsoft Entra-meervoudige verificatie plannen voor meer informatie.

Bij activering is verificatiecontext voor voorwaardelijke toegang van Microsoft Entra vereist

U kunt vereisen dat gebruikers die in aanmerking komen voor een rol, voldoen aan de beleidsvereisten voor voorwaardelijke toegang. U kunt bijvoorbeeld vereisen dat gebruikers een specifieke verificatiemethode gebruiken die wordt afgedwongen via verificatiesterkten, de rol verhogen van een apparaat dat compatibel is met Intune en voldoen aan de gebruiksvoorwaarden.

Als u deze vereiste wilt afdwingen, maakt u verificatiecontext voor voorwaardelijke toegang.

  1. Configureer een beleid voor voorwaardelijke toegang waarmee vereisten voor deze verificatiecontext worden afgedwongen.

    Het bereik van het beleid voor voorwaardelijke toegang moet alle of in aanmerking komende gebruikers bevatten voor groepslidmaatschap/eigendom. Maak geen beleid voor voorwaardelijke toegang dat is gericht op verificatiecontext en -groep tegelijk. Tijdens de activering heeft een gebruiker nog geen groepslidmaatschap, dus het beleid voor voorwaardelijke toegang zou niet van toepassing zijn.

  2. Configureer de verificatiecontext in PIM-instellingen voor de rol.

    Screenshot that shows the Edit role setting - Member page.

Als PIM-instellingen zijn ingeschakeld voor activering, moet microsoft Entra-verificatiecontext voor voorwaardelijke toegang zijn geconfigureerd. Met beleid voor voorwaardelijke toegang wordt gedefinieerd aan welke voorwaarden gebruikers moeten voldoen om te voldoen aan de toegangsvereisten.

Dit betekent dat beveiligingsprinciplen met machtigingen voor het beheren van beleid voor voorwaardelijke toegang, zoals beheerders voor voorwaardelijke toegang of beveiligingsbeheerders, vereisten kunnen wijzigen, verwijderen of in aanmerking komende gebruikers blokkeren om hun groepslidmaatschap/eigendom te activeren. Beveiligingsprinciplen die beleid voor voorwaardelijke toegang kunnen beheren, moeten als zeer bevoegd worden beschouwd en dienovereenkomstig worden beveiligd.

U wordt aangeraden een beleid voor voorwaardelijke toegang te maken en in te schakelen voor de verificatiecontext voordat de verificatiecontext is geconfigureerd in PIM-instellingen. Als back-upbeveiligingsmechanisme, als er geen beleid voor voorwaardelijke toegang in de tenant is die is geconfigureerd in PIM-instellingen, tijdens activering van groepslidmaatschap/eigendom, is de meervoudige verificatiefunctie in Microsoft Entra-id vereist omdat de instelling Voor activering meervoudige verificatie is ingesteld.

Dit back-upbeveiligingsmechanisme is ontworpen om alleen te beschermen tegen een scenario wanneer PIM-instellingen zijn bijgewerkt voordat het beleid voor voorwaardelijke toegang werd gemaakt vanwege een configuratiefout. Dit back-upbeveiligingsmechanisme wordt niet geactiveerd als het beleid voor voorwaardelijke toegang is uitgeschakeld, zich in de modus alleen voor rapporten bevindt of in aanmerking komende gebruikers heeft uitgesloten van het beleid.

De instelling Verificatiecontext voor voorwaardelijke toegang van Microsoft Entra vereisen bij activering definieert de vereisten voor verificatiecontext waaraan gebruikers moeten voldoen wanneer ze groepslidmaatschap/eigendom activeren. Nadat groepslidmaatschap/eigendom is geactiveerd, kunnen gebruikers geen andere browsersessie, apparaat of locatie gebruiken om groepslidmaatschap/eigendom te gebruiken.

Gebruikers kunnen bijvoorbeeld een apparaat gebruiken dat compatibel is met Intune om groepslidmaatschap/eigendom te activeren. Nadat de rol is geactiveerd, kunnen ze zich aanmelden bij hetzelfde gebruikersaccount vanaf een ander apparaat dat niet compatibel is met Intune en het eerder geactiveerde groepseigendom/-lidmaatschap gebruiken.

Om deze situatie te voorkomen, kunt u beleid voor voorwaardelijke toegang instellen om bepaalde vereisten voor in aanmerking komende gebruikers rechtstreeks af te dwingen. U kunt bijvoorbeeld vereisen dat gebruikers die in aanmerking komen voor bepaald groepslidmaatschap/eigendom, altijd gebruikmaken van apparaten die compatibel zijn met Intune.

Zie Voorwaardelijke toegang: Cloud-apps, acties en verificatiecontext voor meer informatie over verificatiecontext voor voorwaardelijke toegang.

Reden vereisen bij activering

U kunt vereisen dat gebruikers een zakelijke reden invoeren wanneer ze de in aanmerking komende toewijzing activeren.

Ticketinformatie vereisen bij activering

U kunt vereisen dat gebruikers een ondersteuningsticket invoeren wanneer ze de in aanmerking komende toewijzing activeren. Deze optie is een alleen-informatieveld. Correlatie met informatie in een ticketsysteem wordt niet afgedwongen.

Goedkeuring vereisen om deze rol te activeren

U kunt goedkeuring vereisen voor de activering van een in aanmerking komende toewijzing. De fiatteur hoeft geen groepslid of eigenaar te zijn. Wanneer u deze optie gebruikt, moet u ten minste één fiatteur selecteren. U wordt aangeraden ten minste twee goedkeurders te selecteren. Er zijn geen standaardfiatteurs.

Zie Activeringsaanvragen goedkeuren voor PIM voor leden en eigenaren van groepen voor meer informatie over goedkeuringen.

Duur van toewijzing

Wanneer u instellingen voor een rol configureert, kunt u kiezen uit twee opties voor toewijzingsduur voor elk toewijzingstype: in aanmerking komend en actief. Deze opties worden de standaardmaximumduur wanneer een gebruiker in Privileged Identity Management aan de rol wordt toegewezen.

U kunt een van deze opties voor de duur van de toewijzing kiezen.

Instelling Beschrijving
Permanent in aanmerking komende toewijzing toestaan Resourcebeheerders kunnen permanente in aanmerking komende toewijzingen toewijzen.
In aanmerking komende toewijzingen laten verlopen na Resourcebeheerders kunnen eisen dat alle in aanmerking komende toewijzingen een bepaalde begin- en einddatum hebben.

U kunt ook een van deze opties voor actieve toewijzingsduur kiezen.

Instelling Beschrijving
Permanente actieve toewijzing toestaan Resourcebeheerders kunnen permanente actieve toewijzingen toewijzen.
Actieve toewijzingen laten verlopen na Resourcebeheerders kunnen eisen dat alle in actieve toewijzingen een bepaalde begin- en einddatum hebben.

Alle toewijzingen met een bepaalde einddatum kunnen worden vernieuwd door resourcebeheerders. Gebruikers kunnen ook self-serviceaanvragen initiëren om roltoewijzingen uit te breiden of te vernieuwen.

Meervoudige verificatie vereisen voor actieve toewijzing

U kunt vereisen dat een beheerder of groepseigenaar meervoudige verificatie biedt wanneer ze een actieve toewijzing (in plaats van in aanmerking komend) maken. Privileged Identity Management kan meervoudige verificatie niet afdwingen wanneer de gebruiker de roltoewijzing gebruikt, omdat deze al actief is in de rol vanaf het moment dat deze is toegewezen.

Een beheerder of groepseigenaar wordt mogelijk niet gevraagd om meervoudige verificatie als deze is geverifieerd met sterke referenties of meervoudige verificatie eerder in deze sessie heeft opgegeven.

Reden vereisen voor actieve toewijzing

U kunt vereisen dat gebruikers een zakelijke reden invoeren wanneer ze een actieve toewijzing (in plaats van in aanmerking komend) maken.

Op het tabblad Meldingen op de pagina Rolinstellingen biedt Privileged Identity Management gedetailleerde controle over wie meldingen ontvangt en welke meldingen ze ontvangen. U hebt de volgende opties:

  • Een e-mailbericht uitschakelen: u kunt specifieke e-mailberichten uitschakelen door het selectievakje van de standaard geadresseerde uit te schakelen en alle andere geadresseerden te verwijderen.
  • E-mailberichten beperken tot opgegeven e-mailadressen: u kunt e-mailberichten uitschakelen die naar standaardontvangers worden verzonden door het selectievakje van de standaardontvanger uit te schakelen. U kunt vervolgens andere e-mailadressen toevoegen als geadresseerden. Als u meer dan één e-mailadres wilt toevoegen, scheidt u deze met behulp van een puntkomma (;)).
  • E-mailberichten verzenden naar zowel standaard geadresseerden als meer geadresseerden: u kunt e-mailberichten verzenden naar zowel de standaardontvanger als een andere geadresseerde. Schakel het selectievakje standaardontvanger in en voeg e-mailadressen toe voor andere geadresseerden.
  • Alleen kritieke e-mailberichten: voor elk type e-mail kunt u het selectievakje inschakelen om alleen kritieke e-mailberichten te ontvangen. Privileged Identity Management blijft alleen e-mailberichten verzenden naar de opgegeven geadresseerden wanneer voor het e-mailbericht onmiddellijke actie is vereist. E-mailberichten die gebruikers vragen hun roltoewijzing uit te breiden, worden bijvoorbeeld niet geactiveerd. E-mailberichten waarvoor beheerders een extensieaanvraag moeten goedkeuren, worden geactiveerd.

Notitie

Eén gebeurtenis in Privileged Identity Management kan e-mailmeldingen genereren voor meerdere geadresseerden: toegewezen personen, goedkeurders of beheerders. Het maximum aantal meldingen dat per gebeurtenis wordt verzonden, is 1000. Als het aantal geadresseerden groter is dan 1000, ontvangen alleen de eerste 1000 geadresseerden een e-mailmelding. Dit voorkomt niet dat andere toegewezen personen, beheerders of goedkeurders hun machtigingen gebruiken in Microsoft Entra ID en Privileged Identity Management.

Rolinstellingen beheren met Behulp van Microsoft Graph

Als u rolinstellingen voor groepen wilt beheren met pim-API's in Microsoft Graph, gebruikt u het resourcetype unifiedRoleManagementPolicy en de bijbehorende methoden.

In Microsoft Graph worden rolinstellingen regels genoemd. Ze worden toegewezen aan groepen via containerbeleid. U kunt alle beleidsregels ophalen die zijn afgestemd op een groep en voor elk beleid. Haal de bijbehorende verzameling regels op met behulp van een $expand queryparameter. De syntaxis van de aanvraag is als volgt:

GET https://graph.microsoft.com/beta/policies/roleManagementPolicies?$filter=scopeId eq '{groupId}' and scopeType eq 'Group'&$expand=rules

Zie Rolinstellingen en PIM voor meer informatie over het beheren van rolinstellingen via PIM-API's in Microsoft Graph. Zie Updateregels in PIM met behulp van Microsoft Graph voor voorbeelden van het bijwerken van regels.

Volgende stappen

Geschiktheid toewijzen voor een groep in Privileged Identity Management