Konfigurieren von Einstellungen für PIM für Gruppen

  • Artikel

In Privileged Identity Management (PIM) für Gruppen in Microsoft Entra ID definieren Rolleneinstellungen die Eigenschaften von Mitgliedschafts- oder Besitzzuweisung. Zu diesen Eigenschaften gehören Multi-Faktor-Authentifizierung und Genehmigungsanforderungen für die Aktivierung, maximale Zuweisungsdauer und Benachrichtigungseinstellungen. In diesem Artikel erfahren Sie, wie Sie Rolleneinstellungen konfigurieren und den Genehmigungsworkflow einrichten, um anzugeben, wer Anforderungen zur Erhöhung von Berechtigungen genehmigen oder verweigern kann.

Sie benötigen Gruppenverwaltungsberechtigungen, um Einstellungen zu verwalten. Für Gruppen, denen Rollen zugewiesen werden können, müssen Sie über die Rolle „Globaler Administrator“ oder „Administrator für privilegierte Rollen“ verfügen oder Besitzer der Gruppe sein. Für Gruppen, denen keine Rollen zugewiesen werden können, müssen Sie über die Rolle „Globaler Administrator“, „Verzeichnisautor“, „Gruppenadministrator“, „Identity Governance-Administrator“ oder „Benutzeradministrator“ verfügen oder Besitzer der Gruppe sein. Rollenzuweisungen für Administrator müssen auf Verzeichnisebene (nicht auf Ebene der Verwaltungseinheit) festgelegt werden.

Hinweis

Andere Rollen mit Berechtigungen zum Verwalten von Gruppen (z. B. Exchange-Administratoren für Microsoft 365-Gruppen, denen keine Rollen zugewiesen werden können) und Administrator mit Zuweisungen auf Ebene der Verwaltungseinheit können Gruppen über die API/Benutzeroberfläche für Gruppen verwalten und in Microsoft Entra Privileged Identity Management vorgenommene Änderungen außer Kraft setzen.

Rolleneinstellungen werden pro Rolle und Gruppe definiert. Für alle Zuweisungen für dieselbe Rolle (Mitgliedschaft oder Besitzer) und dieselbe Gruppe gelten die gleichen Rolleneinstellungen. Rolleneinstellungen einer Gruppe sind unabhängig von den Rolleneinstellungen einer anderen Gruppe. Rolleneinstellungen für eine Rolle (Mitglied) sind unabhängig von den Rolleneinstellungen für eine andere Rolle (Besitzer).

Aktualisieren von Rolleneinstellungen

So öffnen Sie die Einstellungen für eine Gruppenrolle:

  1. Melden Sie sich beim Microsoft Entra Admin Center an.

  2. Navigieren Sie zu Identitätsgovernance>Privileged Identity Management>Gruppen.

  3. Wählen Sie die Gruppe aus, für die Sie Rolleneinstellungen konfigurieren möchten.

  4. Wählen Sie Settingsaus.

  5. Wählen Sie die Rolle aus, für die Sie Rolleneinstellungen konfigurieren müssen. Die Optionen sind Mitglied oder Besitzer.

    Screenshot that shows where to select the role for which you need to configure role settings.

  6. Überprüfen Sie die aktuellen Rolleneinstellungen.

  7. Wählen Sie Bearbeiten aus, um die Rolleneinstellungen zu aktualisieren.

    Screenshot that shows where to select Edit to update role settings.

  8. Wählen Sie Aktualisieren aus.

Rolleneinstellungen

In diesem Abschnitt werden Optionen für Rolleneinstellungen erläutert.

Maximale Aktivierungsdauer

Mit dem Schieberegler Maximale Aktivierungsdauer geben Sie die maximale Zeit in Stunden an, die eine Aktivierungsanforderung für eine Rolle aktiv bleibt, bevor sie abläuft. Dieser Wert kann zwischen einer und 24 Stunden betragen.

Bei Aktivierung Multi-Faktor-Authentifizierung anfordern

Sie können von Benutzern, die für eine Rolle in Frage kommen, verlangen, dass sie sich mit Hilfe der Multifaktor-Authentifizierungsfunktion in Microsoft Entra ID ausweisen, bevor sie aktiviert werden können. Multi-Faktor-Authentifizierung trägt zum Schutz des Zugriffs auf Daten und Anwendungen bei. Sie bietet eine weitere Sicherheitsebene, indem eine zweite Form der Authentifizierung verwendet wird.

Benutzer werden möglicherweise nicht zur Multi-Faktor-Authentifizierung aufgefordert, wenn sie sich mit sicheren Anmeldeinformationen authentifiziert oder früher in der jeweiligen Sitzung eine Multi-Faktor-Authentifizierung durchgeführt haben. Wenn Sie sicherstellen möchten, dass Benutzer sich bei der Aktivierung authentifizieren müssen, können Sie die Option Bei Aktivierung den Microsoft Entra-Authentifizierungskontext für bedingten Zugriff anfordern zusammen mit Authentifizierungsstärken verwenden.

Benutzer müssen sich bei der Aktivierung mit einer anderen Methode als der authentifizieren, mit der sie sich beim Computer angemeldet haben. Wenn Benutzer sich beispielsweise mit Windows Hello for Business am Computer anmelden, können Sie sie mithilfe von Authentifizierungskontext für bedingten Microsoft Entra-Zugriff bei Aktivierung erforderlich und Authentifizierungsstärken dazu auffordern, die kennwortlose Anmeldung mit Microsoft Authenticator durchzuführen, wenn sie die Rolle aktivieren.

Nachdem der Benutzer in diesem Beispiel einmal eine kennwortlose Anmeldung mittels Microsoft Authenticator bereitgestellt hat, kann er seine nächste Aktivierung in dieser Sitzung ohne weitere Authentifizierung durchführen. Die kennwortlose Anmeldung mit Microsoft Authenticator ist bereits Teil des Tokens.

Es wird empfohlen, das Mehrstufige Authentifizierungsfeature in Microsoft Entra ID für alle Benutzer zu aktivieren. Weitere Informationen finden Sie unter Planen einer Bereitstellung von Microsoft Entra-Multi-Faktor-Authentifizierung.

Fordern Sie bei der Aktivierung den Microsoft Entra Authentifizierungskontext für bedingten Zugriff an

Sie können von Benutzern, die für eine Rolle berechtigt sind, verlangen, dass sie die Anforderungen der Richtlinie für bedingten Zugriff erfüllen. Sie können beispielsweise verlangen, dass Benutzer eine bestimmte Authentifizierungsmethode verwenden, die über Authentifizierungsstärken erzwungen wird, die Rolle von einem Intune-konformen Gerät erhöhen und die Nutzungsbedingungen einhalten.

Um diese Anforderung zu erzwingen, erstellen Sie den Authentifizierungskontext für bedingten Zugriff.

  1. Konfigurieren Sie eine Richtlinie für bedingten Zugriff, die Anforderungen für diesen Authentifizierungskontext erzwingt.

    Der Bereich der Richtlinie für bedingten Zugriff sollte alle oder berechtigte Benutzer für die Gruppenmitgliedschaft/den Besitz umfassen. Erstellen Sie nicht gleichzeitig eine Richtlinie für bedingten Zugriff, die auf den Authentifizierungskontext und eine Gruppe beschränkt ist. Bei der Aktivierung ist ein Benutzer noch kein Gruppenmitglied, sodass die Richtlinie für bedingten Zugriff nicht angewendet würde.

  2. Konfigurieren Sie den Authentifizierungskontext in den PIM-Einstellungen für die Rolle.

    Screenshot that shows the Edit role setting - Member page.

Wenn für die PIM-Einstellungen die Option Authentifizierungskontext für bedingten Microsoft Entra-Zugriff bei Aktivierung erforderlich konfiguriert wurde, definieren die Richtlinien für bedingten Zugriff die Bedingungen, die ein Benutzer erfüllen muss, um die Zugriffsanforderungen zu erfüllen.

Dies bedeutet, dass Sicherheitsprinzipale mit Berechtigungen zum Verwalten von Richtlinien für bedingten Zugriff, z. B. Administratoren für bedingten Zugriff oder Sicherheitsadministratoren, Anforderungen ändern, sie entfernen oder berechtigte Benutzer daran hindern können, ihre Gruppenmitgliedschaft/ihren Besitz zu aktivieren. Sicherheitsprinzipale, die Richtlinien für bedingten Zugriff verwalten können, sollten als hoch privilegiert betrachtet und entsprechend geschützt werden.

Wir empfehlen, eine Richtlinie für bedingten Zugriff für den Authentifizierungskontext zu erstellen und zu aktivieren, bevor der Authentifizierungskontext in den PIM-Einstellungen konfiguriert wird. Wenn es im Mandanten keine Richtlinien für bedingten Zugriff gibt, die für den Authentifizierungskontext in den PIM-Einstellungen konfiguriert wurden, ist bei der Aktivierung von Gruppenmitgliedschaft/-besitz die Microsoft Entra ID Multi-Faktor-Authentifizierung als Schutzmechanismus erforderlich, da die Einstellung Bei Aktivierung Multi-Faktor-Authentifizierung anfordern festgelegt würde.

Dieser Backup-Schutzmechanismus dient ausschließlich zum Schutz vor einem Szenario, bei dem die PIM-Einstellungen aufgrund eines Konfigurationsfehlers aktualisiert wurden, bevor die Richtlinie für bedingten Zugriff erstellt wurde. Dieser Sicherungsschutzmechanismus wird nicht ausgelöst, wenn die Richtlinie für bedingten Zugriff deaktiviert ist, sich im Modus „Nur melden“ befindet oder berechtigte Benutzer von der Richtlinie ausgeschlossen wurden.

Die Einstellung Bei Aktivierung den Microsoft Entra-Authentifizierungskontext für bedingten Zugriff anfordern definiert die Authentifizierungskontextanforderungen, die Benutzer erfüllen müssen, wenn sie Gruppenmitgliedschaft/-besitz aktivieren. Nach der Aktivierung von Gruppenmitgliedschaft/-besitz können Benutzer weiterhin eine andere Browsersitzung, ein anderes Gerät, einen anderen Standort verwenden, um Gruppenmitgliedschaft/-besitz zu aktivieren.

Beispielsweise können Benutzer ein Intune kompatibles Gerät verwenden, um Gruppenmitgliedschaft/-besitz zu aktivieren. Nachdem die Rolle dann aktiviert wurde, melden sie sich möglicherweise von einem anderen Gerät aus, das nicht Intune-konform ist, bei demselben Benutzerkonto an und verwenden dort die zuvor aktivierte Rolle (Gruppenbesitzer/-mitglied).

Um dies zu verhindern, können Sie Richtlinien für bedingten Zugriff festlegen, um direkt bestimmte Anforderungen für berechtigte Benutzer durchzusetzen. Sie können beispielsweise vorschreiben, dass für Mitgliedschaft/Besitz berechtigte Benutzer einer bestimmten Gruppe immer Intune-konforme Geräte verwenden.

Weitere Informationen zum Authentifizierungskontext für bedingten Zugriff finden Sie unter Bedingter Zugriff: Cloud-Apps, Aktionen und Authentifizierungskontext.

Begründung für Aktivierung erforderlich

Sie können verlangen, dass Benutzer*innen bei der Aktivierung der berechtigten Zuweisung eine geschäftliche Begründung angeben müssen.

Ticketinformationen zur Aktivierung erforderlich

Sie können vorschreiben, dass Benutzer bei der Aktivierung der berechtigten Zuweisung ein Supportticket angeben müssen. Diese Option ist ein reines Informationsfeld. Es wird keine Korrelation mit Informationen in einem Ticketsystem erzwungen.

Erzwingen der Genehmigung für die Aktivierung

Sie können die Genehmigung für die Aktivierung einer berechtigten Zuweisung anfordern. Die genehmigende Person muss kein Gruppenmitglied oder Besitzer sein. Wenn Sie diese Option verwenden, müssen Sie mindestens eine genehmigende Person auswählen. Es sollten mindestens zwei genehmigende Personen ausgewählt werden. Für genehmigende Personen gibt es keine Standardeinstellung.

Weitere Informationen zu Genehmigungen finden Sie unter Genehmigen von Aktivierungsanforderungen für Mitglieder und Besitzer*innen von PIM für Gruppen.

Zuweisungsdauer

Bei der Konfiguration von Einstellungen für eine Rolle können Sie für jeden Zuweisungstyp (Berechtigt und Aktiv) zwischen zwei Optionen für die Zuweisungsdauer wählen. Diese Optionen werden zur maximalen Standarddauer, wenn ein Benutzer der Rolle in Privileged Identity Management zugewiesen wird.

Sie können eine dieser Optionen für die Dauer der berechtigten Zuweisung auswählen.

Einstellung BESCHREIBUNG
Allow permanent eligible assignment (Dauerhafte berechtigte Zuweisung zulassen) Ressourcenadministratoren können dauerhaft berechtigte Zuweisungen zuweisen.
Berechtigte Zuweisungen laufen ab nach Ressourcenadministratoren können verlangen, dass alle berechtigten Zuweisungen ein bestimmtes Start- und Enddatum haben.

Sie können auch eine dieser Optionen für die Dauer der aktiven Zuweisung auswählen.

Einstellung BESCHREIBUNG
Allow permanent active assignment (Dauerhafte aktive Zuweisung zulassen) Ressourcenadministratoren können dauerhaft aktive Zuweisungen zuweisen.
Aktive Zuweisungen laufen ab nach Ressourcenadministratoren können verlangen, dass alle aktiven Zuweisungen ein bestimmtes Start- und Enddatum haben.

Alle Zuweisungen mit einem angegebenen Enddatum können von Ressourcenadministratoren erneuert werden. Zudem können Benutzer Self-Service-Anforderungen auslösen, um Rollenzuweisungen zu verlängern oder zu erneuern.

Multi-Factor Authentication bei aktiver Zuweisung erforderlich

Sie können vorschreiben, dass ein Administrator oder Gruppenbesitzer Multi-Faktor-Authentifizierung verwendet, wenn er eine aktive (im Gegensatz zu einer berechtigten) Zuweisung erstellt. Privileged Identity Management kann die Multi-Faktor-Authentifizierung nicht erzwingen, wenn Benutzer ihre Rollenzuweisung verwenden, weil die Rolle ab dem Zeitpunkt der Zuweisung bereits aktiv ist.

Administratoren oder Gruppenbesitzer werden möglicherweise nicht zur Multi-Faktor-Authentifizierung aufgefordert, wenn sie sich früher in dieser Sitzung mit starken Anmeldeinformationen authentifiziert oder Multi-Faktor-Authentifizierung verwendet haben.

Begründung für aktive Zuweisung erforderlich

Sie können verlangen, dass Benutzer eine geschäftliche Begründung eingeben, wenn sie eine aktive (im Gegensatz zu einer berechtigten) Zuweisung erstellen.

Auf der Registerkarte Benachrichtigungen der Seite Rolleneinstellungen kann mit Privileged Identity Management differenziert gesteuert werden, wer welche Benachrichtigungen empfängt. Sie haben folgende Optionen:

  • Deaktivieren von E-Mails: Sie können bestimmte E-Mails deaktivieren, indem Sie das Kontrollkästchen „Standardempfänger“ deaktivieren und alle anderen Empfänger löschen.
  • E-Mails auf angegebene E-Mail-Adressen beschränken: Sie können an Standardempfänger gesendete E-Mails deaktivieren, indem Sie das Kontrollkästchen „Standardempfänger“ deaktivieren. Sie können dann andere E-Mail-Adressen als Empfänger hinzufügen. Wenn Sie mehrere E-Mail-Adressen hinzufügen möchten, trennen Sie diese durch ein Semikolon (;).
  • E-Mails sowohl an Standardempfänger als auch weitere Empfänger senden: Sie können E-Mails sowohl an Standardempfänger als auch an andere Empfänger senden. Aktivieren Sie das Kontrollkästchen „Standardempfänger“, und fügen Sie E-Mail-Adressen für weitere Empfänger hinzu.
  • Nur kritische E-Mails: Sie können dieses Kontrollkästchen für jeden E-Mail-Typ aktivieren, um nur kritische E-Mails zu erhalten. Privileged Identity Management sendet nur dann weiterhin E-Mails an die angegebenen Empfänger, wenn die E-Mail eine sofortige Aktion erfordert. Beispielsweise werden keine E-Mails ausgelöst, in denen Benutzer aufgefordert werden, ihre Rollenzuweisung zu erweitern. E-Mails, bei denen Administratoren eine Erweiterungsanforderung genehmigen müssen, werden ausgelöst.

Hinweis

Ein Ereignis in Privileged Identity Management kann E-Mail-Benachrichtigungen an mehrere Empfänger generieren: zugewiesene oder genehmigende Personen oder Administrator*innen. Die maximale Anzahl von Benachrichtigungen, die pro Ereignis gesendet werden, beträgt 1.000. Wenn die Anzahl der Empfänger 1.000 überschreitet, erhalten nur die ersten 1.000 Empfänger eine E-Mail-Benachrichtigung. Dies hindert andere zugewiesene oder genehmigende Personen oder Administratoren nicht daran, ihre Berechtigungen in Microsoft Entra ID und Privileged Identity Management zu verwenden.

Verwalten von Rolleneinstellungen mithilfe von Microsoft Graph

Um Rolleneinstellungen für Gruppen mithilfe von PIM-APIs in Microsoft Graph zu verwalten, verwenden Sie den unifiedRoleManagementPolicy-Ressourcentyp und die zugehörigen Methoden.

In Microsoft Graph werden Rolleneinstellungen als Regeln bezeichnet. Sie werden Gruppen über Containerrichtlinien zugewiesen. Sie können alle Richtlinien abrufen, die für eine Gruppe und die jeweilige Richtlinie gelten. Sie können die zugehörige Sammlung von Regeln mithilfe des Abfrageparameters $expand abrufen. Die Syntax für die Anforderung lautet folgendermaßen:

GET https://graph.microsoft.com/beta/policies/roleManagementPolicies?$filter=scopeId eq '{groupId}' and scopeType eq 'Group'&$expand=rules

Weitere Informationen zum Verwalten von Rolleneinstellungen über PIM-APIs in Microsoft Graph finden Sie unter Rolleneinstellungen und PIM. Beispiele, wie Sie Regeln aktualisieren, finden Sie unter Aktualisieren von Regeln in PIM mithilfe von Microsoft Graph.

Nächste Schritte

Zuweisen einer Berechtigung für eine Gruppe in Privileged Identity Management