Was ist Azure AD Privileged Identity Management?What is Azure AD Privileged Identity Management?

Privileged Identity Management (PIM) ist ein Dienst in Azure Active Directory (Azure AD), mit dem Sie den Zugriff auf wichtige Ressourcen innerhalb Ihrer Organisation verwalten, steuern und überwachen können.Privileged Identity Management (PIM) is a service in Azure Active Directory (Azure AD) that enables you to manage, control, and monitor access to important resources in your organization. Diese Ressourcen umfassen Ressourcen in Azure AD, Azure und anderen Microsoft-Onlinediensten wie Microsoft 365 oder Microsoft Intune.These resources include resources in Azure AD, Azure, and other Microsoft Online Services such as Microsoft 365 or Microsoft Intune. Im folgenden Video werden wichtige PIM-Konzepte und -Features vorgestellt.The following video introduces you to important PIM concepts and features.

Argumente für die VerwendungReasons to use

Organisationen möchten die Anzahl von Personen mit Zugriff auf sichere Informationen oder Ressourcen möglichst gering halten, da sich dadurch das Risiko verringert, dass ein böswilliger Akteur Zugriff darauf erhält oder dass ein autorisierter Benutzer versehentlich eine sensible Ressource kompromittiert.Organizations want to minimize the number of people who have access to secure information or resources, because that reduces the chance of a malicious actor getting that access, or an authorized user inadvertently impacting a sensitive resource. Benutzer müssen jedoch in Azure AD, Azure, Microsoft 365 oder SaaS-Apps weiterhin privilegierte Vorgänge ausführen.However, users still need to carry out privileged operations in Azure AD, Azure, Microsoft 365, or SaaS apps. Organisationen können Benutzern privilegierten Just-In-Time-Zugriff auf Azure-Ressourcen und Azure AD gewähren.Organizations can give users just-in-time privileged access to Azure resources and Azure AD. Dabei muss jedoch überwacht werden, wofür diese Benutzer ihre Administratorrechte nutzen.There is a need for oversight for what those users are doing with their administrator privileges.

Behandelte ThemenWhat does it do?

Privileged Identity Management bietet eine zeit- und genehmigungsbasierte Rollenaktivierung, um die Risiken durch übermäßige, unnötige oder missbrauchte Zugriffsberechtigungen für wichtige Ressourcen zu verringern.Privileged Identity Management provides time-based and approval-based role activation to mitigate the risks of excessive, unnecessary, or misused access permissions on resources that you care about. Im Anschluss folgen einige der wichtigsten Features von Privileged Identity Management:Here are some of the key features of Privileged Identity Management:

  • Gewähren von privilegiertem Just-In-Time-Zugriff auf Azure AD- und Azure-RessourcenProvide just-in-time privileged access to Azure AD and Azure resources
  • Zuweisen von zeitgebundenem Zugriff auf Ressourcen (mit Start- und Enddatum)Assign time-bound access to resources using start and end dates
  • Anfordern einer Genehmigung bei der Aktivierung privilegierter RollenRequire approval to activate privileged roles
  • Erzwingen der mehrstufigen Authentifizierung für alle RollenaktivierungenEnforce multi-factor authentication to activate any role
  • Anfordern einer Begründung, um nachvollziehen zu können, warum Benutzer eine Aktivierung vornehmenUse justification to understand why users activate
  • Erhalten von Benachrichtigungen, wenn privilegierte Rollen aktiviert werdenGet notifications when privileged roles are activated
  • Durchführen von Zugriffsüberprüfungen, um zu prüfen, ob Benutzer die Rollen weiterhin benötigenConduct access reviews to ensure users still need roles
  • Herunterladen eines Überwachungsverlaufs zur internen oder externen ÜberwachungDownload audit history for internal or external audit

VerwendungsmöglichkeitenWhat can I do with it?

Nachdem Sie Privileged Identity Management eingerichtet haben, werden im linken Navigationsmenü die Optionen Aufgaben, Verwalten und Aktivität angezeigt.Once you set up Privileged Identity Management, you'll see Tasks, Manage, and Activity options in the left navigation menu. Als Administrator wählen Sie zwischen verschiedenen Optionen, etwa zum Verwalten von Azure AD-Rollen, Verwalten von Rollen für Azure-Ressourcen oder Gruppen mit privilegiertem Zugriff.As an administrator, you'll choose between options such as managing Azure AD roles, managing Azure resource roles, or privileged access groups. Bei Auswahl der zu verwaltenden Elementen werden die entsprechenden Optionen angezeigt.When you choose what you want to manage, you see the appropriate set of options for that option.

Screenshot: Privileged Identity Management im Azure-Portal

Berechtigungen und RollenWho can do what?

Für Azure AD-Rollen in Privileged Identity Management gilt: Nur Benutzer mit der Rolle „Administrator für privilegierte Rollen“ oder der Rolle „Globaler Administrator“ können Zuweisungen für andere Administratoren verwalten.For Azure AD roles in Privileged Identity Management, only a user who is in the Privileged role administrator or Global administrator role can manage assignments for other administrators. Sie können anderen Administratoren Zugriff für die Verwaltung von Privileged Identity Management gewähren.You can grant access to other administrators to manage Privileged Identity Management. Globale Administratoren, Sicherheitsadministratoren, globale Leser und Benutzer mit Leseberechtigung für Sicherheitsfunktionen können auch Azure AD-Rollenzuweisungen in Privileged Identity Management anzeigen.Global Administrators, Security Administrators, Global readers, and Security Readers can also view assignments to Azure AD roles in Privileged Identity Management.

Bei Azure-Ressourcenrollen in Privileged Identity Management können nur Abonnementadministratoren, Ressourcenbesitzer und Ressourcen-Benutzerzugriffsadministratoren Zuweisungen für andere Administratoren verwalten.For Azure resource roles in Privileged Identity Management, only a subscription administrator, a resource Owner, or a resource User Access administrator can manage assignments for other administrators. Administratoren für privilegierte Rollen, Sicherheitsadministratoren und Benutzer mit Leseberechtigung für Sicherheitsfunktionen haben standardmäßig keinen Zugriff auf Azure-Ressourcenrollenzuweisungen in Privileged Identity Management.Users who are Privileged Role Administrators, Security Administrators, or Security Readers do not by default have access to view assignments to Azure resource roles in Privileged Identity Management.

SzenarienScenarios

Privileged Identity Management unterstützt folgende Szenarien:Privileged Identity Management supports the following scenarios:

Berechtigungen von Administratoren für privilegierte RollenPrivileged Role administrator permissions

  • Aktivieren der Genehmigung für bestimmte RollenEnable approval for specific roles
  • Angeben von Genehmigungsbenutzern oder -gruppen für die Genehmigung von AnforderungenSpecify approver users or groups to approve requests
  • Anzeigen des Anforderungs- und Genehmigungsverlaufs für alle privilegierten RollenView request and approval history for all privileged roles

Berechtigungen von genehmigenden PersonenApprover permissions

  • Anzeigen ausstehender Genehmigungen (Anforderungen)View pending approvals (requests)
  • Genehmigen oder Ablehnen (einzelner oder mehrerer) Anforderungen zur Rechteerweiterung für RollenApprove or reject requests for role elevation (single and bulk)
  • Angeben einer Begründung für die Genehmigung/AblehnungProvide justification for my approval or rejection

Berechtigungen von Benutzern mit berechtigter RolleEligible role user permissions

  • Anfordern der Aktivierung einer Rolle, die genehmigt werden mussRequest activation of a role that requires approval
  • Anzeigen des Status Ihrer AktivierungsanforderungView the status of your request to activate
  • Fertigstellen Ihrer Aufgabe in Azure AD, wenn die Aktivierung genehmigt wurdeComplete your task in Azure AD if activation was approved

BegriffTerminology

Machen Sie sich zum besseren Verständnis von Privileged Identity Management und der zugehörigen Dokumentation mit den folgenden Begriffen vertraut:To better understand Privileged Identity Management and its documentation, you should review the following terms.

Begriff oder KonzeptTerm or concept RollenzuweisungskategorieRole assignment category BESCHREIBUNGDescription
Berechtigteligible typeType Eine Rollenzuweisung, bei der ein Benutzer mindestens eine Aktion ausführen muss, um die Rolle nutzen zu können.A role assignment that requires a user to perform one or more actions to use the role. Wenn ein Benutzer zu einer Rolle berechtigt ist, kann er die Rolle aktivieren, wenn er privilegierte Aufgaben ausführen muss.If a user has been made eligible for a role, that means they can activate the role when they need to perform privileged tasks. Es gibt keinen Unterschied hinsichtlich des Zugriffs zwischen einer permanenten und einer berechtigten Rollenzuweisung.There's no difference in the access given to someone with a permanent versus an eligible role assignment. Der einzige Unterschied ist, dass einige Benutzer den Zugriff nicht jederzeit benötigen.The only difference is that some people don't need that access all the time.
aktivactive typeType Eine Rollenzuweisung, bei der ein Benutzer keine Aktion ausführen muss, um die Rolle nutzen zu können.A role assignment that doesn't require a user to perform any action to use the role. Bei als aktiv zugewiesenen Benutzern sind die Berechtigungen der Rolle zugewiesen.Users assigned as active have the privileges assigned to the role.
aktivierenactivate Das Ausführen mindestens einer Aktion zum Verwenden einer Rolle, zu der der Benutzer berechtigt ist.The process of performing one or more actions to use a role that a user is eligible for. Beispiele für Aktionen sind eine erfolgreiche Multi-Factor Authentication-Überprüfung (MFA), die Angabe einer geschäftlichen Begründung oder das Anfordern einer Genehmigung von den angegebenen genehmigenden Personen.Actions might include performing a multi-factor authentication (MFA) check, providing a business justification, or requesting approval from designated approvers.
zugewiesenassigned StateState Ein Benutzer mit einer Rollenzuweisung vom Typ „aktiv“.A user that has an active role assignment.
aktiviertactivated StateState Ein Benutzer mit einer Rollenzuweisung vom Typ „berechtigt“, der die Aktionen zum Aktivieren der Rolle ausgeführt hat und nun aktiv ist.A user that has an eligible role assignment, performed the actions to activate the role, and is now active. Nach der Aktivierung kann der Benutzer die Rolle für einen vorkonfigurierten Zeitraum nutzen. Danach muss sie erneut aktiviert werden.Once activated, the user can use the role for a preconfigured period-of-time before they need to activate again.
dauerhaft berechtigtpermanent eligible DurationDuration Eine Rollenzuweisung, bei der ein Benutzer immer zum Aktivieren der Rolle berechtigt ist.A role assignment where a user is always eligible to activate the role.
dauerhaft aktivpermanent active DurationDuration Eine Rollenzuweisung, bei der ein Benutzer die Rolle jederzeit ohne vorherige Aktion verwenden kann.A role assignment where a user can always use the role without performing any actions.
Ablauf (berechtigt)expire eligible DurationDuration Eine Rollenzuweisung, bei der ein Benutzer innerhalb eines angegebenen Zeitraums (Start- und Enddatum) zum Aktivieren der Rolle berechtigt ist.A role assignment where a user is eligible to activate the role within a specified start and end date.
Ablauf (aktiv)expire active DurationDuration Eine Rollenzuweisung, bei der ein Benutzer die Rolle innerhalb eines angegebenen Zeitraums (Start- und Enddatum) ohne vorherige Aktion verwenden kann.A role assignment where a user can use the role without performing any actions within a specified start and end date.
Just-in-Time-Zugriff (JIT)just-in-time (JIT) access Ein Modell, bei dem Benutzer temporäre Berechtigungen zum Ausführen privilegierter Aufgaben erhalten. Dieses Modell verhindert, dass böswillige oder nicht autorisierte Benutzer nach dem Ablauf der Berechtigungen Zugriff erhalten.A model in which users receive temporary permissions to perform privileged tasks, which prevents malicious or unauthorized users from gaining access after the permissions have expired. Der Zugriff wird nur gewährt, wenn Benutzer ihn benötigen.Access is granted only when users need it.
Prinzip des Zugriffs mit den geringsten Rechtenprinciple of least privilege access Eine empfohlene Sicherheitsmethode, bei der alle Benutzer nur die zum Ausführen der Aufgaben, für die sie autorisiert sind, mindestens erforderlichen Berechtigungen erhalten.A recommended security practice in which every user is provided with only the minimum privileges needed to accomplish the tasks they are authorized to perform. Diese Methode minimiert die Anzahl von globalen Administratoren, indem stattdessen spezifische Administratorrollen für bestimmte Szenarien verwendet werden.This practice minimizes the number of Global Administrators and instead uses specific administrator roles for certain scenarios.

LizenzanforderungenLicense requirements

Für die Verwendung dieses Features ist eine Azure AD Premium P2-Lizenz erforderlich.Using this feature requires an Azure AD Premium P2 license. Um die richtige Lizenz für Ihre Anforderungen zu ermitteln, lesen Sie  Vergleich: Allgemein verfügbare Features der Editionen Free, Office 365-Apps und Premium.To find the right license for your requirements, see Comparing generally available features of the Free, Office 365 Apps, and Premium editions.

Weitere Informationen zu Lizenzen für Benutzer finden Sie unter Lizenzanforderungen für die Verwendung von PIM.For information about licenses for users, see License requirements to use Privileged Identity Management.

Nächste SchritteNext steps