Erstellen einer Zugriffsüberprüfung für Azure AD-Rollen in Privileged Identity ManagementCreate an access review of Azure AD roles in Privileged Identity Management

Daher sollten Sie den Zugriff in regelmäßigen Abständen überprüfen, um das mit veralteten Rollenzuweisungen verbundene Risiko zu verringern.To reduce the risk associated with stale role assignments, you should regularly review access. Mit Azure AD Privileged Identity Management (PIM) können Sie Zugriffsüberprüfungen für privilegierte Azure AD-Rollen erstellen.You can use Azure AD Privileged Identity Management (PIM) to create access reviews for privileged Azure AD roles. Sie können auch wiederholte Zugriffsüberprüfungen konfigurieren, die automatisch ausgeführt werden.You can also configure recurring access reviews that occur automatically.

In diesem Artikel wird beschrieben, wie Sie eine oder mehrere Zugriffsüberprüfungen für privilegierte Azure AD-Rollen erstellen.This article describes how to create one or more access reviews for privileged Azure AD roles.

VoraussetzungenPrerequisites

Administrator für privilegierte RollenPrivileged Role Administrator

Öffnen von ZugriffsüberprüfungenOpen access reviews

  1. Melden Sie sich beim Azure-Portal als Benutzer an, der Mitglied der Rolle „Administrator für privilegierte Rollen“ ist.Sign in to Azure portal with a user that is a member of the Privileged role administrator role.

  2. Öffnen Sie Azure AD Privileged Identity Management.Open Azure AD Privileged Identity Management.

  3. Wählen Sie Azure AD-Rollen aus.Select Azure AD roles.

  4. Wählen Sie unter „Verwalten“ die Option Zugriffsüberprüfungen und anschließend Neu aus.Under Manage, select Access reviews, and then select New.

    Azure AD-Rollen: Liste der Zugriffsüberprüfungen mit dem Status aller Überprüfungen

Klicken Sie auf Neu, um eine neue Zugriffsüberprüfung zu erstellen.Click New to create a new access review.

  1. Benennen Sie die Zugriffsüberprüfung.Name the access review. Wahlweise können Sie jeder Überprüfung eine Beschreibung hinzufügen.Optionally, give the review a description. Den Prüfern werden Name und Beschreibung angezeigt.The name and description are shown to the reviewers.

    Erstellen einer Zugriffsüberprüfung – Name und Beschreibung der Überprüfung

  2. Legen Sie das Startdatum fest.Set the Start date. Standardmäßig findet eine Zugriffsüberprüfung einmalig statt. Sie beginnt an dem Tag, an dem sie erstellt wird, und endet nach einem Monat.By default, an access review occurs once, starts the same time it's created, and it ends in one month. Sie können Start- und Enddatum so ändern, dass der Start der Zugriffsüberprüfung in der Zukunft liegt und sie so lange dauert, wie Sie wünschen.You can change the start and end dates to have an access review start in the future and last however many days you want.

    Startdatum, Häufigkeit, Dauer, Ende, Anzahl und Enddatum

  3. Wenn die Zugriffsüberprüfung wiederholt ausgeführt werden soll, ändern Sie die Einstellung Häufigkeit von Einmal in Wöchentlich, Monatlich, Vierteljährlich, Jährlich oder Halbjährlich.To make the access review recurring, change the Frequency setting from One time to Weekly, Monthly, Quarterly, Annually, or Semi-annually. Verwenden Sie den Schieberegler oder das Textfeld Dauer, um festzulegen, wie viele Tage Prüfer Eingaben für jede Überprüfung der Serie vornehmen können.Use the Duration slider or text box to define how many days each review of the recurring series will be open for input from reviewers. Für eine monatliche Überprüfung kann beispielsweise eine maximale Dauer von 27 Tagen angegeben werden, um Überschneidungen zu vermeiden.For example, the maximum duration that you can set for a monthly review is 27 days, to avoid overlapping reviews.

  4. Geben Sie mithilfe der Einstellung Ende an, wie die wiederkehrende Zugriffsüberprüfungsreihe beendet werden soll.Use the End setting to specify how to end the recurring access review series. Die Reihe kann auf drei Arten enden: Die Serie wird unendlich ausgeführt, um Überprüfungen ohne zeitliche Beschränkung zu starten, die Serie wird bis zu einem bestimmten Datum ausgeführt, oder sie wird nach einer bestimmten Anzahl von Vorkommen beendet.The series can end in three ways: it runs continuously to start reviews indefinitely, until a specific date, or after a defined number of occurrences has been completed. Sie (oder ein anderer Benutzeradministrator oder globaler Administrator) können die Serie nach der Erstellung beenden, indem Sie unter Einstellungen das Datum ändern, sodass die Serie an diesem Datum endet.You, another User administrator, or another Global administrator can stop the series after creation by changing the date in Settings, so that it ends on that date.

  5. Wählen Sie im Abschnitt Benutzer eine oder mehrere Rollen aus, deren Mitgliedschaft überprüft werden soll.In the Users section, select one or more roles that you want to review membership of.

    Benutzerbereich zum Überprüfen der Rollenmitgliedschaft

    Hinweis

    • Die hier ausgewählten Rollen enthalten permanente und berechtigte Rollen.Roles selected here include both permanent and eligible roles.
    • Bei der Auswahl mehrerer Rollen werden mehrere Zugriffsüberprüfungen erstellt.Selecting more than one role will create multiple access reviews. Bei der Auswahl von fünf Rollen werden z. B. fünf separate Zugriffsüberprüfungen erstellt.For example, selecting five roles will create five separate access reviews.
    • Für Rollen, denen Gruppen zugewiesen sind, wird der Zugriff auf jede Gruppe, die mit der zu überprüfenden Rolle verknüpft ist, im Rahmen der Zugriffsüberprüfung überprüft.For roles with groups assigned to them, the access of each group linked with the role under review will be reviewed as a part of the access review. Wenn Sie eine Zugriffsüberprüfung für Azure AD-Rollen erstellen, sieht die Liste der zu überprüfenden Mitgliedschaften in etwa wie im folgenden Beispiel aus.If you are creating an access review of Azure AD roles, the following shows an example of the Review membership list.

    Bereich „Mitgliedschaft überprüfen“ mit aufgeführten Azure AD-Rollen, die Sie auswählen können

    Wenn Sie eine Zugriffsüberprüfung für Azure-Ressourcenrollen erstellen, sieht die Liste der zu überprüfenden Mitgliedschaften in etwa wie in der folgenden Abbildung aus.If you are creating an access review of Azure resource roles, the following image shows an example of the Review membership list.

    Bereich „Mitgliedschaft überprüfen“ mit aufgeführten Azure-Ressourcenrollen, die Sie auswählen können

  6. Wählen Sie im Abschnitt Prüfer mindestens eine Person für die Überprüfung aller Benutzer aus.In the Reviewers section, select one or more people to review all the users. Alternativ können Sie auswählen, dass die Mitglieder ihren eigenen Zugriff überprüfen.Or you can select to have the members review their own access.

    Liste der Prüfer mit ausgewählten Benutzer oder Mitgliedern (selbst)

    • Ausgewählte Benutzer: Verwenden Sie diese Option, wenn Sie nicht wissen, wer Zugriff benötigt.Selected users - Use this option when you don't know who needs access. Mit dieser Option können Sie die Überprüfungsdurchführung einem Ressourcenbesitzer oder Gruppen-Manager zuweisen.With this option, you can assign the review to a resource owner or group manager to complete.
    • Mitglieder (selbst) : Mit dieser Option können Benutzer ihre Rollenzuweisungen selbst überprüfen.Members (self) - Use this option to have the users review their own role assignments. Gruppen, die der Rolle zugewiesen sind, unterliegen nicht der Überprüfung, wenn diese Option ausgewählt ist.Groups assigned to the role will not be a part of the review when this option is selected.
    • Manager: Verwenden Sie diese Option, wenn der Vorgesetzte des Benutzers seine Rollenzuweisung überprüfen soll.Manager – Use this option to have the user’s manager review their role assignment. Wenn Sie „Manager“ auswählen, haben Sie auch die Möglichkeit, einen Fallbackprüfer anzugeben.Upon selecting Manager, you will also have the option to specify a fallback reviewer. Fallbackprüfer werden aufgefordert, eine Überprüfung für einen Benutzer durchzuführen, wenn für diesen kein Vorgesetzter (Manager) im Verzeichnis angegeben ist.Fallback reviewers are asked to review a user when the user has no manager specified in the directory. Gruppen, die der Rolle zugewiesen sind, werden vom Fallbackprüfer überprüft, sofern ein solcher ausgewählt ist.Groups assigned to the role will be reviewed by the Fallback reviewer if one is selected.

Einstellungen nach AbschlussUpon completion settings

  1. Erweitern Sie den Abschnitt Einstellungen nach Abschluss, um anzugeben, was nach Abschluss der Überprüfung geschehen soll.To specify what happens after a review completes, expand the Upon completion settings section.

    Automatisch anzuwendende „Einstellungen nach Abschluss“, und falls die Überprüfung nicht reagieren sollte

  2. Soll abgelehnten Benutzern automatisch der Zugriff entzogen werden, legen Sie Ergebnisse automatisch auf Ressource anwenden auf Aktivieren fest.If you want to automatically remove access for users that were denied, set Auto apply results to resource to Enable. Falls Sie die Ergebnisse nach Abschluss der Überprüfung manuell anwenden möchten, legen Sie die Einstellung auf Deaktivieren fest.If you want to manually apply the results when the review completes, set the switch to Disable.

  3. Geben Sie mithilfe der Liste Falls der Prüfer nicht reagiert an, was bei Benutzern geschehen soll, die vom Prüfer nicht innerhalb des vorgesehenen Zeitraums überprüft werden.Use the Should reviewer not respond list to specify what happens for users that are not reviewed by the reviewer within the review period. Diese Einstellung hat keine Auswirkungen auf Benutzer, die von den Prüfern manuell überprüft wurden.This setting does not impact users who have been reviewed by the reviewers manually. Lautet die Entscheidung des Prüfers letztlich „Verweigern“, wird dem Benutzer der Zugriff entzogen.If the final reviewer's decision is Deny, then the user's access will be removed.

    • Keine Änderung: Der Zugriff des Benutzers bleibt unverändert.No change - Leave user's access unchanged
    • Zugriff entfernen: Dem Benutzer wird der Zugriff entzogen.Remove access - Remove user's access
    • Zugriff genehmigen: Der Zugriff des Benutzers wird genehmigt.Approve access - Approve user's access
    • Empfehlungen annehmen: Die Systemempfehlungen hinsichtlich der Ablehnung oder Gewährung des weiteren Benutzerzugriffs werden verwendet.Take recommendations - Take the system's recommendation on denying or approving the user's continued access

Erweiterte EinstellungenAdvanced settings

  1. Erweitern Sie den Abschnitt Erweiterte Einstellungen, um weitere Einstellungen anzugeben.To specify additional settings, expand the Advanced settings section.

    „Erweiterte Einstellungen“ für „Empfehlungen anzeigen“, „Bei Genehmigung Grund anfordern“, E-Mail-Benachrichtigungen und Erinnerungen

  2. Legen Sie Empfehlungen anzeigen auf Aktivieren fest, damit den Prüfern die Systemempfehlungen auf der Grundlage der Zugriffsinformationen des Benutzers angezeigt werden.Set Show recommendations to Enable to show the reviewers the system recommendations based the user's access information.

  3. Legen Sie Bei Genehmigung Grund anfordern auf Aktivieren fest, damit der Prüfer einen Grund für die Genehmigung angeben muss.Set Require reason on approval to Enable to require the reviewer to supply a reason for approval.

  4. Legen Sie E-Mail-Benachrichtigungen auf Aktivieren fest, damit Azure AD beim Start einer Zugriffsüberprüfung E-Mail-Benachrichtigungen an die Prüfer und beim Abschluss einer Überprüfung Benachrichtigungen an Administratoren sendet.Set Mail notifications to Enable to have Azure AD send email notifications to reviewers when an access review starts, and to administrators when a review completes.

  5. Legen Sie Erinnerungen auf Aktivieren fest, damit Azure AD Erinnerungen zu laufenden Zugriffsüberprüfungen an Prüfer sendet, die ihre Überprüfung noch nicht abgeschlossen haben.Set Reminders to Enable to have Azure AD send reminders of access reviews in progress to reviewers who have not completed their review.

  6. Der Inhalt der an Prüfer gesendeten E-Mail wird automatisch basierend auf den Überprüfungsdetails generiert, z. B. Name der Überprüfung, Name der Ressource, Fälligkeitsdatum usw. Wenn Sie eine Möglichkeit benötigen, zusätzliche Informationen wie etwa weitere Anweisungen oder Kontaktinformationen mitzuteilen, können Sie diese Informationen in die E-Mail mit zusätzlichen Inhalten für Prüfer einfügen. Diese E-Mail wird in die Einladung sowie in Erinnerungs-E-Mails an die zugewiesenen Prüfer einbezogen.The content of the email sent to reviewers is autogenerated based on the review details, such as review name, resource name, due date, etc. If you need a way to communicate additional information such as additional instructions or contact information, you can specify these details in the Additional content for reviewer email which will be included in the invitation and reminder emails sent to assigned reviewers. Diese Informationen werden in der folgenden Abbildung im hervorgehobenen Abschnitt angezeigt.The highlighted section below is where this information will be displayed.

    Inhalt der an Prüfer gesendeten E-Mail mit Hervorhebungen

Starten der ZugriffsüberprüfungStart the access review

Wählen Sie nach dem Festlegen der Einstellungen für eine Zugriffsüberprüfung die Option Starten aus.Once you have specified the settings for an access review, select Start. Die Zugriffsüberprüfung wird in der Liste mit einer Angabe des Status angezeigt.The access review will appear in your list with an indicator of its status.

Liste der Zugriffsüberprüfungen mit dem Status gestarteter Überprüfungen

Standardmäßig sendet Azure AD kurz nach dem Start der Überprüfung eine E-Mail an die Prüfer.By default, Azure AD sends an email to reviewers shortly after the review starts. Wenn Sie nicht möchten, dass Azure AD die E-Mail sendet, stellen Sie sicher, dass die Prüfer darüber in Kenntnis gesetzt werden, dass sie eine ausstehende Zugriffsüberprüfung abschließen müssen.If you choose not to have Azure AD send the email, be sure to inform the reviewers that an access review is waiting for them to complete. Sie können ihnen die Anweisungen zum Durchführen einer Zugriffsüberprüfung für Azure AD-Rollen in PIM zeigen.You can show them the instructions for how to review access to Azure AD roles.

Verwalten der ZugriffsüberprüfungManage the access review

Sie können den Fortschritt der Überprüfungen durch die Prüfer auf der Seite Übersicht der Zugriffsüberprüfung nachverfolgen.You can track the progress as the reviewers complete their reviews on the Overview page of the access review. Zugriffsrechte werden im Verzeichnis erst geändert, wenn die Überprüfung abgeschlossen ist.No access rights are changed in the directory until the review is completed.

Übersichtsseite der Zugriffsüberprüfung mit den Details der Überprüfung

Führen Sie bei einer einmaligen Überprüfung nach Ablauf des Zeitraums für die Zugriffsüberprüfung oder nach Beenden der Zugriffsüberprüfung durch den Administrator die Schritte unter Abschließen einer Zugriffsüberprüfung für Azure AD-Rollen in PIM aus, um die Ergebnisse anzuzeigen und anzuwenden.If this is a one-time review, then after the access review period is over or the administrator stops the access review, follow the steps in Complete an access review of Azure AD roles to see and apply the results.

Um eine Serie von Zugriffsüberprüfungen zu verwalten, navigieren Sie zur Zugriffsüberprüfung. Dort finden Sie unter den geplanten Überprüfungen die anstehenden Überprüfungen, und Sie können das Enddatum bearbeiten oder Prüfer entsprechend hinzufügen/entfernen.To manage a series of access reviews, navigate to the access review, and you will find upcoming occurrences in Scheduled reviews, and edit the end date or add/remove reviewers accordingly.

Basierend auf Ihrer Auswahl unter Einstellungen nach Abschluss wird nach dem Enddatum der Überprüfung oder bei manueller Beendigung der Überprüfung die automatische Anwendung ausgeführt.Based on your selections in Upon completion settings, auto-apply will be executed after the review's end date or when you manually stop the review. Der Status der Überprüfung ändert sich von Abgeschlossen über Zwischenzustände wie Wird angewandt schließlich in den Status Angewandt.The status of the review will change from Completed through intermediate states such as Applying and finally to state Applied. Erwartungsgemäß sollten abgelehnte Benutzer (sofern vorhanden) innerhalb weniger Minuten aus den Rollen entfernt werden.You should expect to see denied users, if any, being removed from roles in a few minutes.

Nächste SchritteNext steps