Teilen über

Verlängern oder Erneuern von Zuweisungen von Azure-Ressourcenrollen in Privileged Identity Management

  • Artikel

Microsoft Entra Privileged Identity Management (PIM) bietet Steuerelemente zum Verwalten des Zugriffs- und Zuweisungslebenszyklus für Azure-Ressourcen. Administratoren können Rollen anhand von Start- und Enddatum-Uhrzeitparametern zuweisen. Wenn das Ende der Zuweisung fast erreicht ist, sendet Privileged Identity Management E-Mail-Benachrichtigungen an die betroffenen Benutzer oder Gruppen. Außerdem werden E-Mail-Benachrichtigungen an Administratoren der Ressource gesendet, um sicherzustellen, dass der entsprechende Zugriff beibehalten wird. Zuweisungen können auch verlängert werden. Sie bleiben im abgelaufenen Zustand noch 30 Tage lang sichtbar, auch wenn der Zugriff nicht verlängert wird.

Wer kann verlängern und erneuern?

Nur Administratoren der Ressource können Rollenzuweisungen erweitern oder verlängern. Der betroffene Benutzer oder die betroffene Gruppe kann anfordern, Rollen zu erweitern, die bald ablaufen und anfordern, Rollen zu verlängern, die bereits abgelaufen sind.

Wann werden Benachrichtigungen gesendet?

Privileged Identity Management sendet E-Mail-Benachrichtigungen an Administratoren und betroffene Benutzer und Gruppen mit Rollen, die innerhalb der nächsten 14 Tage ablaufen. Einen Tag vor dem Ablauf wird eine weitere Benachrichtigung gesendet. Sie sendet eine zusätzliche E-Mail, wenn eine Aufgabe offiziell abläuft.

Administratoren erhalten Benachrichtigungen, wenn ein Benutzer oder eine Gruppe, dem eine ablaufende oder abgelaufene Rolle zugewiesen ist, eine Verlängerung oder Erneuerung beantragt. Wenn ein bestimmter Administrator die Anforderung behebt, werden alle anderen Administratoren über die Lösungsentscheidung benachrichtigt (genehmigt oder abgelehnt). Anschließend wird der anfordernde Benutzer oder die Anfordernde Gruppe über die Entscheidung benachrichtigt.

Verlängern von Rollenzuweisungen

In den folgenden Schritten wird der Prozess zum Anfordern, Auflösen oder Verwalten einer Erweiterung oder Erneuerung einer Rollenzuweisung beschrieben.

Selbständiges Verlängern von ablaufenden Zuweisungen

Benutzer, die einer Rolle zugewiesen sind, können die Verlängerung von ablaufenden Rollenzuweisungen direkt über die Registerkarte Berechtigt oder Aktiv auf der Seite Meine Rollen einer Ressource und auf der übergeordneten Seite Meine Rollen im Privileged Identity Management-Portal durchführen. Im Portal können Benutzer*innen die Verlängerung von berechtigten oder aktiven (zugewiesenen) Rollen anfordern, die in den nächsten 14 Tagen ablaufen.

Screenshot: Seite „Meine Rollen“, auf der die berechtigten Rollen mit der Spalte „Aktion“ aufgelistet werden.

Wenn der Endzeitpunkt der Zuweisung innerhalb von 14 Tagen liegt, wird der Link zum Verlängern im Microsoft Entra Admin Center aktiviert. Gehen Sie im folgenden Beispiel davon aus, dass das aktuelle Datum 27. März ist.

Anmerkung

Für eine Gruppe, die einer Rolle zugewiesen ist, steht der Link Verlängern nie zur Verfügung, damit Benutzer*innen mit geerbten Zuweisungen nicht die Gruppenzuweisung verlängern können.

Screenshot der Aktionsspalte mit Links zum Aktivieren oder Erweitern.

Wählen Sie Verlängern, um das Anforderungsformular zu öffnen und eine Verlängerung dieser Rollenzuweisung anzufordern.

Screenshot: Bereich zum Erweitern einer Rollenzuweisung mit dem Feld „Grund“

Erweitern Sie Zuweisungsdetails, um Informationen zur ursprünglichen Zuweisung anzuzeigen. Geben Sie einen Grund für die Verlängerungsanforderung an, und wählen Sie Verlängern.

Anmerkung

Es wird empfohlen, die Details darüber anzugeben, warum die Erweiterung erforderlich ist und wie lange die Erweiterung gewährt werden soll (wenn Sie über diese Informationen verfügen).

Screenshot: Bereich zum Erweitern einer Rollenzuweisung mit erweiterten Zuweisungsdetails.

Ressourcenadministratoren erhalten in wenigen Momenten eine E-Mail-Benachrichtigung, die anfordert, die Erweiterungsanforderung zu überprüfen. Wenn bereits eine Verlängerungsanforderung übermittelt wurde, wird im Portal eine Azure-Benachrichtigung angezeigt.

Screenshot: Benachrichtigung, in der erklärt wird, dass bereits eine ausstehende Anforderung zur Verlängerung einer Rollenzuweisung vorhanden ist.

Wechseln Sie zur Ausstehende Anfragen Seite, um den Status Ihrer Anfrage anzuzeigen oder sie abzubrechen.

Screenshot der Azure-Ressourcen – Seite

Vom Administrator genehmigte Erweiterung

Wenn ein Benutzer oder eine Gruppe eine Anforderung zum Erweitern einer Rollenzuweisung sendet, erhalten Ressourcenadministratoren eine E-Mail-Benachrichtigung, die die Details der ursprünglichen Zuordnung und den Grund für die Anforderung enthält. Die Benachrichtigung enthält einen direkten Link für die Anfrage, damit der Administrator sie genehmigen oder ablehnen kann.

Zusätzlich zur Verwendung des Links aus der E-Mail können Administratoren Anforderungen genehmigen oder ablehnen, indem sie zum Privileged Identity Management-Verwaltungsportal wechseln und im linken Bereich die Option Anforderung genehmigen auswählen.

Screenshot: Azure-Ressourcen – Seite „Anforderungen genehmigen“ mit einer Auflistung von Anforderungen und Links zum Genehmigen oder Ablehnen.

Wenn ein Administrator die Option Genehmigen oder Ablehnen wählt, werden die Details der Anforderung zusammen mit einem Feld zum Angeben der geschäftlichen Begründung für die Überwachungsprotokolle angezeigt.

Screenshot: Bereich zum Genehmigen der Rollenzuweisungsanforderung mit der Begründung des Anforderers, dem Zuweisungstyp, der Startzeit, der Endzeit und dem Grund.

Wenn Sie eine Anforderung zum Erweitern der Rollenzuweisung genehmigen, können Ressourcenadministratoren ein neues Startdatum, Enddatum und Zuordnungstyp auswählen. Das Ändern des Zuweisungstyps kann erforderlich sein, wenn der Administrator begrenzten Zugriff gewähren möchte (z.B. nur für einen Tag), damit eine bestimmte Aufgabe erfüllt werden kann. In diesem Beispiel kann der Administrator die Zuweisung von Berechtigt in Aktiv ändern. Dies bedeutet, dass sie dem Anfragenden Zugang gewähren können, ohne dass dieser aktiviert werden muss.

Administrator initiierte Erweiterung

Wenn ein benutzer, der einer Rolle zugewiesen ist, keine Erweiterung für die Rollenzuweisung anfordert, kann ein Administrator eine Zuweisung im Namen des Benutzers erweitern. Administrative Erweiterungen der Rollenzuweisung erfordern keine Genehmigung, aber Benachrichtigungen werden an alle anderen Administratoren gesendet, nachdem die Rolle erweitert wurde.

Um eine Rollenzuweisung zu verlängern, wechseln Sie zu der Ressourcenrollen- oder Zuweisungsansicht in Privileged Identity Management. Suchen Sie die Aufgabe, die eine Verlängerung benötigt. Wählen Sie dann Verlängern in der Aktionsspalte.

de-DE: Screenshot: Azure-Ressourcen – Seite „Zuweisungen“, auf der die berechtigten Rollen mit Links zum Verlängern aufgelistet sind.

Erneuern von Rollenzuweisungen

Obwohl das Konzept dem Prozess zum Anfordern einer Erweiterung ähnelt, unterscheidet sich der Prozess zum Verlängern einer abgelaufenen Rollenzuweisung. Mit den folgenden Schritten können Zuweisungen und Administratoren den Zugriff auf abgelaufene Rollen bei Bedarf erneuern.

Selbstverlängerung

Benutzer, die nicht mehr auf Ressourcen zugreifen können, können bis zu 30 Tage auf den Verlauf der abgelaufenen Zuweisungen zugreifen. Dazu navigieren sie im linken Bereich zu "Meine Rollen" und wählen dann die Registerkarte "Abgelaufene Rollen" im Abschnitt Azure-Ressourcenrollen aus.

Screenshot: Seite „Meine Rollen“ – Registerkarte „Abgelaufene Rollen“.

In der Liste der Rollen werden die Standardeinstellungen für Berechtigte Rollen angezeigt. Verwenden Sie das Dropdownmenü, um zwischen berechtigten und aktiven zugewiesenen Rollen umzuschalten.

Wenn Sie eine Verlängerung für eine der Rollenzuweisungen in der Liste anfordern möchten, wählen Sie die Aktion Verlängern aus. Geben Sie dann einen Grund für die Anforderung an. Es ist hilfreich, zusätzlich zu einem sonstigen Kontext oder einer geschäftlichen Rechtfertigung eine Dauer bereitzustellen, die dem Ressourcenadministrator helfen kann, über Genehmigung oder Ablehnung zu entscheiden.

Screenshot: Bereich zum Verlängern einer Rollenzuweisung mit dem Feld „Grund“.

Nach dem Übermitteln der Anforderung werden die Ressourcenadministratoren über eine ausstehende Anforderung zur Erneuerung einer Rollenzuweisung informiert.

Der Administrator genehmigt

Ressourcenadministratoren können auf die Verlängerungsanforderung zugreifen, indem sie den Link in der E-Mail-Benachrichtigung nutzen oder im Azure-Portal Privileged Identity Management öffnen und im linken Bereich Anforderungen genehmigen auswählen.

Screenshot: Azure-Ressourcen – Seite „Anforderungen genehmigen“ mit einer Auflistung von Anforderungen und Links zum Genehmigen oder Ablehnen.

Wenn ein Administrator die Option Genehmigen oder Ablehnen wählt, werden die Details der Anforderung zusammen mit einem Feld zum Angeben der geschäftlichen Begründung für die Überwachungsprotokolle angezeigt.

Screenshot: Bereich zum Genehmigen der Rollenzuweisungsanforderung mit der Begründung des Anforderers, dem Zuweisungstyp, der Startzeit, der Endzeit und dem Grund.

Wenn Sie eine Anforderung zur Verlängerung der Rollenzuweisung genehmigen, müssen die Ressourcenadministratoren ein neues Startdatum, Enddatum und Rollenzuweisungstyp eingeben.

Erneuerung durch Administrator

Ressourcenadministratoren können abgelaufene Rollenzuweisungen im linken Navigationsmenü einer Ressource über die Registerkarte Mitglieder erneuern. Sie können darüber hinaus abgelaufene Rollenzuweisungen über die Registerkarte Abgelaufene Rollen einer Ressourcenrolle erneuern.

Um eine Liste mit allen abgelaufenen Rollenzuweisungen anzuzeigen, wählen Sie auf dem Bildschirm Mitglieder die Option Abgelaufenen Rollen.

Screenshot von Azure-Ressourcen – Seite

Nächste Schritte