Einstieg in Privileged Identity Management
Verwenden Sie Privileged Identity Management (PIM), um den Zugriff in Ihrer Microsoft Entra-Organisation zu verwalten, zu steuern und zu überwachen. Mit PIM können Sie bedarfsgesteuerten Zugriff und Just-In-Time-Zugriff auf Azure-Ressourcen, Microsoft Entra-Ressourcen und andere Microsoft-Onlinedienste wie Microsoft 365 oder Microsoft Intune bereitstellen.
In diesem Artikel werden das Aktivieren von und die ersten Schritte mit Privileged Identity Management (PIM) beschrieben.
Voraussetzungen
Um Privileged Identity Management zu verwenden, benötigen Sie eine Microsoft Entra ID P2- oder Microsoft Entra ID Governance-Lizenz. Weitere Informationen zur Lizenzierung finden Sie unter Microsoft Entra ID Governance-Lizenzierungsgrundlagen.
Aktivierung von Rollenzuweisungen
Wenn ein Microsoft Entra-Mandant über eine Microsoft Entra ID P2- oder Microsoft Entra ID Governance-Lizenz verfügt, können Benutzende mit aktiven Rollenzuweisungen folgende Aktionen ausführen:
- Öffnen der Seite Rollen und Administrierende in Microsoft Entra ID und Auswählen einer Rolle;
- Öffnen der Seite Privileged Identity Management;
- Tätigen von Aufrufen an PIM mithilfe der Microsoft Entra-Rollen-API.
Microsoft Entra aktiviert PIM für den Mandanten auf folgende Weise:
- Ab sofort können Sie berechtigte oder zeitlich gebundene Aufgaben für Microsoft Entra-Rollen erstellen.
- Globale Administrierende oder Administrierende für privilegierte Rollen können mit dem Empfang anderer E-Mails beginnen, z. B. den wöchentlichen PIM-Digest;
- Der PIM-Dienstprinzipalname (MS–PIM) kann in Überwachungsprotokollereignissen im Zusammenhang mit der Rollenzuweisungsverwaltung erwähnt werden.
Diese Verhaltensweisen werden erwartet und sollten sich nicht auf Ihre Workflows auswirken.
Vorbereiten von PIM für Microsoft Entra-Rollen
Folgende Aufgaben werden zur Vorbereitung von Privileged Identity Management für die Verwaltung von Microsoft Entra-Rollen empfohlen:
- Konfigurieren von Microsoft Entra-Rolleneinstellungen
- Gewähren der berechtigten Zuweisungen
- Berechtigten Benutzern eine Just-In-Time-Aktivierung ihrer Microsoft Entra-Rolle erlauben
Vorbereiten von PIM für Azure-Rollen
Folgende Aufgaben werden zur Vorbereitung von Privileged Identity Management für die Verwaltung von Azure-Rollen für ein Abonnement empfohlen:
- Ermitteln von Azure-Ressourcen
- Konfigurieren von Einstellungen für Azure-Rollen
- Gewähren der berechtigten Zuweisungen
- Berechtigten Benutzenden eine Just-In-Time-Aktivierung ihrer Microsoft Entra-Rolle erlauben
Navigieren zu Ihren Aufgaben
Nach der Einrichtung von Privileged Identity Management können Sie sich mit der Verwendung vertraut machen.
| „Aufgaben“ und „Verwalten“ | BESCHREIBUNG |
|---|---|
| Meine Rollen | Zeigt eine Liste mit berechtigten und aktiven Rollen an, die Ihnen zugewiesen sind. "Meine Rollen" ist der Bereich, in dem Sie alle zugewiesenen berechtigten Rollen aktivieren können. |
| Meine Anforderungen | Zeigt Ihre ausstehenden Anforderungen zum Aktivieren berechtigter Rollenzuweisungen an. |
| Genehmigen von Anforderungen | Zeigt eine Liste der Anträge zur Aktivierung benutzerberechtigter Rollen in Ihrem Verzeichnis, die Sie genehmigen können. |
| Überprüfen des Zugriffs | Zeigt eine Liste mit aktiven Zugriffsüberprüfungen an, die Ihnen zugewiesen sind. Dabei spielt es keine Rolle, ob Sie den Zugriff für sich selbst oder für eine andere Person überprüfen. |
| Microsoft Entra-Rollen | Zeigt ein Dashboard und Einstellungen für Administratoren privilegierter Rollen an, um Microsoft Entra-Rollenzuweisungen zu verwalten. Dieses Dashboard ist für alle Benutzer deaktiviert, die kein Administrator für privilegierte Rollen sind. Diese Benutzer haben Zugriff auf ein spezielles Dashboard namens „Meine Ansicht“. Auf dem Dashboard „Meine Ansicht“ werden nur Informationen zu dem Benutzer angezeigt, der auf das Dashboard zugreift (also keine Informationen zur gesamten Organisation). |
| Gruppen | Verwalten Sie die Just-in-Time-Mitgliedschaft in der Gruppe oder das Just-in-Time-Eigentum an der Gruppe. Gruppen können verwendet werden, um den Zugriff auf Microsoft Entra-Rollen, Azure-Rollen und verschiedene andere Szenarien zu ermöglichen. Damit Sie eine Microsoft Entra-Gruppe in PIM verwalten können, müssen Sie die Gruppe zur Verwaltung in PIM integrieren. |
| Azure-Ressourcen | Zeigt für Administrierende für privilegierte Rollen ein Dashboard und Einstellungen zum Verwalten von Azure-Ressourcenrollenzuweisungen an. Dieses Dashboard ist für alle Benutzer deaktiviert, die kein Administrator für privilegierte Rollen sind. Diese Benutzer haben Zugriff auf ein spezielles Dashboard namens „Meine Ansicht“. Auf dem Dashboard „Meine Ansicht“ werden nur Informationen zu dem Benutzer angezeigt, der auf das Dashboard zugreift (also keine Informationen zur gesamten Organisation). |
| Allgemeine Einstellungen | Wählen Sie Anwendungen aus, die nur App-Aufrufe an die Microsoft Graph-API für PIM tätigen dürfen. |