Bearbeiten

Freigeben über

Aktivieren meiner Azure-Ressourcenrollen in Privileged Identity Management

  • Vorgehensweise

Verwenden Sie Microsoft Entra Privileged Identity Management (PIM), um berechtigten Rollenmitgliedern für Azure-Ressourcen die Planung der Aktivierung zu einem späteren Zeitpunkt (Datum und Uhrzeit) zu gestatten. Zudem können sie eine bestimmte Aktivierungsdauer innerhalb des (von Administratoren konfigurierten) Bereichs auswählen.

Dieser Artikel richtet sich an Mitglieder, die ihre Azure-Ressourcenrolle in Privileged Identity Management aktivieren müssen.

Hinweis

Ab März 2023 können Sie jetzt Ihre Zuweisungen aktivieren und Ihren Zugriff direkt von Blättern außerhalb von PIM im Azure-Portal anzeigen. Weitere Informationen finden Sie hier.

Wichtig

Wenn eine Rolle aktiviert wird, fügt Microsoft Entra PIM vorübergehend eine aktive Zuweisung für die Rolle hinzu. Microsoft Entra PIM erstellt innerhalb von Sekunden eine aktive Zuweisung (weist einem Benutzer eine Rolle zu). Wenn die Deaktivierung (manuell oder durch den Ablauf der Aktivierungszeit) erfolgt, entfernt Microsoft Entra PIM auch die aktive Zuweisung innerhalb von Sekunden.

Die Anwendung kann den Zugriff basierend auf der Rolle des Benutzers ermöglichen. In einigen Situationen spiegelt der Anwendungszugriff möglicherweise nicht sofort die Tatsache wider, dass dem Benutzer eine Rolle zugewiesen oder eine Rollenzuweisung aufgehoben wurde. Wenn die Anwendung zuvor die Tatsache zwischengespeichert hat, dass der Benutzer keine Rolle hat – wenn der Benutzer erneut versucht, auf die Anwendung zuzugreifen, wird möglicherweise kein Zugriff gewährt. Wenn die Anwendung zuvor die Tatsache zwischengespeichert hat, dass der Benutzer eine Rolle hat – wenn die Rolle deaktiviert ist, wird dem Benutzer möglicherweise weiterhin Zugriff gewährt. Die spezifische Situation hängt von der Architektur der Anwendung ab. Bei einigen Anwendungen kann das Abmelden und das erneute Anmelden dazu beitragen, Zugriffsrechte hinzuzufügen oder zu entfernen.

Voraussetzungen

Keine

Aktivieren einer Rolle

Tipp

Die Schritte in diesem Artikel können je nach dem Portal, mit dem Sie beginnen, geringfügig variieren.

Wenn Sie eine Azure-Ressourcenrolle übernehmen müssen, können Sie in Privileged Identity Management über die Navigationsoption Meine Rollen die Aktivierung anfordern.

Hinweis

PIM ist jetzt in der mobilen Azure-App (iOS | Android) für Microsoft Entra ID und Azure-Ressourcenrollen verfügbar. Aktivieren Sie ganz einfach berechtigte Zuweisungen, fordern Sie Verlängerungen für die ablaufenden an, oder überprüfen Sie den Status ausstehender Anforderungen. Unten finden Sie weitere Informationen.

  1. Melden Sie sich beim Microsoft Entra Admin Center mindestens mit der Rolle Administrator für privilegierte Rollen an.

  2. Navigieren Sie zu Identitätsgovernance>Privileged Identity Management>Meine Rollen.

    Screenshot: Seite „Meine Rollen“ mit den Rollen, die aktiviert werden können

  3. Wählen Sie Azure-Ressourcenrollen aus, um eine Liste der Azure-Ressourcenrollen anzuzeigen, für die Sie berechtigt sind.

    Screenshot: Meine Rollen – Seite „Azure-Ressourcenrollen“

  4. Wechseln Sie in der Liste Azure-Ressourcenrollen zur Rolle, die Sie aktivieren möchten.

    Screenshot: Azure-Ressourcenrollen – Liste meiner berechtigten Rollen

  5. Wählen Sie Aktivieren aus, um die Seite „Aktivieren“ zu öffnen.

    Screenshot: Geöffneter Aktivierungsbereich mit Umfang, Startzeit, Dauer und Grund

  6. Wenn Ihre Rolle eine Multi-Faktor-Authentifizierung erfordert, wählen Sie Überprüfen Sie Ihre Identität, bevor Sie den Vorgang fortsetzen aus. Sie müssen sich nur einmal pro Sitzung authentifizieren.

  7. Wählen Sie Meine Identität überprüfen aus, und folgen Sie den Anweisungen zur Bereitstellung einer zusätzlichen Sicherheitsüberprüfung.

    Screenshot: Bildschirm zur Eingabe einer Sicherheitsüberprüfung, etwa eines PIN-Codes

  8. Wenn Sie einen reduzierten Bereich angeben möchten, wählen Sie Bereich aus, um „Ressourcenfilter“ zu öffnen.

    Es wird empfohlen, nur Zugriff auf die Ressourcen anzufordern, die Sie benötigen. Im Bereich „Ressourcenfilter“ können Sie die Ressourcengruppen bzw. angeben, auf die Sie Zugriff haben möchten.

    Screenshot: Bereich „Aktivieren“ – „Ressourcenfilter“ zum Angeben des Bereichs

  9. Falls erforderlich, geben Sie einen Startzeitpunkt für die Aktivierung an. Das Mitglied wird nach dem ausgewählten Zeitpunkt aktiviert.

  10. Geben Sie im Feld Grund den Grund für die Aktivierungsanforderung ein.

  11. Wählen Sie Aktivierenaus.

    Hinweis

    Wenn für die Aktivierung der Rolle eine Genehmigung erforderlich ist, werden Sie über eine Benachrichtigung in der oberen rechten Ecke des Browsers darüber informiert, dass die Genehmigung der Anforderung aussteht.

Aktivieren einer Rolle mit der ARM-API

Privileged Identity Management unterstützt ARM-API-Befehle (Azure Resource Manager) zum Verwalten von Azure-Ressourcenrollen, wie in der ARM-API-Referenz von PIM dokumentiert. Informationen zu den Berechtigungen, die für die Verwendung der PIM-API erforderlich sind, finden Sie unter Verstehen der Privileged Identity Management-APIs.

Verwenden Sie zum Aktivieren einer berechtigten Azure-Rollenzuweisung und zum Erhalten des aktivierten Zugriffs die REST-API zum Erstellen von Rollenzuweisungsplananforderungen, um eine neue Anforderung zu erstellen und den Sicherheitsprinzipal, die Rollendefinition, „requestType = SelfActivate“ und den Bereich anzugeben. Sie müssen über eine berechtigte Rollenzuweisung für den Bereich verfügen, um diese API aufrufen zu können.

Verwenden Sie ein GUID-Tool, um einen eindeutigen Bezeichner zu generieren, der für den Bezeichner der Rollenzuweisung verwendet wird. Das Format des Bezeichners lautet „00000000-0000-0000-0000-000000000000“.

Ersetzen Sie in der folgenden PUT-Anforderung den Platzhalter „{roleAssignmentScheduleRequestName}“ durch den global eindeutigen Bezeichner (Globally Unique Identifier, GUID) der Rollenzuweisung.

Weitere Informationen zum Verwalten von berechtigten Rollen für Azure-Ressourcen finden Sie in diesem Tutorial zu PIM und zur ARM-API.

Im Folgenden finden Sie eine Beispiel-HTTP-Anforderung zum Aktivieren einer berechtigten Zuweisung für eine Azure-Rolle.

Anforderung

PUT https://management.azure.com/providers/Microsoft.Subscription/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/providers/Microsoft.Authorization/roleAssignmentScheduleRequests/{roleAssignmentScheduleRequestName}?api-version=2020-10-01

Anforderungstext

{ 
"properties": { 
  "principalId": "aaaaaaaa-bbbb-cccc-1111-222222222222", 
  "roleDefinitionId": "/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/providers/Microsoft.Authorization/roleDefinitions/c8d4ff99-41c3-41a8-9f60-21dfdad59608", 
  "requestType": "SelfActivate", 
  "linkedRoleEligibilityScheduleId": "b1477448-2cc6-4ceb-93b4-54a202a89413", 
  "scheduleInfo": { 
      "startDateTime": "2020-09-09T21:35:27.91Z", 
      "expiration": { 
          "type": "AfterDuration", 
          "endDateTime": null, 
          "duration": "PT8H" 
      } 
  }, 
  "condition": "@Resource[Microsoft.Storage/storageAccounts/blobServices/containers:ContainerName] StringEqualsIgnoreCase 'foo_storage_container'", 
  "conditionVersion": "1.0" 
} 
}

Antwort

Statuscode: 201

{ 
  "properties": { 
    "targetRoleAssignmentScheduleId": "c9e264ff-3133-4776-a81a-ebc7c33c8ec6", 
    "targetRoleAssignmentScheduleInstanceId": null, 
    "scope": "/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e", 
    "roleDefinitionId": "/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/providers/Microsoft.Authorization/roleDefinitions/c8d4ff99-41c3-41a8-9f60-21dfdad59608", 
    "principalId": "aaaaaaaa-bbbb-cccc-1111-222222222222", 
    "principalType": "User", 
    "requestType": "SelfActivate", 
    "status": "Provisioned", 
    "approvalId": null, 
    "scheduleInfo": { 
      "startDateTime": "2020-09-09T21:35:27.91Z", 
      "expiration": { 
        "type": "AfterDuration", 
        "endDateTime": null, 
        "duration": "PT8H" 
      } 
    }, 
    "ticketInfo": { 
      "ticketNumber": null, 
      "ticketSystem": null 
    }, 
    "justification": null, 
    "requestorId": "a3bb8764-cb92-4276-9d2a-ca1e895e55ea", 
    "createdOn": "2020-09-09T21:35:27.91Z", 
    "condition": "@Resource[Microsoft.Storage/storageAccounts/blobServices/containers:ContainerName] StringEqualsIgnoreCase 'foo_storage_container'", 
    "conditionVersion": "1.0", 
    "expandedProperties": { 
      "scope": { 
        "id": "/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e", 
        "displayName": "Pay-As-You-Go", 
        "type": "subscription" 
      }, 
      "roleDefinition": { 
        "id": "/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/providers/Microsoft.Authorization/roleDefinitions/c8d4ff99-41c3-41a8-9f60-21dfdad59608", 
        "displayName": "Contributor", 
        "type": "BuiltInRole" 
      }, 
      "principal": { 
        "id": "a3bb8764-cb92-4276-9d2a-ca1e895e55ea", 
        "displayName": "User Account", 
        "email": "user@my-tenant.com", 
        "type": "User" 
      } 
    } 
  }, 
  "name": "fea7a502-9a96-4806-a26f-eee560e52045", 
  "id": "/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/providers/Microsoft.Authorization/RoleAssignmentScheduleRequests/fea7a502-9a96-4806-a26f-eee560e52045", 
  "type": "Microsoft.Authorization/RoleAssignmentScheduleRequests" 
}

Anzeigen des Status Ihrer Anforderungen

Sie können den Status Ihrer ausstehenden Aktivierungsanforderungen anzeigen.

  1. Öffnen Sie „Microsoft Entra Privileged Identity Management“.

  2. Wählen Sie Meine Anforderungen aus, um eine Liste mit Ihren Anforderungen von Microsoft Entra-Rollen und Azure-Ressourcenrollen anzuzeigen.

    Screenshot: Meine Anforderungen – Azure-Ressourcenseite, die Ihre ausstehenden Anforderungen zeigt

  3. Scrollen Sie nach rechts, um die Spalte Anforderungsstatus anzuzeigen.

Abbrechen einer ausstehenden Anforderung

Sollten Sie die Aktivierung einer Rolle, für die eine Genehmigung erforderlich ist, nicht mehr benötigen, können Sie eine ausstehende Anforderung jederzeit abbrechen.

  1. Öffnen Sie Microsoft Entra Privileged Identity Management.

  2. Wählen Sie Meine Anforderungen aus.

  3. Wählen Sie für die Rolle, für die Sie eine ausstehende Anforderung abbrechen möchten, den Link Abbrechen aus.

    When you select Cancel, the request will be canceled. To activate the role again, you will have to submit a new request for activation.

    Screenshot: Liste „Meine Anforderungen“ mit hervorgehobener Aktion „Abbrechen“

Deaktivieren einer Rollenzuweisung

Wenn eine Rollenzuweisung aktiviert ist, wird im PIM-Portal die Option Deaktivieren für die Rollenzuweisung angezeigt. Außerdem können Sie eine Rollenzuweisung nicht innerhalb von fünf Minuten nach Aktivierung deaktivieren.

Aktivieren mit Azure-Portal

Die Rollenaktivierung in Privileged Identity Management wurde in die Erweiterungen „Abrechnung“ und „Zugriffssteuerung (AD)“ innerhalb des Azure-Portals integriert. Mit Verknüpfungen zu Abonnements (Abrechnung) und der Zugriffssteuerung (AD) können Sie PIM-Rollen direkt auf diesen Blättern aktivieren.

Wählen Sie auf dem Blatt „Abonnements“ im horizontalen Befehlsmenü die Option „Berechtigte Abonnements anzeigen“ aus, um Ihre berechtigten, aktiven und abgelaufenen Zuweisungen zu überprüfen. Von dort aus können Sie eine berechtigte Zuweisung im selben Bereich aktivieren.

Screenshot der Anzeige berechtigter Abonnements auf der Seite „Abonnements“.

Screenshot der Anzeige berechtigter Abonnements auf der Seite „Cost Management: Integrationsdienst“.

In der Zugriffssteuerung (IAM) für eine Ressource können Sie jetzt „Meinen Zugriff anzeigen“ auswählen, um Ihre derzeit aktiven und berechtigten Rollenzuweisungen anzuzeigen und direkt zu aktivieren.

Screenshot der aktuellen Rollenzuweisungen auf der Seite „Messung“.

Durch die Integration von PIM-Funktionen in verschiedene Blätter des Azure-Portals ermöglicht Ihnen dieses neue Feature den temporären Zugriff, um Abonnements und Ressourcen einfacher anzuzeigen oder zu bearbeiten.

Aktivieren von PIM-Rollen mithilfe der mobilen Azure-App

PIM ist jetzt in den mobilen Apps von Microsoft Entra ID und Azure-Ressourcenrollen sowohl für iOS als auch für Android verfügbar.

  1. Um eine berechtigte Microsoft Entra-Rollenzuweisung zu aktivieren, laden Sie zunächst die mobile Azure-App herunter (iOS | Android). Sie können die App auch herunterladen, indem Sie Auf Mobilgerät öffnen unter „Privileged Identity Management > Meine Rollen > Microsoft Entra-Rollen“ auswählen.

    Screenshot: Herunterladen der mobilen App

  2. Öffnen Sie die mobile Azure-App, und melden Sie sich an. Klicken Sie auf die Karte „Privileged Identity Management“, und wählen Sie Meine Azure-Ressourcenrollen aus, um Ihre berechtigten und aktiven Rollenzuweisungen anzuzeigen.

    Screenshot: Mobile App mit Privileged Identity Management und den Rollen des Benutzers

  3. Wählen Sie die Rollenzuweisung aus, und klicken Sie unter den Rollenzuweisungsdetails auf Aktion > Aktivieren. Führen Sie die Schritte zum Aktivieren aus, und geben Sie alle erforderlichen Details ein, bevor Sie unten auf Aktivieren klicken.

    Screenshot: Mobile App mit abgeschlossenem Überprüfungsprozess. Die Abbildung zeigt die Schaltfläche „Aktivieren“.

  4. Zeigen Sie den Status Ihrer Aktivierungsanforderungen und Ihre Rollenzuweisungen unter „Meine Azure-Ressourcenrollen“ an.

    Screenshot: Mobile App mit der Meldung „Aktivierung wird ausgeführt...“

Zugehöriger Inhalt