Bearbeiten

Freigeben über


Zuweisen von Microsoft Entra-Rollen zu Benutzerkonten

Um Benutzern zugriff in Microsoft Entra ID zu gewähren, weisen Sie Microsoft Entra Rollen zu. Bei einer Rolle handelt es sich um eine Sammlung von Berechtigungen. In diesem Artikel wird beschrieben, wie Sie Microsoft Entra-Rollen über das Microsoft Entra Admin Center und PowerShell zuweisen.

Voraussetzungen

  • „Administrator für privilegierte Rollen“: Informationen zu Ihrem Administrator für privilegierte Rollen finden Sie unter Auflisten von Microsoft Entra-Rollenzuweisungen
  • Microsoft Entra ID P2-Lizenz bei Verwendung von Privileged Identity Management (PIM)
  • Microsoft Graph PowerShell-Modul bei verwendung von PowerShell
  • Administratorzustimmung bei Verwendung von Graph-Tester für die Microsoft Graph-API

Weitere Informationen finden Sie unter Voraussetzungen für die Verwendung von PowerShell oder Graph-Tester.

Microsoft Entra Admin Center

Führen Sie die folgenden Schritte aus, um Microsoft Entra Rollen über das Microsoft Entra Admin Center zuzuweisen. Je nachdem, ob Sie Microsoft Entra Privileged Identity Management (PIM) aktiviert haben, werden Sie unterschiedliche Ergebnisse erhalten.

Zuweisen einer Rolle

Tipp

Die Schritte in diesem Artikel können je nach dem Portal, mit dem Sie beginnen, geringfügig variieren.

  1. Melden Sie sich beim Microsoft Entra Admin Center mindestens mit der Rolle Administrator für privilegierte Rollen an.

  2. Browsen Sie zu Identität>Rollen und Administratoren>Rollen und Administratoren.

    Screenshot der Seite Rollen und Administratoren in Microsoft Entra ID.

  3. Suchen Sie nach der erforderlichen Rolle. Sie können das Suchfeld oder Filter hinzufügen verwenden, um die Rollen zu filtern.

  4. Wählen Sie den Rollennamen aus, um die Rolle zu öffnen. Fügen Sie kein Häkchen neben der Rolle hinzu.

    Screenshot: Auswählen einer Rolle

  5. Wählen Sie Zuweisungen hinzufügen und dann die Benutzer aus, die Sie dieser Rolle zuweisen möchten.

    Wenn Anzeige von der folgenden Abbildung abweicht, ist PIM möglicherweise aktiviert. Siehe nächster Abschnitt.

    Screenshot des Bereichs „Zuweisung hinzufügen“ für die ausgewählte Rolle.

    Hinweis

    Wenn Sie einem Gastbenutzer eine integrierte Microsoft Entra-Rolle zuweisen, erhält der Gastbenutzer die gleichen Berechtigungen wie ein Mitgliedsbenutzer. Weitere Informationen zu den Standardberechtigungen von Mitglieds- und Gastbenutzern finden Sie unter Was sind die Standardbenutzerberechtigungen in Microsoft Entra ID?.

  6. Wählen Sie Hinzufügen aus, um die Rolle zuzuweisen.

Zuweisen einer Rolle mit PIM

Wenn Microsoft Entra Privileged Identity Management (PIM) aktiviert ist, sind weitere Rollenzuweisungsfunktionen verfügbar. Sie können beispielsweise einen Benutzer für eine Rolle berechtigen oder die Dauer festlegen. Wenn PIM aktiviert ist, gibt es zwei Möglichkeiten, Rollen über das Microsoft Entra Admin Center zuzuweisen. Sie können die Seite „Rollen und Administratoren“ oder die PIM-Benutzeroberfläche verwenden. In beiden Fällen wird der gleiche PIM-Dienst verwendet.

Führen Sie die folgenden Schritte aus, um Rollen auf der Seite Rollen und Administratoren zuzuweisen. Informationen zum Zuweisen von Rollen über „Privileged Identity Management“ finden Sie unter Zuweisen von Microsoft Entra-Rollen in Privileged Identity Management.

  1. Melden Sie sich beim Microsoft Entra Admin Center mindestens mit der Rolle Administrator für privilegierte Rollen an.

  2. Browsen Sie zu Identität>Rollen und Administratoren>Rollen und Administratoren.

    Screenshot der Seite Rollen und Administratoren in Microsoft Entra ID bei aktiviertem PIM.

  3. Suchen Sie nach der erforderlichen Rolle. Sie können das Suchfeld oder Filter hinzufügen verwenden, um die Rollen zu filtern.

  4. Wählen Sie den Rollennamen aus, um die Rolle zu öffnen und ihre berechtigten, aktiven und abgelaufenen Rollenzuweisungen anzuzeigen. Fügen Sie kein Häkchen neben der Rolle hinzu.

    Screenshot: Auswählen einer Rolle

  5. Wählen Sie Zuweisungen hinzufügen aus.

  6. Wählen Sie Kein Mitglied ausgewählt und dann die Benutzer aus, die Sie dieser Rolle zuweisen möchten.

    Screenshot der Seite „Zuweisungen hinzufügen“ und Bereich „Mitglied auswählen“, wenn PIM aktiviert ist.

  7. Klicken Sie auf Weiter.

  8. Wählen Sie auf der Registerkarte Einstellung aus, ob diese Rollenzuweisung Berechtigt oder Aktiv sein soll.

    Eine berechtigte Rollenzuweisung bedeutet, dass der Benutzer mindestens eine Aktion ausführen muss, um die Rolle zu verwenden. Eine aktive Rollenzuweisung bedeutet, dass der Benutzer keine Aktion ausführen muss, um die Rolle zu verwenden. Weitere Informationen zur Bedeutung dieser Einstellungen Sie in der PIM-Terminologie.

    Screenshot der Seite „Zuweisungen hinzufügen“ und Registerkarte „Einstellung“, wenn PIM aktiviert ist.

  9. Verwenden Sie die verbleibenden Optionen, um die Dauer für die Zuweisung festzulegen.

  10. Wählen Sie Zuweisen aus, um die Rolle zuzuweisen.

PowerShell

Führen Sie die folgenden Schritte aus, um Microsoft Entra Rollen mithilfe von PowerShell zuzuweisen.

Setup

  1. Öffnen Sie ein PowerShell-Fenster, und verwenden Sie Import-Module, um das Microsoft Graph PowerShell-Modul zu importieren. Weitere Informationen finden Sie unter Voraussetzungen für die Verwendung von PowerShell oder Graph-Tester.

    Import-Module -Name Microsoft.Graph.Identity.Governance -Force
    
  2. Verwenden Sie in einem PowerShell-Fenster Connect-MgGraph, um sich bei Ihrem Mandanten zu anmelden.

    Connect-MgGraph -Scopes "RoleManagement.ReadWrite.Directory"
    
  3. Verwenden Sie Get-MgUser, um den Benutzer abzurufen, dem Sie eine Rolle zuweisen möchten.

    $user = Get-MgUser -Filter "userPrincipalName eq 'johndoe@contoso.com'"
    

Zuweisen einer Rolle

  1. Verwenden Sie Get-MgRoleManagementDirectoryRoleDefinition, um die Rolle abzurufen, die Sie zuweisen möchten.

    $roledefinition = Get-MgRoleManagementDirectoryRoleDefinition -Filter "DisplayName eq 'Billing Administrator'"
    
  2. Verwenden Sie New-MgRoleManagementDirectoryRoleAssignment, um die Rolle zuzuweisen.

    $roleassignment = New-MgRoleManagementDirectoryRoleAssignment -DirectoryScopeId '/' -RoleDefinitionId $roledefinition.Id -PrincipalId $user.Id
    

Zuweisen einer Rolle als berechtigt mit PIM

Wenn PIM aktiviert ist, sind zusätzliche Funktionen verfügbar, z. B. das Berechtigen eines Benutzers für eine Rollenzuweisung oder das Definieren der Start- und Endzeit für eine Rollenzuweisung. Diese Funktionen verwenden andere PowerShell-Befehle. Weitere Informationen zur Verwendung von PowerShell und PIM finden Sie unter PowerShell für Microsoft Entra-Rollen in Privileged Identity Management.

  1. Verwenden Sie Get-MgRoleManagementDirectoryRoleDefinition, um die Rolle abzurufen, die Sie zuweisen möchten.

    $roledefinition = Get-MgRoleManagementDirectoryRoleDefinition -Filter "DisplayName eq 'Billing Administrator'"
    
  2. Verwenden Sie den folgenden Befehl, um eine Hashtabelle zu erstellen, um alle erforderlichen Attribute zu speichern, die zum Zuweisen der Rolle zum Benutzer erforderlich sind. Die Prinzipal-ID ist die Benutzer-ID, der Sie die Rolle zuweisen möchten. In diesem Beispiel ist die Zuweisung nur 10 Stunden lang gültig.

    $params = @{
      "PrincipalId" = "aaaaaaaa-bbbb-cccc-1111-222222222222"
      "RoleDefinitionId" = "b0f54661-2d74-4c50-afa3-1ec803f12efe"
      "Justification" = "Add eligible assignment"
      "DirectoryScopeId" = "/"
      "Action" = "AdminAssign"
      "ScheduleInfo" = @{
        "StartDateTime" = Get-Date
        "Expiration" = @{
          "Type" = "AfterDuration"
          "Duration" = "PT10H"
          }
        }
      }
    
  3. Verwenden Sie New-MgRoleManagementDirectoryRoleEligibilityScheduleRequest, um die Rolle als berechtigt zuzuweisen. Nachdem die Rolle zugewiesen wurde, wird sie im Microsoft Entra Admin Center im Abschnitt Identitäts-Governance>Privileged Identity Management>Microsoft Entra-Rollen>Zuweisungen>Berechtigte Zuweisungen angezeigt.

    New-MgRoleManagementDirectoryRoleEligibilityScheduleRequest -BodyParameter $params | Format-List Id, Status, Action, AppScopeId, DirectoryScopeId, RoleDefinitionId, IsValidationOnly, Justification, PrincipalId, CompletedDateTime, CreatedDateTime
    

    Microsoft Graph-API

    Befolgen Sie diese Anweisungen, um eine Rolle mithilfe der Microsoft Graph-API zuzuweisen.

    Zuweisen einer Rolle

    In diesem Beispiel wird einem Sicherheitsprinzipal mit der objectID aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb die Rolle „Abrechnungsadministrator“ (Rollendefinitions-ID b0f54661-2d74-4c50-afa3-1ec803f12efe) im Mandantenbereich zugewiesen. Eine Liste der unveränderlichen Rollenvorlagen-IDs aller integrierten Rollen finden Sie unter Integrierte Rollen in Microsoft Entra.

    POST https://graph.microsoft.com/v1.0/roleManagement/directory/roleAssignments
    Content-type: application/json
    
    { 
        "@odata.type": "#microsoft.graph.unifiedRoleAssignment",
        "roleDefinitionId": "b0f54661-2d74-4c50-afa3-1ec803f12efe",
        "principalId": "aaaaaaaa-bbbb-cccc-1111-222222222222",
        "directoryScopeId": "/"
    }
    

    Zuweisen einer Rolle mit PIM

    Zuweisen einer zeitgebundenen Rollenzuweisung mit Berechtigungen

    In diesem Beispiel wird einem Sicherheitsprinzipal mit der objectID aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb eine zeitgebundene berechtigte Rollenzuweisung als Abrechnungsadministrator (Rollendefinitions-ID b0f54661-2d74-4c50-afa3-1ec803f12efe) für 180 Tage zugewiesen.

    POST https://graph.microsoft.com/v1.0/rolemanagement/directory/roleEligibilityScheduleRequests
    Content-type: application/json
    
    {
        "action": "adminAssign",
        "justification": "for managing admin tasks",
        "directoryScopeId": "/",
        "principalId": "aaaaaaaa-bbbb-cccc-1111-222222222222",
        "roleDefinitionId": "b0f54661-2d74-4c50-afa3-1ec803f12efe",
        "scheduleInfo": {
            "startDateTime": "2021-07-15T19:15:08.941Z",
            "expiration": {
                "type": "afterDuration",
                "duration": "PT180D"
            }
        }
    }
    

    Zuweisen einer dauerhaften Rollenzuweisung mit Berechtigungen

    Im folgenden Beispiel wird einem Sicherheitsprinzipal eine dauerhafte berechtigte Rollenzuweisung als Abrechnungsadministrator zugewiesen.

    POST https://graph.microsoft.com/v1.0/rolemanagement/directory/roleEligibilityScheduleRequests
    Content-type: application/json
    
    {
        "action": "adminAssign",
        "justification": "for managing admin tasks",
        "directoryScopeId": "/",
        "principalId": "aaaaaaaa-bbbb-cccc-1111-222222222222",
        "roleDefinitionId": "b0f54661-2d74-4c50-afa3-1ec803f12efe",
        "scheduleInfo": {
            "startDateTime": "2021-07-15T19:15:08.941Z",
            "expiration": {
                "type": "noExpiration"
            }
        }
    }
    

    Aktivieren einer Rollenzuweisung

    Verwenden Sie zum Aktivieren der Rollenzuweisung die API roleAssignmentScheduleRequests erstellen.

    POST https://graph.microsoft.com/v1.0/roleManagement/directory/roleAssignmentScheduleRequests
    Content-type: application/json
    
    {
        "action": "selfActivate",
        "justification": "activating role assignment for admin privileges",
        "roleDefinitionId": "b0f54661-2d74-4c50-afa3-1ec803f12efe",
        "directoryScopeId": "/",
        "principalId": "aaaaaaaa-bbbb-cccc-1111-222222222222"
    }
    

    Weitere Informationen zum Verwalten von Microsoft Entra-Rollen über die PIM-API in Microsoft Graph finden Sie unter Übersicht über die Rollenverwaltung mithilfe der PIM-API (Privileged Identity Management).