Regeln in PIM – Zuordnungsleitfaden
Privileged Identity Management (PIM) macht Rolleneinstellungen für die Ressourcen verfügbar, die verwaltet werden können. In Microsoft Graph sind diese Ressourcen Microsoft Entra Rollen und Gruppen und werden über PIM für Microsoft Entra Rollen bzw. PIM für Gruppen verwaltet.
Rolleneinstellungen fallen in eine von drei Kategorien:
- Aktivierungseinstellungen
- Zuweisungseinstellungen
- Benachrichtigungseinstellungen
Zu diesen Einstellungen gehört, ob die mehrstufige Authentifizierung (Multi-Factor Authentication, MFA) erforderlich ist, um eine berechtigte Rolle oder Gruppenmitgliedschaft zu aktivieren; oder ob Sie permanente Rollenzuweisungen, Gruppenbesitz oder Gruppenmitgliedschaften erstellen können.
Wenn Sie die APIs von PIM für Microsoft Entra Rollen oder PIM für Gruppen-APIs in Microsoft Graph verwenden, werden diese Rolleneinstellungen über Richtlinien und Regeln verwaltet.
Richtlinien
In Microsoft Graph werden die Rolleneinstellungen als Regeln bezeichnet. Diese Regeln werden für Microsoft Entra Rollen und Gruppen über Container, die als Richtlinien bezeichnet werden, gruppiert, zugewiesen und verwaltet.
Die Richtlinien werden über den Ressourcentyp unifiedRoleManagementPolicy definiert.
Richtlinienregeln
Jedes unifiedRoleManagementPolicy-Objekt enthält 17 vordefinierte Regeln, die aktualisiert werden können. Diese Regeln werden über die Regelbeziehung verwaltet.
Microsoft Graph definiert den abstrakten Ressourcentyp unifiedRoleManagementPolicyRule , der von fünf Ressourcen geerbt wird. Die fünf abgeleiteten Typen werden verwendet, um die Regeln in Aktivierungs-, Zuweisungs- und Benachrichtigungsregeln zu gruppieren. Sie definieren Regelkonfigurationen, die eine oder mehrere von 17 Regeln sein können, die durch eindeutige und unveränderliche Regel-IDs identifiziert werden.
Dieser Artikel enthält eine Zuordnung der Einstellungen in PIM auf der Microsoft Entra Admin Center zu den entsprechenden Regeln in Microsoft Graph.
Zuordnung von Regel-IDs zu PIM-Rolleneinstellungen auf dem Microsoft Entra Admin Center
Aktivierungsregeln
Die folgende Abbildung zeigt die Aktivierungsrolleneinstellungen im Microsoft Entra Admin Center, die Regeln und Ressourcentypen in den PIM-APIs in Microsoft Graph zugeordnet sind.
| Zahl | Microsoft Entra Admin Center UX-Beschreibung | Microsoft Graph-Regel-ID/Abgeleiteter Ressourcentyp | Für Anrufer erzwungen |
|---|---|---|---|
| 1 | Maximale Aktivierungsdauer (Stunden) |
Expiration_EndUser_Assignment
/
unifiedRoleManagementPolicyExpirationRule |
Endbenutzer |
| 2 | Bei aktivierung erforderlich: Keine, Azure MFA Anfordern von Ticketinformationen bei der Aktivierung Begründung bei Aktivierung anfordern |
Enablement_EndUser_Assignment
/
unifiedRoleManagementPolicyExpirationRule |
Endbenutzer |
| 3 | Bei aktivierung erforderlich: Microsoft Entra Authentifizierungskontext für bedingten Zugriff (Vorschau) |
AuthenticationContext_EndUser_Assignment
/
unifiedRoleManagementPolicyExpirationRule |
Endbenutzer |
| 4 | Genehmigung zum Aktivieren erforderlich |
Approval_EndUser_Assignment
/
unifiedRoleManagementPolicyExpirationRule |
Endbenutzer |
Zuweisungsregeln
Die folgende Abbildung zeigt die Zuweisungsrolleneinstellungen im Microsoft Entra Admin Center, die Regeln und Ressourcentypen in der PIM-API in Microsoft Graph zugeordnet sind.
| Zahl | Microsoft Entra Admin Center UX-Beschreibung | Microsoft Graph-Regel-ID/Abgeleiteter Ressourcentyp | Für Anrufer erzwungen |
|---|---|---|---|
| 5 | Dauerhafte berechtigte Zuweisung zulassen Berechtigte Zuweisungen nach ablaufen |
Expiration_Admin_Eligibility
/
unifiedRoleManagementPolicyExpirationRule |
Administrator |
| 6 | Dauerhafte aktive Zuweisung zulassen Ablauf aktiver Zuweisungen nach |
Expiration_Admin_Assignment
/
unifiedRoleManagementPolicyExpirationRule |
Administrator |
| 7 | Anfordern von Azure Multi-Factor Authentication bei aktiver Zuweisung Begründung für aktive Zuweisung anfordern |
Enablement_Admin_Assignment
/
unifiedRoleManagementPolicyExpirationRule |
Administrator |
| 8 | Ist in Microsoft Entra Admin Center UX nicht vorhanden |
Enablement_Admin_Eligibility
/
unifiedRoleManagementPolicyExpirationRule |
Administrator |
Benachrichtigungsregeln
Die folgende Abbildung zeigt die Benachrichtigungsrolleneinstellungen auf dem Microsoft Entra Admin Center, die Regeln und Ressourcentypen in der PIM-API in Microsoft Graph zugeordnet sind.
| Zahl | Microsoft Entra Admin Center UX-Beschreibung | Microsoft Graph-Regel-ID/Abgeleiteter Ressourcentyp | Für Anrufer erzwungen |
|---|---|---|---|
| 9 | Senden von Benachrichtigungen, wenn Mitglieder als berechtigt für diese Rolle zugewiesen sind: Warnung zur Rollenzuweisung |
Notification_Admin_Admin_Eligibility
/
unifiedRoleManagementPolicyExpirationRule |
Administrator |
| 10 | Senden von Benachrichtigungen, wenn Mitglieder als berechtigt für diese Rolle zugewiesen werden: Benachrichtigung an den zugewiesenen Benutzer (Zugewiesener) |
Notification_Requestor_Admin_Eligibility
/
unifiedRoleManagementPolicyExpirationRule |
Zugewiesener/Anforderer |
| 11 | Senden von Benachrichtigungen, wenn Mitglieder als berechtigt für diese Rolle zugewiesen sind: Anforderung zum Genehmigen einer Verlängerung/Erweiterung einer Rollenzuweisung |
Notification_Approver_Admin_Eligibility
/
unifiedRoleManagementPolicyExpirationRule |
Genehmiger |
| 12 | Senden von Benachrichtigungen, wenn Mitglieder dieser Rolle als aktiv zugewiesen sind: Warnung zur Rollenzuweisung |
Notification_Admin_Admin_Assignment
/
unifiedRoleManagementPolicyExpirationRule |
Administrator |
| 13 | Senden von Benachrichtigungen, wenn Mitglieder dieser Rolle als aktiv zugewiesen werden: Benachrichtigung an den zugewiesenen Benutzer (Zugewiesener) |
Notification_Requestor_Admin_Assignment
/
unifiedRoleManagementPolicyExpirationRule |
Zugewiesener/Anforderer |
| 14 | Senden von Benachrichtigungen, wenn Mitglieder dieser Rolle als aktiv zugewiesen sind: Anfordern der Genehmigung einer Verlängerung/Erweiterung einer Rollenzuweisung |
Notification_Approver_Admin_Assignment
/
unifiedRoleManagementPolicyExpirationRule |
Genehmiger |
| 15 | Senden von Benachrichtigungen, wenn berechtigte Mitglieder diese Rolle aktivieren: Warnung zur Rollenaktivierung |
Notification_Admin_EndUser_Assignment
/
unifiedRoleManagementPolicyExpirationRule |
Administrator |
| 16 | Senden von Benachrichtigungen, wenn berechtigte Mitglieder diese Rolle aktivieren: Benachrichtigung an aktivierten Benutzer (Anforderer) |
Notification_Requestor_EndUser_Assignment
/
unifiedRoleManagementPolicyExpirationRule |
Anforderer |
| 17 | Senden von Benachrichtigungen, wenn berechtigte Mitglieder diese Rolle aktivieren: Anfordern der Genehmigung einer Aktivierung |
Notification_Approver_EndUser_Assignment
/
unifiedRoleManagementPolicyExpirationRule |
Genehmiger |